Sicurezza negli apparati di rete Cisco IOS device security and best practices

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza negli apparati di rete Cisco IOS device security and best practices"

Transcript

1 Sicurezza negli apparati di rete Cisco IOS device security and best practices Udine, 27 aprile 2015 Ing. Mauro Pillon 1

2 Chi sono Laurea in ingegneria elettronica MBA Dal 1999 lavoro in ambito networking Varie certificazioni professionali di prodotto CCIE Routing & Switching Attualmente responsabile struttura Ingegneria IP di Insiel S.p.A. Competenze: Network design IP/MPLS WAN & LAN 2

3 RFC 3514 Network Working Group S. Bellovin Request for Comments: 3514 AT&T Labs Research Category: Informational 1 April 2003 The Security Flag in the IPv4 Header Abstract Firewalls, packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have malicious intent and those that are merely unusual.... To solve this problem, we define a security flag, known as the "evil" bit, in the IPv4[RFC791] header. Benign packets have this bit set to 0; those that are used for an attack will have the bit set to 1. 3

4 Introduzione Di cosa tratta questa lezione: Linee guida per la messa in sicurezza di apparati di rete, nello specifico apparati con sistema operativo Cisco IOS Pratico riferimento per la sicurezza di tali sistemi Primo livello di difesa della rete Best practices Sia IPv4 sia IPv6 Di cosa non tratta: Non tratta della sicurezza informatica in generale Non tratta di apparati specifici per la sicurezza di rete Non sono informazioni definitive. Le indicazioni saranno soggette a revisioni per seguire l evolversi della tecnologia e delle conoscenze sulle vulnerabilità dei sistemi 4

5 Perché apparti di rete di Cisco Systems? 70% del mercato mondiale dei router in ambito enterprise 60% del mercato mondiale di ethernet switch 40% del mercato mondiale dei router/switch in ambito service provider Documentazione e manualistica pubblicamente disponibile I corsi e le certificazioni Cisco sono quelli più diffusi e maggiormente riconosciuti dal mercato 5

6 Mercato mondiale enterprise router 6

7 Mercato mondiale Ethernet Switch 7

8 Mercato mondiale service provider router e switch 8

9 Cosa è un router? Un router è un dispositivo elettronico che, in una rete informatica a commutazione di pacchetto, si occupa di instradare i dati fra reti diverse. È quindi, a livello logico, un nodo interno di rete deputato alla commutazione di livello 3 del modello OSI o del livello internet nel modello TCP/IP. (A. S. Tanenbaum, Reti di calcolatori) 9

10 Ambiti di sicurezza degli apparati di rete 1. Sicurezza generale del dispositivo 2. Sicurezza del piano di gestione (Management Plane) 3. Sicurezza del piano di controllo (Control Plane) 4. Sicurezza del piano dati (Data Plane) Per ogni area sono considerate le azioni che si possono mettere in atto affinché il sistema sia protetto adeguatamente. 10

11 Piani operativi di un apparato di rete 11

12 Piani operativi di un apparato di rete Apparato di rete Management plane Control plane Data plane Gli apparati di rete hanno tre piani operativi. Gestione (management plane) Controllo plane) (control Forwarding o Dati (data plane) 12

13 Il piano di gestione Il Management plane gestisce il traffico proveniente da utenti o sistemi di gestione e destinato all'apparato stesso. 13

14 Alcuni protocolli del piano di gestione Simple Network Management Protocol (SNMP) Telnet Secure Shell Protocol (SSH) File Transfer Protocol (FTP) Trivial File Transfer Protocol (TFTP) Secure Copy Protocol (SCP) TACACS+ e Radius NetFlow Network Time Protocol (NTP) Syslog 14

15 Il piano di controllo Il Control Plane gestisce il traffico fondamentale per il funzionamento della rete e scambiato tra gli apparati di rete (es. protocolli di routing). 15

16 Alcuni protocolli del piano di controllo Gestione delle interfacce: Point to Point Protocol (PPP) Link Aggregation Control Protocol (LACP) Discovery: Cisco Discovery Protocol (CDP) Link Layer Discovery Protocol (LLDP) Controllo: Internet Control Message Protocol (ICMP) Routing: Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) 16

17 Il piano di forwarding Il Data Plane gestisce il traffico inoltrato dall'apparato di rete ma originato e destinato a dispositivi diversi dall'apparato stesso. 17

18 Alcune attività del piano di forwarding Attività proprie: Processamento di frame a livello di data link layer: estrazione e reinserimento del pacchetto IP Codifica/decodifica dell intestazione del pacchetto Look up dell indirizzo IP di destionazione Gestione interna del pacchetto tra le interfacce di ingresso e di uscita Servizi svolti al piano di controllo: Network Address Translation (NAT) ACL logging Segnalazione di errore (ICMP) 18

19 Flusso dei pacchetti in funzione del piano operativo 19

20 Sicurezza generale degli apparati 20

21 Sicurezza generale degli apparati - Obiettivi Gli obiettivi da perseguire con le attività relative alla sicurezza generale degli apparati sono: Garantire la disponibilità (availability) della rete. Impedire il controllo degli apparati agli attaccanti. 21

22 Sicurezza generale degli apparati Prerequisiti per poter incrementare la sicurezza: Stabilità: un sistema stabile è meno vulnerabile Semplicità: più facile riconoscere ed individuare anomalie, apportare migliorie Controllo: si conosce lo stato della rete Responsabilità: chi fa cosa, chi decide, chi interviene in caso di emergenza 22

23 Sicurezza generale degli apparati Scelta del software Gestione delle configurazioni Disabilitazione dei servizi inutili Stato/riservazione risorse di sistema Sicurezza nell accesso al dispositivo Piano di indirizzamento basato sui ruoli 23

24 Scelta del software Classificazione del software (dalla major release 15): ED (Early Deployment) nuove feature, supporto per nuovi apparati o moduli e bug fixing MD (Maintenance Deployment): le funzionalità implementate sono mature, forniscono solo bug fixing. DF (Deferred). Problemi noti, non utilizzare, non si possono scaricare Scegliere quella raccomandata o una MD Programma Safe Harbor: programma di testing estensivo Verificare sempre l integrità del software (MD5 checksum) Conservazione di una copia del software/configurazione di emergenza non cancellabili (IOS resilent configuration) Mantenere il software aggiornato (vulnerability patch) 24

25 Gestione delle configurazioni 70% dei disservizi di rete dovuti ad errori di configurazione Accesso esclusivo in modalità configurazione Configuration Change Notification and Logging Archiviazione automatica delle configurazioni (configuration repository) Utilizzo di un software di change and configuration management (NCCM) Definizione dei ruoli e del processo autorizzativo => Processo di change management! 25

26 Disattivazione servizi non necessari Alcuni servizi sono abilitati di default Escludere i servizi non necessari per il proprio ambiente perché: Potrebbero essere potenzialmente fruttati per attacchi Consumano inutilmente risorse Possono essere soggetti a software bug Rendono più complessa la configurazione 26

27 Servizi normalmente disabilitabili Directed Broadcast Finger, Ident HTTP Server IP BOOTP Server IP Source Routing Packet Assembler/Disassembler (PAD) e Maintenance Operations Protocol (MOP) Proxy ARP e IP redirect TCP and UDP Small Servers Cisco Discovery Protocol (CDP) Disabilitare sulle reti esterne NOTA: nelle ultime release sono quasi tutti disabilitati di default 27

28 Stato/riservazione risorse di sistema Per la stabilità del sistema è fondamentale monitorare le risorse e riservarle per garantire l accesso al dispositivo all amministratore Notifica delle soglie di occupazione di memoria (Memory Threshold Notification): genera un log quando la memoria libera di sistema è scesa sotto un soglia Notifica del carico del processore: rileva quando il carico di CPU supera una soglia mediante l'invio di trap SNMP Riservazione di memoria (Memory Reservation): consente di riservare una porzione di memoria per i processi di gestione del dispositivo (es. notifiche) quando la memoria è in esaurimento Riservazione di memoria per accesso console da utilizzare per garantire l'accesso al sistema tramite cavo seriale 28

29 Sicurezza dell accesso al dispositivo Limitazione dell accesso fisico Limitazione dell'acceso tramite linee seriali e virtuali Gestione delle password (cifratura, lunghezza min, recovery) Regolamentazione del numero di autenticazioni fallite (failure rate, login block, login password retry lockout Definizione di un banner Accesso basato sul ruolo (definizione privilegi, CLI view) Utilizzo di AAA server 29

30 Limitazione dell'acceso da linee seriali e virtuali Le linee per l accesso ai router Cisco sono di quattro tipologie. Console: accesso asincrono seriale che consente l accesso completo alla gestione del dispositivo AUX: accesso asincrono seriale con supporto del controllo hardware del flusso dati (accesso modem) VTY: Virtual Teletype, terminale virtuale, si accede via Telnet o SSH TTY: Teletype, linee asincrone usate per connessioni di terminale Le prime due sono per l accesso locale, le altre per l accesso remoto 30

31 Limitazione dell'acceso da linee seriali e virtuali Disabilitare le linee se non utilizzate Limitare l accesso (filtri su IP) Configurare dei timeout di sessione Riservare almeno una linea di last resort Utilizzare solo protocolli cifrati come SSH Log dei tentativi di accesso su log server Syslog server SSH LOG IP address line vty 0 4 transport input ssh exec-timeout 5 0 access-class 23 in! access-list 23 permit

32 Gestione delle password Cambiare la password di default Impostare la cifratura MD5 delle password Definire una complessità minima (es. lunghezza min) Le password d accesso si possono sovrascrivere o cancellare se si accede fisicamente al dispositivo. Disabilitare la procedura di password recovery Se perdo la password non la recupero più (non sempre vero) Solo sulle CPE presso l utente Mai sugli apparati della rete Preferire la sicurezza fisica, limitare l accesso fisico. Sconsigliato 32

33 Gestione delle password Lunghezza della password. 95 caratteri ASCII stampabili Password di lunghezza 8 caratteri, possibili combinazioni 95^8 = 6,634 * 10^15 21 caratteri alfabeto italiano minuscolo Password di lunghezza 12 caratteri, possibili combinazioni 21^12 = 7,356 *10^15 33

34 Limitare il numero di autenticazioni fallite Security authentication failure rate limita il numero di tentativi di login e in caso di fallimento dopo il numero configurato disabilita l autenticazione per 15 secondi. Login block Dopo un certo numero di tentativi falliti in un intervallo di tempo disabilita l autenticazione per un tempo configurabile. È possibile escludere alcune classi di indirizzi (es. rete di management) Login password retry lockout consente di bloccare gli account locali di privilegio inferiore a quello massimo (i livelli sono 16) dopo un numero predefinito di tentativi. L account può essere riattivato solo manualmente da un utente con privilegio massimo. 34

35 Il banner Scopo: avvisare che l'accesso è consentito solo a personale autorizzato, che le attività sono tracciate e che l'accesso non autorizzato è proibito. Deve contenere le seguenti informazioni: avviso che l'accesso è riservato a personale autorizzato avviso che l'accesso non autorizzato è proibito e perseguibile avviso che tutte le attività svolte nell'apparato saranno tracciate Sarebbe opportuno preparare il banner seguendo il consiglio dell'ufficio legale. Non dovrebbero essere presenti informazioni sull'apparato e sulla sua funzione all'interno della rete (hostname, modello, versione di SW, utilizzo, proprietà. 35

36 Es. di banner banner login ^ _ \ \ / / \ \/\/ / / -_) / _ / _ \ ' \ / -_) \_/\_/ \ _ _ _ \ _ \ / _ _ _ \ _ """"" _ """"" _ """"" _ """"" _ """"" _ """"" _ """"" "`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-' `-0-0-'"`-0-0-'"`-0-0- Rete IP ferrovie friulane - nodo di rete principale. Router Cisco ASR1002 Release 3.4 Centro elaborazione dati Via delle Scienze 206 Udine ^ 36

37 Es. di banner banner login ^ State accedendo ad un dispositivo di rete privato. Qualsiasi accesso ed uso non autorizzato sara' tracciato e perseguito a norma delle vigenti leggi italiane ed internazionali. You are accessing a private network device. Any unauthorized access and use will be logged and prosecuted according to Italian and international laws in force ^ 37

38 AAA server Il modo migliore per gestire l accesso ed il monitoraggio degli utenti che gestiscono i dispositivi è utilizzare un servizio di Autenticazione, Autorizzazione ed Accounting (AAA). Almeno due server sincronizzati Contemporaneamente raggiungibili in condizioni normali Installati in siti diversi ma posti ad una distanza sufficiente affinché un guasto di rete non li isoli contemporaneamente Configurare sempre anche account configurati localmente nell apparato. Protocolli TACACS+ (proprietario Cisco) o Radius (standard) 38

39 Piano di indirizzamento basato sui ruoli Sebbene gli indirizzi IP siano facilmente falsificabili (spoofed) il loro utilizzo è basilare per molti meccanismi di autenticazione. Assegnare il piano d indirizzamento solo su base topologica rischia di rendere complessa la gestione delle policy di sicurezza. L assegnazione del piano d indirizzamento in base ai ruoli è il metodo più efficare per semplificare le policy di sicurezza. Regole semplici sono più facili da gestire, meno soggette ad errori, rendono più agevole il troubleshooting. 39

40 Piano di indirizzamento basato sui ruoli Esempio di suddivisione dei pool di indirizzi IP in base ai ruoli: Apparati di core: interfacce di Loopback (di gestione) Apparati di core: interfacce di transito Interfacce di frontiera: interne Interfacce di frontiera: esterne (es. verso Internet) Interfacce d accesso: dial-up e VPN Tipologia di servizi (es. telefonia IP, web server, ecc.) Reti del Network Operations Center Reti specifiche di Data center (es. storage o backup) 40

41 Es. piano di indirizzamento basato su topologia Rete /8 4 sedi Sede X: rete 10.X.0.0/16 Telefoni della sede X rete 10.X.10.0/24 Utenti della sede X rete 10.X.20.0/24 Network administrator della sede X rete 10.X.200.0/24 Regola che identifica tutti i telefoni: ip access-list standard TELEFONI permit /24 permit /24 permit /24 permit /24 41

42 Es. piano di indirizzamento basato sul ruolo Rete /8 4 sedi Telefoni: /16 Telefoni della sede X rete X.0/24 Utenti: /16 Utenti della sede X rete X.0/24 Network Administrator: /16 Network administrator della sede X rete X.0/24 Regola che identifica tutti i telefoni: ip access-list standard TELEFONI permit /16 42

43 Sicurezza del piano di gestione 43

44 Sicurezza del piano di gestione - Obiettivo L obiettivo principale da perseguire con le attività relative alla sicurezza del piano di gestione è: Impedire il controllo degli apparati agli attaccanti. 44

45 Sicurezza del piano di gestione Apparato di rete Management plane Control plane Il Management plane gestisce il traffico proveniente da utenti o sistemi di gestione e destinato all'apparato stesso. Data plane 45

46 Sicurezza del piano di gestione Management Plane Protection (MPP) Utilizzo di protocolli di accesso cifrati Logging AAA server Simple Network Management Protocol (SNMP) Network Time Protocol (NTP) Netflow 46

47 Management Plane Protection (MPP) Consente di limitare le interfacce attraverso le quali può essere ricevuto traffico di management. control-plane host management-interface GigabitEthernet 0/1 allow ssh https Raccomandazioni: Attenzione a non limitare eccessivamente l accesso con il rischio non raggiungere gli apparati in caso di malfunzionamento delle interfacce specificate. Quando è attivata la funzionalità le sessioni di management in corso sono interrotte se passano attraverso un interfaccia dove la funzionalità non è abilitata. 47

48 Utilizzo di protocolli di accesso cifrati Utilizzare sempre e solo protocolli cifrati Raccomandazione: SSH invece di Telnet SPC invece di FTP HTTPS invece di HTTP 48

49 Logging I log sono indispensabili per analizzare gli output degli apparati. Le best practice prevedono; Utilizzare il NTP per sincronizzare l orario Impostare i servizi di timestamps dei log con il dettaglio maggiore possibile (es. millisecondo) Disabilitare il logging verso la console (CPU intensive) Limitare il logging salvato localmente all essenziale Configurare il livello di logging (severity) Configurare facility e/o prefix Utilizzare uno strumento di analisi dei log Utilizzare gli alert ed analizzare i log! 49

50 Logging - esempio Aug 24 16:58:28.231: %SEC-6-IPACCESSLOGP: list 105 denied udp (10018) -> (137) Aug 24 17:03:16.626: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4935) -> (3389) Aug 24 17:04:24.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp (1332) -> (3389) Aug 24 17:04:24.662: %SEC-6-IPACCESSLOGP: list 105 denied tcp (1332) -> (3389) Aug 24 17:22:43.250: %SEC-6-IPACCESSLOGP: list 105 denied tcp (3628) -> (23) Aug 24 17:27:19.401: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4668) -> (445) Aug 24 17:27:22.377: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4668) -> (445) Aug 24 17:27:38.716: %SEC-6-IPACCESSLOGP: list 105 denied tcp (12200) -> (8080) Aug 24 17:28:31.324: %SEC-6-IPACCESSLOGP: list 105 denied tcp (10965) -> (25) Aug 24 17:38:04.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp (21964) -> (80) Aug 24 17:38:07.654: %SEC-6-IPACCESSLOGP: list 105 denied tcp (21964) -> (80) Aug 24 17:38:13.650: %SEC-6-IPACCESSLOGP: list 105 denied tcp (21964) -> (80) Aug 24 17:40:49.126: %SEC-6-IPACCESSLOGP: list 105 denied tcp (42202) -> (3389) Aug 24 18:18:35.869: %SEC-6-IPACCESSLOGP: list 105 denied tcp (28847) -> (51413) Aug 24 18:18:39.297: %SEC-6-IPACCESSLOGP: list 105 denied tcp (28847) -> (51413) Aug 24 18:18:45.205: %SEC-6-IPACCESSLOGP: list 105 denied tcp (28847) -> (51413) Aug 24 18:27:14.123: %SEC-6-IPACCESSLOGP: list 105 denied tcp (2352) -> (23) Aug 24 18:33:32.146: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4414) -> (445) Aug 24 18:33:35.166: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4414) -> (445) Aug 24 18:40:17.237: %SEC-6-IPACCESSLOGP: list 105 denied tcp (14426) -> (135) Aug 24 18:40:20.169: %SEC-6-IPACCESSLOGP: list 105 denied tcp (14426) -> (135) Aug 24 19:07:38.611: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4640) -> (23) Aug 24 20:02:07.943: %SEC-6-IPACCESSLOGP: list 105 denied tcp (10521) -> (3389) Aug 24 20:12:58.328: %SEC-6-IPACCESSLOGP: list 105 denied tcp (58873) -> (3389) Aug 24 20:41:37.374: %SEC-6-IPACCESSLOGP: list 105 denied tcp (6000) -> (1433) Aug 24 20:46:28.957: %SEC-6-IPACCESSLOGP: list 105 denied tcp (2456) -> (23) 50

51 AAA server Autenticazione è il processo di identificare l'utente, solitamente in base ad una coppia username/password. Si basa sul principio che ogni utente abbia delle credenziali uniche che lo distinguono dagli altri. Autorizzazione è il processo di garantire o negare all'utente l'accesso alle risorse di rete dopo che è stato autenticato. La quantità di risorse alle quali ha accesso dipende dal livello di autorizzazione garantito. Accounting è il processo di tenere traccia dell'attività dell'utente mentre accede alle risorse di rete, tra cui il tempo di inizio/fine sessione e la quantità di dati trasferiti durante la sessione. 51

52 Simple Network Management Protocol (SNMP) SNMP è il protocollo che consente la configurazione, la gestione ed il monitoraggio di apparati di rete Le abilitazioni sono: read: sola lettura dei parametri del dispositivo write: modifica dei parametri del dispositivo trap: il dispositivo invia in modo asincrono messaggi al server Raccomandazioni: Utilizzare password/community non banali Limitare l accesso filtrando gli IP sorgente abilitati Utilizzare preferibilmente SNMP versione 3 o almeno la versione 2c In casi di massima confidenzialità utilizzare SNMP all interno di tunnel IPSec 52

53 Network Time Protocol (NTP) Affinché i messaggi di logging siano coerenti occorre che il tempo nella rete sia sincronizzato con uno o più NTP server. Le linee guida per la configurazione NTP sono: Sviluppare un modello gerarchico, solitamente corrispondente all'architettura di routing. Usare un'unica time zone per l'intera rete Limitare le comunicazioni NTP tramite filtro IP Utilizzare l'autenticazione NTP Utilizzare almeno due server di riferimento a loro volta sincronizzati con un clock di livello superiore (stratum inferiore) Esempio ntp server ntp1.inrim.it ntp server ntp2.inrim.it 53

54 Sicurezza del piano di controllo 54

55 Sicurezza del piano di controllo - Obiettivo L obiettivo da perseguire con le attività relative alla sicurezza del piano di controllo è: Garantire la disponibilità (availability) della rete. 55

56 Sicurezza del piano di controllo Apparato di rete Management plane Control plane Il Control Plane gestisce il traffico fondamentale per il funzionamento della rete e scambiato tra gli apparati di rete. Data plane 56

57 Sicurezza del piano di controllo Sicurezza generale del Control Plane Control Plane Policing (CoPP) Sicurezza del protocollo Border Gateway Protocol (BGP) Sicurezza dei protocolli di routing interni (IGP) Sicurezza dei protocolli di First Hop Redundancy 57

58 Sicurezza generale del Control Plane Obiettivo: limitare l'esaurimento di risorse del control plane Evitare l'esaurimento delle code di ingresso delle interfacce (distruttivo per i protocolli di routing) Configurazione di durata massima per task di I/O (scheduler allocation) Limitazione del traffico di controllo verso la CPU (filtro ACL sull'interfaccia di ingresso). 58

59 Control Plane Policing (CoPP) Il Control Plane Policing (CoPP) è una funzionalità di sicurezza che limita il traffico non necessario che raggiunge la CPU e le altre risorse (memoria, buffer, code) e che potrebbe comprometterne la funzionalità. Protegge esclusivamente le risorse del piano di controllo a differenza dei filtri sulle interfacce (ACL) che operano su tutto il traffico in ingresso nell'apparato 59

60 Sicurezza del protocollo Border Gateway Protocol (BGP) Sicurezza basata su campo TTL: si configura il minimo valore Time To Live (TTL) per i pacchetti ricevuti da ogni specifico peer. Se il valore TTL di un pacchetto è inferiore, questo è scartato. Autenticazione mediante password cifrate MD5 Limitazione del numero massimo di prefissi ricevibili da un singolo peer Filtraggio dei prefissi BGP sia in ingresso sia in uscita 60

61 Sicurezza dei protocolli di routing interni (IGP) e di First Hop Redundancy Obiettivi: Rafforzare l'integrità delle informazioni scambiate Verificare l'identità degli apparati con i quali si scambiano tali informazioni Soluzioni: funzionalità di sicurezza inserite nei protocolli come l autenticazione con chiave cifrata MD5 tunnel IPSec (raramente utilizzato) 61

62 Sicurezza del piano di forwarding 62

63 Sicurezza del piano di forwading- Obiettivi Gli obiettivi da perseguire con le attività relative alla sicurezza del piano di forwarding sono: Garantire la disponibilità (availability) della rete. Prima linea di difesa per gli apparati di rete interni. 63

64 Sicurezza del piano di forwarding Apparato di rete Management plane Control plane Il Data Plane gestisce il traffico inoltrato dall'apparato di rete ma originato e destinato a dispositivi diversi dall'apparato stesso. Data plane 64

65 Filtri di protezione dell infrastruttura Sono filtri IP estesi (includono anche porte TCP/UDP) che sono implementate nei punti d ingresso della rete e servono a filtrare il traffico che non può provenire dall esterno e consentire esplicitamente solo il traffico legittimo, (per le linee guida vedere RFC 2827). Si applicano al traffico in transito. Sono composte in generale da 5 moduli: 1. Anti spoofing. Blocca indirizzi IP riservati e privati (RFC 1918 e 2827) e il traffico con sorgente il proprio spazio di indirizzamento pubblico. 2. Permette traffico da legittime sorgenti esterne verso apparati di edge. 3. Blocca tutto il resto del traffico da sorgenti esterne e destinato agli apparati di edge. 4. Blocca tutto il traffico verso la propria infrastruttura di rete. 5. Permette tutto il resto del traffico 65

66 Filtri di protezione dell infrastruttura Filtri di protezione dell infrastruttura 66

67 Filtri di protezione dell infrastruttura - esempio access-list 110 remark Indirizzi riservati RFC 3330 access-list 110 deny ip host any log access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 remark Indirizzi riservati RFC 1918 access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 remark Il proprio spazio di indirizzamento pubblico access-list 110 deny ip PROPRI_INDIRIZZI_PUBBLICI any log 67

68 Filtri di protezione dell infrastruttura esempio 2/2 access-list 110 remark Connessioni BGP con l'esterno e ICMP access-list 110 permit tcp host BGP_EXTERNAL_PEER host BGP_INTERNAL_PEER eq bgp access-list 110 permit tcp host BGP_EXTERNAL_PEER eq bgp host BGP_INTERNAL_PEER access-list 110 permit icmp any host BGP_INTERNAL_PEER access-list 110 remark Blocca il resto del traffico verso i BGP PEER access-list 110 deny tcp any host BGP_EXTERNAL_PEER log access-list 110 deny udp any host BGP_EXTERNAL_PEER log access-list 110 deny ip any host BGP_EXTERNAL_PEER log access-list 110 remark Spazio indirizzi infrastruttura interna access-list 110 deny ip any INDIRIZZI_INFRASTRUTTURA_INTERNA log access-list 110 remark Resto del traffico access-list 110 permit ip any any 68

69 Nel prossimo futuro? - SDN Software Defined Networking: è un'architettura emergente dinamica, gestibile, adattabile, agile. Disaccoppia il piano di controllo da quello di forwarding, centralizza il piano di controllo e ne consente la programmabilità ed automazione, astraendo dall infrastruttura fisica di rete. 69

70 Nel prossimo futuro? - SDN Elementi basilari dell architettura SDN: Il piano di controllo e management su controller dedicato ed esterno. I dispositivi di rete svolgono solo forwarding Connettività IP/SSL tra il controller e gli apparati di rete Controller 70

71 Nel prossimo futuro? - SDN Programmabilità Minor interazione Uomo/Macchina Minor tasso di errore Maggior flessibilità Maggior visibilità (informazioni centralizzate) Maggior criticità del piano di controllo e di gestione Attacchi più sofisticati e diretti verso: Diretti verso il controller, ad esempio installando codice malevolo Diretti verso i canali di comunicazione tra controller ed apparati per causare DoS o modificare l instradamento del traffico 71

72 Nel prossimo futuro? - SDN Possibili contromisure: Sicurezza fisica e all accesso logico dei controller (analoghe ad un server) Comunicazioni cifrate tra controller ed apparati di rete. Stabilire robuste relazioni di trust tra controller e dispositivi (certificati). Connessioni tra controller e dispositivi su canali dedicati (out of band) e distinti da quelli del traffico dati. Controller 72

73 Cosa posso fare per il router di casa? Modificare account di default e utilizzo di password complesse Scegliere la release software raccomandata Ad ogni modifica salvare la configurazione esternamente Attivare solo i servizi necessari Inserire un banner Utilizzare protocolli cifrati (SSH o HTTPS) per l accesso Regolamentare il numero di autenticazioni fallite Attivare il log locale e sincronizzare la data/ora con NTP Attivare il firewall (se presente) o configurare i filtri di protezione dell infrastruttura 73

74 RFC di riferimento RFC Site Security Handbook RFC Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing RFC Ingress Filtering for Multihomed Networks 74

75 Riferimenti Cisco Guide to Harden Cisco IOS Devices Cisco IOS Security Configuration Guide, Release html Cisco SAFE Reference Guide Infrastructure Protection on Cisco IOS Software Network Security Baseline basebook.html NSA - Router Security Configuration Guide https://www.nsa.gov/ia/_files/routers/c4-040r-02.pdf 75

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Architetture di router IP

Architetture di router IP Torino, novembre 2004 Reti e sistemi telematici Architetture di router IP Gruppo Reti TLC giancarlo.pirani@telecomitalia.it http://www.telematica.polito.it/ GIANCARLO PIRANI TELECOM ITALIA LAB ROUTER IP

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Antonio Cianfrani. Extended Access Control List (ACL)

Antonio Cianfrani. Extended Access Control List (ACL) Antonio Cianfrani Extended Access Control List (ACL) Extended ACL (1/4) Le ACL Extended sono molto spesso usate più delle standard perché offrono un controllo decisamente maggiore Le ACL Extended controllano

Dettagli

Configurare un Cisco 837 per il collegamento ad Internet

Configurare un Cisco 837 per il collegamento ad Internet Configurare un Cisco 837 per il collegamento ad Internet Autore: Massimo Rabbi Data: 29/08/2006 Note introduttive In questa guida vedremo come configurare un router Cisco modello 837 per il collegamento

Dettagli

Antonio Cianfrani. Fondamenti di Reti - Prof. Marco Listanti - A.A. 2010/2011. INFOCOM Dept

Antonio Cianfrani. Fondamenti di Reti - Prof. Marco Listanti - A.A. 2010/2011. INFOCOM Dept Antonio Cianfrani Laboratorio Fondamenti di Reti 1. Introduzione ai Router IP Funzioni svolte dai Router I router operano allo strato 3 della pila protocollare OSI Individuano il cammino dei pacchetti

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport. ICMP Application Presentation Session Transport Telnet FTP SMTP SNMP TCP e UDP NFS XDR RPC Network Data Link Physical OSI ICMP ARP e RARP IP Non Specificati Protocolli di routing Internet Protocol Suite

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

Architettura Hardware di un Router

Architettura Hardware di un Router - Laboratorio di Servizi di Telecomunicazione Architettura Hardware di un Router Slide tratte da Cisco Press CCNA Instructor s Manual ed elaborate dall Ing. Francesco Immè Wide Area Network (WAN) Le principali

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Architetture di router IP

Architetture di router IP Torino, settembre 2003 Reti e sistemi telematici - 2 Architetture di router IP Gruppo Reti TLC giancarlo.pirani@telecomitalia.it http://www.telematica.polito.it/ GIANCARLO PIRANI TELECOM ITALIA LAB ROUTER

Dettagli

White Paper. White Paper. Lesson 3: Protezione apparati di rete. Gli Apparati di Rete. Quali sono gli apparati di rete

White Paper. White Paper. Lesson 3: Protezione apparati di rete. Gli Apparati di Rete. Quali sono gli apparati di rete Lesson 3: Protezione apparati di rete Gli Apparati di Rete Prendiamo ora in considerazione le apparecchiature che realizzano, una volta connesse tra di loro la struttura della nostra rete informatica.

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA PROGRAMMAZIONE MODULARE 2015-2016 Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA Docenti: Gualdi (teoria), Travaglioni (laboratorio) Ore settimanali previste: 2 TEORIA +

Dettagli

Indice. Prefazione XIII

Indice. Prefazione XIII Indice Prefazione XIII 1 Introduzione 1 1.1 Breve storia della rete Internet 1 1.2 Protocolli e standard 6 1.3 Le organizzazioni che definiscono gli standard 7 1.4 Gli standard Internet 10 1.5 Amministrazione

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it Livello di Rete Gaia Maselli maselli@di.uniroma1.it Queste slide sono un adattamento delle slide fornite dal libro di testo e pertanto protette da copyright. All material copyright 1996-2007 J.F Kurose

Dettagli

Reiss Romoli 2014 CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) CCNA

Reiss Romoli 2014 CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) CCNA CCNA CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) La certificazione Cisco CCNA prevede il superamento di un singolo esame: 200-120 CCNA o di due esami: 100-101 ICND1 200-101 ICND2 Reiss Romoli propone, in

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet Gruppo Reti TLC nome.cognome@polito.it http://www.telematica.polito.it/ INTRODUZIONE A INTERNET - 1 Internet: nomenclatura Host: calcolatore collegato a Internet ogni host

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

Obiettivi d esame HP ATA Networks

Obiettivi d esame HP ATA Networks Obiettivi d esame HP ATA Networks 1 Spiegare e riconoscere tecnologie di rete e le loro implicazioni per le esigenze del cliente. 1.1 Descrivere il modello OSI. 1.1.1 Identificare ogni livello e descrivere

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai[at]cisco.com Mario Baldi Politecnico di Torino mario.baldi[at]polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS.

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. BOOT CAMP CISCO CERTIFIED NETWORK ASSOCIATE SECURITY (CCNA SECURITY) CCNA SECURITY_B La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. Prerequsiti Certificazione

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet AA 2004-2005 Reti e Sistemi Telematici 1 Internet: nomenclatura Host: calcolatore collegato a Internet ogni host può essere client e/o server a livello applicazione Router:

Dettagli

CONNESSIONE DI UN PC ALLA RETE INTERNET

CONNESSIONE DI UN PC ALLA RETE INTERNET CONNESSIONE DI UN PC ALLA RETE INTERNET Walter Cerroni wcerroni@deis.unibo.it http://deisnet.deis.unibo.it/didattica/master Internetworking Internet è una rete di calcolatori nata con l obiettivo di realizzare

Dettagli

ACCESS LIST. Pietro Nicoletti www.studioreti.it

ACCESS LIST. Pietro Nicoletti www.studioreti.it ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

Open Source Day 2013. Marco Vanino mvan@spin.it

Open Source Day 2013. Marco Vanino mvan@spin.it Open Source Day 2013 La sicurezza negli ambienti virtualizzati Marco Vanino mvan@spin.it Sicurezza in ambiente virtualizzato 1 computer fisico = 1 computer logico Virtualizzazione 1 computer fisico = N

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet Gruppo Reti TLC nome.cognome@polito.it http://www.telematica.polito.it/ INTRODUZIONE ALLE RETI TELEMATICHE - 1 Copyright Quest opera è protetta dalla licenza Creative Commons

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Man-in-the-middle su reti LAN

Man-in-the-middle su reti LAN Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle

Dettagli

Domenico Costanzo Hacklab CS

Domenico Costanzo Hacklab CS Domenico Costanzo Hacklab CS Contenu( Introduzione al TCP/IP Indirizzamento Introduzione al Subnetwork IP Assignment Address resolution Modello TCP/IP Il dipartimento della difesa (DoD) creò il modello

Dettagli

Introduzione (parte I)

Introduzione (parte I) Introduzione (parte I) Argomenti della lezione Argomenti trattati in questo corso Libri di testo e materiale didattico Ripasso degli argomenti del primo corso: reti locali Contenuti del corso La progettazione

Dettagli

Firegate SSL 5 - Release notes

Firegate SSL 5 - Release notes Firmware Versione: 3.19 Versione di rilascio ufficiale Aggiunto menu Diagnostics per Ping e Traceroute Aggiunto modalità NAT in DMZ Supporto per VoIP SIP in QoS Aggiunto Traffic Collector per analisi tipologia

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Reti di computer. Agostino Lorenzi - Reti di computer - 2008

Reti di computer. Agostino Lorenzi - Reti di computer - 2008 Reti di computer Telematica : termine che evidenzia l integrazione tra tecnologie informatiche e tecnologie delle comunicazioni. Rete (network) : insieme di sistemi per l elaborazione delle informazioni

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario.

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario. ICMP Internet Control Message Protocol Silvano GAI sgai[at]cisco.com Mario BALDI mario.baldi[at]polito.it http://staff.polito.it/mario.baldi Fulvio RISSO fulvio.risso[at]polito.it ICMP - 1 Copyright: si

Dettagli

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Router(config)# access-list access-list number {permit deny} {test-conditions}

Router(config)# access-list access-list number {permit deny} {test-conditions} 1. Definire la ACL con il seguente comando: Router(config)# access-list access-list number {permit deny} {test-conditions} Dalla versione 11.2 del Cisco IOS si può utilizzare un nome al posto del numero

Dettagli

Reti di Telecomunicazioni LB Introduzione al corso

Reti di Telecomunicazioni LB Introduzione al corso Reti di Telecomunicazioni LB Introduzione al corso A.A. 2005/2006 Walter Cerroni Il corso Seguito di Reti di Telecomunicazioni LA Approfondimento sui protocolli di Internet TCP/IP, protocolli di routing,

Dettagli

La gestione di rete OSI

La gestione di rete OSI Dipartimento di Elettronica e Telecomunicazioni La gestione di rete OSI pecos,giada@lenst.det.unifi.it 1 Cosa e come gestire? I servizi Workstation Gestore di rete Workstation Server Router 2 1.1 Cosa

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Reiss Romoli 2014 BOOT CAMP CISCO CERTIFIED NETWORK ASSOCIATE SERVICE PROVIDER (CCNA SP) B-CCNA-SP

Reiss Romoli 2014 BOOT CAMP CISCO CERTIFIED NETWORK ASSOCIATE SERVICE PROVIDER (CCNA SP) B-CCNA-SP B-CCNA-SP BOOT CAMP CISCO CERTIFIED NETWORK ASSOCIATE SERVICE PROVIDER (CCNA SP) La certificazione Cisco CCNA SP prevede il superamento di due esami: 1. 640-875 SPNGN1 2. 640-878 SPNGN2 Prerequsiti La

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai@cisco.com Mario Baldi Politecnico di Torino mario.baldi@polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota a

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Cisco Router Security. Francesco Palmieri

Cisco Router Security. Francesco Palmieri Cisco Router Security Francesco Palmieri ISDOPLHU#XQLQDLW Cisco Router Security Generalità Accesso diretto al router Accessi in-band SNMP/HTTP Filtri sul traffico Denial Of Service Logging/Auditing Generalità

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

TOPOLOGIA di una rete

TOPOLOGIA di una rete TOPOLOGIA di una rete Protocolli di rete un protocollo prevede la definizione di un linguaggio per far comunicare 2 o più dispositivi. Il protocollo è quindi costituito dai un insieme di convenzioni

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Configurazione di un Router

Configurazione di un Router - Laboratorio di Servizi di Telecomunicazione Configurazione di un Router Slide tratte da Cisco Press CCNA Instructor s Manual ed elaborate dall Ing. Francesco Immè Livelli di accesso ai comandi (1/3)

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Networking NAT 1 Sommario L indirizzamento privato e pubblico I meccanismi di address

Dettagli

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca Università degli Studi Roma Tre Istituto Nazionale di Fisica Nucleare Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Impostazione di un insieme di misure di sicurezza per la LAN di un

Dettagli

Il livello Network del TCP/IP. Il protocollo IP (versione 4)

Il livello Network del TCP/IP. Il protocollo IP (versione 4) Il livello Network del TCP/IP. Il protocollo IP (versione 4) L architettura TCP/IP (il cui nome più preciso è ) è formata da diversi componenti, che si posizionano nello stack dei protocolli a partire

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

InfoCertLog. Allegato Tecnico

InfoCertLog. Allegato Tecnico InfoCertLog Allegato Tecnico Data Maggio 2012 Pagina 2 di 13 Data: Maggio 2012 Sommario 1. Introduzione... 3 2. Le componenti del servizio InfoCertLog... 4 2.1. Componente Client... 4 2.2. Componente Server...

Dettagli

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità Chiara Braghin Dalle news 1 Internet ISP Backbone ISP Routing locale e tra domini TCP/IP: routing, connessioni BGP (Border

Dettagli

Introduzione ai Calcolatori Elettronici

Introduzione ai Calcolatori Elettronici Introduzione ai Calcolatori Elettronici Introduzione al Web Internet A.A. 2013/2014 Domenica Sileo Università degli Studi della Basilicata Introduzione al Web : Internet >> Sommario Sommario n Internet

Dettagli

SIMATIC NET: Ethernet

SIMATIC NET: Ethernet Industry Automation USO ESTERNO Nr. 2012/5.1/16 Data: 27.7.12 SIMATIC NET: Ethernet Rilascio nuovi Scalance S versione 3 Con la presente si comunica che è ufficialmente rilasciato alla vendita il nuovo

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

OpenFlow GARR virtual test-bed

OpenFlow GARR virtual test-bed OpenFlow GARR virtual test-bed Presentazione dell attività svolta Il lavoro di ricerca svolto su OF Borsista GARR 2011/2012 Scopo della borsa: studiare le potenzialità delle SDN, in particolare del protocollo

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Principi di Sicurezza nelle Reti di Telecomunicazioni

Principi di Sicurezza nelle Reti di Telecomunicazioni Principi di Sicurezza nelle Reti di Telecomunicazioni Copyright Università degli Studi di Firenze - Disponibile per usi didattici Vedere i termini di uso in appendice ed a: http://mmedia5.det.unifi.it/license.txt

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Sicurezza delle soluzioni VoIP enterprise

Sicurezza delle soluzioni VoIP enterprise Sicurezza delle soluzioni VoIP enterprise Attacco Marco Misitano, Antonio Mauro Grado di difficoltà Se correttamente implementata su una rete con un buon livello di sicurezza, una soluzione IPT può essere

Dettagli