Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Definizione di filtri sulle connessioni: filtering ed IPSec

Come utilizzare i filtri IPSec per prevenire intrusioni
Come utilizzare i filtri IPSec per prevenire intrusioni
Link copiato negli appunti

Uno dei più importanti strumenti di difesa di un server contro gli attacchi
di tipo esterno è costituito dall'utilizzo dei dispositivi di controllo degli
accessi (switch, router e firewall) che dovrebbero essere configurati in modo da
bloccare tutto il traffico non desiderato diretto alle porte TCP ed UDP
corrispondenti a quei servizi di rete che non possono, per qualche ragione o
scelta, essere disattivati.
Peraltro, al di là delle considerazioni legate
alle problematiche di installazione e configurazione dei dispositivi citati, è
sempre opportuno, specie nel processo di hardening di un server Web,
implementare, anche a livello di singolo host, delle ulteriori politiche di
filtro delle connessioni.
Infatti ciò garantisce la presenza di un ulteriore
strato di sicurezza che può essere di ausilio nel caso in cui uno dei
dispositivi posti a protezione del perimetro della rete venga bypassato da un
eventuale aggressore.
Il sistema operativo Windows 2000 offre due strumenti
per l'implementazione di filtri sulle connessioni: filtri TCP/IP e filtri
IPSec.

Filtri TCP/IP

Questa funzionalità è identica a quella già presente nel sistema operativo
Windows NT 4 ed è possibile accedervi attraverso la finestra delle proprietà
delle connessione di rete locale selezionando Internet Protocol (TCP/IP) |
Properties | Advanced | Options | TCP/IP Filtering | Properties
.

Nonostante l'apparente utilità il filtraggio a livello TCP/IP presenta
tuttavia una serie di svantaggi:

  • le regole create si applicano in modo monolitico a tutte le schede di rete;
  • qualsiasi impostazione non influenza in alcun modo le connessioni già instaurate e richiede un reboot del sistema;
  • esistono alcuni problemi di funzionamento: in particolare i filtri sembrano non comprendere appieno la porzione IP relativa al tipo di protocollo (nell'esempio sebbene venga consentito il solo traffico TCP, corrispondente al numero di protocollo 6, il traffico ICMP non verrà comunque bloccato);
  • i filtri possono essere gestiti soltanto a livello locale introducendo pertanto un ulteriore onere di amministrazione;
  • la mancanza di granularità nel controllo delle connessioni rende lo strumento poco flessibile ed adatto ad un uso reale;

Per queste ragioni il ricorso a questa funzionalità viene sconsigliato anche
perchè in sostituzione di quest'ultima è attualmente possibile avvalersi di
strumenti più flessibili come i filtri IPSec.

Filtri IPSec

Come anticipato una soluzione senza dubbio migliore rispetto alla precedente
consiste nell'uso dei filtri IPSec che rappresentano uno dei vantaggi derivati
dal pieno supporto che il sistema operativo Windows 2000 garantisce al
protocollo IPSec.
L'IP Security è una estensione del protocollo IP (opzionale
con l'IPv4 e nativa con l'IPv6) definita dalla Internet Engineering Task Force
(RFC 2401-2411) e diretta a superare la naturale insicurezza delle reti basate
su IP attraverso un nucleo di servizi integrati che garantiscono funzioni di
autenticazione, controllo della integrità e confidenzialità del traffico facendo
uso di ben noti algoritmi di crittografia.
Peraltro, in aggiunta a quelli
appena menzionati, l'IPSec fornisce anche delle funzionalità per così dire
"minori" tra le quali rientra per l'appunto la possibilità di definire delle
regole per il filtraggio delle connessioni a livello di singolo host.
I
componenti che in Windows 2000 garantiscono il supporto per l'IPSec sono
l'IPSec Policy Agent e l'IPSec Driver. Il primo è un vero e
proprio servizio di sistema che provvede ad acquisire e distribuire ai vari
meccanismi le policies via via definite mentre il secondo è un driver caricato
durante la fase di avvio del sistema ed è responsabile dell'esercizio dei filtri
e del mantenimento della connessioni. Il driver quindi utilizza direttamente i
filtri definiti per stabilire quali pacchetti debbano essere bloccati o
accettati (Figura 2).

Figura 11. Funzionamento driver IPSec
Funzionamento driver IPSec

Fondamentalmente i filtri IPSec presentano una serie di caratteristiche
vantaggiose quali:

  • la velocità e l'efficenza nella elaborazione dei datagrammi ricevuti;
  • la possibilità di essere applicati ad interfacce di rete singole;
  • la sufficiente specificità nel tipo di protocolli gestiti e riconosciuti;
  • l'immediata operatività che non richiede un riavvio del sistema;

Creazione di una policy

Il concetto che ruota intorno all'intero meccanismo dell'IPSec è quello di
policy. Una policy è una astrazione cioè una sorta di contenitore virtuale che
raccoglie regole di vario genere.
Tra queste regole ci possono essere
quelle definite in modo tale da ricomprendere una o più liste di filtri per
ciascuna delle quali vengono definite delle apposite azioni (ad es. accetta o
blocca).
Il primo passo nella creazione di filtri è dunque quello della
definizione di una nuova policy. Per far ciò è necessario cliccare con il
pulsante destro del mouse sulla voce IP Security Policies on Local
Machine
raggiungibile attraverso Programs | Administrative Tools | Local
Security Setting (Figura 3)
.

Figura 12. Policies IPSec sulla macchina locale
Policies IPSec sulla macchina locale

Selezionare la voce di menu Create IP Security Policy e seguire
l'autocomposizione guidata. Dare un nome alla policy (ad esempio Sicurezza Web
Server) ed introdurre una breve descrizione (Figura 4).

Figura X. Definizione di una policy
Definizione di una policy

Nella finestra successiva deselezionare la casella Activate the default
response rule
, cliccare sul pulsante Next, lasciare attivata
la casella Edit, cliccare sul pulsante Finish e chiudere la
successiva finestra della proprietà che viene richiamata automaticamente.

Creazione dei filtri

Dopo aver definito una nuova policy ed averle dato un nome occorre associarle
delle apposite liste di filtri. Per fare ciò cliccare con il pulsante destro del
mouse sulla voce IP Security Policies on Local Machine della finestra
Local Security Settings e selezionare la voce di menu Manage IP filter
lists and filter actions
.
Nella successiva finestra cliccare sul pulsante
Add all'interno della scheda Manage IP Filter Lists e dare un nome
ed una breve descrizione alla nuova lista (ad esempio Traffico consentito server
web).
Quindi cliccare sul pulsante Add ed in successione aggiungere
due nuovi filtri per consentire, ad esempio, soltanto le connessioni TCP sulle
porte 80 (http) e 443 (https) del server web (Figure 5 e 6).

Figura 13. Proprietà filtro (Indirizzi sorgente e destinazione)
Proprietà filtro (Indirizzi sorgente e destinazione)

Per questa lista non è necessario
definire una azione specifica poichè possiamo essa dovrebbe essere già esistente
a livello di sistema (infatti spostandosi nella scheda Manage filter
actions
dovremmo notare una azione chiamata Permit).

Figura 14. Proprietà filtro (Protocollo)
Proprietà filtro (Protocollo)

Procedendo nello stesso modo è necessario creare anche una lista di filtri
per bloccare tutto il traffico non consentito (chiamandola ad esempio Traffico
non consentito server web) .
Per questa ulteriore lista occorre invece
definire una azione predefinita e quindi è necessario selezionare la scheda
Manage filter actions, deselezionare la casella Use Add Wizard
e cliccare sul pulsante Add.
Nella successiva finestra
selezionare Block all'interno della scheda Security Methods, dare
un nome al tipo di blocco (ad esempio Blocco traffico web) nella scheda
General e chiudere la finestra confermando (Figura
7
).

Figura 15. Proprietà filtro di blocco
Proprietà filtro di blocco

Creazione di un associazione tra i filtri e la policy

Una volta definiti sia la policy che le varie liste di filtri con le relative
azioni è necessario stabilire un legame associativo tra questi
elementi.
Cliccare con il pulsante destro del mouse sulla nuova policy
all'interno della finestra Local Security Settings e scegliere
Properties.
Nella successiva finestra deselezionare la casella Use
Add Wizard
e cliccare sul pulsante Add: quindi nella scheda Manage
IP filters
selezionare la lista dei filtri di accesso e spostarsi nella
scheda Manage filter actions, selezionare l'azione Permit e
chiudere la finestra confermando.
Procedere nello stesso
identico modo per associare la lista per il blocco del traffico con la relativa
azione.

Assegnazione della policy ad una interfaccia di rete

L'ultimo passo per rendere operativo l'intero meccanismo è quello di
assegnare la policy ad una interfaccia di rete (nell'ipotesi di server web con
due schede di rete questa è naturalmente l'interfaccia pubblica). Nella finestra
delle proprietà della connessione di rete locale desiderata selezionare
Internet Protocol (TCP/IP) | Properties nella scheda General,
cliccare su Advanced, portarsi sulla scheda Options,
selezionare IP filter | Properties, attivare Use following
rules
e scegliere dall'elenco la policy precedentemente creata.

Figura 16. Assegnazione della policy alla interfaccia
Assegnazione della policy alla interfaccia

In questo modo i filtri diventano immediatamente operativi senza la necessità
di riavviare il sistema.

Ti consigliamo anche