=========================================================================== 

Basare la sicurezza della rete su di un S.O. gratuito. Il firewall Linux
(Dott. Bruni Emiliano) 

=========================================================================== 

Altre risorse disponibili: Home page conferenza - Trascrizione del testo - Audio - Filmato

Introduzione. (5 minuti)
============
Per sicurezza di una rete di calcolatori si intende la capacità di soddisfare la legittima aspettativa di chi gestisce e utilizza la rete ad essere l'unico autorizzato a avere accesso completo ai propri dati e ai servizi attivi.
Dal momento in cui la rete viene esposta al "caos" di Internet, la sicurezza diviene un aspetto primario della gestione in quanto essa può divenire preda di cacciatori senza scrupoli, gli cracker, che tenteranno di penetrare in essa alla scoperta dei nostri segreti aziendali o, più semplicemente, con il fine di segnalarci che le informazioni contenute sui nostri personal computer non sono poi cosi al sicuro.
Il cracking, se da un lato e' una morale da condannare, ha però l'indubbio pregio di invogliarci a rendere le nostre reti di computer sempre più sicure e al passo con gli ultimi aggiornamenti software.
Questa conferenza ha lo scopo di far conoscere "il nemico" al pubblico e agli addetti ai lavori mostrando cosa si intenda realmente per cracking di un sistema segnalando un prodotto che, benché non rappresenti una soluzione al problema, risulta essere un rimedio molto potente e centralizzato per tentare di ridurre al minimo eventuali attacchi provenienti da INTERNET: il firewall Linux.
 
Cosa vuol dire esattamente essere attaccati da un cracker. (10 minuti)
=========================================================
Per avere un'adeguata base sintattica con cui affrontare il problema si da' significato, utilizzando semplici analogie con la vita quotidiana, ad espressioni del tipo "connessione tcp/ip", "servizio in attesa su porta" etc.
Sempre con analogie simili, si spiega brevemente e in generale come sia possibile subire un attacco da un cracker (porte aperte) e cosa venga utilizzato dal cracker per sferrare l'attacco (bug del servizio attivo).
 
La sicurezza in Linux contro la sicurezza in Windows. (5 minuti)
=====================================================
Analizzando le installazioni di base dei due sistemi operativi si scopre che il Linux può aprire molti più servizi al pubblico e ciò potrebbe portare a dedurre che potenzialmente esso sia molto più penetrabile del Windows e questa affermazione sarebbe anche vera se in casa Microsoft si facessero le cose per bene.
In realtà i tempi di sviluppo dei prodotti Microsoft sembrano sottostare solo a leggi dettate dal mercato e quindi rilasciano (molto spesso) prodotti con moltissimi buchi. Lo dimostra il fatto che ogni versione, "stabile" a detta di Microsoft, ha dovuto subire sempre tre o più "service pack" pesantissimi che andavano a risolvere una miriade di problemi di sicurezza o di funzionamento della versione base.
Al contrario Linux e, in generale, tutto il software prodotto dal mondo opensource ha, di solito, aggiornamenti molto piccoli e che risolvono problemi di minore entità.
Partendo da queste considerazioni si analizza il sistema Linux rispetto al modello Windows giungendo alla conclusione che il primo possiede una struttura di rete più solida, strumenti di analisi più sofisticati, molto più stabili e con molti meno problemi di gioventù e, come direbbero gli inglesi "last but not least", il Linux è virtualmente un prodotto gratuito.
 
Il vantaggio del modello opensource. (5 minuti)
====================================
Un'altra caratteristica del Linux e del mondo che ruota attorno ad esso e' il fatto di basare la propria esistenza sul modello opensource ossia la possibilità di disporre del codice sorgente dei programmi con l'opportunità di operare modifiche e migliorie al software a patto di continuare a muoversi all'interno di questo modello.
Paradossalmente anche in questo Microsoft ha ravvisato un difetto adducendo come giustificazione il fatto che questo rendeva la vita del cracker più facile permettendo l'accesso al funzionamento interno con la possibilità di analizzare e scoprire più facilmente i suoi punti deboli.
Ma questa motivazione se analizzata attentamente non sta in piedi. Se l'cracker può trovare qualcosa di errato nel software, chiunque può rilevare l'anomalia e, grazie alla disponibilità del sorgente, ottenere un compilato esente dal problema.
Al contrario, per gli innumerevoli problemi dei prodotti della casa di Redmont dobbiamo invece attendere che venga rilasciato il famoso "service pack". Si resta cosi in convulsa attesa per un paio di mesi con un problema anche grave presente sul nostro computer e che nessuno, tranne Microsoft, può risolvere.
Non dimentichiamoci poi dei virus che colpiscono il solo sistema Microsoft vuoi perché e' il più diffuso ma soprattutto grazie ai buchi offerti da Bill Gates e compagni.
Un vantaggio poi da non trascurare e' che la possibilità di poter leggere il codice ci assicura che esso non faccia cose strane a nostra insaputa, tipo salvare tutti i documenti che scriviamo nel Word anche su un server in casa microsoft :)
Analizzando questi e altri vantaggi si porta quindi a far comprendere alla platea che il modello opensource e' sicuramente una filosofia vincente.
 
Il firewall iptables e la suite iproute2 di Linux. (10 minuti)
==================================================
Piuttosto che bloccare gli attacchi su ogni postazione aggiornando continuamente i software su tutti i personal computer e' certamente utile una soluzione centralizzata.
Il firewall iptables e la suite iproute2 già presente su moltissime distribuzioni Linux tra cui la RedHat 7.2 hanno tutti i presupposti per porsi quale muro invalicabile tra la nostra rete interna e i pericoli di Internet senza limitarne le funzionalità. Il costo di tale soluzione comprende teoricamente il costo del solo hardware che si può ridurre, in questo caso, ad un pc anche di vecchia generazione.
Elencando i vantaggi del firewall iptables (filtri in base a sorgente, destinazione, porta del sorgente o del destinatario, source e destination NAT, redirect e tagging del pacchetto ip) e della suite iproute2 (trasparent bridging, operazioni di routing in base al sorgente, al destinatario, servizio, ora del giorno, utente unix, regolazione, suddivisione e/o fusione della larghezza di banda, bilanciamento del carico su più server) se ne delineano il funzionamento e le caratteristiche peculiari che non sono possedute neanche da costosi firewall commerciali.
 
Dimostrazione pratica di hacking e utilizzo del fw come rimedio. (15 minuti)
================================================================
Utilizzando una configurazione con 2 personal computer windows 2000 workstation in rete collegati ad un firewall/router linux su cui vi e', collegato su un'altra scheda di rete, un personal computer linux a simulare un cracker proveniente da Internet si mostra come, sfruttando un buco di sicurezza presente su Microsoft internet information server (IIS5) sia possibile eseguire comandi remoti sulla macchina windows e come sia possibile installare su questa macchina uno sniffer che ci permetterà di catturare le password delle caselle di posta elettronica nel momento in cui l'altro personal computer interno si collega al server mail per scaricare la propria posta. 



Un caso reale: il firewall presso l'I.Z.S. di Teramo. (10 minuti)
=====================================================
Si descrivono le esigenze dell'Istituto Zooprofilattico Sperimentale "G. Caporale" di Teramo riguardo al flusso di dati da e verso l'Internet e se ne descrive la soluzione adottata tramite un firewall Linux RedHat 7.1 con la suite iptables e iproute2.


Questa pagina è copyright 2001 - Emiliano Bruni
Per informazioni contattami all'indirizzo e-mail: bruni@micso.it

Ultima modifica: Saturday 09 April 2005 15.42