Introduzione alle topologie facenti uso di uno o più bastion host

Sicurezza

Prima di mostrare la procedura relativa alla creazione di una rete Bastion Host con DMZ (nei prossimi interventi) vediamo quali sono le possibili topologie che garantiscono elevati livelli di sicurezza.

Dual Homed Host

 

95afb629e4086a10a1393e791fa7ecd9.gif

Nelle reti TCP/IP il termine multi-homed host indica un host che ha più di una scheda di rete, e normalmente ogni scheda di rete è collegata ad un segmento di rete differente.

Nel dual-homed host (due distinte schede di rete) la funzione di instradamento (routing function) può essere attivata oppure disattivata. Nel caso in cui si disattivi tale funzione, il dual-homed host effettua un vero e proprio isolamento tra i due segmenti di rete pur consentendo, ad utenti posti su reti distinte, di usufruire di una stessa applicazione posta sul dual-homed host stesso; se tale applicazione lo consente, le reti possono anche condividere dati, tutto ciò, senza che vi sia un effettivo interscambio di pacchetti tra rete esterna e rete interna.

Per non compromettere il livello di sicurezza instaurato dall’uso del dual-homed host non deve essere permesso a nessun utente di entrambe le reti di loggarsi direttamente col dual-homed host; questo perché tale host è il punto di connessione centrale tra la rete interna e quella esterna.

Comunque il più grande pericolo per la sicurezza di rete sorge quando un utente ottiene l’accesso diretto al dual-homed host, pertanto tale acceso deve avvenire solamente a seguito di una complessa operazione di autenticazione che può comportare anche l’uso di schede magnetiche. D’altra parte è anche importante rimuovere dal dual-homed host tutti i programmi, utilities e servizi che potrebbero essere danneggiati da un intruso ed inoltre è consigliato effettuare una serie di operazioni che tendono a migliorare il livello di sicurezza raggiunto, come ad esempio effettuare una partizione dell’hard disk, lasciare disponibili solamente i servizi strettamente necessari ecc. (hardening the system).

Screened Host 

299e762a9ff3f42f929b55a4732d7122.gif

L’architettura screened host viene realizzata mediante più componenti fisici. L’elemento principale dal punto di vista della protezione della rete privata è uno screening router, i servizi vengono forniti da un calcolatore (il bastion host) appartenente alla rete interna che svolge funzioni di application gateway. In questa architettura il bastion host ha una sola interfaccia di rete e la separazione della rete interna viene realizzata dal router, che filtra i pacchetti in maniera tale che solo il bastion host possa aprire connessioni con la rete esterna. Viceversa, tutti i sistemi esterni che desiderino collegarsi con la rete privata possono connettersi solo con il bastion host .

Screend Subnet 

047704de2f70c7f76d530cd21bca9b8f.gif

In alcune configurazioni di firewall una vera e propria rete isolata viene creata tra quella esterna e quella interna. Gli host appartenenti ad entrambe le reti possono accedervi ma non è ammesso alcun flusso diretto di dati tra la rete interna e quella esterna.

La rete isolata prende nome di Screened Subnet (o sottorete schermante) e spesso contiene al suo interno almeno due application-level gateway che svolgono la funzione di bastion host pur conservando l’accesso interattivo ai servizi resi condivisibili ad entrambe le reti. Dato che l’unico punto di accesso alla sottorete avviene tramite l’application-level gateway risulta molto difficoltoso da parte di un intruso bypassare l’intera sottorete, in quanto dovrebbe riconfigurare la stessa sottorete ed anche quella interna; tutto ciò eludendo la sorveglianza dei bastion host.

Bation Host con DMZ 

Un’altra configurazione realizzabile è quella che si ottiene ponendo dopo lo screening router un dual-homed host con entrambe le interfacce di rete configurate e collegate a due segmenti distinti di rete. Si viene cosi a creare una rete intermedia definita appunto zona demilitarizzata (DMZ) che, non contenedo alcun host al suo interno, può essere anche costituita fisicamente da una linea dedicata point-to-point adottando magari anche un protocollo a sé stante che aumenterebbe le difficoltà di penetrazione da parte di un intruso esterno. Un host può essere collegato, tuttavia, alla DMZ in modo promiscuo, cioè tale da permettergli di vedere tutti i pacchetti che fluiscono attraverso tale rete e non soltanto quelli indirizzati a se stesso svolgendo una funzione di controllo e monitoraggio delle connessioni esistenti.
Ma il più grande vantaggio di questa configurazione è che, anche se le tavole di filtraggio dello screening router vengono variate a piacimento da un intruso, il bastion host non viene bypassato trovandosi in serie al router ed a monte della rete da proteggere.

Ponendo due bastion host in serie con entrambe le interfacce di rete configurate e collegate a segmenti di rete distinti si ottengono due DMZs. La seconda può essere utilizzata come una rete ultra-privata, la quale risulta schermata sia da intrusi esterni che da operatori interni.

Un compromesso tra sicurezza e comunicabilità può essere fatto ponendo sulla prima DMZ un host contenente pubbliche informazioni ma che risulta così esposto più facilmente ad attacchi esterni.

Risulta ovvio, a questo punto, come le configurazioni possibili ed adatte ad un particolare caso siano praticamente infinite, per cui è inutile dilungarsi oltre in combinazioni di bastion host e screening router.

 

Introduzione alle topologie facenti uso di uno o più bastion hostultima modifica: 2008-05-03T11:53:00+02:00da nazarenolatella
Reposta per primo quest’articolo