Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall"

Transcript

1 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall Ing. Stefano Zanero

2 Indice L apertura delle reti ad Internet e i rischi Firewall: funzioni Tipologie principali di firewall Architettura a due livelli

3 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Rischi sulla rete Da chi, e da cosa, ci difendiamo?

4 Un piccolo esperimento Linea ADSL connessa ad Internet, e connessa ad un hub con un IDS Win95 Win98 Internet Linux 2.2

5 I risultati? Primo attacco dopo meno di 10 minuti di connessione Sequenza di port scan, ma questo è il meno Tentativi ripetuti di connessione alla porta 23/TELNET, 25/SMTP, 110/POP3, 80/HTTP ICMP flood, ICMP redirect, tentativi di ARP Spoofing Principalmente attacchi da parte di script kiddies (chiaramente, nessun reale valore sulla rete) In totale 12 attacchi nelle prime 24 ore, e 38 attacchi in 5 giorni E stiamo parlando di una rete finta senza nessuna attrattiva!!!

6 Alcuni dei possibili tipi di attacco Attacchi DOS (Denial of Service) Rendere indisponibile un sistema: Flooding e DDOS (Distributed DOS) intasandone completamente le risorse, oppure DOS mirato a un servizio critico facendo crollare uno specifico servizio Penetrazione nel sistema (root) Acquisizione di privilegi non consentiti, e quindi Sottrazione di informazioni Piani industriali, brevetti alto valore! Utilizzo improprio del sistema Distribuzione materiale illegale, attacchi verso terzi Attacchi a livello di rete: sniffing, spoofing Infezioni da parte di virus Danni devastanti ogni anno per perdita di dati

7 Flusso di richieste dati false Come funziona un DOS? Denial of Service mediante flood: Comunicazione impossibile! legittima Client legittimo INTERNET Server aziendale Attacker

8 Variante: un DDOS Nel caso di un Distributed DOS (caso Yahoo!): Comunicazione impossibile! legittima Client legittimo INTERNET Richieste fasulle Yahoo! Comando di colpire Attacker Complici involontari

9 Sicurezza UNIX (1) Sistema progettato per ambienti multi-utente Dotato di meccanismi di autenticazione degli utenti (login) Accesso alle risorse e privilegi controllati a livello del sistema operativo Pensato per l utilizzo da remoto (servizi di rete) L identificazione degli utenti è fornita da LOGIN e PASSWORD Ogni utente appartiene a uno o più GRUPPI Ogni file e ogni dispositivo (connessioni, periferiche, ecc.) ha un insieme di permessi che ne regolano l uso da parte dell utente owner, da parte del gruppo owner, e da parte di chiunque altro: drwxr-xr-- user group file Questo per esempio significa che l utente user può leggere, scrivere ed eseguire il file, il gruppo group può leggere ed eseguire il file, e chiunque può leggere il file

10 Sicurezza UNIX (2) Un primo livello di sicurezza consiste nel garantire che chi accede al sistema sia riconoscibile Un secondo livello di sicurezza consiste nel garantire che possa accedere solo a file che gli sono permessi Unica eccezione l utente root che per definizione non rispetta nessun permesso. I demoni, o programmi residenti che offrono servizi di rete, rispettano anche loro queste restrizioni, in base ai privilegi degli utenti con cui vengono eseguiti (SUID: Saved User ID) Alcuni demoni devono essere eseguiti SUID root per una serie di motivi

11 Tipico meccanismo di exploit L idea che gli hacker provino a indovinare le password non è del tutto falsa, ma sicuramente è molto ingenua Non è possibile accedere al sistema se non fornendo login e password. Ma è vero? Ricordiamoci che i demoni offrono servizi di rete, a volte anche ad utenti non autenticati. Ricordiamoci che i demoni usano per le restrizioni il SUID, che a volte è root. Quindi un demone può avere un accesso non ristretto al sistema. Se si riesce a imbrogliare un demone e a fargli eseguire comandi al posto nostro, possiamo sfruttare il suo SUID e violare le restrizioni d accesso. Questo è il tipico meccanismo degli EXPLOIT

12 Difendersi dagli exploit Utilizzare solo software conosciuto e studiato a fondo Seguire le best practice durante l installazione Open source vs. close source: la relativa certezza dell analisi vs. la security through obscurity Le vulnerabilità vengono scoperte costantemente: il software deve essere aggiornato Qualsiasi sistema in rete è per definizione vulnerabile e deve essere costantemente controllato per segni di effrazione!

13 Sniffing Normalmente, una scheda di rete passa al sistema operativo solo il traffico destinato al singolo host Fare sniffing significa mettere la scheda di rete in modalità promiscua, facendo sì che capti tuttoiltrafficosulcavo Parziale soluzione: usare uno switch al posto di un hub Lo switch manda sul cavo solo il traffico destinato al singolo host DSniff: ARP spoofing MAC flooding Sniffing selettivo

14 Arpspoofing dsniff-2.3]#./arpspoof :4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>test is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>arp -d is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>ping -n is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply Pinging with 32 bytes of data: is-at 0:4:4e:f2:d8:1 Reply from : bytes=32 time<10ms TTL=255 C:\>arp -a Interface: on Interface 2 Internet Address Physical Address Type e-f2-d8-01 dynamic dynamic C:\>arp -a Interface: on Interface 2 Internet Address Physical Address Type dynamic dynamic

15 MAC Flooding dsniff-2.3]#./macof > TCP D=55934 S=322 Syn Seq= Len=0 Win= > TCP D=44686 S=42409 Syn Seq= Len=0 Win= > TCP D=59038 S=21289 Syn Seq= Len=0 Win > TCP D=7519 S=34044 Syn Seq= Len=0 Win > TCP D=62807 S=53618 Syn Seq= Len=0 Win > TCP D=23929 S=51034 Syn Seq= Len=0 Wi > TCP D=1478 S=56820 Syn Seq= Len=0 Win= > TCP D=38433 S=31784 Syn Seq= Len=0 Win > TCP D=42232 S=31424 Syn Seq= Len=0 Win= > TCP D=56224 S=34492 Syn Seq= Len=0 Win= > TCP D=23840 S=45783 Syn Seq= Len= > TCP D=3453 S=4112 Syn Seq= Len=0 Win= > TCP D=12959 S=42911 Syn Seq= Len=0 W > TCP D=33377 S=31735 Syn Seq= Len=0 Win= > TCP D=26975 S=57485 Syn Seq= Len=0 Wi > TCP D=23135 S=55908 Syn Seq= Len=0 Wi > TCP D=54512 S=25534 Syn Seq= Len=0 Win= > TCP D=61311 S=43891 Syn Seq= Len=0 Win > TCP D=25959 S=956 Syn Seq= Len=0 Win= > TCP D=33931 S=1893 Syn Seq= Len=0 Win= > TCP D=43954 S=49355 Syn Seq= Len=0 Win > TCP D=61408 S=26921 Syn Seq= Len=0 Win= > TCP D=61968 S=53055 Syn Seq= Len=0 Win=512

16 Il riempimento della CAM table Dsniff (macof) può generare 155,000 entry sulle tabelle dei MAC address dello switch in un minuto Per come sono fatte le tabelle dei MAC address su uno switch, tipicamente possono contenere 128k indirizzi MAC (prova sperimentale: si riempie in circa 70 secondi) Quando viene riempita, le cached ARP response non funzionano più e lo switch deve inoltrare il traffico su TUTTA la rete, come un hub! > (broadcast) ARP C Who is , ? > (broadcast) ARP C Who is , ? > ICMP Echo request (ID: 256 Sequence number: 7424) OOPS > ICMP Echo reply (ID: 256 Sequence number: 7424) OOPS

17 Riferimenti web (in inglese)

18 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall: cos è e a cosa serve?

19 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico in transito Consente o nega il passaggio del traffico basandosi su una security policy Le sue funzioni: Verifica dei pacchetti in transito Mascheramento di indirizzi interni Blocco dei pacchetti pericolosi Come?

20 Il firewall come enforcement point reti esterne insicure altre reti Firewall Internet UNICO PUNTO DI CONTATTO rete privata sicura rete aziendale server stampante database client

21 Il firewall è un bastion host Application Space Kernel Space Hardened Unix/NT

22 Il firewall e il suo limite Il firewall controlla tutto e solo il traffico che lo attraversa In caso di intrusioni dall interno il firewall è impotente, in quanto il traffico non lo attraversa Se il traffico arriva su internet tramite un percorso non controllato (esempio: utente connesso via modem ) non c è modo per il firewall di controllarlo Il firewall è una macchina. Come tale, potrebbe essere violata. Deve essere la macchina meglio protetta e configurata della rete!

23 Policy di sicurezza Il firewall è un applicatore di regole, ed è valido solo quanto le regole che vengono configurate! Prima di configurare il firewall, serve una specifica ad alto livello della policy (politica) di sicurezza per la Intranet Policy di default deny : tutto viene bloccato, tranne ciò che è autorizzato Vedremo in seguito dei casi su come configurare i firewall per alcune Intranet aziendali tipiche

24 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall: le tecnologie

25 Tassonomia dei tipi di firewall Firewall che operano a network layer Packet Filtering Stateful Packet Filtering (tra network e transport) Firewall che operano ad application layer Circuit level firewalls (tra transport ed application) Application proxy firewalls

26 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall a livello di rete Packet filter Stateful firewall

27 Packet Filter Filtra i pacchetti soltanto sulla base delle informazioni nell header Indirizzo sorgente, indirizzo destinazione Porta sorgente, porta destinazione Tipo di protocollo Opzioni di protocollo Non si può tracciare la correlazione tra pacchetti in una trasmissione Non si possono nemmeno esaminare problemi a livello più alto ACL

28 Basandosi Cosasugli possiamo indirizzi, fare si possono con queste chiudere regole o? aprire il traffico da determinate sorgenti e verso determinate destinazioni Basandosi sui numeri di porta posso bloccare o permettere servizi noti Posso bloccare un protocollo Combinazioni dei precedenti Es.: se un pacchetto arriva sull interfaccia esterna ed ha un mittente della rete interna lo posso bloccare (spoofing) Es.: se un pacchetto arriva dalla rete del mio partner lo lascio accedere: pericoloso!

29 Screening Router Un packet filter gestisce solo le informazioni contenute nell header di network layer Le stesse informazioni sono tipicamente gestite da un ROUTER Funzione: instradare i pacchetti Posso fargli fare entrambe le cose Possibile problema di prestazioni Workstation Internet Internal Network Server screening router Desktop computer Workstation

30 Stateful (Dynamic) Packet Filtering Il tipo di regole è molto simile al precedente: sorgente, destinazione, porta, protocollo Si aggiunge lo stato, riproduzione della macchina a stati del TCP Es. A un pacchetto SYN deve corrispondere un SYN-ACK con determinati valori, qualsiasi altra risposta va scartata Se un pacchetto è una risposta legittima a una connessione già autorizzata, può passare Migliore espressività Deve tenere traccia delle connessioni: Possibili problemi di memoria Possibili problemi di performance

31 Stateful Packet Filtering: altri benefici Mediante questi algoritmi, i pacchetti di risposta dall esterno vengono autorizzati solo se inseriti in una comunicazione cominciata dall interno (default deny su tutto, ottimo!) Ispezione avanzata, che può ricostruire intere sessioni HTTP e FTP possono essere ricostruiti Application content filtering Posso decidere di bloccare, p.es., tutti i contenuti ActiveX nelle connessioni HTTP Può fare autenticazione sugli utenti interni (raro) Può fare accounting sulle connessioni Network Address Translation (NAT) Per nascondere gli indirizzi interni

32 Deframmentazione e options Pacchetti IP più grandi della MTU vengono frammentati Gli aggressori spesso usano la frammentazione per nascondere le loro intenzioni o per provocare errori IP fragment protection I pacchetti ICMP vengono deframmentati e analizzati (evita il large ICMP overflow) Deframmenta i pacchetti per controllarli Può aiutare a migliorare le performance Pacchetti con IP options devono essere sanitizzati o scartati Es. Source routing, ICMP redirection, ecc.

33 Gestione delle sessioni Chiamiamo sessione una transazione di scambio di dati tra due host su Internet Abbiamo due protocolli TCP (Transmission Control Protocol) UDP (User Datagram Protocol) TCP ha il concetto di connessione, UDP no, ma entrambi vengono usati per compiere delle sessioni! TCP, l abbiamo già visto, è connection-oriented, reliable, robusto Numeri di sequenza e di acknowledge Macchina a stati ben definita (open connection, data flow, retransmit, close connection) Meccanismo, implicito o esplicito, per gestire la congestione

34 Inizializzazione di sessione TCP con NAT DNS Lookup # Ack Flag Rete Interna Source Addr Destination Addr Source Port 1026 Destination Port 23 Initial Sequence # Syn Controlla se già esiste uno slot NAT. Se no, ne crea uno, dopo aver verificato impostazioni di NAT, regole, controlli, ACL, autenticazione, ecc. Firewall SPF Controlli effettuati: (Src IP, Src Port, Dest IP, Dest Port) Sequence number Effettua la NAT translation Internet Syn # TCP Header IP Header Syn-Ack Se il codice non fosse SYN-ACK il pacchetto verrebbe scartato Syn-Ack

35 La connessione continua Rete privata Internet Check for: (Src IP, Src Port, 1026 Dest IP, Dest Port) 23 check Sequence number check # 5 Ack Translation check Ack Flags check State check Data Flows Firewall SPF TCP Header IP Header

36 E nel caso di UDP? Protocollo privo di connessioni Efficiente, viene usato da vari servizi Servizi di rete: DNS Servizi dove le performance servono: VoIP H.323, streaming video Non si può chiudere a priori, ma difficile da rendere sicuro Esiste comunque il concetto di sessione, e si può usare per NAT e controlli

37 UDP e NAT intelligente Rete Privata Source Addr Destination Addr Source Port 1028 Come prima, il firewall cerca se esiste un nat slot, se no controlla i permessi e la configurazione e poi ne crea uno appropriato Internet Destination Port SPF Firewall # 4 Si considera una risposta un pacchetto che giunge dal destinatario entro un timeout configurabile (es. 2 minuti) UDP Header IP Header Controlli: (Src IP, Src Port, Dest IP, Dest Port ) Translation

38 Port Address Translation Condivisione di un singolo IP NAPT or PAT Se possibile, PAT usa la stessa porta. Altrimenti, cerca la prima porta disponibile nello stesso gruppo (0-511, , o ). Se non ne trova, prova a usare un altro IP, fino a esaurimento di porte e IP

39 Ispezione a application layer: FTP Nel caso di alcuni protocolli è necessaria una ispezione a livello applicativo dei contenuti Ad esempio, nel caso dell FTP, è necessaria per Preparare le connessioni dinamiche secondarie Tracciare le risposte ai comandi FTP Generare dati di log Effettuare conversioni con il NAT all interno del protocollo Preparazione delle connessioni dinamiche FTP usa canali secondari dinamici per le connessioni Vengono allocati per: Upload di file Download di file Comandi DIR, LS e simili

40 FTP in modalità standard Due canali Canale comandi inizializzato dal client Server Client Canale dati inizializzato dal server Connessioni outbound (client dietro il firewall) Devo poter effettuare la connessione outbound verso la porta 21 Devo aprire una porta temporanea inbound per la connessione dati Se uso NAT: il dispositivo NAT deve riconoscere il contenuto della connessione e aprire la porta Data port 20 Command port 21 Port 2010 Command port 2008 Data port 2010 Connessioni inbound (server dietro al firewall) Deve essere abilitata la porta 21 sempre Port 2010 OK Data Se al server è consentito iniziare connessioni, nessun altra regola Altrimenti, devo aprire una regola temporanea per la connessione outbound

41 FTP Server in modalità passiva Server Client Due canali, sia comandi sia dati, iniziati ENTRAMBI dal client Connessione outbound (client dietro il firewall) Se le connessioni verso l esterno sono consentite, tutto ok Altrimenti, deve venire aperta una porta per entrambe le connessioni verso l esterno Connessione inbound (server dietro il firewall) Deve venire aperta una porta temporanea Data port 1490 Command port 21 Passive? Passive OK Port 1490 Data Command port 2008 Data port 2010

42 RealNetworks RDT Mode Server Client Tre canali! Control connection (TCP) UDP data (UDP) UDP resend (UDP) Connessione outbound (client dietro al firewall) Se il traffico outbound è consentito, devo solo aprire la porta per UDP data Altrimenti devo anche aprire la porta per UDP resend e TCP control temporanee Connessione inbound (server dietro al firewall) Se il traffico outbound è consentito, deve essere aperta la porta per TCP control e una porta temporanea per UDP resend Se no, devo aprire anche una porta temporanea per UDP data TCP: Control Setup transport= x-real-rdt/udp client_port = 3057 server_port = 5000 UDP: Data UDP: Resend

43 Ispezione ad application layer FTP (2) Controlla la sequenza di comandi FTP sulla control connection, per evidenziare comportamenti anomali: Comandi troncati Comandi che terminano inaspettatamente Spoofing di risposte/comandi Editing del TCP stream Scambi di porte non valide Uso della pipeline nei comandi Generazione di log Generazione di un record di tutti i file trasferiti Registrazione dei motivi per cui l attivazione del canale secondario è fallita NAT dell indirizzo IP contenuto nell applicazione Il comando PORT contiene indirizzi IP che devono essere tradotti Application Inspection + NAT abilitano questo

44 Vantaggi di firewall packet filter Più veloci ed efficienti delle altre tecnologie Versatili e adattabili Possono supportare praticamente qualsiasi protocollo in modo trasparente Possono consentire l ispezione ad application layer Il loro livello di sicurezza, se ben configurati, è perfettamente equivalente a quello di tecnologie ad application layer

45 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall su Application Layer Circuit Firewall Application e Proxy Firewall

46 Circuit Firewall Fa un relay delle connessioni TCP Client si connette a una porta TCP del gateway, che si connette all indirizzo e alla porta del server In generale non c è ispezione del payload del traffico Creando per conto del client il circuito virtuale, controlla la connessione Legittimità dell handshake Non forwarda dati fino alla chiusura del 3-way handshake Controlla i pacchetti, che possono essere solo: Connection request, oppure Pacchetti che appartengono a connessione già attiva

47 Circuit Firewall Application Space Kernel Space?

48 Come funziona? Il firewall gestisce una tabella di connessioni valide, con: L indirizzo sorgente della connessione L indirizzo destinazione della connessione Lo stato della connessione: handshake, established, o closing I numeri di sequenza (ACK) L interfacciafisicadacui i pacchettientrano L interfaccia fisica da cui i pacchetti escono I dati vengono fatti passare se combaciano con una delle entry nella virtual circuit table Quando una connessione termina, viene rimossa la entry

49 RichiedeSOCKS: che vengano un esempio modificate Circuit le applicazioni Firewall (potreste aver visto le impostazioni) Sostituisce le richieste socket di libreria con delle chiamate simili Socket, connect, bind, etc. Le chiamate modificate si collegano col SOCKS firewall per effettuare le connessioni virtuali Può gestire TCP ma anche UDP e ICMP Non consente di lavorare a livello IP

50 Pro e contro dei Circuit Firewall Inizialmente limitati a TCP, possono essere estesi Spesso richiedono di modificare le applicazioni! Non validano payload e protocolli applicativi, possono essere molto veloci e performanti Tipicamente non fanno content inspection Niente URL filtering Non gestiscono autenticazione

51 Application Proxy Firewall Controlla che i dati siano validi anche a livello del protocollo applicativo Valida il protocollo in sé Valida oggetti con requisiti di sicurezza all interno del layer applicativo (per esempio password e richieste di servizi) Spesso non è del tutto trasparente all utente e/o alle applicazioni Richiede qualche modifica alle applicazioni, a parte eccezioni Richiede servizi proxy specifici per ogni protocollo applicativo Può effettuare autenticazione degli utenti e applicare politiche specifiche Viene spesso integrato con varie funzioni di filtraggio dei contenuti

52 Application proxy Packet Flow? Application Proxy Service Application Space Kernel Space

53 I proxy per la sicurezza I proxy presentano agli utenti un sottoinsieme ridotto e sanitizzato dei servizi offerti dal server Possono essere usati sia per difendere gli utenti interni che accedono a server esterni, che per difendere i server dall accesso di utenti esterni ( reverse proxy ) Serve un proxy diverso per ogni protocollo Solitamente vengono implementati su server che usano sistemi operativi general purpose, non su hw/sw dedicati Le performance non sono ottimali, il flusso applicativo viene ricostruito due volte Sono, di per sé, molto sicuri, ma essendo installati su un sistema generico possono essere vulnerabili agli stessi attacchi che affliggono quel sistema operativo

54 Un esempio di proxy HTTP DNS Lookup Public Network GET /index.html GET Proxy Client Application Protocol Analysis Proxy Server HTTP: Hypertext Transfer Protocol HTTP: HTTP: Line 1: HTTP/ Found HTTP: Line 2: Server: Netscape- Enterprise/2.01 HTTP: Line 3: Date: Tue, 08 May :52:20 GMT

55 Reverse proxy che difende un servizio external.foobar.com User Request to gw Server ftp gw.foobar.com Gatekeeper Router Authentication by gw Server Data Transfer gw.foobar.com DNS lookup Internal.foobar.com Re-routing to Application Server internal.foobar.com

56 FTP attraverso un server proxy <external.user: 63> ftp gw.foobar.com Connected to gw.foobar.com gw.foobar.com FTP server ready. After logging in, use site machine to connect to the desired machine. 220 Time is 1992/07/24 16:48:21 GMT Name (gw:user): user 331 Password required for user. Password: password_on_the_gatekeeper_server 230 User user logged in. Please select your host. Remote system type is UNIX. ftp> site internal.foobar.com 220 internal FTP server (NCC-1701) ready. ftp> user user 331 Password required for user. Password: password_on_internal 230 Welcome on this ftp server : user. ftp>

57 Telnet attraverso un server proxy <externalhost.user: 63> telnet gw.foobar.com Trying... Connected to gw.foobar.com. Escape character is ˆ]. Gw.foobar.com login: user Password: password_on_the_gatekeeper_server Host: internalhost.foobar.com Access authorized UNIX(r) System V Release 4.0 (itesec) login: user Password: password_on_the_final_station UNIX System V Release 4.0 AT&T NEWS3400 internalhost Copyright (c) 1984, 1986, 1987, 1988 AT&T All Rights Reserved Last login: Mon Jul 13 11:56:28 from someplace.foobar.com <internalhost.user: 346>

58 Vulnerabilità dei proxy Gran parte dei firewall ad application layer si basano fortemente sul sistema operativo: uso di NDIS, TCP/IP, WinSock, Win32 sotto Windows, uso delle librerie di sistema sotto Linux; uso delle librerie standard C e/o C++ Un bug in una delle librerie condivise può influire sul comportamento del proxy! Inoltre, i proxy tipicamente non si occupano dei contenuti degli header a livello più basso, i.e. di fronte a un proxy probabilmente è meglio disporre un packet filter Si può impostare il packet filter in modo da accettare le connessioni solo se originate dal proxy

59 Proxy e packet filter in cascata Internet Packet Filter internal network proxy Proxy Workstation Server Desktop computer Workstation

60 VantaggiProxy Firewall: vantaggi e svantaggi Logging Caching Autenticazione e autorizzazione Politiche basate su utenti/gruppi di utenti Mascheramento della struttura della rete (come NAT) Filtraggio su contenuti, su URL, ecc. Protezione per applicativi deboli Svantaggi Scalabilità problematica Servizi nuovi richiedono proxy nuovi Servizi custom richiedono proxy custom Modifiche sul client per il supporto

61 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Architettura a due zone

62 Accesso alla LAN da Internet Nella maggioranza dei casi, le intranet aziendali presuppongono che la maggior parte degli utenti sia collocata all interno del firewall aziendale, e che quasi nessuna connessione giunga dall esterno Due problemi violano questo principio Utenti remoti che vogliono accedere a servizi pubblici dell azienda (web, FTP, invio di posta ) utenti remoti vogliono accedere alla rete aziendale attraverso Internet o una rete non sicura Esistono delle soluzioni per ciascuno dei problemi Architettura a due livelli della rete Reti private virtuali (VPN)

63 Struttura di una rete aziendale pre-internet RAS (Remote Access Service) Server Interni Utenti interni Utenti mobili (con modem) Esterno Datacenter server, DBMS, supercalcolatori, Periferiche di rete Interno (stampanti, )

64 Sicurezza prima di Internet Schema di sicurezza di una vecchia rete: Ciò che è interno è fidato Ciò che è esterno va autenticato RAS (Remote Access Service) Utenti mobili (con modem) Interno Esterno Autenticazione sui servizi RAS (Accesso Remoto), inizialmente con una semplice coppia login/password A volte a questo impianto basilare vengono aggiunti dei privilegi d accesso alle risorse, anche per gli utenti interni (già sui primi sistemi multiutente anni fa)

65 Osservazioni Nello scenario di rete che abbiamo presentato: I demoni offrono i loro servizi solo all interno, quindi solo ad utenti già autenticati A controllare l accesso dall esterno è un RAS, molto semplice e quindi difficile da imbrogliare I server di rete sono pochi e ben controllati Gli utenti sono ben addestrati all utilizzo del sistema UNIX Paradossalmente, le vecchie reti aziendali erano meno a rischio di quelle moderne! Bastava essere sicuri che nessuno potesse entrare via RAS con qualche password troppo banale Vi ricordate War Games (film)? Questi erano quei tempi eroici!

66 Con internet i problemi si complicano Al traffico precedente: interno per l interno dall esterno verso l interno (che viaggia ora attraverso Internet, non direttamente a un RAS) Si aggiungono: traffico dall interno verso l esterno (es. navigazione, mail degli utenti in lan) Traffico generato dai server societari: dall esterno verso i server (richiesta pagine web, mail in ingresso) Tra i server di front end e i server di back end (per es. ricerca dati sul DBMS) Il server web potrebbe avere zone riservate ai dipendenti (la intranet aziendale) e zone ad accesso libero

67 Osservazioni Per il traffico interno e i demoni sui server interni valgono le osservazioni fatte in precedenza! Attenzione però! L introduzione di piattaforme Windows e DOS nel lavoro di ufficio diminuisce la capacità tecnica degli utenti! Per il resto del traffico quelle quelle osservazioni non valgono: I demoni per definizione eseguono richieste di utenti non autenticati (pensate al demone del servizio web!) Gli accessi sono tanti e in continua crescita, sia per numero che per complessità L esigenza dell efficienza e dei tempi di servizio (time to serve / time to market) si fa sentire più che in una rete interna

68 Architettura di intranet a due zone Creazione di una rete semipubblica tra intranet e Internet (Zona Demilitarizzata, DMZ) Idea di base: gli utenti esterni possono accedere alla DMZ (limitatamente ai servizi disponibili). Le risorse interne restano nella zona privata e non sono accessibili. Nella DMZ si ospitano i server pubblici (sito Web, server FTP, DNS, mailserver in ingresso...) che non erogano applicazioni critiche per l azienda Si usano due firewall dual-homed (o due router) per dividere le zone. In alternativa, un singolo firewall a tre vie (o più) La zona demilitarizzata è una zona ad altissimo rischio. Le comunicazioni in arrivo dalla DMZ vanno considerate inaffidabili quanto quelle esterne.

69 Architettura a due zone intranet SMTP Server (intake) external Web server SMTP Server (outgoin g) internal Web server DB server... mobile users Ethernet 100 Mbps Ethernet 100 Mbps... trusted customers Internet External Firewall FTP server Internal Firewall HTTP proxy... internal users DMZ PRIVATE

70 Architettura a due zone (con firewall a tre vie) SMTP Server (intake) external Web server Ethernet 100 Mbps DMZ... mobile users... Internet Firewall a tre vie SMTP (outgoing) FTP server Int. Web server DB server trusted customers Ethernet 100 Mbps PRIVATE Proxy internal users

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall

Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall 05/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Esempi di attacchi ai protocolli di rete

Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Esempi di attacchi ai protocolli di rete Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Esempi di attacchi ai protocolli di rete Ing. Stefano Zanero - 22/03/2006 Alcuni dei possibili tipi di attacco (1) Attacchi DOS (Denial

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

I firewall. I firewall

I firewall. I firewall I firewall Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità Chiara Braghin Dalle news 1 Internet ISP Backbone ISP Routing locale e tra domini TCP/IP: routing, connessioni BGP (Border

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13 Elementi di Sicurezza e Privatezza Proteggere la rete: tecnologie Lez. 13 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa Un Internet firewall,

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014

PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014 Classe 5^ PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014 MODULI CONTENUTI OBIETTIVI METODOLOGIE DI LAVORO I primi elementi sulle reti e i mezzi di

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Dal protocollo IP ai livelli superiori

Dal protocollo IP ai livelli superiori Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Gestione delle Reti di Telecomunicazioni

Gestione delle Reti di Telecomunicazioni Università di Firenze Dipartimento di Elettronica e Telecomunicazioni Gestione delle Reti di Telecomunicazioni Virtual Private Networks Ing. Tommaso Pecorella Ing. Giada Mennuti {pecos,giada}@lenst.det.unifi.it

Dettagli

Reti di comunicazione

Reti di comunicazione Reti di comunicazione Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Comunicazione via rete Per effettuare qualsiasi

Dettagli

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32

Dettagli

Sicurezza degli Impianti Informatici

Sicurezza degli Impianti Informatici Corso di Sicurezza degli Impianti Informatici A.A. 2005-2006 2006 INTR-1 chi siamo Giuseppe Serazzi tel. 3535 - corsi.serazzi@elet.polimi.it Stefano Zanero tel. 4010 - zanero@elet.polimi.it Sito: www.elet.polimi.it/upload/serazzi/sicurezza

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14. Pietro Frasca. Parte II Lezione 1

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14. Pietro Frasca. Parte II Lezione 1 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II Lezione 1 Martedì 4-03-2014 1 TESTO DI RIFERIMENTO RETI DI CALCOLATORI

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web Tecnologie di Sviluppo per il Web Introduzione alle Reti di Calcolatori versione 1.0 del 11/03/2003 G. Mecca mecca@unibas.it Università della Basilicata Reti >> Sommario Sommario dei Concetti Elab. Client-Server

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it I Firewall Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@di.unipi.it Cos è un firewall Un firewall è un sistema, nel senso più ampio del termine, che ha lo scopo di controllare

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Problemi legati alla sicurezza e soluzioni

Problemi legati alla sicurezza e soluzioni Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Accesso remoto ad impianti domotici Problemi legati alla sicurezza e soluzioni Domotica

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

Attacchi e Contromisure

Attacchi e Contromisure Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2 Attacchi e Contromisure Sniffing Connection

Dettagli

Connessione di reti private ad Internet. Fulvio Risso

Connessione di reti private ad Internet. Fulvio Risso Connessione di reti private ad Internet Fulvio Risso 1 Connessione di reti private ad Internet Diffusione di reti IP private Utilizzo di indirizzi privati Gli indirizzi privati risolvono il problema dell

Dettagli

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport. ICMP Application Presentation Session Transport Telnet FTP SMTP SNMP TCP e UDP NFS XDR RPC Network Data Link Physical OSI ICMP ARP e RARP IP Non Specificati Protocolli di routing Internet Protocol Suite

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15. Pietro Frasca. Parte II Lezione 1

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15. Pietro Frasca. Parte II Lezione 1 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15 Parte II Lezione 1 Giovedì 5-03-2015 TESTO DI RIFERIMENTO RETI DI CALCOLATORI E INTERNET un

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

Gestione degli indirizzi

Gestione degli indirizzi Politecnico di Milano Advanced Network Technologies Laboratory Gestione degli indirizzi - Address Resolution Protocol (ARP) - Reverse Address Resolution Protocol (RARP) - Dynamic Host Configuration Protocol

Dettagli

Reti di calcolatori: Introduzione

Reti di calcolatori: Introduzione Reti di calcolatori: Introduzione Vittorio Maniezzo Università di Bologna Reti di computer e Internet Rete: sistema di collegamento di più computer mediante una singola tecnologia di trasmissione Internet:

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

Reti di Calcolatori. Master "Bio Info" Reti e Basi di Dati Lezione 2

Reti di Calcolatori. Master Bio Info Reti e Basi di Dati Lezione 2 Reti di Calcolatori Sommario Software di rete TCP/IP Livello Applicazione Http Livello Trasporto (TCP) Livello Rete (IP, Routing, ICMP) Livello di Collegamento (Data-Link) I Protocolli di comunicazione

Dettagli

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario.

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario. ICMP Internet Control Message Protocol Silvano GAI sgai[at]cisco.com Mario BALDI mario.baldi[at]polito.it http://staff.polito.it/mario.baldi Fulvio RISSO fulvio.risso[at]polito.it ICMP - 1 Copyright: si

Dettagli

Uso di ACL per la protezione di una rete

Uso di ACL per la protezione di una rete Uso di ACL per la protezione di una rete Claudio Telmon Dipertimento di Informatica Università di Pisa Claudio Telmon - ACL per la protezione-1 Raccolta di informazioni Raccolta

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

I protocolli UDP e TCP

I protocolli UDP e TCP I protocolli UDP e TCP A.A. 2005/2006 Walter Cerroni Il livello di trasporto in Internet APP. APP. TCP UDP IP collegamento logico tra diversi processi applicativi collegamento logico tra diversi host IP

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

Reti locali e architetture firewall

Reti locali e architetture firewall Reti locali e architetture firewall Gianni Bianchini giannibi@dii.unisi.it Master in Economia digitale & E-business Centro per lo studio dei sistemi complessi - Università di Siena Giugno 2004 (C) 2004

Dettagli

Reti e Linux. Andrea Bontempi. Corsi Linux 2012. POuL

Reti e Linux. Andrea Bontempi. Corsi Linux 2012. POuL POuL Corsi Linux 2012 Una breve introduzione: le reti Una rete di calcolatori è un mezzo fisico sul quale è possibile inviare e ricevere messaggi o flussi di dati. La prima rete a commutazione di pacchetto

Dettagli

Capitolo 1 - parte 1. Corso Reti ed Applicazioni Mauro Campanella

Capitolo 1 - parte 1. Corso Reti ed Applicazioni Mauro Campanella Capitolo 1 - parte 1 Corso Reti ed Applicazioni Mauro Campanella Precisazione Noi ci occuperemo solo della trasmissione di informazione in formato digitale. Un segnale analogico è basato su una variazione

Dettagli

Il Mondo delle Intranet

Il Mondo delle Intranet Politecnico di Milano Advanced Network Technologies Laboratory Il Mondo delle Intranet Network Address Translation (NAT) Virtual Private Networks (VPN) Reti Private e Intranet EG sottorete IG IG rete IG

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

Modulo 8 Ethernet Switching

Modulo 8 Ethernet Switching Modulo 8 Ethernet Switching 8.1 Ethernet Switching 8.1.1 Bridging a livello 2 Aumentando il numero di nodi su un singolo segmento aumenta la probabilità di avere collisioni e quindi ritrasmissioni. Una

Dettagli

vulnerabilità delle reti 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

vulnerabilità delle reti 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti vulnerabilità delle reti 1 reti e protocolli vulnerabili gran parte delle vulnerabilità delle reti sono in realtà vulnerabilità dei protocolli inserire la sicurezza in un protocollo significa costringere

Dettagli

Reti di Calcolatori. Il software

Reti di Calcolatori. Il software Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla

Dettagli

IL LIVELLO TRASPORTO Protocolli TCP e UDP

IL LIVELLO TRASPORTO Protocolli TCP e UDP Reti di Calcolatori ed Internet IL LIVELLO TRASPORTO Protocolli TCP e UDP 5-1 Il Livello Trasporto I servizi del livello Trasporto Le primitive di Trasporto Indirizzamento Protocolli di Trasporto Livello

Dettagli

Il protocollo IP (Internet Protocol)

Il protocollo IP (Internet Protocol) Politecnico di Milano Advanced Network Technologies Laboratory Il protocollo IP (Internet Protocol) -Servizi offerti da IP -Formato del pacchetto IP 1 Il servizio di comunicazione offerto da IP Connectionless

Dettagli

Attacchi - panoramica

Attacchi - panoramica Attacchi - panoramica Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@telmon.org Tecniche di attacco Più passaggi prima del destinatario (stepstones) Accesso da sistemi poco controllati

Dettagli

Gestione degli indirizzi

Gestione degli indirizzi Politecnico di Milano Facoltà di Ingegneria dell Informazione Gestione degli indirizzi -Address Resolution Protocol (ARP) -Reverse Address Resolution Protocol (RARP) -Dynamic Host Configuration Protocol

Dettagli