{"id":73,"date":"2004-04-04T14:09:12","date_gmt":"2004-04-04T12:09:12","guid":{"rendered":"https:\/\/daniele.itvc.net\/blog\/2007\/02\/25\/firewall-revolution\/"},"modified":"2013-12-29T22:46:10","modified_gmt":"2013-12-29T21:46:10","slug":"firewall-revolution","status":"publish","type":"post","link":"https:\/\/danielebesana.com\/blog\/networksecurityos-stuff\/firewall-revolution","title":{"rendered":"FIREWALL (r)EVOLUTION"},"content":{"rendered":"

FIREWALL (r)EVOLUTION<\/strong><\/span><\/span><\/p>\n

il firewalling di ieri, oggi e forse domani…<\/em><\/span><\/p>\n


\n<\/span><\/p>\n

Questo articolo presenta un breve excursus sulle novit\u00e1\u00a0 tecniche che hanno caratterizzato la storia del firewalling, presenta la situazione attuale e analizza un possibile futuro.<\/span><\/p>\n

Non intendo fare pubblicit\u00e1\u00a0 a nessun produttore e neanche entrare nella diatriba opensource\/vendor.<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

In principio erano i packet filter<\/em>.<\/span><\/p>\n

Chiudere le porte, questo era l’obiettivo degli amministratori di rete che per primi sentirono la necessit\u00e1 \u00a0di avere un punto di controllo <\/strong>(poi chiamato firewall<\/em>) del traffico all’interno delle loro reti.<\/span><\/p>\n

Filtrare il traffico, lasciando passare solo i protocolli, gli IP e le porte necessarie.<\/span><\/p>\n

Successivamente le esigenze aumentarono, e nacquero i primi firewall statefull inspection<\/em>, i quali non solo fanno passare il traffico secondo protocollo\/porta\/IP, ma tengono anche traccia della sessione.<\/span><\/p>\n

Seguirono gli anni in cui i firewall iniziarono a diffondersi pesantemente, riconosciuti come elementi fondamentali non solo della sicurezza, ma delle reti stesse. Questo perch\u00e9 il firewall per poter analizzare i flussi di traffico tra i vari network deve necessariamente avere una posizione centrale.<\/span><\/p>\n

Una volta che le reti si sono riempite di apparati di firewalling \u00e9 nata una nuova esigenza: la gestione<\/em>.<\/span><\/p>\n

E tutti i produttori si sono mossi per fornire agli staff tecnici interfacce di management, monitoring e analisi centralizzata capaci di gestire una multitudine di macchine da una postazione centrale.<\/span><\/p>\n


\n<\/span><\/p>\n

E fin qui siamo arrivati all’anno 2002.<\/span><\/p>\n

Facendo il punto della situazione, possiamo gestire da una postazione centrale multipli firewall che filtrano il traffico capendo se il pacchetto appartiene ad una sessione gi\u00e1 stabilita o meno.<\/span><\/p>\n


\n<\/span><\/p>\n

A questo punto \u00e9 sorto per\u00f3 un problema.<\/span><\/p>\n

Un firewall posto a protezione del web server aziendale pu\u00f3 bloccare tutto il traffico ad esclusione delle sessioni destinate alla porta 80\/TCP, necessaria per l’utilizzo del web server. <\/span><\/p>\n

Ma in questo modo abbiamo la porta 80\/TCP esposta ad ogni sorta di attacchi, e il firewall non pu\u00f3 essere il nostro unico strumento di difesa.<\/span><\/p>\n


\n<\/span><\/p>\n

Ma vediamola anche in un’ottica diversa: un’azienda con migliaia di computer consente ai propri dipendenti la navigazione internet (porte 80\/TCP e 443\/TCP) e il protocollo di trasferimento file FTP (porta 21).<\/span><\/p>\n

Tutte le altre porte sono chiuse, impedendo ai dipendenti l’utilizzo di tutta una serie di applicazioni che, secondo le policy aziendali, vanno contro la produttivit\u00e1.<\/span><\/p>\n

Una politica di filtraggio del traffico in uscita di questo tipo era considerata un buon livello di sicurezza, fino a qualche annetto fa.<\/span><\/p>\n

Ma con lo sviluppo delle applicazioni \u00e9 diventato facile aggirare un firewall semplicemente cambiando la porta utilizzata per le comunicazioni.<\/span><\/p>\n

Facciamo il caso del nostro amato software di istant messaging (IM): ICQ. (<\/span>www.icq.com<\/span><\/span><\/span><\/a>)<\/span><\/p>\n

In questa pagina <\/span>https:\/\/www.icq.com\/icqtour\/firewall\/https.html<\/span><\/span><\/span> troverete come far passare tutto il traffico di ICQ sulla porta HTTPS (443\/TCP).<\/span><\/p>\n


\n<\/span><\/p>\n

Se gli IM fanno perdere produttivit\u00e1, i software di P2P e file sharing rischiano di far perdere credibilit\u00e1 ad un’azienda.<\/span><\/p>\n

Basti pensare alla campagna che si sta sollevando proprio in questo periodo contro il file sharing a protezione dei diritti d’autore, con la discussa legge Urbani <\/span>che anche se non verr\u00e1 approvata evidenzia molto bene la strada che si sta tracciando contro la diffusione di materiale illegale in Internet.<\/span><\/p>\n

Non voglio assolutamente entrare nel merito di questo decreto perch\u00e9 non \u00e9 l’obiettivo di questo articolo, il punto casomai \u00e9 un altro.<\/span><\/p>\n

Chi gestisce una rete aziendale si DEVE porre il problema del P2P e di come difendere la propria azienda.<\/span><\/p>\n

Basta che un utente su 100 si mette a scaricare film protetti dai diritti d’autore per compromettere tutta la societ\u00e1.<\/span><\/p>\n


\n<\/span><\/p>\n

Tornando ai nostri cari firewall, come possono difenderci?<\/span><\/p>\n

Ci vengono in aiuto i firewall con content inspection<\/em> quelli cio\u00e9 che fanno analisi del protocollo.<\/span><\/p>\n

Questi prodotti non si accontentano pi\u00fa di analizzare una sessione basandosi sulle porte utilizzate, ma verifica che la SEMANTICA del protocollo sia quella corretta.<\/span><\/p>\n

Facendo l’esempio del traffico HTTP, verificher\u00e1 che il traffico che passa sulla porta 80\/TCP siano GET, POST, HEAD… cio\u00e9 traffico effettivamente HTTP.<\/span><\/p>\n


\n<\/span><\/p>\n

Spostare un server FTP dalla porta 21\/TCP alla porta 80\/TCP non basta pi\u00fa per raggirare\u009d il firewall, perch\u00e9 il protocollo FTP ha una sintassi differente (fatta di LS, PUT, GET parametrizzare in un certo modo) rispetto al protocollo HTTP.<\/span><\/p>\n


\n<\/span><\/p>\n

Questo \u00e9 un passo fondamentale nelle tecnologie di firewalling: spostarsi dal livello di rete ai livelli pi\u00fa alti addentrandosi sempre di pi\u00fa nei pacchetti ispezionati.<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

I firewall diventano sempre pi\u00fa\u00a0intelligenti<\/em>.<\/span><\/p>\n

I firewall analizzano livelli del modello ISO\/OSI sempre pi\u00fa elevati.<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

Ma l’evoluzione non si \u00e9 fermata a questo traguardo, perch\u00e5 le minacce hanno fatto di nuovo evolvere le esigenze dei clienti.<\/span><\/p>\n


\n<\/span><\/p>\n

Gli attacchi e le vulnerabilit\u00e1 infatti si sono sempre pi\u00fa spostate verso il livello applicativo.<\/span><\/p>\n

Torniamo al nostro esempio del firewall che protegge il nostro web server aziendale.<\/span><\/p>\n

Un buon firewall content inspection<\/em> pu\u00f3 per esempio consentire solo alcuni “comandi”\u009dforniti dal protocollo HTTP, ad esempio pu\u00f3 permettere che client remoti su Internet richiedano delle pagine (GET HTTP) oppure richiedano informazioni su una pagina (HEAD HTTP) ma non possano inviare dei dati al web server (POST HTTP).<\/span><\/p>\n

Non pu\u00f3 per\u00f3 proteggerci da tutte le vunlerabilit\u00e1 del nostro web server, e da tutti gli attacchi a livello applicativo.<\/span><\/p>\n


\n<\/span><\/p>\n

E, neanche a farlo apposta, \u00e9 proprio in questa direzione che si stanno muovendo tutte le recenti tipologie di attacco informatico. La minaccia ormai viaggia a livello applicativo, proprio dove i firewall non possono agire…<\/span><\/p>\n


\n<\/span><\/p>\n

Ma in aiuto del firewalling \u00e9 arrivato un altro strumento da anni a disposizione degli amministratori di rete: l’intrusion detection.<\/span><\/p>\n


\n<\/span><\/p>\n

Il 2003 infatti ha fatto fiorire una nuova frontiera per il firewalling: l’intrusion prevention (IPS).<\/span><\/p>\n


\n<\/span><\/p>\n

L’intrusion prevention nasce come evoluzione dell’intrusion detection. <\/span><\/p>\n

Mentre l’intrusion detection permette di monitorare l’attivit\u00e1 di rete e delle macchine al fine di rilevare <\/em>eventuali anomalie e\/o attacchi, l’intrusion prevention si spinge oltre tentando di bloccare<\/em> tale traffico.<\/span><\/p>\n

E’ un compito molto arduo, che non amette errori, perch\u00e9 bloccare traffico LECITO pu\u00f3 essere pi\u00fa grave che lasciar passare un tentativo di intrusione che sfrutta un exploit a cui i nostri sistemi non sono vulnerabili.<\/span><\/p>\n

Questo tipo di tecnologia \u00e9 stato accolto con scetticismo nel settore, tanto che un’analisi del Gartner Group (luglio 2003) in cui si dichiarava morta l’Intrusion Detection a tutto favore degli IPS \u00e9 stata aspramente criticata. (<\/span>https:\/\/www.gartner.com\/5_about\/press_releases\/pr11june2003c.jsp<\/span><\/a>)<\/span><\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

Tuttavia i vari produttori hanno raccolto la sfida e si sono prodigati per integrare nei loro prodotti firewall le funzionalit\u00c3\u00a0 di intrusion prevention.<\/span><\/p>\n


\n<\/span><\/p>\n

Torniamo ancora una volta al nostro esempio del firewall a protezione del web server aziendale.<\/span><\/p>\n

Un client maleducato tenta di accedere al file ROOT.EXE che a suo tempo veniva installato da Code Red (pu\u00c3\u00b2 sembrare strano ma ancora oggi i tentativi di questo tipo non mancano, guardate i log dei vostri web server!):<\/span><\/p>\n


\n<\/span><\/p>\n

GET \/scripts\/root.exe HTTP\/1.1<\/span><\/p>\n


\n<\/span><\/p>\n

Questo \u00c3\u00a8 il comando GET HTTP che invier\u00c3\u00a0, accludendo tutta un’altra serie di informazioni che qui ometto.<\/span><\/p>\n

Il nostro content inspection <\/em>firewall verifica che le GET sono autorizzate e lascia passare la richiesta.<\/span><\/p>\n

Se avessimo avuto un firewall con IPS avrebbe bloccato una richiesta di questo tipo, perch\u00c3\u00a8 riconosciuta come illecita.<\/span><\/p>\n


\n<\/span><\/p>\n

Oltre a fermare atacchi NOTI, come quello qui mostrato, consente di bloccare anche traffico ritenuto anomalo<\/em> anche se non associato a nessun attacco gi\u00c3\u00a0 conosciuto.<\/span><\/p>\n

Per esempio, bloccare le richieste HTTP con header MOLTO lunghi potrebbe salvare il nostro web server da uno zero-day exploit che sfrutta un buffer overflow.<\/span><\/p>\n

Oppure, potrebbe bloccare l’utilizzo della web-mail di Yahoo, come accade con un famoso firewall con intrusion prevention in configurazione di default…<\/span><\/p>\n


\n<\/span><\/p>\n

Qui per\u00c3\u00b2 nasce un altro punto di riflessione.<\/span><\/p>\n

Lasciare che un firewall lavori a livello applicativo significa che c’\u00c3\u00a8 un livello di collaborazione tra chi si occupa di sicurezza in azienda e chi si occupa delle applicazioni, cosa che \u00c3\u00a8 ancora oggi difficile da trovare.<\/span><\/p>\n

La sicurezza viene ancora vista come attivit\u00c3\u00a0 di competenza di chi si occupa di networking, settore dal quale provengono molti degli attuali responsabili della sicurezza.<\/span><\/p>\n

Ma la sicurezza \u00c3\u00a8 un’attivit\u00c3\u00a0 TRASVERSALE, che DEVE abbracciare ogni settore e vi ci si deve amalgamare…<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

Siamo arrivati alla fine? Non ancora. Manca l’ultima frontiera, quella che si sta diffondendo in questo periodo: gli application firewall<\/em>.<\/span><\/p>\n

La definizione di questo tipo di prodotti \u00c3\u00a8 ancora un po’ vaga e fonte di confusione, come sempre accade quando il marketing ci mette lo zampino. \ud83d\ude09<\/span><\/p>\n

Molti dei prodotti che si presentano come application firewall <\/em>sono, secondo me, dei firewall con estensioni di Intrusion Prevention, quindi, come abbiamo visto, firewall che lavorano a livello applicativo.<\/span><\/p>\n


\n<\/span><\/p>\n

I veri application firewall <\/em>sono, sempre IMHO, quei prodotti interamente dedicati alla protezione di un’applicazione.<\/span><\/p>\n

Gli unici che ho avuto modo di vedere lavorano con le applicazioni web, senza dubbio le pi\u00c3\u00b9 minacciate, e con la posta elettronica, altro servizio chiave messo in scacco da virus e spam.<\/span><\/p>\n


\n<\/span><\/p>\n

Torniamo per l’ultima volta all’esempio del web server aziendale. Lo avevamo lasciato protetto da un firewall con IPS<\/em>, sicuramente un ottimo livello di protezione.<\/span><\/p>\n

Per\u00c3\u00b2 non ci aiuta se qualcuno prova ad attaccare proprio la nostra applicazione web.<\/span><\/p>\n

Esempi comuni di attacchi di questo tipo sono la SQL Injection, i Cross Side scripting (XSS), ma anche tutti i tentativi di by-passare i meccanismi di input-validation messi in piedi dagli sviluppatori.<\/span><\/p>\n


\n<\/span><\/p>\n

Vedo di fare un esempio di mancata input validation che sia il pi\u00c3\u00b9 banale possibile.<\/span><\/p>\n

Supponiamo di avere una pagina che contiene un form in cui si specifica un codice numerico.<\/span><\/p>\n

Inviando il form, l’applicazione restituisce i dettagli del prodotto associato a quel codice: una banale ricerca, in pratica.<\/span><\/p>\n

Un client cattivo per\u00c3\u00b2 inserisce invece di un codice numerico la stringa \u00e2\u20ac\u01531 OR 1=1<\/span>\u00e2\u20ac\u009d .<\/span><\/p>\n

L’applicazione non \u00c3\u00a8 scritta a regola d’arte e non verifica che il parametro passato sia numerico, inserendolo nella query al database che pu\u00c3\u00b2 avere una sintassi di questo tipo:<\/span><\/p>\n

\u00e2\u20ac\u0153SELECT * FROM TABELLA WHERE ID=\u00e2\u20ac\u009d<\/span><\/span><\/p>\n

quindi nel nostro caso <\/span><\/p>\n

\u00e2\u20ac\u0153SELECT * FROM TABELLA WHERE ID=1 OR 1=1<\/span>\u00e2\u20ac\u009d<\/span><\/span><\/p>\n

Questa SELECT restituir\u00c3\u00a0 TUTTI gli elementi contenuti nella tabella di nome TABELLA, perch\u00c3\u00a8 \u00c3\u00a8 vera per ogni elemento della tabella.<\/span><\/p>\n

Se non siete pratici di SQL non vi preoccupate, cercate di capire il concetto.<\/span><\/p>\n

Se abbiamo una tabella grossa, con molti elementi, questa query pu\u00c3\u00b2 creare problemi di performance all’applicazione e al DB, fino a creare dei veri e propri denial of service.<\/span><\/p>\n


\n<\/span><\/p>\n

Come pu\u00c3\u00b2, un firewall, aiutarci contro attacchi di questo tipo?<\/span><\/p>\n

La risposta che ci forniscono i vendor sono appunto gli application firewall<\/em>.<\/span><\/p>\n

Questi apparati sono in grado di capire che \u00e2\u20ac\u0153normalmente\u00e2\u20ac\u009d QUEL form di QUELLA pagina viene compilato con un codice numerico, e interpreter\u00c3\u00a0 l’inserimento di un carattere alfanumerico come una infrazione che va bloccata.<\/span><\/p>\n


\n<\/span><\/p>\n

Non entro nel dettaglio dei meccanismi usati, per\u00c3\u00b2 ci sono prodotti che sono in grado di fare questo tipo di controlli quindi se volete approfondire \u00c3\u00a8 sufficiente una ricerca su un motore di ricerca con la chiave \u00e2\u20ac\u0153application firewall\u00e2\u20ac\u009d.<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

In definitiva, i firewall sono partiti analizzando i livelli 3-4 (prima IP\/porta e poi le sessioni), per arrivare ai pi\u00c3\u00b9 avanzati controlli sul livello 7 (applicazione).<\/span><\/p>\n

Stando all’attuale implementazione del modello ISO\/OSI diremmo che non c’\u00c3\u00a8 molto altro da aggiungere.<\/span><\/p>\n

Eppure sono due i fronti in cui i prodotti stanno evolvendo o si evolveranno nel futuro.<\/span><\/p>\n


\n<\/span><\/p>\n

Il primo \u00c3\u00a8 l’integrazione<\/em>. In una rete attuale ci sono, semplicemente, troppi elementi!<\/span><\/p>\n

In grosse reti con grossi carichi abbiamo router, switch, bilanciatori, firewall, tutti elementi ridondati per avere alta affidabilit\u00c3\u00a0.<\/span><\/p>\n

Questo significa aumentare esponenzialmente la complessit\u00c3\u00a0 di implementazione e gestione a livello 2 (switch multipli, VLAN, Spanning Tree da gestire) e i costi per ridondare ogni elemento dell’infrastruttura.<\/span><\/p>\n


\n<\/span><\/p>\n

Gi\u00c3\u00a0 oggi ci sono alcune soluzioni di integrazione, le quali permettono di raggruppare tutti questi elementi in macchine che utilizzano la tecnologia delle schede \u00e2\u20ac\u0153blade\u00e2\u20ac\u009d associate ad una gestione del fail-over e del networking integrato nella scheda di controllo.<\/span><\/p>\n


\n<\/span><\/p>\n

Altre soluzioni di questo tipo arriveranno di sicuro a breve, considerando anche le partnership che si stanno formando tra i produttori di networking e i produttori di firewall.<\/span><\/p>\n

Arriveranno tutti a fornire soluzioni integrate di switch\/router modulari con schede dedicata al firewalling.<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

Un altro fronte interessante, molto pi\u00c3\u00b9 legato all’aspetto della sicurezza che non alla gestione, \u00c3\u00a8 quello del social engeneering.<\/span><\/p>\n

E’ assodato che l’utente \u00c3\u00a8 l’elemento in assoluto pi\u00c3\u00b9 debole nella catena della sicurezza aziendale, come confermato anche nella nostra “Intervista ad un Gray Hat”<\/span>\u00a0dal misterioso BF.<\/span><\/p>\n

E come riportato da una news comparsa su SecurityFocus proprio nei giorni in cui stavo scrivendo questo articolo: <\/span>https:\/\/www.securityfocus.com\/columnists\/231<\/span><\/a><\/span><\/p>\n


\n<\/span><\/p>\n

Come ci proteggeranno i firewall di domani da questa crescente insidia?<\/span><\/p>\n


\n<\/span><\/p>\n

Forse non ci riusciranno mai, o forse dietro la porta ci sono gi\u00c3\u00a0 nuove fantastiche soluzioni che aspettano di essere utilizzate…<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n


\n<\/span><\/p>\n

RIFERIMENTI<\/span><\/strong><\/p>\n


\n<\/span><\/p>\n