$ /sbin/lsmod. gusto...

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "$ /sbin/lsmod. gusto..."

Transcript

1 Iptables per tutti Analizziamo come utilizzare al massimo il firewall del kernel 2.4 e come munirci dell'indispensabile per affrontare l'etere telematico in piena sicurezza. Una guida pratica alla portata di tutti per capire ogni segreto di iptables esplorandone ogni singola caratteristica. Oramai il kernel 2.4 ha dato dimostrazioni della sua stabilità e si è tuttora imposto nella maggior parte delle distribuzioni mettendo alla luce tutte le sue caratteristiche e novità rispetto al suo predecessore. Fra le tante spicca il suo tool di filtraggio pacchetti: Iptables. Anche se il supporto di ipchains (il firewall del kernel 2.2.x) è stato garantito, iptables si sta prepotentemente guadagnando le attenzioni dell'utenza proprio per alcune features di indiscutibile qualità: a questo proposito ho deciso di scrivere questa guida, adatta ad ogni tipo di utenza, per scoprire completamente tutte le potenzialità di questo firewall, e facilitarne il travaglio a chi è ancora fedele a ipchains e ha difficoltà a apprenderne le differenze. Quando abbiamo bisogno di un firewallil firewall, nei veicoli motorizzati, serve ad isolare le persone nel cabinato dalle fiamme del motore nell'eventualità che il motore prenda fuoco. Analogamente al compito prettamente fisico del firewall dei veicoli a motore, la firewall che conosciamo nel campo informatico agisce metaforicamente nella stessa maniera, isolando un computer in rete da eventuali attacchi esterni. Tempo fa soltanto gli amministratori di sistema ricorrevano al filtraggio dei pacchetti per prevenire sinistri informatici nelle proprie reti, ma ora, con l'avvento sopratutto dell'irc (Internet Relay Chat) e di nuovi servizi telematici, che permettono ad una miriade di utenti di venire a conoscenza di un ip privato, il fattore sicurezza è sicuramente stato messo a rischio. Quanti di noi nella propria "vita telematica" si sono imbattuti in fastidiosi nonchè squallidi nukes, floods e DoS (Denial of Services) di vario genere; e quanti altri hanno avuto difficoltà nel rendere irragiungibili da internet alcuni servizi di sistema ( ftp, smb, X...). A tutti questi problemi pone fine il firewall, e nel nostro caso iptables. Installiamo iptables Prima di fiondarci sulla costruzione e sulla sintassi di una "catena" di filtraggio pacchetti è bene verificare le caratteristiche del nostro kernel per appurarne le opzioni necessarie (integrate nel kernel o compilate come moduli). Come avrete notato, una delle differenze sostanziali che c'è tra il firewall di linux e quella di altri OS è che quest'ultimo non agisce come un processo di un programma a se stante, bensì è integrato nel kernel stesso garantendo maggiore stabilità e flessibilità. Prima di poter proseguire è necessario verificare di avere i sorgenti del kernel 2.4 (potete utilizzare quelli della vostra distribuzione oppure scaricarne dei nuovi da e dirigendoci nella directory /usr/src/'linuxdir' digitiamo il seguente comando per accedere al menu delle opzioni: $ make menuconfig Dopo aver verificato le opzioni seguenti ricompilate il kernel e i moduli con la solita prassi (make dep && make clean && make bzimage && make modules && make modules_install) e nel caso in cui non tutto dovesse andare per il meglio eseguite un make mrproper per cancellare ogni configurazione precedente e ripetete nuovamente l'operazione. Ecco come compilare il kernel per non rinunciare a nessuna delle funzionalità di Iptables, vi ricordo che in base alle vostre esigenze potrete aggiungere altri moduli per espandere le funzionalità del firewall o magari per sfruttare netfilter su ipv6. networking options [*] Network Packet filtering ( replaces ipchains) [*] Network Packet filtering debugging (opzionale) IP Netfilter configuration ----> in questa sezione compilate tutte le voci come moduli (abiliterete anche il masquerade, supporto ipchains e ipfwadm) [M] Iptables support [M] packet filtering [M] etc.etc.

2 Se abbiamo caricato iptables con modprobe o lo abbiamo inserito in /etc/modules.conf, possiamo verificarlo con un semplice comando eseguito anche come utente semplice (permessi permettendo): $ /sbin/lsmod gusto... Nel caso voi stiate utilizzando distribuzioni user-friendly come Red Hat o Mandrake potete saltare questa parte installando il pacchetto rpm di iptables presente nei cd di installazione o reperibili da internet (qualora non l'aveste installato di default). Ma secondo me ci perdete tutto il

3 Primo approccio A differenza di come ci lasciano intendere alcuni How-to reperibili su internet, iptables non filtra "tutti" i pacchetti tramite le sue tabelle di regole, bensì soltanto il primo o l'ultimo, accettandolo, rifiutandolo, ignorandolo o applicando predeterminati criteri. Se 2 host non si sincronizzano, i pacchetti vanno in time-out senza raggiungere la destinazione, Iptables scartando il primo pacchetto (i syn-packets, i pacchetti di sincronizzazione) fa sì di non dover applicare le stesse regole a tutti i pacchetti, come invece avviene con conntrack (connection tracking, traccia i pacchetti). Prima di tentare un approccio pratico è bene decidere di attivare nei servizi di boot del nostro runlevel (probabilmente il 5) iptables. Nulla di più facile per chi usa Mandrake o RedHat, basta eseguire come root il seguente: $chkconfig --level 5 iptables on Dove "--level 5" indica su quale runlevel va attivato il supporto iptables. Chi usa Debian (mi auguro che cresciate di numero con l'imminente Woody release) non dovrà fare altro che andare il /etc/default/ e modificare il file iptables oppure vedersela con debconf. Una volta garantito di avere il firewall attivo ad ogni boot possiamo prendere confidenza con il primo comando: $ /sbin/iptables -L -n Come illustrato in Figura 3, l'output di questo comando ci mostra le regole attive; nel caso in cui durante l'installazione della vostra distribuzione abbiate selezionato un livello sicurezza (di solito appaiono come "medio, alto, basso" nelle odierne distro), probabilmente il firewall è stato già installato nel vostro sistema e configurata con delle regole predefinite. In questo caso l'output sarà diverso, in quanto vi mostrerà le regole attive, proprio come se l'aveste inserite voi, vedere in Figura 4 per avere un esempio. Catene per fare che? Quando ci riferiamo ad una tabella di regole di iptables intendiamo una catena, un insieme di regole concatenate fra loro che vanno ad agire sulle intestazioni IP dei pacchetti per verificarne la corrispondenza. Con il comando "iptables -L -n" siamo venuti a conoscenza delle tre catene di iptables : INPUT FORWARD OUTPUT In un precedente articolo riguardante il Nat (Ip Masquerade e NAT, maggio 2002), abbiamo visto con il comando "iptables -t nat -L -n" le catene del NAT o MASQUERADING: POSTROUTING PREROUTING Ma come orientarci nel loro corretto uso?input e OUTPUT sono due catene che agiscono specificatamente sui pacchetti i quali, destinazione o sorgente, riguardano soltanto il nostro host locale. La prima comprende quelli in entrata (da un host verso il nostro pc), l'altra quelli in uscita (dal nostro host verso un altro pc). FORWARD è specificatamente riservata ai pacchetti che passano (in gergo forwardati ) da un'interfaccia all'altra (chi è rimasto fedele a ipchains vada a vedere il paragrafo delle "differenze" per un concetto più ampio). Pensate invece che le catene POSTROUTING e PREROUTING agiscano concettualmente agli estremi della firewall una alla fine e l'altra all'inizio come descritto in Figura 5. Le catene contengono le regole (ogni regola è un anello della catena), dove per ordine di "altezza" ogni regola è assegnata ad un numero, come se iptables assegnasse un ordine gerarchico alle regole, la prima regola ad essere letta è appunto la prima (quella che sta più in alto), e finchè

4 il pacchetto non è influenzato da nessun'altra regola iptables continua a scendere di "anello in anello" leggendo tutte le regole fino alla fine della catena (in questo caso il pacchetto passa attraverso la firewall tranquillamente fino a raggiungere i processi interni dell'os). Premesso ciò mi è obbligatorio sottolineare che la prima regola è capace di annullare tutte le altre, ne vediamo un pratico esempio in Figura 6, anche se ancora non siamo arrivati all'analisi della sintassi di iptables è bene che lo teniate a mente.

5 Le Tabelle dei filtri Pensavate fosse finita lì?! eh eh eh... Si usa specificare le tabelle (altrimenti si ricorre sempre a quella di default) con la seguente sintassi: $/sbin/iptables -t <nometabella> -L Con la precedente abbiamo specificato di vedere le regole attive di una determinata tabella, ma cosa sono le tabelle? Quando ricorriamo ad una tabella è per specificare un target di pacchetti non "incatenabili" da quella di default. La tabella di default è filter ed è caricata dal modulo iptables_filter (che deve essere a sua volta presente nel listato di lsmod insieme a ip_tables per formare il "minimo indispensabile") e non è obbligatoriamente da specificare nella sintassi di iptables. Proprio come gli esempi precedenti il comando $/sbin/iptables -L -n non fa altro che visualizzare l'output della tabella filter. Le altre tabelle che troviamo in iptables sono nat e mangle (caricate entrambi dai rispettivi moduli), la prima è stata già trattata in un articolo precedente e riguarda le regole di DNAT, SNAT e MASQUERADE, l'altra è utilizzata quando un amministratore di sistema deve inserire una marcatura su un pacchetto (in pratica è come se facesse una "rifinitura" di una determinata regola) oppure specificare il TOS (Type Of Service). Per avere specifiche sul TOS vi consiglio di consultare il paragrafo di riferimento. Prima di abbandonarci ai veri e propri comandi di iptables, è bene che voi sappiate che ulteriori tabelle possono essere create per soddisfare varie strategie di firewall... ma ora i comandi! I comandi di Iptables Per impartire comandi a iptables dobbiamo rispettare una sintassi semplice ed intuitiva, in Figura 7 ne troviamo un pratico esempio illustrato. A voi, tutti i comandi di iptables: -A = append, appende una regola, seguono a questo comando il nome della catena, eventuali opzioni ed il target. -D = delete, segue a delete il nome della catena e il numero di una regola (es. iptables -D OUTPUT 4 : la quarta regola a contare dall'alto della catena OUTPUT). Questo comando cancella la regola selezionata. -C : check, segue il nome della catena e il numero della regola. Effettua un test. -I = insert, inserisce una regola nella catena (in pratica la "infila" tra 2 regole, se l'avesse "appesa" sarebbe apparsa come l'ultima regola della catena, e sarebbe stata influenzata dalle precedenti) è obbligatorio il nome della catena e il numero con cui vogliamo inserire la regola (se 1 diventa la prima, se 2 la seconda..etc) -R = replace, in pratica fonde i comandi Insert e Delete. Sostituisce una regola con un'altra. -F = flush, se usato senza specificazione cancella tutte le regole di tutte le catene, altrimenti specificare il nome della catena. -L = list, abbiamo già analizzato questo comando precedentemente. -Z = zero, azzera i contatori della catena (se specificata) o di tutte le catene. -N = new, crea una nuova catena. Segue a questo comando il nome della catena. -X = cancella una catena che avete creato con -N, va specificato il suo nome. -P = policy, è la politica del firewall (vedere paragrafi successivi) ed è seguita dal nome della catena e dal target. -E = rename, rinomina una catena, da inserire obbligatoriamente il vecchio nome della catena ed il nuovo. -h = help, è l'help!

6 Le opzioni di Iptables Le opzioni seguono il nome della catena ed alcuni di essi hanno bisogno di moduli specifici; se avete seguito le indicazioni di questo articolo non riscontrerete nessuna difficoltà nell'applicazione di essi in una regola. L'opzione "!" non è obbligatoria ma può essere applicata alle opzioni per invertirne il significato. -p = protocol, segue il nome del protocollo, icmp, udp, tcp o all (per avere specifiche su "all" consultare /etc/protocols) -s = source, specifica l'indirizzo sorgente, in pratica l'host/ip da cui arrivano i pacchetti. Può essere specificata anche una netmask o una porta applicando come seguente: -s /24 o -s / per la netmask, per la porta invece -s :21. -d = destination, è l'ip dove sono diretti i pacchetti. Di solito è il nostro ip, e sono possibili le stesse specificazioni di -s. -i = interface, serve a specificare l'interfaccia d'input. Al nome dell'interfaccia, eth0, ppp1 etc.etc. possiamo applicare la variabile + per specificare un'interfaccia attiva. Es -i ppp+, se l'interfaccia ppp0 è attiva ppp+ assumerà il valore di ppp0. -o = output/interfaces, è l'interfaccia di uscita usata nelle catene OUTPUT e POSTROUTING, catene che con l'opzione precedente non hanno applicazioni (se i pacchetti escono che c'entra l'interfaccia d' entrata?). -j = è la fine che facciamo fare ai pacchetti. ACCEPT, DROP, RETURN etc.etc. -n = fornisce un output numerico di porte ed indirizzi ( es. iptables -L -n). -v = verbose, o " -vv" per avere un listato delle regole attive più dettagliato. Per capirlo a fondo provate con: $/sbin/itpables -L -vv -x = exac, se i contatori dei pacchetti o dei byte sono utilizzati visualizzano un output numerico al posto di K, M o G (kilobyte, megabyte, gigabyte). -f = fragment, la regola si riferisce al secondo frammento o ai successivi. E' applicata sui pacchetti frammentati e può essere preceduto da "!" per controllare solo gli "head fragments" o "unfragment packets". Frammentati? Durante una connessione in rete spesso capita che un pacchetto venga frammentato per la sua eccessiva grandezza. Immaginiamo un pacchetto che per le sue dimensioni viene suddiviso in 2 parti, la prima (head fragment) con l'intestazione, che va a soddisfare o meno le regole del firewall, la seconda senza. Iptables potrebbe confondersi e scartare uno o più frammenti di un pacchetto. --tcp-flags = applicabile solo se specificato il protocollo tcp. Questa opzione verifica i flags dei pacchetti per trovarne la corrispondenza. Se vogliamo analizzare i flags SYN, FIN, RST e ACK ma accettare solo i SYN e ACK (pacchetti di risposta di avvenuta connessione) utilizziamo la seguente sintassi. Come noterete i flags accettati sono divisi dal resto non con una virgola ma con uno spazio: -p tcp --tcp-flags SYN,FIN,RST,ACK SYN,ACK --syn = valida solo se applicata al protocollo tcp. Questa regola specifica soltanto i pacchetti di risposta ad un'avvenuta connessione (è esattamente l'abbreviazione dell'esempio precedente sui flags). --icmp-type = valida solo se applicata al protocollo icmp (-p icmp), questa regola specifica a quale categoria di icmp packets la regola deve trovare applicazione. Per visualizzare tutti i tipi di pacchetti icmp digitare: $/sbin/iptables -p icmp -h --mac-source = valida dopo l'opzione -m mac come il seguente esempio -m mac --mac-source 00:00:ab:c0:45:a7 questa opzione serve a specificare l'applicazione della regola su un'indirizzo sorgente MAC. --limit = imposta un limite, una frequenza massima di una regola. La frequenza può essere specificata in un periodo con /hour, /minute, /second, /day. Ad esempio, se vogliamo che il nostro server non accetti più di una connessione alla volta per secondo basta usare -m limit con l'opzione - p tcp --syn. Il seguente esempio vi mostra la corretta sintassi: -m limit --limit 1/sec

7 --limit-burst = è complementare a --limit ed è seguito da un numero, quello di default è 5. Ogni volta che un pacchetto soddisfa l'opzione --limit, --limit-burst fa da massimo burst (raffica) prima che il limite succitato li respinga. Anche se a prima vista possa sembrare inutile, limit e limit-burst si possono rivelare come delle ottime soluzioni a vari tipi di flood, come ad esempio i syn-floods: $iptables -A FORWARD -p tcp --syn -m limit 1/sec -j ACCEPT --port = questa opzione è valida solo con -m multiport e -p tcp, -p udp, e viene applicata quando sia la porta sorgente che quella di destinazione sono uguali. --mark = riguarda i pacchetti con un valore mark. Questo valore va impostato con il target MARK che verrà trattato successivamente. --uid-owner = valido solo per la catena OUTPUT ed è seguito da l'id di un utente. Funziona solo per i pacchetti creati sul pc locale. --gid-owner = uguale al precedente, unica differenza che comprende i gruppi e non gli utenti. --pid-owner = a differenza dei precedenti in questa opzione va applicato l'id di un processo (PID). --sid-owner = segue questa opzione l'id di una sessione. --state = questa opzione identifica lo stato di una connessione TCP con i seguenti valori: NEW: connessione appena stabilita o in stallo. ESTABILISHED: connessione stabilita. RELATED: nuova connessione "relativa" ad una connessione stabilita (come ad esempio dei messaggi d'errore icmp inerenti ad una connessione ). INVALID: riguardano i pacchetti di scansione. -m state "VALORE" unclean = quest'opzione è adatta per specificare i pacchetti inusuali o creati male, dato che è ancora in fase sperimentale ne sconsiglio l'uso. La sintassi è -m unclean. Chi pensa che le opzioni di iptables siano finite si sta illudendo pietosamente, infatti passiamo ora ad analizzare meglio il già citato "type of service" (tipo di servizio). --tos = è un'opzione usata per soddisfare una TOS MASK (vedere tabella di riferimento). Qui rappresentato uno stralcio di regola: -m tos--tos 16 TOS specifica i pacchetti relativi a determinati tipi di servizi, e può essere impostato indipendentemente a netfilter dal target... e iniziamo con i targets... TOS = permette l'impostazione del valore del "type of service" ed è valido sono nelle catene di OUTPUT e PREROUTING. Segue il seguente argomento obbligatorio che "può" contenere uno dei valori numerici della tabella dedicata, per visualizzare con iptables una lista di "valid TOS names" digitare da prompt: $iptables -j TOS -h la sintassi per impostare il valore è la seguente: --set-tos "numerotos" Policy e Targets I Targets, o in parole spicciole, dove vogliamo destinare i pacchetti che soddisfano le caratteristiche di una regola, sono specificati nelle regole e sono valori che determinano o meno l'entrata, il forwarding, l'uscita, il logging, il mascheramento etc.etc. di uno o più pacchetti. A differenza dei Targets la Policy è sì, applicata ad una regola, ma agisce nei confronti di un'intera catena. Per Policy si intende la politica adottata in una catena, ogni catena ne ha una di default che ha come valore ACCEPT.

8 Il seguente esempio ci svela la sua applicazione nella catena di FORWARD: $iptables -P FORWARD -j DROP Questa regola cambia la FORWARD's policy di default in DROP, se non appendiamo nessuna regola che permetta una "via di fuga" per i pacchetti, nessun pacchetto verrà forwardato dal nostro pc. Eccovi esposta un piccolo firewall con policy "paranoica" e con l'aggiunta delle sopraccitate "vie di fuga" per permettere al pc alcune transizioni indispensabili: $iptables -A INPUT -s / j ACCEPT $iptables -A INPUT -s / j ACCEPT $iptables -A INPUT -p tcp --dport 22 -j ACCEPT $iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT $iptables -P INPUT -J DROP La precedente è un firewall con policy DROP in INPUT, non accetta nessun genere di pacchetto dall'esterno se non quelli espressamente specificati nelle regole della catena. La regola n 1 specifica che tutti i pacchetti provenienti dal nostro pc locale devono essere accettati (altrimenti iptables rifiuta anche quelli!). La regola n 2 specifica che tutti i pacchetti provenienti dalla nostra piccola rete LAN devono essere accettati. La regola n 3 lascia passare dall'esterno soltanto i pacchetti destinati sulla porta 22 di protocollo tcp (di solito quella porta è abbinanta a ssh). La regola n 4, quella che precede la Policy, accetta dall'esterno soltanto le risposte dei ping (detti pong). Ed infine abbiamo inserito la Policy (se l'avessimo inserita prima delle regole avremmo avuto difficoltà nell'interagire con il nostro pc... eheheh, è assurdo ma vero, iptables se vuole essere paranoico ci riesce veramente bene!), per rendere raggiungibile dall'esterno soltanto la porta 22 (almeno in INPUT ). Abbiamo parlato di Targets e Policy, vediamo le loro caratteristiche fondamentali: ACCEPT = accetta i pacchetti specificati nella regola. DROP = rifiuta i pacchetti specificati nella regola. REJECT = come DROP, unica differenza che restituisce all'host sorgente un messaggio d'errore che possiamo decidere con la seguente opzione: --reject-with-type = quest'opzione vi permette di cambiare il messaggio predefinito "icmp-netunreachable" in icmp-host-unreachable, icmp-port-unreachable o in icmp-proto-unreachable. RETURN = ha lo stesso effetto di quando si arriva alla fine di una catena: se l'ultima regola appartiene a una catena predefinita, allora viene eseguita la tattica della catena. Altrimenti se appartiene ad una catena definita dall'utente, si prosegue con la catena precedente, con la regola successiva a quella che aveva causato il salto nella catena dell'utente. QUEUE = è un gestore delle code, il suo compito è quello di accodare i pacchetti per elaborazioni "userspace". Per funzionare ha bisogno del modulo "ip_queue". Tutti i seguenti target hanno bisogno di un loro specifico modulo: LOG = effettua il logging dei pacchetti che soddisfano la regola. E' consigliabile associare a questo target la precedente opzione -limit. I seguenti argomenti sono facoltativi: --log-level = permette di specificare il livello di logging. --log-prefix = permette di aggiungere un massimo di 14 caratteri all'inizio del log per identificarne il tipo. --log-tcp-sequence = logga i numeri di sequenza tcp. --log-tcp-options = logga il campo options dell'instestazione del pacchetto tcp.

9 --log-ip-options = uguale al precedente soltanto che è valido per i pacchetti ip. MARK = è valido solo nella tabella mangle ed associa al pacchetto un valore mark. --set-mark "valorenumerico" MIRROR = inverte gli indirizzi sorgente/destinazione dei pacchetti. E' valido nelle catene INPUT, OUTPUT e FORWARD ed è ancora in fase sperimentale. SNAT = Source NAT, richiede la tabella nat ed è valido nella catena di POSTROUTING. E' stato trattato in un articolo (maggio 2002) precedente insieme ai seguenti targets. DNAT = Destination NAT, valido in PREROUTING. MASQUERADE = valido nella tabella POSTROUTNG. REDIRECT = valido solo in PREROUTING, OUTPUT o in una catena definita dall'utente, questo target effettua un redirect sui pacchetti all' host locale. --to-ports = valido con protocolli tcp e udp questa opzione seguente REDIRECT ci permette di modificare le regole euristiche di selezione della porta predefinita. Strategie Finora ci siamo occupati dell'analisi dei comandi, opzioni e targets di iptables, ora bisogna decidere come mettere insieme più regole nelle catene per ottenere un firewall sicuro. Tutto dipende dalla strategia che intendete adottare per il vostro firewall. Potete scegliere di piazzare un bel DROP come Policy sia in INPUT che in OUTPUT che in FORWARD e poi decidere minuziosamente quale pachetto deve entrare o uscire, oppure potete lasciare le vostre catene in ACCEPT e appendere soltanto le regole che ritenete necessarie per la vostra sicurezza. Il primo passo da fare è conoscere i propri servizi e le proprie esigenze, chi meglio di netstat è capace di visualizzarle?! $netstat -tau con il listato di netstat potete capire che servizi attivi avete, attraverso quali protocolli stanno comunicando, lo stato in cui sono (leggere l'opzione -m state) gli indirizzi locali e gli indirizzi remoti, con queste informazioni bisogna plasmare il proprio firewall.

10 Una firewall semplice Costruiamo un firewall minimalista per soddisfare le nostre esigenze casalinghe: $iptables -F INPUT $iptables -F OUTPUT $iptables -F FORWARD dopo aver ripulito le nostre catene andiamo ad appendere le regole. Ammettiamo di avere un X server, samba e ssh come servizi attivi: $iptables -A INPUT -s j ACCEPT $iptables -A INPUT -s /24 -j ACCEPT $iptables -A INPUT -p tcp --dport j DROP $iptables -A INPUT -p all --dport 137:139 -j DROP $iptables -A INPUT -p icmp --icmp-type echo-request -j DROP $iptables -A INPUT -p icmp! --icmp-type echo-reply -j DROP $iptables -A INPUT -p udp --dport 33435: j DROP $iptables -A FORWARD -p tcp --syn -m limit limit 3/s -j ACCEPT $iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit limit 1/s -j ACCEPT In INPUT le prime due regole le abbiamo già analizzate in precedenza, la tre e la quattro specificano di non far passare nessun pacchetto diretto al nostro X server o a samba, la cinque rifiuta gli echo-request mentre la sei risponde solo ai echo-reply inviati dal nostro host. In FORWARD la prima regola ci protegge dai Syn- Floods, la seconda da scans remoti sospetti. Come avete notato soltanto la nostra rete LAN raggiunge tutti i servizi del nostro pc, su internet soltanto ssh è stato reso raggiungibile con delle semplici precauzioni, e il nostro pc non ha nessun problema nel compiere azioni quotidiane su internet, come chattare o prelevare le s. Iptables vs Ipchains In questa pagina web leggerete delle differenze (anche a livello sintattico) descritte dagli sviluppatori stessi di netfilter. A ciò che è stato scritto dagli stessi sviluppatori vorrei aggiungere qualche piccola caratteristica: A differenza di Iptables, Ipchains filtrava i pacchetti della catena FORWARD prima attraverso INPUT e poi attraverso OUTPUT. le ispezioni stateful di iptables sono state implementate nel kernel come moduli. Un firewall con ispezioni stateful è in grado di monitorare i protocolli per verificare che la comunicazione esegue correttamente le regole di tale connessione ed è capace di verificare l'autenticità dell'ip e della porta sorgente e di destinazione. Salvare le regole Una volta settato il firewall è bene salvare le regole correnti (o attive) in modo tale da non dover riscrivere il tutto al prossimo boot della macchina. Gli utenti di Red hat o Mandrake possono ricorrere al seguente metodo: $/sbin/iptables-save c > /etc/syconfig/iptables Chi utilizza distribuzioni differenti dovrebbe dare un occhiata agli script di init.d inerenti iptables. Per Debian basta indicare a /etc/init.d/*iptables di salvare le regole attive: /etc/init.d/*iptables save active Per ogni necessità consultare in /usr/share/doc/*iptables* per avere specifiche sulle metodologie di salvataggio delle regole.

11 Security Issue Anche netfilter ha avuto le sue pecche per quanto concerne l ambito della sicurezza, ricordiamo il piccolo bug inerente al Masquerade della rete. Un utente poteva rilevare i computer nattati (mascherati dietro il firewall) inviando pacchetti TCP con delle specifiche TTL. Il bug è stato risolto, chi desidera risolvere quest inconveniente dovrebbe patchare il proprio netfilter (trovate l indispensabile in oppure ricorrere ai ripari con la seguente regola in OUTPUT: iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP Questa regola evita il rilascio di informazioni pericolse tramite il firewall. Anche se è stato un articolo adatto ad ogni tipo di utenza, spero che ogni esigenza sia stata soddisfatta, e vi ricordo che per qualsiasi approfondimento il sito di netfilter (www.netfilter.org) mette a disposizione How-to e FAQ in lingua italiana e vari link ad altri siti dedicati ad iptables. Per chi ha avuto difficoltà con alcuni termini chiave quali, protocollo, flags, MAC ed altre terminologie presenti in questo articolo consiglio vivamente una "letturina" agli Appunti di informatica Libera (http://a2.swlibero.org/), che tenuti costantemente aggiornati dall'autore, stanno diventando una vera e propria bibbia italiana dell'informatica. Per il resto vi ricordo le man ("man iptables"), e la morale del giorno : "chi fa da se fa per tre".

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

TCP e UDP, firewall e NAT

TCP e UDP, firewall e NAT Università di Verona, Facoltà di Scienze MM.FF.NN. Insegnamento di Reti di Calcolatori TCP e UDP, firewall e NAT Davide Quaglia Scopo di questa esercitazione è: 1) utilizzare Wireshark per studiare il

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Netfilter: utilizzo di iptables per

Netfilter: utilizzo di iptables per Netfilter: utilizzo di iptables per intercettare e manipolare i pacchetti di rete Giacomo Strangolino Sincrotrone Trieste http://www.giacomos.it delleceste@gmail.com Sicurezza delle reti informatiche Primi

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Iptables. Mauro Piccolo piccolo@di.unito.it

Iptables. Mauro Piccolo piccolo@di.unito.it Iptables Mauro Piccolo piccolo@di.unito.it Iptables Iptables e' utilizzato per compilare, mantenere ed ispezionare le tabelle di instradamento nel kernel di Linux La configurazione di iptables e' molto

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2

Dettagli

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28 Viene proposto uno script, personalizzabile, utilizzabile in un firewall Linux con 3 interfacce: esterna, DMZ e interna. Contiene degli esempi per gestire VPN IpSec e PPTP sia fra il server stesso su gira

Dettagli

FIREWALL iptables V1.1 del 18/03/2013

FIREWALL iptables V1.1 del 18/03/2013 FIREWALL iptables V1.1 del 18/03/2013 1/18 Copyright 2013 Dott.Ing. Ivan Ferrazzi Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License,

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Proteggere la rete: tecnologie

Proteggere la rete: tecnologie Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Proteggere la rete: tecnologie Alessandro Reina Aristide Fattori

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables.

Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables. Sommario Firewall con iptables Fabio Trabucchi - Giordano Fracasso 5 Febbraio 2005 Diario delle revisioni Revisione 0.2 7 Febbraio 2005 fabio.trabucchi@studenti.unipr.it giordano.fracasso@studenti.unipr.it

Dettagli

Firewall: concetti di base

Firewall: concetti di base : concetti di base Alberto Ferrante OSLab & ALaRI, Facoltà d informatica, USI ferrante@alari.ch 4 giugno 2009 A. Ferrante : concetti di base 1 / 21 Sommario A. Ferrante : concetti di base 2 / 21 A. Ferrante

Dettagli

Filtraggio del traffico di rete

Filtraggio del traffico di rete Laboratorio di Amministrazione di Sistemi L-A Filtraggio del traffico di rete Si ringraziano sentitamente: Angelo Neri (CINECA) per il materiale sulla classificazione, le architetture ed i principi di

Dettagli

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Cosa si intende per sicurezza di rete Accesso a sistemi, servizi e risorse solo da e a persone autorizzate Evitare di essere

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Corso avanzato di Reti e sicurezza informatica

Corso avanzato di Reti e sicurezza informatica Corso avanzato di Reti e sicurezza informatica http://www.glugto.org/ GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 1 DISCLAIMER L'insegnante e l'intera associazione GlugTo non si assumono

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Marco Papa (marco@netstudent.polito.it) NetStudent Politecnico di Torino 04 Giugno 2009 Marco (NetStudent) Firewalling in GNU/Linux

Dettagli

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall IPFW su Linux Sommario Corso di Sicurezza su Reti prof. Alfredo De Santis Anno accademico 2001/2002 De Nicola Dario 56/100081 Milano Antonino 56/01039 Mirra Massimo 56/100382 Nardiello Teresa Eleonora

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

Ordine delle regole (1)

Ordine delle regole (1) Ordine delle regole (1) Se scrivo: iptables -A INPUT -p icmp -j DROP e poi ping localhost Pensa prima di Cosa succede? provare E se aggiungo: iptables -A INPUT -p icmp -j ACCEPT E ancora: iptables -I INPUT

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Kernel Linux 2.4: firewall 1985

Kernel Linux 2.4: firewall 1985 Kernel Linux 2.4: firewall 1985 Mark Grennan, Firewalling and Proxy Server HOWTO Peter Bieringer, Linux IPv6 HOWTO

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Il sistema operativo multifunzionale creato da Fulvio Ricciardi www.zeroshell.net lan + dmz + internet ( Autore: massimo.giaimo@sibtonline.net

Dettagli

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti esercizi su sicurezza delle reti 20062008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti 1 supponi i fw siano linux con iptables dai una matrice di accesso che esprima la policy qui descritta

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

User. Group Introduzione ai firewall con Linux

User. Group Introduzione ai firewall con Linux Introduzione ai firewalls Mauro Barattin e Oriano Chiaradia Introduzione Introduzione ai firewall Perché proteggersi Cosa proteggere con un firewall Approcci pratici alla sicurezza Definizione di firewall

Dettagli

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL Docente: Barbara Masucci Vedremo Cosa sono i Firewall Cosa fanno i Firewall Tipi di Firewall Due casi pratici: 1. IPCHAIN Per Linux 2. ZONE ALARM Per Windows 1 2 Introduzione Perché un Firewall? Oggi esistono

Dettagli

Reti e Sicurezza Informatica Esercitazione 1

Reti e Sicurezza Informatica Esercitazione 1 Corso di Laurea in Informatica Reti e Sicurezza Informatica Esercitazione 1 Prof.Mario Cannataro Ing. Giuseppe Pirrò Sommario Introduzione alla sicurezza I firewall (Windows e Linux) Introduzione ai Web

Dettagli

Sicurezza nelle Reti Prova d esame Laboratorio

Sicurezza nelle Reti Prova d esame Laboratorio Sicurezza nelle Reti Prova d esame Laboratorio 1 Testo d esame Scopo dell esercitazione: simulazione di esame pratico Esercizio 1 Considerando la traccia test1.lpc, il candidato esegua: Lezioni di laboratorio

Dettagli

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando Comandi di Rete Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando PING: verifica la comunicazione tra due pc Il comando ping consente di verificare la connettività a livello

Dettagli

CREA IL TUO SERVER CASALINGO

CREA IL TUO SERVER CASALINGO LINUX DAY 2008 PESCARALUG CREA IL TUO SERVER CASALINGO sottotitolo: FAI RIVIVERE IL TUO BANDONE GRAZIE A LINUX DUE DESTINI POSSIBILI: 1) Se avete hardware vecchio e/o rotto e volete liberarvene, telefonate

Dettagli

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione XIX: Virtual Private Network a.a. 2015/16 1 cba 2011 15 M.. Creative Commons

Dettagli

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività 1 MSACK::Hacklab msack.c4occupata.org In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX Imparare a NATTARE la connetività Configurare la nostra piccola workstation come

Dettagli

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o "Application Gateway )

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o Application Gateway ) Sistemi di elaborazione dell'informazione (Sicurezza su Reti) Introduzione Guida all'installazione e configurazione del Software Firewall Builder ver 2.0.2 (detto anche FWBuilder) distribuito dalla NetCitadel

Dettagli

Lo Staff di Segfault.it. Presenta:

Lo Staff di Segfault.it. Presenta: 1 http://www.segfault.it/ Lo Staff di Segfault.it Presenta: Corso di base di Netfilter/iptables Versione del documento 1.0 (Aprile 2008) 1 2 Sommario 1 Introduzione: Giorno 1...3 1.1 Iptables ed i primi

Dettagli

Problematiche di Sicurezza in Ambiente Linux

Problematiche di Sicurezza in Ambiente Linux ALESSIA CIRAUDO Problematiche di Sicurezza in Ambiente Linux Progetto Bari-Catania: Buone Prassi Integrative tra Università e Impresa FlashC om Durata: 2 mesi Tutor aziendale: Vincenzo Mosca Collaboratore

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

FIREWALL IP TABLES. April 28, 2006

FIREWALL IP TABLES. April 28, 2006 FIREWALL IP TABLES April 28, 2006 Contents 1 Prefazione 3 1.1 Disclaimer.......................................... 3 1.2 Licenza d'uso........................................ 3 2 Introduzione ai rewall

Dettagli

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy Firewall Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy preparata da: Cataldo Basile (cataldo.basile@polito.it) Andrea Atzeni (shocked@polito.it)

Dettagli

Introduzione ai servizi di Linux

Introduzione ai servizi di Linux Introduzione ai servizi di Linux Premessa Adios è un interessante sistema operativo Linux basato sulla distribuzione Fedora Core 6 (ex Red Hat) distribuito come Live CD (con la possibilità di essere anche

Dettagli

Firewall. NON è un muro di fuoco, è un muro tagliafuoco che ha il compito di isolare e

Firewall. NON è un muro di fuoco, è un muro tagliafuoco che ha il compito di isolare e FIREWALL 1 Firewall NON è un muro di fuoco, è un muro tagliafuoco che ha il compito di isolare e compartimentare una struttura. Il firewall è l'insieme delle difese perimetrali, hardware e software, costituito

Dettagli

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI) Reti Architettura a livelli (modello OSI) Prevede sette livelli: applicazione, presentazione, sessione, trasporto, rete, collegamento dei dati (datalink), fisico. TCP/IP: si può analizzare in maniera analoga

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Linux Firewall ad opera d'arte. Linux Firewalling

Linux Firewall ad opera d'arte. Linux Firewalling Pagina 1 di 43 Documentazione basata su openskills.info. ( C ) Coresis e autori vari Linux Firewall ad opera d'arte Linux Firewall ad opera d'arte P ROGRAMMA Linux Firewalling Obiettivo: Comprendere Iptables:

Dettagli

Introduzione...xv. I cambiamenti e le novità della quinta edizione...xix. Ringraziamenti...xxi. Condivisione delle risorse con Samba...

Introduzione...xv. I cambiamenti e le novità della quinta edizione...xix. Ringraziamenti...xxi. Condivisione delle risorse con Samba... Indice generale Introduzione...xv I cambiamenti e le novità della quinta edizione...xix Ringraziamenti...xxi Capitolo 1 Capitolo 2 Condivisione delle risorse con Samba...1 Reti Windows... 2 Struttura base

Dettagli

Rusty Russell v1.0.8, Tue Jul 4 14:20:53 EST 2000. 1 Introduzione 3. 2.1 Cos è?... 4 2.2 Perché?... 5. 1.3 Come?... 4 1.4 Dove?...

Rusty Russell v1.0.8, Tue Jul 4 14:20:53 EST 2000. 1 Introduzione 3. 2.1 Cos è?... 4 2.2 Perché?... 5. 1.3 Come?... 4 1.4 Dove?... Linux IPCHAINS HOWTO Rusty Russell v1.0.8, Tue Jul 4 14:20:53 EST 2000 Questo documento intende descrivere come ottenere, installare e configurare il software di enhanced IP firewalling chains per Linux,

Dettagli

Linux in Rete, stop agli intrusi

Linux in Rete, stop agli intrusi ZEUS News è un notiziario dedicato a quanto avviene nel mondo di Internet, dell'informatica, delle nuove tecnologie e della telefonia fissa e mobile: non è un semplice amplificatore di comunicati stampa

Dettagli

Transparent Firewall

Transparent Firewall Transparent Firewall Dallavalle A. Dallavalle F. Sozzi 18 Febbraio 2006 In un sistema operativo Linux con un kernel aggiornato alla versione 2.6.x è possibile realizzare un transparent firewall utilizzando

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Sommario. 1. Introduzione. Samba - Monografia per il Corso di "Laboratorio di Sistemi Operativi".

Sommario. 1. Introduzione. Samba - Monografia per il Corso di Laboratorio di Sistemi Operativi. Sommario SAMBA Raphael Pfattner 10 Giugno 2004 Diario delle revisioni Revisione 1 10 Giugno 2004 pralph@sbox.tugraz.at Revisione 0 17 Marzo 2004 roberto.alfieri@unipr.it Samba - Monografia per il Corso

Dettagli

Sicurezza delle reti 1

Sicurezza delle reti 1 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2012/13 1 cba 2011 13 M.. Creative Commons Attribuzione-Condividi allo stesso modo 3.0 Italia License. http://creativecommons.org/licenses/by-sa/3.0/it/.

Dettagli

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori I semestre 03/04 Internet Control Message Protocol ICMP Comunica messaggi di errore o altre situazioni che richiedono intervento Errore di indirizzo o di istradamento Congestione in un router Richiesta

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Manuale Turtle Firewall

Manuale Turtle Firewall Manuale Turtle Firewall Andrea Frigido Friweb snc Manuale Turtle Firewall Andrea Frigido Pubblicato 2002 Copyright 2002, 2003 Friweb snc, Andrea Frigido E permesso l uso e la riproduzine di tutto o di

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Laboratorio di Reti Esercitazione N 2-DNS Gruppo 9. Laboratorio di Reti Relazione N 2. Mattia Vettorato Alberto Mesin

Laboratorio di Reti Esercitazione N 2-DNS Gruppo 9. Laboratorio di Reti Relazione N 2. Mattia Vettorato Alberto Mesin Laboratorio di Reti Relazione N 2 Gruppo N 9 Mattia Vettorato Alberto Mesin Scopo dell'esercitazione Configurare un Name Server per un dominio, in particolare il nostro dominio sarà gruppo9.labreti.it.

Dettagli

17.2. Configurazione di un server di Samba

17.2. Configurazione di un server di Samba 17.2. Configurazione di un server di Samba Il file di configurazione di default (/etc/samba/smb.conf) consente agli utenti di visualizzare le proprie home directory di Red Hat Linux come una condivisione

Dettagli

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com Besnate, 24 Ottobre 2009 Oltre il Firewall Autore: Gianluca pipex08@gmail.com Cos'è un firewall i FIREWALL sono i semafori del traffico di rete del nostro PC Stabiliscono le regole per i pacchetti che

Dettagli

Firewall e VPN con GNU/Linux

Firewall e VPN con GNU/Linux Firewall e VPN con GNU/Linux Simone Piccardi piccardi@truelite.it Truelite Srl http://www.truelite.it info@truelite.it ii Firewall e VPN con GNU/Linux Prima edizione Copyright c 2003-2014 Simone Piccardi

Dettagli

Informazioni Generali (1/2)

Informazioni Generali (1/2) Prima Esercitazione Informazioni Generali (1/2) Ricevimento su appuntamento (tramite e-mail). E-mail d.deguglielmo@iet.unipi.it specificare come oggetto Reti Informatiche 2 Informazioni Generali (2/2)

Dettagli

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it Corso GNU/Linux - Lezione 5 Davide Giunchi - davidegiunchi@libero.it Reti - Protocollo TCP/IP I pacchetti di dati vengono trasmessi e ricevuti in base a delle regole definite da un protocollo di comunicazione.

Dettagli

Firewall e VPN con GNU/Linux

Firewall e VPN con GNU/Linux Firewall e VPN con GNU/Linux Simone Piccardi piccardi@truelite.it Truelite Srl http://www.truelite.it info@truelite.it ii Copyright c 2003-2004 Simone Piccardi & Truelite S.r.l. Permission is granted to

Dettagli

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32

Dettagli

Network Scanning: Tecniche & Politiche

Network Scanning: Tecniche & Politiche Network Scanning: Tecniche & Politiche Gruppo 4 Sebastiano Vascon 788442 me@xwasco.com 1 Cos'è il Network Scanning? E' una tecnica utilizzata per analizzare i computer presenti su una rete. La utilizzano

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

GNU/Linux e i firewall

GNU/Linux e i firewall GNU/Linux e i firewall Relatori: Giorgio Bodo Bodini Roberto Oliverino Azzini Classificazione delle reti in base all'estensione VPN VPN: Virtual Private Network LAN security gateway security gateway LAN

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Seconda esercitazione Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Test di connettività ping traceroute Test del DNS nslookup

Dettagli

Il protocollo IP (Internet Protocol)

Il protocollo IP (Internet Protocol) Politecnico di Milano Advanced Network Technologies Laboratory Il protocollo IP (Internet Protocol) -Servizi offerti da IP -Formato del pacchetto IP 1 Il servizio di comunicazione offerto da IP Connectionless

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità ping traceroute netstat Test del DNS nslookup

Dettagli

Controllo remoto di SPEEDY

Controllo remoto di SPEEDY UNIVERSITÀ DI BRESCIA FACOLTÀ DI INGEGNERIA Dipartimento di Elettronica per l Automazione Laboratorio di Robotica Avanzata Advanced Robotics Laboratory Corso di Robotica (Prof. Riccardo Cassinis) Controllo

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Ing. Gabriele MONTI 2001-2007 Reti in Linux www.ingmonti.it

Ing. Gabriele MONTI 2001-2007 Reti in Linux www.ingmonti.it 1 Linux Networking 1.1 Indirizzi MAC Assegnati dal produttore della scheda. Numeri di 48 bit. Numero di lotto - numero di scheda. Spesso è possibile cambiarli via software. 1.2 Indirizzi IP Dato che gli

Dettagli

Masquerading made simple HOWTO

Masquerading made simple HOWTO John Tapsell thomasno@spamresonanceplease.org Thomas Spellman thomas@resonance.org Matthias Grimm DeadBull@gmx.net Tutti gli autori sono contattabili sul canale #debian su irc.opensource.net John Tapsell

Dettagli

Un sistema di Network Intrusion Detection basato su tcpdump

Un sistema di Network Intrusion Detection basato su tcpdump I INFN Security Workshop Firenze 19-20 Settembre 2000 Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN Sezione di Padova Perche` utilizzare un sistema di Network Intrusion

Dettagli

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione XIII Capitolo 1 Introduzione agli strumenti di sicurezza Open Source 1 Strumenti utilizzati negli esempi di questo libro 2 1.1 Licenza GPL

Dettagli

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico IP e subnetting Ip IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico come nel caso del MAC Address) una

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

Guida rapida - rete casalinga (con router)

Guida rapida - rete casalinga (con router) Guida rapida - rete casalinga (con router) Questa breve guida, si pone come obiettivo la creazione di una piccola rete ad uso domestico per la navigazione in internet e la condivisione di files e cartelle.

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

Guida pratica all utilizzo di Zeroshell

Guida pratica all utilizzo di Zeroshell Guida pratica all utilizzo di Zeroshell Il sistema operativo multifunzionale creato da Fulvio.Ricciardi@zeroshell.net www.zeroshell.net Proteggere una piccola rete con stile ( Autore: cristiancolombini@libero.it

Dettagli

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica Dipartimento di Informatica - Università di Verona Laboratorio di Networking Operating Systems Lezione 2 Principali strumenti di diagnostica Master in progettazione e gestione di sistemi di rete edizione

Dettagli

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email.

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email. Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005 LINUX LINUX CON RETI E TCP/IP http://happytux.altervista.org ~ anna.1704@email.it 1 LAN con router adsl http://happytux.altervista.org

Dettagli

Applicativo di Gnome per la configurazione automatica della rete

Applicativo di Gnome per la configurazione automatica della rete Linux e la rete Configurazione delle connessioni di rete Il modo più semplice per farlo è usare il tool grafico di gnome Il presente documento costituisce solo una bozza di appunti riguardanti gli argomenti

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

CONFIGURARE SAMBA 3 SU SUSE LINUX 9.1/9.2

CONFIGURARE SAMBA 3 SU SUSE LINUX 9.1/9.2 CONFIGURARE SAMBA 3 SU SUSE LINUX 9.1/9.2 1. INTRODUZIONE In questa guida si illustra la procedura di configurazione di samba 3 su SuSE Linux 9.1 e su SuSE Linux 9.2. Saranno brevemente illustrate le operazioni

Dettagli

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Soluzioni dell esercitazione n. 2 a cura di Giacomo Costantini 19 marzo 2014

Dettagli