Descrizione del progetto Caratteristiche Strumenti & Tecnologie utilizzate Progettazione Implementazione regole IPtables Implementazione proxy Squid Verifica e Validazione Conclusioni Analisi ed implementazione della sicurezza perimetrale aziendale tramite l’utilizzo di componenti del sistema operativo Linux Azienda ospitante: Sanmarco Informatica S.p.A Universit` a degli studi di Padova Dipartimento di Matematica Corso di Laurea in Informatica Laureando: Stefano Campese Matricola: 616963 Relatore: Prof. Claudio Enrico Palazzi Anno Accademico: 2013/2014 1 / 15
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Analisi ed implementazione della sicurezzaperimetrale aziendale tramite l’utilizzo dicomponenti del sistema operativo Linux
Azienda ospitante: Sanmarco Informatica S.p.A
Universita degli studi di PadovaDipartimento di MatematicaCorso di Laurea in Informatica
Laureando: Stefano CampeseMatricola: 616963Relatore: Prof. Claudio Enrico PalazziAnno Accademico: 2013/2014
1 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Descrizione del progetto
Il progetto consiste nella creazione di firewall mediante alcunimoduli del kernel del sistema operativo Linux, che permettonol’intercettazione e la manipolazione dei pacchetti in transitonella rete.
L’obiettivo del progetto dunque, e quello di creare firewallbasati sul filtraggio dei pacchetti tramite utilizzo di:
NetFilter
IPtables
Squid
2 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Caratteristiche
In genere, il firewall dovra saper svolgere diversi compiti, comead esempio:
Separare la rete LAN dalla rete WAN
Separare eventuali zone DMZ dalla LAN
Supporto per connessioni VPN
Possibilita di funzione proxy
Possibilita di funzione antispam
Filtraggio connessioni in uscita o entrata
Filtraggio connessioni in base agli indirizzi IPFiltraggio connessioni in base alle porte di comunicazioneFiltraggio connessioni in base al protocollo dicomunicazioneFiltrare connessioni in base alle applicazioni che generanoi pacchetti
3 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Strumenti & Tecnologie utilizzate
Gli strumenti e le tecnologie utilizzate sono state le seguenti:
utilizzo del protocollo TCP/IP
utilizzo di IPtables
utilizzo di Squid
utilizzo software di monitoraggio
IFtopHtopIPtraf
utilizzo di L7-Filter
utilizzo del sistema operativo Voyage Linux
4 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Studiodell’infrastruttura
Compiti delfirewall
Scelta del firewalladatto
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Progettazione
La progettazione deve tenere in considerazione due aspetti:
l’infrastruttura di rete esistente
compiti che deve svolgere il firewall
5 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Studiodell’infrastruttura
Compiti delfirewall
Scelta del firewalladatto
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Studio dell’infrastruttura
Capire come si presenta l’infrastruttura di partenza
6 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Studiodell’infrastruttura
Compiti delfirewall
Scelta del firewalladatto
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Compiti del firewall
Compiti che in genere svolge un firewall:
7 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Studiodell’infrastruttura
Compiti delfirewall
Scelta del firewalladatto
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Scelta del firewall adatto
8 / 15
Capire quale sistema scegliere:
sistema operativo
hardware di supporto
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Esempio regoleIPtables e regoleIPtables conL7-Filter
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Implementazione regole IPtables
L’implementazione delle regole viene fatta a blocchi, ogniblocco ha la propria funzione:
regole per l’assegnazione degli indirizzi IP alle interfacce
regole di caricamento moduli del kernel
regole di NAT
regole di filtraggio SMB Windows
regole per i nodi connessi al firewall
regole di input/output del firewall
regole di filtraggio a livello applicativo con L7-Filter
9 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Esempio regoleIPtables e regoleIPtables conL7-Filter
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Esempio regole IPtables e regole IPtables conL7-Filter
10 / 15
Un esempio di regole di NAT, di filtraggio del protocolloSMB di Windows e di filtraggio dei protocolli P2P con L7-Filter.
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Esempio direttiveSquid
Verifica eValidazione
Conclusioni
Implementazione proxy Squid
L’implementazione di un proxy Squid avviene mediantel’utilizzo di direttive o regole scritte nel file di configurazione.Le direttive si divino in tre gruppi:
direttive generali
direttive ACL
direttive ACL di accesso al proxy
ACL: Access Control List o lista di controllo di accesso
11 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Esempio direttiveSquid
Verifica eValidazione
Conclusioni
Esempio direttive Squid
12 / 15
Un esempio di di direttive per Squid
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Verifica
Verifica delle regole tramite analisi dinamica, per testare leregole e necessario avviare moduli, programmi e servizi.Per verificare regole e direttive e necessario:
osservare i contatori per le regole IPtables
osservare i contatori per le regole IPtables con L7-Filter
osservare i permessi per la navigazione sul web (proxy)
osservare i permessi per l’accesso al proxy
I test sono stati eseguiti ad ogni installazione di un firewall.
13 / 15
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Validazione
14 / 15
Un firewall si considera validato solo quando tutte le regole e ledirettive utilizzate superano i test.Il superamento dei test avviene solamente quando le regoleaumentano i contatori, segnalando il passaggio di pacchetti.
Figura 1 : Esempio di test
Descrizione delprogetto
Caratteristiche
Strumenti &Tecnologieutilizzate
Progettazione
Implementazioneregole IPtables
Implementazioneproxy Squid
Verifica eValidazione
Conclusioni
Conclusioni
Durante lo stage sono stati implementati numerosi dispositivifirewall che permettono di aumentare esponenzialmente lasicurezza della rete aziendale dei clienti dell’azienda.
Tutti i firewall attualmente sono in funzione e possono esseregestiti da remoto, tramite tunnel SSH, nel caso di futuremanutenzioni, modifiche e o aggiornamenti.
Gli obiettivi obbligatori posti all’inizio del periodo di stagesono stati tutti pienamente raggiunti.