Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables.

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables."

Transcript

1 Sommario Firewall con iptables Fabio Trabucchi - Giordano Fracasso 5 Febbraio 2005 Diario delle revisioni Revisione Febbraio Creazione di un firewall su GNU/Linux con iptables. Introduzione Prepararazione del sistema Download dei sorgenti Patching e configurazione dei sorgenti del kernel Compilazione dei sorgenti del kernel Creazione degli scripts di iptables Creazione dello script di avvio del firewall Creazione dello script di stop del firewall Introduzione Col passare del tempo, GNU/Linux sta diventando una piattaforma sempre più utilizzata nel mondo di internet. Con il maggior numero di utenti e con l interesse suscitato ultimamente, le sue potenzialità come server di rete sono cresciute in maniera esponenziale. Inoltre i kernel Linux 2.4.x e 2.6.x offrono strumenti estremamente potenti e flessibili per la realizzazione di firewall, come iptables. Come caso reale di studio creiamo un firewall utilizzando le catene di IPTABLES su un sistema operativo GNU/Linux che permette di proteggere una rete strutturata nel modo seguente: Dovrà essere attivata una NAT tra la LAN e INTERNET quindi le macchine in LAN dovranno uscire con l indirizzo pubblico del firewall Da INTERNET verso la LAN dovrà risultare tutto chiuso. 1

2 Dovrà essere attivata una NAT tra la DMZ e INTERNET quindi assegnare a due macchine in DMZ, con indirizzi ip e , due indirizzi ip pubblici, rispettivamente e Da INTERNET verso le due macchine in DMZ dovranno risultare aperti i seguenti servizi: smtp verso http e https verso Le macchine in DMZ dovranno poter effettuare videoconferenze (H323 es netmeeting) con macchine in area pubblica. Dalla DMZ ad INTERNET lasciare passare solo il traffico necessario per i servizi sopra citati. Dalla DMZ alla LAN sarà necessario permettere la comunicazione smtp da verso la macchina e imap dalla macchina verso (per permettere la pubblicazione della posta con webmail). Dalla LAN permettere qualunque accesso sia in DMZ che verso INTERNET. Prepararazione del sistema Per poter usufruire delle nuove funzionalità messe a disposizione dal kernel di GNU/Linux, è indispensabile che il sistema soddisfi alcuni prerequisiti per essere in grado di ospitare un firewall software, in particolare nel nostro caso è servito: Un kernel compilato con supporto per iptables, per il tracking (tracciamento) delle connessioni e per tutti i tipi di NAT (i kernel delle maggiori distribuzioni vengono distribuiti con i moduli necessari). Una versione di iptables possibilmente uguale o superiore alla 1.2.7a, e del pacchetto iproute, sempre compilato per essere usato con il vostro kernel. Tutti questi strumenti sono solitamente precompilati e disponibili nella maggior parte delle distribuzioni. Per verificare la loro presenza, abbiamo provato ad eseguire da riga di comando i comandi: iptables, ip. Il sistema fornitoci per ospitare il firewall è GNU/Linux Red Hat 9 con upgrade vari, sul quale vi erano già installati la maggior parte degli elementi che ci sono serviti per la realizzazione del firewall. La macchina utilizzava un kernel patchato e precompilato da Red Hat e distribuito mediante rpm. Tuttavia, data la necessità di aggiungere il supporto ad H323, solitamente non incluso di default nel netfilter del kernel 2.4.X, è stato necessario effettuare diverse modifiche al sistema, riportate di seguito. Download dei sorgenti E stato necessario scaricare una versione standard del kernel dal sito in modo da poterlo patchare senza problemi con patch-o-matic per aggiungere le nuove funzionalità. Per non alterare il sistema abbiamo preferito non cambiare versione del kernel e scaricare i sorgenti della versione alla quale abbiamo aggiunto i sorgenti del driver del kernel fornito da Red Hat, per avere il supporto di una delle schede di rete presenti sulla macchina adibita a firewall dato che non ha funzionato correttamente con il kernel versione standard. 2

3 Abbiamo scaricato dal sito i sorgenti della versione 1.2.7a di iptables utilizzati poi per patchare il kernel. Abbiamo scaricato dal sito ftp://ftp.netfilter.org/pub/patch-o-maticftp://ftp.netfilter.org/pub/patch-o-matic l ultima versione disponibile dei sorgenti di, patch-o-matic-ng patch-o-matic-ng , che abbiamo usato per aggiungere al netfilter del kernel le funzionalità di nat e filtraggio dell H323. Patching e configurazione dei sorgenti del kernel Prima di tutto è necessario estrarre il pacchetto del kernel scaricato nella cartella dove solitamente sono posizionati i sorgenti dei vari kernel presenti sulla macchina: /usr/src. Avendoli scaricati già nella cartella /usr/src li abbiamo estratti con il comando: # cd /usr/src/ # tar xvjf linux tar.bz2 Abbiamo recuperato il file di configurazione del kernel attualmente in funzione e lo abbiamo copiato nella cartella appena estratta in modo da avere una configurazione di base del tutto simile a quella corrente: # cp /boot/config smp /usr/src/linux /.config Abbiamo creato la cartella /usr/src/net dove all interno abbiamo copiato gli archivi compressi dei sorgenti scaricati di iptables e patch-o-matic e li abbiamo estratti: # tar -xjf patch-o-matic-ng tar.bz2 # tar -xjf iptables-1.2.7a.tar.bz2 Per poter funzionare, patch-o-metic ha bisogno che vengano specificate due variabili di ambiente per localizzare correttamente il kernel che vogliamo patchare e i sorgenti di riferimento di iptables, le abbiamo settate come segue: # export IPTABLES_DIR=/usr/src/net/iptables-1.2.7a # export KERNEL_DIR=/usr/src/linux Posizionandoci nelle cartella /usr/src/net/patch-o-matic-ng abbiamo eseguito il tool automatizzato per aggiungere le patch necessarie al kernel. Ricordiamo che patch-o-matic divide le patch in sezioni, pending, base, extra. Nel nostro caso, riferendoci all H323 sono fornite dalla sezione extra: #./runme extra Le patch che abbiamo scelto di aggiungere sono quelle riferite ai seguenti moduli del kernel: # ip_nat_h323 3

4 # ip_conntrack_h323 Il patching del kernel ha avuto successo! Possiamo aggiungere nel config il supporto all H323 e a tutto il necessario per le varie funzioni di filtering e nat fornite da ipables. Eseguiamo il tool di configurazione grafica dei sorgenti del kernel: # cd /usr/src/linux # make xconfig Nella sezione Networking e nella sottosezione Netfilter packets filtering abbiamo incluso tutti i moduli relativi alle funzioni necessarie al funzionamento di iptables, quindi quelle basilari, escludendo le funzioni ancora in fase di sperimentazione, selezionando alla fine l inclusione, come moduli, delle caratteristiche appena aggiunte riguardanti H323. Per evitare inutili warnings all avvio dei vari Desktop Environments presenti sulla macchina, precompilati, abbiamo scelto in modo "didattico" di non privare il kernel del supporto all audio e delle funzionalità di cui un buon firewall andrebbe privato per limitare le possibilità di sfruttamento di eventuali vulnerabilità presenti nei vari moduli ed in generale nel software installato e non strettamente necessario. Infine abbiamo scelto di ottimizzare il kernel scegliendo come architettura x86_32 Pentium4, in modo da sfruttare pienamente le caratteristiche di questa CPU. Compilazione dei sorgenti del kernel Per compilare il kernel abbiamo eseguito ripettivamente: per la verifica delle dipendenze tra i vari moduli il comando # make dep per la compilazione dell immagine del kernel con le funzionalità built-in # make bzimage per la compilazione dei moduli # make modules per l installazione dei moduli # make modules_install per l installazione dell immagine del kernel e la creazione automatica della voce nel boot-loader GRUB # make install 4

5 Abbiamo dunque effettuato il riavvio della macchina scegliendo come default kernel quello appena installato. Creazione degli scripts di iptables Abbiamo creato due script bash: startfwstartfw e stopfwstopfw. Nello script di start abbiamo inserito tutti i comandi per settare le interfacce di rete, le regole che ipatables dovrà seguire, ed il settaggio di alcuni file di sistema. Nello script di stop abbiamo inserito i comandi necessari ad eliminare tutte le regole da noi inserite e riportare iptables alla situazione di default dove il firewall permette qualsiasi accesso. Creazione dello script di avvio del firewall Abbiamo impostostato diverse variabili che utilizziamo in seguito per riferirci ai rispetivi indirizzi, interfacce di rete, e catene all interno dello script. #!/bin/bash echo "# settaggio variabili #" DEV_FW_LAN="eth0" DEV_FW_DMZ="eth1" DEV_FW_INTERNET="eth2" LAN_IP_RANGE=" /24" DMZ_IP_RANGE=" /24" IP_FW_LAN=" " IP_FW_DMZ=" " IP_FW_INTERNET=" " IP_DMZ1_INTERNET=" " IP_DMZ2_INTERNET=" " IP_LAN1=" " IP_DMZ1=" " IP_DMZ2=" " IP_DEF_GATEWAY=" " LAN_DMZ_CHAIN="lan-dmz" LAN_INTERNET_CHAIN="lan-internet" DMZ_INTERNET_CHAIN="dmz-internet" DMZ_LAN_CHAIN="dmz-lan" INTERNET_DMZ_CHAIN="internet-dmz" INTERNET_LAN_CHAIN="internet-lan" Eliminiamo tutte le configurazioni esistenti dei dispositivi fisici e logici di rete per poterli poi configurare in modo sicuro. ##### echo "# elimina route, indirizzi e disattiva le schede di rete #" ##### 5

6 ( for INTERFACE in $DEV_FW_LAN $DEV_FW_DMZ $DEV_FW_INTERNET do ip route flush dev $INTERFACE ip addr flush dev $INTERFACE ip link set down dev $INTERFACE done; ) &>/dev/null Configuriamo ora le interfacce di rete. Da notare che l interfaccia pubblica (internet) del firewall DEV_FW_INTERNETDEV_FW_INTERNET possiede tre indirizzi ip: Il primo è associato al firewall stesso, il secondo ed il terzo sono gli indirizzi associati alle macchiane in DMZ che devono offrire servizi su internet. ###### echo "# configurazione interfacce #" ###### ip addr add $IP_FW_LAN/24 dev $DEV_FW_LAN ip addr add $IP_FW_DMZ/24 dev $DEV_FW_DMZ ip addr add $IP_FW_INTERNET/24 dev $DEV_FW_INTERNET ip addr add $IP_FW_DMZ1_INTERNET/24 dev $DEV_FW_INTERNET ip addr add $IP_FW_DMZ2_INTERNET/24 dev $DEV_FW_INTERNET Rimuoviamo tutte le regole di ipatables eventualmente esistenti per non duplicarle ogni volta che si avvia lo script. Per intederci, ipatables ha tre tabelle: filter: usata esclusivamente per filtrare i pacchetti. Ci sono tre catene built-in in questa tabella. La prima, denominata FORWARD, è usata solo sui pacchetti generati non localmente e non destinati all host locale (in altre parole il firewall); la seconda catena, INPUT, è usata su tutti i pacchetti destinati all host locale; la terza, OUTPUT, è usata sui pacchetti generati localmente dal firewall. nat: usata per il Network Address Translation. Effettua il NAT degli indirizzi ip per far transitare i pacchetti delle reti che attraversano il firewall. Anche qui ci sono tre catene built-in. La prima è PREROUTING che viene utilizzata per modificare i pacchetti prima che vangano processati dal firewall. La seconda, OUTPUT, viene utilizzata per alterare i pacchetti generati localmente prima che vengano prese decisioni di routing. L ultima catena è POSTROUTING e viene utilizzata sui pacchetti che stanno per lasciare il firewall. mangle: utilizzata per operare delle manipolazioni anche sofisticate dei pacchetto ed è costituita da due catene buil-in: PREROUTING e OUTPUT. Nel nostro caso non viene usata. Per default il comando iptablesiptables fa riferimento alla tabella filter, ove diversamente specificato: ipatables -t filteripatables -t filter è equivalente a iptablesiptables ####################### echo "# rimuove tutte le regole da tutte le catene #" ####################### 6

7 iptables --flush iptables -t nat --flush iptables -t mangle --flush Impostiamo le policy, ovvero la politica che intendiamo adottare per il trattamento dei pacchetti che attraversano le catene; nella tabella filter scartiamo (DROP) tutti i pacchetti su tutte le catene, nella tabella nat e mangle lasciamo passare tutto (ACCEPT) su tutte le catene. echo "# impostazione policy #" iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP iptables -t nat --policy PREROUTING ACCEPT iptables -t nat --policy OUTPUT ACCEPT iptables -t nat --policy POSTROUTING ACCEPT iptables -t mangle --policy PREROUTING ACCEPT iptables -t mangle --policy OUTPUT ACCEPT Eliminiamo da tutte le tabelle di iptables le catene definite da utente. echo "# elimina tutte le catene user-defined preesistenti #" iptables --delete-chain iptables -t nat --delete-chain iptables -t mangle --delete-chain Nelle seguenti righe impostiamo le nostre prime regole. Nella prima riga appendiamo alla catena di INPUT la regola che permette di accettare tutti i pacchetti che hanno uno stato NEW,ESTABLISHED, RELATED. Stessa cosa per la catena di OUTPUT e FORWARD omettendo NEW. Scartiamo invece tutti i pacchetti che hanno uno stato INVALID. Questa decisione è stata presa in modo da bypassare il firewall in presenza di pacchetti relativi a connessioni che non rispettano queste specifiche. ############# echo "# si usa Connection State per bypassare i controlli delle regole #" ############# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP 7

8 iptables -A FORWARD -m state --state INVALID -j DROP Nelle seguenti righe appendiamo alla catena di FORWARD regole che ci permettono di scartare i pacchetti "spoofed", cioè aventi ip non permessi. ## echo "# rigetto pacchetti indesiderati dalla rete (spoofed) #" ## iptables -A FORWARD -i $DEV_FW_LAN -s! $LAN_IP_RANGE -j DROP iptables -A FORWARD -i $DEV_FW_DMZ -s! $DMZ_IP_RANGE -j DROP Consentiamo l accesso via ssh al firewall, permettiamo gli echo-request e rifiutiamo con un "tcp-reset" i pacchetti con protocollo TCP che non matchano con le prime due regole; i pacchetti che non soddisfano queste regole verranno notificati sul file di log del kernel (dmesg). ####################### echo "# regole INPUT #" ####################### iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset iptables -A INPUT -j LOG --log-prefix "INPUT-FW dropped packets" --log-ip-options A scopo puramente didattico e dimostrativo permettiamo l accesso ssh dal firewall verso la LAN e verso la DMZ. ######################## echo "# regole OUTPUT #" ######################## iptables -A OUTPUT -p tcp -d $LAN_IP_RANGE --sport ssh -j ACCEPT iptables -A OUTPUT -p tcp -d $DMZ_IP_RANGE --sport ssh -j ACCEPT iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset iptables -A OUTPUT -j LOG --log-prefix "OUTPUT-FW dropped packets" --log-ip-options Oltre alle catene predefinite che costituiscono le tabelle iptables, è ovviamente possibile aggiungere catene da noi definite, nel nostro caso suddividiamo il traffico in sei catene, come segue: ########################### echo "# creazione catene #" ########################### iptables -N $LAN_DMZ_CHAIN iptables -N $LAN_INTERNET_CHAIN iptables -N $DMZ_INTERNET_CHAIN iptables -N $DMZ_LAN_CHAIN 8

9 iptables -N $INTERNET_DMZ_CHAIN iptables -N $INTERNET_LAN_CHAIN Demandiamo il traffico di FORWARD sul firewall alle nostre sei catene in base al dispositivo di rete di ingresso e di uscita. ######################### echo "# regole FORWARD #" ######################### iptables -A FORWARD -i $DEV_FW_LAN -o $DEV_FW_DMZ -j $LAN_DMZ_CHAIN iptables -A FORWARD -i $DEV_FW_LAN -o $DEV_FW_INTERNET -j $LAN_INTERNET_CHAIN iptables -A FORWARD -i $DEV_FW_DMZ -o $DEV_FW_INTERNET -j $DMZ_INTERNET_CHAIN iptables -A FORWARD -i $DEV_FW_DMZ -o $DEV_FW_LAN -j $DMZ_LAN_CHAIN iptables -A FORWARD -i $DEV_FW_INTERNET -o $DEV_FW_DMZ -j $INTERNET_DMZ_CHAIN iptables -A FORWARD -i $DEV_FW_INTERNET -o $DEV_FW_LAN -j $INTERNET_LAN_CHAIN Iniziamo a descrivere le prime user-definied-chains. Il traffico proveniente dalla lan e destinato alla dmz, per essere accettato, deve provenire dal range di idirizzi ip della lan e destinato al range di indirizzi ip della dmz; i pacchetti che non soddisfano questa regola verranno notificati sul file di log del kernel (dmesg). ######################### echo "# regole lan-dmz #" ######################### iptables -A $LAN_DMZ_CHAIN -s $LAN_IP_RANGE -d $DMZ_IP_RANGE -j ACCEPT iptables -A $LAN_DMZ_CHAIN -j LOG --log-prefix "LAN-DMZ dropped packets" --log-ipoptions Come sopra, ma per il traffico dalla lan a internet. echo "# regole lan-internet #" iptables -A $LAN_INTERNET_CHAIN -s $LAN_IP_RANGE -j ACCEPT iptables -A $LAN_INTERNET_CHAIN -j LOG --log-prefix "LAN- INTERNET dropped packets" --log-ip-options Il traffico da internet alla lan è consentito solo per le connessioni già stabilite dalla lan. echo "# regole internet-lan #" iptables -A $INTERNET_LAN_CHAIN -p tcp -j REJECT --reject-with tcp-reset 9

10 iptables -A $INTERNET_LAN_CHAIN -j LOG --log-prefix "INTERNET- LAN dropped packets" --log-ip-options Qui invece accettiamo i pacchetti con protocollo TCP con porta sorgente smtp e imap provenienti rispettivamente da IP_DMZ1IP_DMZ1 e IP_DMZ2IP_DMZ2 destinati a IP_LAN1IP_LAN1. Altrimenti i pacchetti subiscono la sorte che già conoscete. ######################### echo "# regole dmz-lan #" ######################### iptables -A $DMZ_LAN_CHAIN -s $IP_DMZ1 -d $IP_LAN1 -p tcp --sport smtp -j ACCEPT iptables -A $DMZ_LAN_CHAIN -s $IP_DMZ2 -d $IP_LAN1 -p tcp --sport imap -j ACCEPT iptables -A $DMZ_LAN_CHAIN -p tcp -j REJECT --reject-with tcp-reset iptables -A $DMZ_LAN_CHAIN -j LOG --log-prefix "DMZ-LAN dropped packets" --log-ipoptions Le seguenti prime tre righe consentono di accedere ai servizi smtp, http e https forniti dalle macchine in dmz dall esterno (internet); le restanti regole permettono il traffico H323 dalla dmz a internet per effettuare videoconferenze (netmeeting, ecc..). echo "# regole dmz-internet #" iptables -A $DMZ_INTERNET_CHAIN -s $IP_DMZ1 -p tcp --sport smtp -j ACCEPT iptables -A $DMZ_INTERNET_CHAIN -s $IP_DMZ2 -p tcp --sport http -j ACCEPT iptables -A $DMZ_INTERNET_CHAIN -s $IP_DMZ2 -p tcp --sport https -j ACCEPT iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport iptables -A $DMZ_INTERNET_CHAIN -p tcp -j REJECT --reject-with tcp-reset iptables -A $DMZ_INTERNET_CHAIN -j LOG --log-prefix "DMZ- INTERNET dropped packets" --log-ip-options Come sopra, in modo duale. Inoltre controlliamo preventivamente che la destinazione del traffico verso la dmz riporti il corretto range ip di destinazione. echo "# regole internet-dmz #" 10

11 iptables -A $INTERNET_DMZ_CHAIN -d! $DMZ_IP_RANGE -j DROP iptables -A $INTERNET_DMZ_CHAIN -d $IP_DMZ1 -p tcp --dport smtp -j ACCEPT iptables -A $INTERNET_DMZ_CHAIN -d $IP_DMZ2 -p tcp --dport http -j ACCEPT iptables -A $INTERNET_DMZ_CHAIN -d $IP_DMZ2 -p tcp --dport https -j ACCEPT iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport iptables -A $INTERNET_DMZ_CHAIN -p tcp -j REJECT --reject-with tcp-reset iptables -A $INTERNET_DMZ_CHAIN -j LOG --log-prefix "INTERNET- DMZ dropped packets" --log-ip-options Le macchine in lan vengono nattate in modo da uscire su internet con l indirizzo ip pubblico del firewall. echo "# NAT lan -> internet #" iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $LAN_IP_RANGE -j SNAT --tosource $IP_FW_INTERNET Le due macchine in dmz che offrono i servizi, devono essere accessibili da internet attraverso i loro rispettivi ip pubblici. echo "# NAT internet -> dmz #" iptables -t nat -A PREROUTING -i $DEV_FW_INTERNET -d $IP_DMZ1_INTERNET -p tcp -- dport smtp -j DNAT --to-destination $IP_DMZ1 iptables -t nat -A PREROUTING -i $DEV_FW_INTERNET -d $IP_DMZ2_INTERNET -p tcp -- dport http -j DNAT --to-destination $IP_DMZ2 iptables -t nat -A PREROUTING -i $DEV_FW_INTERNET -d $IP_DMZ2_INTERNET -p tcp -- dport https -j DNAT --to-destination $IP_DMZ2 Come sopra in modo duale. ########################## echo "# dmz -> internet #" ########################## 11

12 iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $IP_DMZ1 -p tcp -- sport smtp -j SNAT --to-source $IP_DMZ1_INTERNET iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $IP_DMZ2 -p tcp -- sport http -j SNAT --to-source $IP_DMZ2_INTERNET iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $IP_DMZ2 -p tcp -- sport https -j SNAT --to-source $IP_DMZ2_INTERNET Finito di specificare le nostre regole del firewall, non ci resta che attivare le interfacce di rete e settare il default gataway. ########### echo "# attivazione interfacce di rete #" ########### ( for INTERFACE in $DEV_FW_LAN $DEV_FW_DMZ $DEV_FW_INTERNET do ip link set up dev $INTERFACE done; ) &>/dev/null ip route add default via $IP_DEF_GATEWAY Settiamo i file di proc in modo che il nostro sistema sia pronto ad accogliere il firewall. I file di proc che ci interessano si trovano nella cartella /proc/sys/net. Questi file ci consentono di modificare il comportamento della nostra macchina in rete, cioè di modificare molti dei parametri usati dal kernel per prendere le decisioni sui pacchetti. In pratica, ad ogni file corrisponde una variabile, che può assumere come valore 1 o 0 (attivo o inattivo). # echo "# settaggio file /proc #" # echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter echo "FIREWALL STARTED CORRECTLY" Creazione dello script di stop del firewall Nello script di stop eliminiamo tutte le catene e le regole da noi impostate, ripristinado la situazione iniziale, salvata sul file default-iptables-ruledefault-iptables-rule riportante la confiurazione di default in cui iptables accetta qualcunque cosa. 12

13 #!/bin/bash ###################### echo "# elimina tutte le catene e tutte le regole #" ###################### for table in nat mangle filter do iptables -t $table --flush iptables -t $table --delete-chain done cat default-iptables-rule iptables-restore echo "FIREWALL STOPPED CORRECTLY" 13

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Transparent Firewall

Transparent Firewall Transparent Firewall Dallavalle A. Dallavalle F. Sozzi 18 Febbraio 2006 In un sistema operativo Linux con un kernel aggiornato alla versione 2.6.x è possibile realizzare un transparent firewall utilizzando

Dettagli

Corso avanzato di Reti e sicurezza informatica

Corso avanzato di Reti e sicurezza informatica Corso avanzato di Reti e sicurezza informatica http://www.glugto.org/ GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 1 DISCLAIMER L'insegnante e l'intera associazione GlugTo non si assumono

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2

Dettagli

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28 Viene proposto uno script, personalizzabile, utilizzabile in un firewall Linux con 3 interfacce: esterna, DMZ e interna. Contiene degli esempi per gestire VPN IpSec e PPTP sia fra il server stesso su gira

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Il sistema operativo multifunzionale creato da Fulvio Ricciardi www.zeroshell.net lan + dmz + internet ( Autore: massimo.giaimo@sibtonline.net

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Cosa si intende per sicurezza di rete Accesso a sistemi, servizi e risorse solo da e a persone autorizzate Evitare di essere

Dettagli

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Marco Papa (marco@netstudent.polito.it) NetStudent Politecnico di Torino 04 Giugno 2009 Marco (NetStudent) Firewalling in GNU/Linux

Dettagli

Iptables. Mauro Piccolo piccolo@di.unito.it

Iptables. Mauro Piccolo piccolo@di.unito.it Iptables Mauro Piccolo piccolo@di.unito.it Iptables Iptables e' utilizzato per compilare, mantenere ed ispezionare le tabelle di instradamento nel kernel di Linux La configurazione di iptables e' molto

Dettagli

FIREWALL iptables V1.1 del 18/03/2013

FIREWALL iptables V1.1 del 18/03/2013 FIREWALL iptables V1.1 del 18/03/2013 1/18 Copyright 2013 Dott.Ing. Ivan Ferrazzi Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License,

Dettagli

Firewall: concetti di base

Firewall: concetti di base : concetti di base Alberto Ferrante OSLab & ALaRI, Facoltà d informatica, USI ferrante@alari.ch 4 giugno 2009 A. Ferrante : concetti di base 1 / 21 Sommario A. Ferrante : concetti di base 2 / 21 A. Ferrante

Dettagli

TCP e UDP, firewall e NAT

TCP e UDP, firewall e NAT Università di Verona, Facoltà di Scienze MM.FF.NN. Insegnamento di Reti di Calcolatori TCP e UDP, firewall e NAT Davide Quaglia Scopo di questa esercitazione è: 1) utilizzare Wireshark per studiare il

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Netfilter: utilizzo di iptables per

Netfilter: utilizzo di iptables per Netfilter: utilizzo di iptables per intercettare e manipolare i pacchetti di rete Giacomo Strangolino Sincrotrone Trieste http://www.giacomos.it delleceste@gmail.com Sicurezza delle reti informatiche Primi

Dettagli

Proteggere la rete: tecnologie

Proteggere la rete: tecnologie Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Proteggere la rete: tecnologie Alessandro Reina Aristide Fattori

Dettagli

Filtraggio del traffico di rete

Filtraggio del traffico di rete Laboratorio di Amministrazione di Sistemi L-A Filtraggio del traffico di rete Si ringraziano sentitamente: Angelo Neri (CINECA) per il materiale sulla classificazione, le architetture ed i principi di

Dettagli

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti esercizi su sicurezza delle reti 20062008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti 1 supponi i fw siano linux con iptables dai una matrice di accesso che esprima la policy qui descritta

Dettagli

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività 1 MSACK::Hacklab msack.c4occupata.org In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX Imparare a NATTARE la connetività Configurare la nostra piccola workstation come

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Ordine delle regole (1)

Ordine delle regole (1) Ordine delle regole (1) Se scrivo: iptables -A INPUT -p icmp -j DROP e poi ping localhost Pensa prima di Cosa succede? provare E se aggiungo: iptables -A INPUT -p icmp -j ACCEPT E ancora: iptables -I INPUT

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy Firewall Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy preparata da: Cataldo Basile (cataldo.basile@polito.it) Andrea Atzeni (shocked@polito.it)

Dettagli

User. Group Introduzione ai firewall con Linux

User. Group Introduzione ai firewall con Linux Introduzione ai firewalls Mauro Barattin e Oriano Chiaradia Introduzione Introduzione ai firewall Perché proteggersi Cosa proteggere con un firewall Approcci pratici alla sicurezza Definizione di firewall

Dettagli

Incontri a Tema Universita deglistudidipadova. GNU/Linux Firewall. Alberto Cammozzo Mauro Malvestio {mmzz, malveo} @ stat.unipd.it

Incontri a Tema Universita deglistudidipadova. GNU/Linux Firewall. Alberto Cammozzo Mauro Malvestio {mmzz, malveo} @ stat.unipd.it Incontri a Tema Universita deglistudidipadova GNU/Linux Firewall Alberto Cammozzo Mauro Malvestio {mmzz, malveo} @ stat.unipd.it NAT (SNAT / DNAT / MASQ) SNAT : Cambia la provenienza della connesione [SOURCE

Dettagli

SHAPER. Pierpaolo Palazzoli, Brescia, Italy Fabio Mostarda, Brescia, Italy Claudia Ghelfi, Brescia, Italy

SHAPER. Pierpaolo Palazzoli, Brescia, Italy Fabio Mostarda, Brescia, Italy Claudia Ghelfi, Brescia, Italy SHAPER Pierpaolo Palazzoli, Brescia, Italy Fabio Mostarda, Brescia, Italy Claudia Ghelfi, Brescia, Italy INTRODUZIONE Lo Shaper è uno strumento che consente di sagomare il profilo di traffico su di una

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email.

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email. Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005 LINUX LINUX CON RETI E TCP/IP http://happytux.altervista.org ~ anna.1704@email.it 1 LAN con router adsl http://happytux.altervista.org

Dettagli

FIREWALLING, CONFIGURAZIONI E NETFILTER Corso di Sicurezza e Gestione delle reti

FIREWALLING, CONFIGURAZIONI E NETFILTER Corso di Sicurezza e Gestione delle reti FIREWALLING, CONFIGURAZIONI E NETFILTER Corso di Sicurezza e Gestione delle reti LEONARDO MACCARI: LEONARDO.MACCARI@UNIFI.IT LART - LABORATORIO DI RETI E TELECOMUNICAZIONI DIPARTIMENTO DI ELETTRONICA E

Dettagli

Sicurezza nelle Reti Prova d esame Laboratorio

Sicurezza nelle Reti Prova d esame Laboratorio Sicurezza nelle Reti Prova d esame Laboratorio 1 Testo d esame Scopo dell esercitazione: simulazione di esame pratico Esercizio 1 Considerando la traccia test1.lpc, il candidato esegua: Lezioni di laboratorio

Dettagli

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione XIX: Virtual Private Network a.a. 2015/16 1 cba 2011 15 M.. Creative Commons

Dettagli

Lo Staff di Segfault.it. Presenta:

Lo Staff di Segfault.it. Presenta: 1 http://www.segfault.it/ Lo Staff di Segfault.it Presenta: Corso di base di Netfilter/iptables Versione del documento 1.0 (Aprile 2008) 1 2 Sommario 1 Introduzione: Giorno 1...3 1.1 Iptables ed i primi

Dettagli

Indice. Indice V. Introduzione... XI

Indice. Indice V. Introduzione... XI V Introduzione........................................................ XI PARTE I Installazione di Linux come Server.............................. 1 1 Riepilogo tecnico delle distribuzioni Linux e di Windows

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Kernel Linux 2.4: firewall 1985

Kernel Linux 2.4: firewall 1985 Kernel Linux 2.4: firewall 1985 Mark Grennan, Firewalling and Proxy Server HOWTO Peter Bieringer, Linux IPv6 HOWTO

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Reti e Sicurezza Informatica Esercitazione 1

Reti e Sicurezza Informatica Esercitazione 1 Corso di Laurea in Informatica Reti e Sicurezza Informatica Esercitazione 1 Prof.Mario Cannataro Ing. Giuseppe Pirrò Sommario Introduzione alla sicurezza I firewall (Windows e Linux) Introduzione ai Web

Dettagli

How build a Fedora HPC cluster running OpenFoam in parallel, using Torque/PBS, OpenMPI, Host-based authentication and NFS

How build a Fedora HPC cluster running OpenFoam in parallel, using Torque/PBS, OpenMPI, Host-based authentication and NFS How build a Fedora HPC cluster running OpenFoam in parallel, using Torque/PBS, OpenMPI, Host-based authentication and NFS Pier Paolo Ciarravano 19/07/2010 Descrizione dell architettura Il cluster si compone

Dettagli

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com Besnate, 24 Ottobre 2009 Oltre il Firewall Autore: Gianluca pipex08@gmail.com Cos'è un firewall i FIREWALL sono i semafori del traffico di rete del nostro PC Stabiliscono le regole per i pacchetti che

Dettagli

Elementi di amministrazione di rete da shell Linux e Windows (2)

Elementi di amministrazione di rete da shell Linux e Windows (2) Elementi di amministrazione di rete da shell Linux e Windows (2) Prof. Pizzu*lo, do.. Novielli, do.. Sforza Instradamento verso altre re* Quando si ha la necessità di raggiungere una des*nazione che non

Dettagli

Sicurezza delle reti 1

Sicurezza delle reti 1 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2012/13 1 cba 2011 13 M.. Creative Commons Attribuzione-Condividi allo stesso modo 3.0 Italia License. http://creativecommons.org/licenses/by-sa/3.0/it/.

Dettagli

Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip:

Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip: NAT 1-1 CON DOPPIA INTERFACCIA WAN E RANGE DI IP PUBBLICI (Firmware 2.20) Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip: L apparato per capire se la sua interfaccia

Dettagli

Manuale Turtle Firewall

Manuale Turtle Firewall Manuale Turtle Firewall Andrea Frigido Friweb snc Manuale Turtle Firewall Andrea Frigido Pubblicato 2002 Copyright 2002, 2003 Friweb snc, Andrea Frigido E permesso l uso e la riproduzine di tutto o di

Dettagli

Firewall e VPN con GNU/Linux

Firewall e VPN con GNU/Linux Firewall e VPN con GNU/Linux Simone Piccardi piccardi@truelite.it Truelite Srl http://www.truelite.it info@truelite.it ii Firewall e VPN con GNU/Linux Prima edizione Copyright c 2003-2014 Simone Piccardi

Dettagli

Problematiche di Sicurezza in Ambiente Linux

Problematiche di Sicurezza in Ambiente Linux ALESSIA CIRAUDO Problematiche di Sicurezza in Ambiente Linux Progetto Bari-Catania: Buone Prassi Integrative tra Università e Impresa FlashC om Durata: 2 mesi Tutor aziendale: Vincenzo Mosca Collaboratore

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

CREA IL TUO SERVER CASALINGO

CREA IL TUO SERVER CASALINGO LINUX DAY 2008 PESCARALUG CREA IL TUO SERVER CASALINGO sottotitolo: FAI RIVIVERE IL TUO BANDONE GRAZIE A LINUX DUE DESTINI POSSIBILI: 1) Se avete hardware vecchio e/o rotto e volete liberarvene, telefonate

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Masquerading made simple HOWTO

Masquerading made simple HOWTO John Tapsell thomasno@spamresonanceplease.org Thomas Spellman thomas@resonance.org Matthias Grimm DeadBull@gmx.net Tutti gli autori sono contattabili sul canale #debian su irc.opensource.net John Tapsell

Dettagli

OpenVPN Installazione e configurazione

OpenVPN Installazione e configurazione OpenVPN Installazione e configurazione Premessa Una VPN (Virtual Private Network) e un modo per collegare in modo sicuro due entità (host, lan) tramite una rete non dedicata pubblica e quindi non sicura

Dettagli

sicurezza delle reti (metodi crittografici esclusi) 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

sicurezza delle reti (metodi crittografici esclusi) 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti sicurezza delle reti (metodi crittografici esclusi) 1 classificazione degli attacchi sorgente di informazioni sorgente di informazioni sorgente di informazioni flusso normale destinatario destinatario

Dettagli

Firewall e VPN con GNU/Linux

Firewall e VPN con GNU/Linux Firewall e VPN con GNU/Linux Simone Piccardi piccardi@truelite.it Truelite Srl http://www.truelite.it info@truelite.it ii Copyright c 2003-2004 Simone Piccardi & Truelite S.r.l. Permission is granted to

Dettagli

Introduzione al Networking

Introduzione al Networking Introduzione al Networking Guida introduttiva alla configurazione di rete e al firewalling in ambiente GNU/Linux Andrea Grazioso grazioandre@gmail.com Corsi GNU/Linux avanzati 2015 - Amministrazione di

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP. Configurazione di indirizzi IP statici multipli Per mappare gli indirizzi IP pubblici, associandoli a Server interni, è possibile sfruttare due differenti metodi: 1. uso della funzione di Address Translation

Dettagli

Applicativo di Gnome per la configurazione automatica della rete

Applicativo di Gnome per la configurazione automatica della rete Linux e la rete Configurazione delle connessioni di rete Il modo più semplice per farlo è usare il tool grafico di gnome Il presente documento costituisce solo una bozza di appunti riguardanti gli argomenti

Dettagli

Linux Firewall ad opera d'arte. Linux Firewalling

Linux Firewall ad opera d'arte. Linux Firewalling Pagina 1 di 43 Documentazione basata su openskills.info. ( C ) Coresis e autori vari Linux Firewall ad opera d'arte Linux Firewall ad opera d'arte P ROGRAMMA Linux Firewalling Obiettivo: Comprendere Iptables:

Dettagli

CAPITOLO 1 PANORAMICA SUI PROBLEMI DI SICUREZZA

CAPITOLO 1 PANORAMICA SUI PROBLEMI DI SICUREZZA INTRODUZIONE INTRODUZIONE Quando un PC è connesso ad internet esso diventa, a tutti gli effetti, un nodo della rete. Il sistema connesso, può esporre dei servizi di rete, cioè delle applicazioni che hanno

Dettagli

Implementazione di VLAN multiple per l utilizzo della rete wireless

Implementazione di VLAN multiple per l utilizzo della rete wireless Servizio Calcolo e Reti Pavia, 15 Agosto 2006 Implementazione di VLAN multiple per l utilizzo della rete wireless Andrea Rappoldi 1 Introduzione 2 Configurazione degli switch Catalyst Occorre definire

Dettagli

LA SICUREZZA NELL'USO DELLA RETE. 13 maggio 2014 - Claudio Bizzarri Modulo avanzato

LA SICUREZZA NELL'USO DELLA RETE. 13 maggio 2014 - Claudio Bizzarri Modulo avanzato LA SICUREZZA NELL'USO DELLA RETE 13 maggio 2014 - Claudio Bizzarri Modulo avanzato MODULO AVANZATO LA SICUREZZA NELLA PROGETTAZIONE DELLA RETE Firewall architettura vari tipi di firewall e loro caratteristiche

Dettagli

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall IPFW su Linux Sommario Corso di Sicurezza su Reti prof. Alfredo De Santis Anno accademico 2001/2002 De Nicola Dario 56/100081 Milano Antonino 56/01039 Mirra Massimo 56/100382 Nardiello Teresa Eleonora

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Introduzione ai servizi di Linux

Introduzione ai servizi di Linux Introduzione ai servizi di Linux Premessa Adios è un interessante sistema operativo Linux basato sulla distribuzione Fedora Core 6 (ex Red Hat) distribuito come Live CD (con la possibilità di essere anche

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Università di Roma La Sapienza Facoltà di Ingegneria. Lezione 5. Passi base per le esperienze ed esercizi contenuti in questa lezione

Università di Roma La Sapienza Facoltà di Ingegneria. Lezione 5. Passi base per le esperienze ed esercizi contenuti in questa lezione UniversitàdiRomaLaSapienza FacoltàdiIngegneria Corso di ProgettazionediRetieSistemiInformatici,a.a.2010/2011 Dott.EmilianoCasalicchio Lezione5 5Maggio2011 *** Passibaseperleesperienzeedesercizicontenutiinquestalezione

Dettagli

Istruzioni per l uso del servizio VPN su sistemi Linux

Istruzioni per l uso del servizio VPN su sistemi Linux Istruzioni per l uso del servizio VPN su sistemi Linux Ver 1.0 1 Informazioni preliminari 1.1 A chi è rivolto Al personale della Sapienza che ha l esigenza di accedere direttamente alla LAN di Campus dalla

Dettagli

$ /sbin/lsmod. gusto...

$ /sbin/lsmod. gusto... Iptables per tutti Analizziamo come utilizzare al massimo il firewall del kernel 2.4 e come munirci dell'indispensabile per affrontare l'etere telematico in piena sicurezza. Una guida pratica alla portata

Dettagli

REALIZZAZIONE RETE DI ACQUISIZIONE DATI E SEGMENTO PDMZ (Partial DeMilitarized Zone) DELLA RETE TELEMATICA DELLA SEDE DI GROTTAMINARDA DELL ISTITUTO NAZIONALE DI GEOFISICA E VULCANOLOGIA Luigi Falco Istituto

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Firewall. NON è un muro di fuoco, è un muro tagliafuoco che ha il compito di isolare e

Firewall. NON è un muro di fuoco, è un muro tagliafuoco che ha il compito di isolare e FIREWALL 1 Firewall NON è un muro di fuoco, è un muro tagliafuoco che ha il compito di isolare e compartimentare una struttura. Il firewall è l'insieme delle difese perimetrali, hardware e software, costituito

Dettagli

Indirizzamento privato e NAT

Indirizzamento privato e NAT Indirizzamento privato e NAT Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

KERNEL LINUX. Ricompilazione ed Ottimizzazione. Relatore: Mirco Chinelli Linux Day Torino 2009

KERNEL LINUX. Ricompilazione ed Ottimizzazione. Relatore: Mirco Chinelli Linux Day Torino 2009 KERNEL LINUX Ricompilazione ed Ottimizzazione Relatore: Mirco Chinelli Linux Day Torino 2009 Cos'e' un Kernel? Nucleo del Sistema Operativo Astrazione dell'hardware Tipi di Kernel Monolitico Microkernel

Dettagli

Firewall applicativo per la protezione di portali intranet/extranet

Firewall applicativo per la protezione di portali intranet/extranet Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)

Dettagli

IPCop: un pinguino come Firewall

IPCop: un pinguino come Firewall Sommario IPCop: un pinguino come Firewall rino[at]lugbari[.]org ottobre 2006 Copyright (C) 2006 (rino at lugbari dot org) La copia letterale e la distribuzione di questa presentazione nella sua integrità

Dettagli

Linux in Rete, stop agli intrusi

Linux in Rete, stop agli intrusi ZEUS News è un notiziario dedicato a quanto avviene nel mondo di Internet, dell'informatica, delle nuove tecnologie e della telefonia fissa e mobile: non è un semplice amplificatore di comunicati stampa

Dettagli

Università degli Studi di Bari - Aldo Moro. Corso di Reti di Calcolatori e Comunicazione Digitale

Università degli Studi di Bari - Aldo Moro. Corso di Reti di Calcolatori e Comunicazione Digitale Università degli Studi di Bari - Aldo Moro CdS in INFORMATICA e COMUNICAZIONE DIGITALE a.a. 2012-13 Corso di Reti di Calcolatori e Comunicazione Digitale Le Intranet Prof. Sebastiano Pizzutilo Dipartimento

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Realizzazione di un Firewall con IPCop

Realizzazione di un Firewall con IPCop Realizzazione di un Firewall con IPCop Con questo articolo vedremo come installare IpCop, una distribuzione GNU/Linux per firewall facile da installare e da gestire (grazie alla sua interfaccia di amministrazione

Dettagli

FIREWALL IP TABLES. April 28, 2006

FIREWALL IP TABLES. April 28, 2006 FIREWALL IP TABLES April 28, 2006 Contents 1 Prefazione 3 1.1 Disclaimer.......................................... 3 1.2 Licenza d'uso........................................ 3 2 Introduzione ai rewall

Dettagli

Introduzione Il sistema operativo Linux è oggi una delle principali distribuzioni di Unix, in grado di portare in ogni PC tutta la potenza e la flessibilità di una workstation Unix e un set completo di

Dettagli

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL Docente: Barbara Masucci Vedremo Cosa sono i Firewall Cosa fanno i Firewall Tipi di Firewall Due casi pratici: 1. IPCHAIN Per Linux 2. ZONE ALARM Per Windows 1 2 Introduzione Perché un Firewall? Oggi esistono

Dettagli

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca Università degli Studi Roma Tre Istituto Nazionale di Fisica Nucleare Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Impostazione di un insieme di misure di sicurezza per la LAN di un

Dettagli

Petra Firewall 3.1. Guida Utente

Petra Firewall 3.1. Guida Utente Petra Firewall 3.1 Guida Utente Petra Firewall 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright.

Dettagli

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o "Application Gateway )

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o Application Gateway ) Sistemi di elaborazione dell'informazione (Sicurezza su Reti) Introduzione Guida all'installazione e configurazione del Software Firewall Builder ver 2.0.2 (detto anche FWBuilder) distribuito dalla NetCitadel

Dettagli

Linux Network Testing

Linux Network Testing Introduzione agli strumenti per il testing di rete su Linux 6, 13 Novembre 2007 Sommario 1 Introduzione Panoramica sugli strumenti di misura 2 I tool di base per l amministrazione di rete Configurare le

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

TOR. The Onion Router project Marcello Viti marcello@linux.it

TOR. The Onion Router project Marcello Viti marcello@linux.it TOR The Onion Router project Marcello Viti marcello@linux.it LA PRIVACY E il diritto di una persona di esercitare le misure di controllo affinché le informazioni che la riguardano vengano trattate o guardate

Dettagli

Corso Amministratore di Sistema Linux Programma

Corso Amministratore di Sistema Linux Programma Corso Amministratore di Rev. 1.0 Rev. Stato: 1.0 Approvato Stato: Approvato Amministratore Nuovo Portale di Sistema De Sanctis Amministratore di CONTROLLO DOCUMENTO TITOLO: Corso Amministratore di VERSIONE:

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli