Forum programmazione

[Mips]

I firewall possono proteggere la rete da certi tipi di attacchi e consentono un’utile funzionalità di registrazione. Tuttavia, come il software antivirus, essi non forniscono una protezione al 100%; anzi, in realtà la protezione è molto inferiore.
I firewall sono dispositivi e/o programmi progettati per separare selettivamente due o più reti, con lo scopo di consentire alcun tipo di traffico e bloccarne altri. L’autorizzazione o il divieto vengono stabiliti di solito da criteri di sicurezza interni all’azienda.
Finché qualcosa può passare, tuttavia, un rischio di attacco vi è sempre: per esempio gran parte dei firewall consentono l’accesso al Web, dall’interno oppure verso i server Web protetti dello stesso firewall. Il più semplice è il filtraggio di porta, che può essere eseguito da un router munito di elenchi d’accesso. Un filtro semplice e basilare per il traffico ICMP ( Internet Control Message Protocol ), che lo blocca sull’interfaccia esterna, ferma le risposte a un altro sistema quando un utente esterno esegue un’operazione di ping sull’interfaccia. Esistono alcuni livelli di protezione che un firewall può fornire per l’accesso al Web: basta configurare il router perché consenta agli host interni di raggiungere sulla porta TCP 80 qualsiasi macchina su internet, e viceversa, permette alle macchine su internet di rispondere a tutte quelle interne della medesima porta. Un firewall più attento può, in effetti, capire il protocollo http (Hypertext Transfer Protcol), magari autorizzando solamente i relativi comandi legali.
Si consideri ora l’esempio di un firewall http. L’amministratore ha configurato il firewall per autorizzare solo i comandi legali HTTP e consente ai suoi utenti di visitare un elenco di soli venti siti approvati; tale configurazione prevede anche che il dispositivo escluda i componenti Java, JavaScript e ActiveX e che, infine, consenta di scaricare solo i file .html, .gif e .jpeg.
Si potrebbe pensare che l’impegno dell’amministratore abbia messo davvero al sicuro gli utenti a valle del firewall, ma non si deve peccare di ingenuità. Entra ora in scena il Webmaster ( colui che è ignaro di cosa sia la sicurezza) che tenta di far passare il proprio software attraverso il firewall. Ma come ci riuscirà se sono consentiti così pochi tipi di file? Basta che pubblichi una pagina Web che invita gli utenti a fare clic con il pulsante destro del mouse su un file .jpg per scaricarlo e una volta sistemato sul disco rigido, chiede di rinominarlo in evil.exe . E come è possibile oltrepassare il software antivirus? Si chiede agli utenti di rinominare il file in .zip anziché in .exe e di decomprimerlo con la password “xxxxx”: l’antivirus non riuscirà mai a verificare il file .zip protetto da password. Resta il fatto che l’amministratore non intende assolutamente consentire ai suoi utenti di accedere al sito del Webmaster, ma a quest’ultimo basta introdursi in uno dei venti siti approvati: anziché ricorrere alla manomissione, dopo il Webmastr lascia il sito intatto, con la sola aggiunta di un minuscolo codice JavaScript. In questo modo, nel momento in cui qualcuno noterà questa sottile modifica, egli avrà già fatto il suo ingresso nel sito.
Riusciranno i produttori di firewall a risolvere questi problemi? È possibile, ma ve ne saranno certamente altri: dato che per porre rimedio a una violazione i produttori devono attendere che i cosiddetti “cracker” la realizzino, il loro destino è quello di rimanere sempre indietro.
Vi sono stati dibattiti filosofici su quali parti del perimetro di sicurezza di una rete formino il “firewall”. Questa discussione non rientra però nell’ambito della guida.
Il problema essenziale è: come far passare le informazioni attraverso un firewall? Le opportunità per farlo sembrano numerose: in teoria, questi dispositivi implementano alla perfezione la politica di sicurezza, ma in pratica essi vengono creati da una mente umana, che di sicuro non è perfetta.
Il vero dilemma è che qualunque protocollo può essere sottoposto a tunneling su qualunque altro, a patto che il tempo non sia importante ( vale a dire purché il tunneling non faccia funzionare troppo lentamente l’applicazione).
Una soluzione per oltrepassare un firewall è attaccare i server esposti o direttamente il dispositivo stesso. Numerosi firewall comprendono una zona demilitarizzata (DMZ, DeMilitaried Zone ), dove si trovano vari server Web, di posta e così via. Si è discusso a lungo per stabilire se essa sia una rete completamente esterna al firewall( e quindi non protetta dallo stesso) o se vi si trovi in mezzo. A tutt’oggi, nella maggior parte dei casi i server Web e gli altri server si trovano su una terza interfaccia del firewall, che li protegge dall’esterno impedendo che le componenti interne ripongano fiducia in essi. Quello che affligge gli amministratori dei firewall è che non tutti questi dispositivi sono così intelligenti: sanno sì eseguire il filtraggio, la registrazione e la richiesta di autentificazione ma davanti a due richieste autorizzate non distinguono quella buona da quella cattiva. Per esempio, non conosco un firewall che sappia discernere una richiesta legittima di una pagina web, da un attacco su uno script CGI (Common Gateway Interface); è vero che alcuni firewall possono essere programmati per cercare particolari script CGI (phf, per esempio) ma se si desidera mettere uno script a disposizione del pubblico, il dispositivo non sa distinguere fra gli utenti autorizzati e l’aggressore chi vi ha trovato una falla. Lo stesso vale per altri servizi offerti comunemente, come SMTP (Simple Mail Transfer Protocol) e FTP (File Transfer Protocol), che sono tutti attaccabili.