Linux Firewall (Iptables L7 Filters and Proxy)

Descrizione delprogetto

Caratteristiche

Strumenti &Tecnologieutilizzate

Progettazione

Implementazioneregole IPtables

Implementazioneproxy Squid

Verifica eValidazione

Conclusioni

Analisi ed implementazione della sicurezzaperimetrale aziendale tramite l’utilizzo dicomponenti del sistema operativo Linux

Azienda ospitante: Sanmarco Informatica S.p.A

Universita degli studi di PadovaDipartimento di MatematicaCorso di Laurea in Informatica

Laureando: Stefano CampeseMatricola: 616963Relatore: Prof. Claudio Enrico PalazziAnno Accademico: 2013/2014

1 / 15


Caratteristiche


Progettazione




Conclusioni

Descrizione del progetto

Il progetto consiste nella creazione di firewall mediante alcunimoduli del kernel del sistema operativo Linux, che permettonol’intercettazione e la manipolazione dei pacchetti in transitonella rete.

L’obiettivo del progetto dunque, e quello di creare firewallbasati sul filtraggio dei pacchetti tramite utilizzo di:

NetFilter

IPtables

Squid

2 / 15


Caratteristiche


Progettazione




Conclusioni

Caratteristiche

In genere, il firewall dovra saper svolgere diversi compiti, comead esempio:

Separare la rete LAN dalla rete WAN

Separare eventuali zone DMZ dalla LAN

Supporto per connessioni VPN

Possibilita di funzione proxy

Possibilita di funzione antispam

Filtraggio connessioni in uscita o entrata

Filtraggio connessioni in base agli indirizzi IPFiltraggio connessioni in base alle porte di comunicazioneFiltraggio connessioni in base al protocollo dicomunicazioneFiltrare connessioni in base alle applicazioni che generanoi pacchetti

3 / 15


Caratteristiche


Progettazione




Conclusioni

Strumenti & Tecnologie utilizzate

Gli strumenti e le tecnologie utilizzate sono state le seguenti:

utilizzo del protocollo TCP/IP

utilizzo di IPtables

utilizzo di Squid

utilizzo software di monitoraggio

IFtopHtopIPtraf

utilizzo di L7-Filter

utilizzo del sistema operativo Voyage Linux

4 / 15


Caratteristiche


Progettazione

Studiodell’infrastruttura

Compiti delfirewall

Scelta del firewalladatto




Conclusioni

Progettazione

La progettazione deve tenere in considerazione due aspetti:

l’infrastruttura di rete esistente

compiti che deve svolgere il firewall

5 / 15


Caratteristiche


Progettazione


Compiti delfirewall





Conclusioni

Studio dell’infrastruttura

Capire come si presenta l’infrastruttura di partenza

6 / 15


Caratteristiche


Progettazione


Compiti delfirewall





Conclusioni

Compiti del firewall

Compiti che in genere svolge un firewall:

7 / 15


Caratteristiche


Progettazione


Compiti delfirewall





Conclusioni

Scelta del firewall adatto

8 / 15

Capire quale sistema scegliere:

sistema operativo

hardware di supporto


Caratteristiche


Progettazione


Esempio regoleIPtables e regoleIPtables conL7-Filter



Conclusioni

Implementazione regole IPtables

L’implementazione delle regole viene fatta a blocchi, ogniblocco ha la propria funzione:

regole per l’assegnazione degli indirizzi IP alle interfacce

regole di caricamento moduli del kernel

regole di NAT

regole di filtraggio SMB Windows

regole per i nodi connessi al firewall

regole di input/output del firewall

regole di filtraggio a livello applicativo con L7-Filter

9 / 15


Caratteristiche


Progettazione


Esempio regoleIPtables e regoleIPtables conL7-Filter



Conclusioni

Esempio regole IPtables e regole IPtables conL7-Filter

10 / 15

Un esempio di regole di NAT, di filtraggio del protocolloSMB di Windows e di filtraggio dei protocolli P2P con L7-Filter.


Caratteristiche


Progettazione



Esempio direttiveSquid


Conclusioni

Implementazione proxy Squid

L’implementazione di un proxy Squid avviene mediantel’utilizzo di direttive o regole scritte nel file di configurazione.Le direttive si divino in tre gruppi:

direttive generali

direttive ACL

direttive ACL di accesso al proxy

ACL: Access Control List o lista di controllo di accesso

11 / 15


Caratteristiche


Progettazione



Esempio direttiveSquid


Conclusioni

Esempio direttive Squid

12 / 15

Un esempio di di direttive per Squid


Caratteristiche


Progettazione




Conclusioni

Verifica

Verifica delle regole tramite analisi dinamica, per testare leregole e necessario avviare moduli, programmi e servizi.Per verificare regole e direttive e necessario:

osservare i contatori per le regole IPtables

osservare i contatori per le regole IPtables con L7-Filter

osservare i permessi per la navigazione sul web (proxy)

osservare i permessi per l’accesso al proxy

I test sono stati eseguiti ad ogni installazione di un firewall.

13 / 15


Caratteristiche


Progettazione




Conclusioni

Validazione

14 / 15

Un firewall si considera validato solo quando tutte le regole e ledirettive utilizzate superano i test.Il superamento dei test avviene solamente quando le regoleaumentano i contatori, segnalando il passaggio di pacchetti.

Figura 1 : Esempio di test


Caratteristiche


Progettazione




Conclusioni

Conclusioni

Durante lo stage sono stati implementati numerosi dispositivifirewall che permettono di aumentare esponenzialmente lasicurezza della rete aziendale dei clienti dell’azienda.

Tutti i firewall attualmente sono in funzione e possono esseregestiti da remoto, tramite tunnel SSH, nel caso di futuremanutenzioni, modifiche e o aggiornamenti.

Gli obiettivi obbligatori posti all’inizio del periodo di stagesono stati tutti pienamente raggiunti.

15 / 15

Software

Linux Firewall (Iptables L7 Filters and Proxy)