1. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Analisi ed implementazione della sicurezza
perimetrale aziendale tramite l’utilizzo di
componenti del sistema operativo Linux
Azienda ospitante: Sanmarco Informatica S.p.A
Universit`a degli studi di Padova
Dipartimento di Matematica
Corso di Laurea in Informatica
Laureando: Stefano Campese
Matricola: 616963
Relatore: Prof. Claudio Enrico Palazzi
Anno Accademico: 2013/2014
1 / 15
2. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Descrizione del progetto
Il progetto consiste nella creazione di firewall mediante alcuni
moduli del kernel del sistema operativo Linux, che permettono
l’intercettazione e la manipolazione dei pacchetti in transito
nella rete.
L’obiettivo del progetto dunque, `e quello di creare firewall
basati sul filtraggio dei pacchetti tramite utilizzo di:
NetFilter
IPtables
Squid
2 / 15
3. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Caratteristiche
In genere, il firewall dovr`a saper svolgere diversi compiti, come
ad esempio:
Separare la rete LAN dalla rete WAN
Separare eventuali zone DMZ dalla LAN
Supporto per connessioni VPN
Possibilit`a di funzione proxy
Possibilit`a di funzione antispam
Filtraggio connessioni in uscita o entrata
Filtraggio connessioni in base agli indirizzi IP
Filtraggio connessioni in base alle porte di comunicazione
Filtraggio connessioni in base al protocollo di
comunicazione
Filtrare connessioni in base alle applicazioni che generano
i pacchetti
3 / 15
4. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Strumenti & Tecnologie utilizzate
Gli strumenti e le tecnologie utilizzate sono state le seguenti:
utilizzo del protocollo TCP/IP
utilizzo di IPtables
utilizzo di Squid
utilizzo software di monitoraggio
IFtop
Htop
IPtraf
utilizzo di L7-Filter
utilizzo del sistema operativo Voyage Linux
4 / 15
9. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Esempio regole
IPtables e regole
IPtables con
L7-Filter
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Implementazione regole IPtables
L’implementazione delle regole viene fatta a blocchi, ogni
blocco ha la propria funzione:
regole per l’assegnazione degli indirizzi IP alle interfacce
regole di caricamento moduli del kernel
regole di NAT
regole di filtraggio SMB Windows
regole per i nodi connessi al firewall
regole di input/output del firewall
regole di filtraggio a livello applicativo con L7-Filter
9 / 15
11. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Esempio direttive
Squid
Verifica e
Validazione
Conclusioni
Implementazione proxy Squid
L’implementazione di un proxy Squid avviene mediante
l’utilizzo di direttive o regole scritte nel file di configurazione.
Le direttive si divino in tre gruppi:
direttive generali
direttive ACL
direttive ACL di accesso al proxy
ACL: Access Control List o lista di controllo di accesso
11 / 15
13. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Verifica
Verifica delle regole tramite analisi dinamica, per testare le
regole `e necessario avviare moduli, programmi e servizi.
Per verificare regole e direttive `e necessario:
osservare i contatori per le regole IPtables
osservare i contatori per le regole IPtables con L7-Filter
osservare i permessi per la navigazione sul web (proxy)
osservare i permessi per l’accesso al proxy
I test sono stati eseguiti ad ogni installazione di un firewall.
13 / 15
14. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Validazione
14 / 15
Un firewall si considera validato solo quando tutte le regole e le
direttive utilizzate superano i test.
Il superamento dei test avviene solamente quando le regole
aumentano i contatori, segnalando il passaggio di pacchetti.
Figura 1 : Esempio di test
15. Descrizione del
progetto
Caratteristiche
Strumenti &
Tecnologie
utilizzate
Progettazione
Implementazione
regole IPtables
Implementazione
proxy Squid
Verifica e
Validazione
Conclusioni
Conclusioni
Durante lo stage sono stati implementati numerosi dispositivi
firewall che permettono di aumentare esponenzialmente la
sicurezza della rete aziendale dei clienti dell’azienda.
Tutti i firewall attualmente sono in funzione e possono essere
gestiti da remoto, tramite tunnel SSH, nel caso di future
manutenzioni, modifiche e o aggiornamenti.
Gli obiettivi obbligatori posti all’inizio del periodo di stage
sono stati tutti pienamente raggiunti.
15 / 15