Advanced Policy Firewall (APF)

Descrizione:
Advanced Policy Firewall (APF) è un firewall basato su iptables (netfilter) disegnato intorno alle necessità essenziali dei moderni server Linux. La configurazione è studiata per essere estremamente informativa e facile da seguire. La gestione quotidiana è eseguita dalla riga di comando con l’ausilio del comando “apf”, che include informazioni dettagliate sull’utilizzo di tutte le funzionalità.

Il lato tecnico di APF è che sfrutta le ultime funzionalità stabili del progetto iptables (netfilter) per fornire un firewall estremamente potente e flessibile. Il tipo di filtraggio offerto da APF è suddivisibile in tre categorie:
1) Politiche basate su regole statiche (da non confondere con un “firewall statico”)
2) Politiche basate sullo stato delle connessioni
3) Politiche basate sulla “sanità”

Le prime, le politiche basate su regole statiche, sono il metodo più tradizionale di firewalling. Questo tipo di regole si usano per indicare quando il firewall è un insieme immutabile di istruzioni (regole) su come il traffico deve essere gestito in determinate condizioni. Un esempio di una politica basata su una regola statica è quando si consente / nega l’accesso al server da un particolare indirizzo IP o quando si apre una nuova porta con conf.apf. In pratica sono quindi regole che cambiano raramente o mai mentre il firewall è in esecuzione.

Le seconde, politiche basate sullo stato di connessione, sono un mezzo per distinguere i pacchetti legittimi per i diversi tipi di connessioni. Solo i pacchetti corrispondenti a una connessione nota potranno superare il firewall, altri saranno respinti. Un esempio di questo tipo di politiche è il trasferimenti di dati FTP; anni fa era necessario definire un insieme complesso di politiche statiche per consentire che i trasferimenti di dati FTP avvenissero senza problemi. Non è così con le politiche stateful, il firewall può vedere che un indirizzo ha stabilito una connessione alla porta 21 e poi è in grado di “relazionare” tale indirizzo alla porzione di trasferimento dati della connessione ed è quindi in grado di modificare dinamicamente il firewall per consentire il traffico.

Il terzo tipo, politiche di “sanità” (inteso come coerenza, come “non malignità o non pericolosità” dell’informazione in arrivo), indica la capacità del firewall di abbinare diversi modelli di traffico ai metodi di attacco conosciuti o controllare il traffico in conformità agli standard di Internet. Un esempio di questo tipo di controlli è quando un potenziale attaccante tenta di modificare l’indirizzo IP sorgente dei dati che sta inviando al tuo server; APF può semplicemente eliminare (DROP) questo traffico o, se desiderato, salvare le informazioni in un log e poi disfarsene (LOG-DROP). Un altro esempio potrebbe essere quando un router guasto (o compromesso) inizia a inviare pacchetti malformati; APF può semplicemente scartarli o, in altre situazioni, rispondere al router e fargli interrompere l’invio di nuovi pacchetti (TCP Reset).