MANUALE DELLA DIFESA

AUTORE: DangerousSpirit

Collaboratori: ˜‡Si£e?t‡˜ - BabyGirl

PICCOLA PARENTESI: Non sono un hacker ma un cookbooker quello scritto qui può anche non essere stato scritto da me per la prima volta ma questo non è importante.La cosa più importante è pensare a chi non sa e insegnare a loro anche ritrascrivendo una guida già scritta da altri.

L' IMPORTANTE NON E' SCRIVERE UN MANUALE MA DIFFONDERLO IN RETE E INSEGNARE A CHI NON SA E VUOLE IMPARARE COME SI FANNO CERTE DETERMINATE COSESENZA NATURALMENTE SCENDERE NEL CRIMINALE O NEL VANDALISMO!

Questa secondo me è l'etica migliore che dovrebbe avere un Cookbooker e io la seguo sempre come l'hacker segue la sua etica.Se ci sono lamentele o altro la mia mail è alla fine di questo articolo scrivetemi pure vi risponderò al più presto.

DISCLAIMER

Questo manuale tratta solo e unicamente la difesa informatica e l'uso dei firewall nel modo migliore. Una sola cosa c'è da sapereanche se la guida non è nostra,gli articoli sono stati cercati e riuniti x formare quello che ora voi andate a leggere. Non usate quello che vi dico per fare dei dannise lo farete voi sarete responsabili delle vostre azioni!!!

INDICE

Introduzione

La sicurezza informatica

I programmi di Difesa

Cosa e' un Firewall

Filosofia dei Firewalls

Cosa non possono fare i Firewalls

Costruirsi un Application Level GW

Installazione Iniziale

Gateway Tools

Installazione dei servizi

X11

E chi protegge il Gateway?

Amministrazione del Gateway

Logs

Integrita' dei Files

Altro

Riassumendo

Considerazioni finali

Consigli

Saluti

INTRODUZIONE

Per prima cosa diciamo che la sicurezza su internet x ora non esiste. Non è mai stata una sicurezza che abbia funzionato al 100% forse perchè ce gente come noi che si diverte un mondo ad accettare queste 'sfide' . un sistema considerato inaccessibile è un bocconcino troppo ghiotto x chi come me ( TechGear ) ama porsi degli obbiettivi considerati da altri impossibili.La persona che principalmente si occupa di sicurezza informatica sul web è il WEB-DOCTOR cioè una persona che ha un diploma di specializzazione in sicurezza delle reti internet e strutture aziendali.Diplomi come questo non sono facili ne da trovare ne da avere per possederne uno bisogna amare davvero internet e imparare a conoscerne tutti i segreti.

Le specializzazioni anche nel campo della sicurezza web sono diversi c'è chi è specializzato in ristrutturazione siti cioè ritrova bug di errore e li corregge quindi ha una preparazione di tipo HTML java javascript Flash ecc e chi ha una preparazione in programmazione di sicurezza o meglio la creazione di programmi utili per la protezione di un pc connesso ad internet un controllo sulle porte di connessione sugli attacchi e sulle difese migliori da attuare in uno di questi casi.

La specializzazione in questi casi comporta la conoscenza di tutti i tipi di programmazione e struttura web più una buona conoscenza degli ultimi programmi di attacco e di difesa creati più una conoscenza molto vasta e minuziosa dei virus e delle loro strutture e del modo

di neutralizzarli.

I PROGRAMMI DI DIFESA

COSA è UN FIREWALL

Noi intenderemo un firewall come una collezzione di componenti che si piazzano in mezzo a 2 reti ( e noi assumeremo Internet e la nostra piccola rete ) che possiedono le seguenti proprietà

A) Tutto il traffico di dati entrante ed uscente dalla rete interna eviceversa deve passare attraverso il firewall.

B) Solo il traffico autorizzato puo' passare impunemente attraverso il firewall

C) Il firewall e' immune ( o almeno si spera ) alle penetrazioni illegali

Non male vero? Ora passiamo ad analizzare i vari svantaggi e vantaggi ad usareuna macchina ( e quindi investimenti ) configurata come firewall.Una ottima ragione per montare dei firewalls e' che dedicare e concentrarsi su una macchina sola e interessarsi in buona parte della SUA sicurezza e' molto meglio che guardare tutta la sicurezza di una rete intera , magari costituita da computers di marche differenti ..quindi dedicare una macchina SOLO a questo scopo e' ben piu' vantaggioso che usarne una general purpose e dirsi TANTO A ME NON MI SFONDANO !!! Tutta la mia attenzione dopo sarta' dedicata a curarmi della mia rete e non della sua 'sicurezza' ( anche se mah) .La seconda ( che e' anche lo scopo di questo testo e' che comunque una personache si occupa di firewall HA una coscienza di sicurezza ,cosa che i sistemistidi ben piu' che mezzo mondo non hanno.

FILOSOFIA DEI FIREWALLS

Siamo quindi ben piu' precisi lo schema di un firewall e' il seguente :

|----- ----- ------|----- ----- --------|----------- -|

| | | |

| | GATEWAY | |

| | | |

|----- ----- ------|----- ----- --------|------- -----|

Rete Filtro Filtro Rete

Interna Esterna

Filtro : blocca le trasmissioni di certe classi di dati

Gateway: macchina/e che provvede ai servizi per compensare l'effetto del filtro.

Generalmente si dice che la zona protetta o rete interna si chiama ZONADEMILITARIZZATA (nota che un gateway possono essere piu' macchine e quindi essere divise in esterne od interne, le esterne sono detti BASTIONI) Anche il piazzamento di questi firewalls e' una cosa molto importante , e' facile dire da un mondo interno ad uno esterno, ma in grosse aziende e' utile tante volte ISOLARE I DOMINI in termini di sicurezza e quindi di MODULARIZZARE a livello ingegneristico la rete di casa nostra individuando le varie aree di impiego .Le ragioni di questo fatto sono che gli impiegati stessi possono essere abilitati o meno a certi dati .Noi potremo quindi vederci i nostri firewalls come grossi DIODI o DIGHE che isolano i dati come piu' lo preferiamo.

Andiamo con le prime classificazioni:

Un firewall e' suddiviso come

a) Packet Filtering .

Poco costoso e facile da reperire e' semplicemente il NOSTRO ROUTER e il suo software ..(NB le aziende dovrebbero averne uno) Il nostro installatore dovra quindi per esempio avere una lista dei siti autorizzati o meno , ma non solo saremo in grado di definire se dal sito pippo.pluto.it vogliamo ricevere soltanto mail.Configurare un Packet Filtering possiamo dire che e' una operazione di 3 passi

1) DECISIONI su cio' e non cio' che e' permesso .

2) definire tipi ammessi di dati in termini di operazioni logiche

3) Riscivere queste regole nel tuo sistema operativo .

esempio .porta 25 SENDMAIL dalla rete a SOLO il tuo Gateway

Azione NostroHost porta lorohost porta commento

-------- ----- ------ ----- ----- ----

block - - CATTIVI - Non li vogliamo

allow Nostro-gw 25 - - connessione al SMTP

Pacchetti non esplicitamente espressi da una regola precedente sono

bloccati automaticamente ( BELLO!!!!! :-) )

La filosofia di base e' questa :

QUELLO CHE NON E' ESPRESSO NON E' PERMESSO.

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

ancora meglio sarebbe permettere chiamate uscenti alla porta 25

action source port dest port flags commento

allow Noi - - 25 collegamento noi-loro SMTP

allow - 25 - - ACK loro risposta

Supponiamo l'FTP

action source port dest port flags commento

allow noi per uscire

allow ack per risposta

allow >1024 traffico non FTP

Supponiamo ora di filtrare sessioni X11

Dovremo sapere tutti che per x abbiamo bisogno di un server al quale x11 si connette via TCP , e che inoltre certe applicazioni devono poter essere pilotate dall' esterno.In questo caso consigliamo di bloccare tutte le chiamate in ingresso sulle porte 6000-6100 almeno ( dipende dal numero di utenti ) .

b) Application level gateways

Usato in unione agli altri 2 come protezione aggiuntiva minimale per esempio nel caso dell' X11 visto sopra ..Svantaggio / Vantaggio e' che e' molto generale e che quindi se noi useremo programmi molto particolari non serve a molto.E' come se avesse gia' un DB di liste come le precedenti a seconda di cio' che ho lanciato nel mio sistema.

c) Circuit level Gateways

(Il migliore per chiamate in uscita) controlla solamente connessioni TCP .Il chiamante chiama una porta del gateway con TCP che lo connette con qualche cosa all' infuori della rete . Durante la connessione il GW registra tutte le azioni commesse dal malcapitato ( caso mia univ.) .Funziona come se fosse un filo . La connessione puo' essere automatica e espressa direttamente dall' utente (In questo caso il GW si chiama PROXY). Non e' necessario loggare tutto cio ' che esce ma basterebbe gia'il numero di bytes e la destinazione per una ottima loggatura . Greppando su un utente o su siti si scopre che cosa ha combinato il CONTROLLATO .:-)

Naturalmente potremo dire il tempo di connessione ( cosa che da noi non fanno) e una lista di utenti abilitati all' accesso dall' esterno .

Cosa non possono fare i Firewalls

Anche loro hanno delle limitazioni come tutti del resto .Per esempio sono completamente indifesi agli attacchi su porta alta come puo' essere il peeking .ma se il GW rifiuta connesioni X11 siamo a posto . Anche una corretta manutenzione del nostro gateway e' importante .se ce ne freghiamo della sicurezza dei nostri programmi tali che possono essere Sendmail Telnetd etc etc non montiamoci un firewall e' un aiuto ma non e' la soluzione ;e' un programma anch'esso come tutti gli altri e quindi baggato come tutti gli altri.Comunque per un attacco medio della stragrande maggioranza dei Lamahs e' ben piu' che sufficiente ..