Reti di calcolatori:applicazioni Terzo Modulo (vers novembre 2011) Sicurezza delle reti e firewall

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Reti di calcolatori:applicazioni Terzo Modulo (vers. 6.1 28 novembre 2011) Sicurezza delle reti e firewall"

Transcript

1 Reti di calcolatori:applicazioni Terzo Modulo (vers novembre 2011) Sicurezza delle reti e firewall Docente: Mauro Brunato Esercitatore: Stefano Setti Lucidi originali: Claudio Covelli 1

2 Agenda Introduzione ai firewall Principali tipi di attacco Principali tipi di firewall Esempi di architetture per la protezione delle reti 2

3 Introduzione Collegando una LAN ad Internet tramite un router in grado di instradare il traffico da e verso l'esterno, si espone la rete a rischi di vario tipo derivanti da: Accessi indesiderati da host esterni (DoS, syn flood etc) aventi lo scopo di compromettere le funzionalità della rete o carpirne informazioni di interesse Installazione di software (es. virus, worms, trojan horses) in grado di: provocare anomalie di funzionamento in uno o più nodi della rete (es. traffico anomalo) trasmettere informazioni della nostra macchina verso l'esterno (es. spyware) o creare una testa di ponte verso l'interno (backdoor) 3

4 Introduzione Nasce pertanto l'esigenza di una componente di rete (firewall), posto immediatamente a valle del router di collegamento ad Internet, che consenta di configurare delle regole di controllo di tutto il traffico proveniente o diretto verso l'esterno E' pertanto di importanza primaria conoscere le principali metodologie di attacco e le tecniche a disposizione (numerose) che consentono di ridurre od eliminare i rischi della rete 4

5 Firewall LAN Router ISP Internet E' permesso il flusso di traffico in entrambe le direzioni ed in modo incondizionato 5

6 Firewall LAN Internet Internet Il firewall ispeziona il contenuto di tutti i pacchetti in transito, eliminando quelli che non soddisfano i requisiti di sicurezza individuati (filtering router) 6

7 Firewall Internet Architettura Tipo Border Router (ISP; first line of defence: NAT, packet filtering etc; primo filtro layer 3/4) firewall with stateful inspection; secondo filtro layer 3/4/7 traffico inbound DMZ (public network) proxy traffico outbound; filtro layer 7 servizi accessibili su Internet Bastion Host (servizi essenziali; hardening) Intranet (private network) 7

8 Varie fasi di un attacco 1) Footprinting : Ogni attacco inizia con la raccolta di dati della rete target Si parte da pochi dati pubblici a disposizione (un indirizzo web, un' ) e quindi, essenzialmente, da un nome di dominio Con particolari programmi (ad es. DNSMap), che combinano il nome del dominio con i nomi più comuni utilizzati per i server (es. www, mail, ns etc), si cerca di individuare i principali indirizzi IP pubblici della rete oggetto di attacco Una tecnica alternativa è rappresentata dal social engineering, che consiste nell'ottenere tali informazioni direttamente dalla vittima 8

9 Varie fasi di un attacco 2) Port scan : Rappresentano la seconda fase dell'attacco volta generalmente ad identificare, per ognuno dei server della rete, le porte aperte (scanning) e le versioni dei programmi che le gestiscono (enumeration) Si utilizzano particolari programmi dei quali il più noto è nmap, che cerca di individuare le porta attive aprendo delle connessioni con ognuna di esse In generale i servizi di firewall notano però una richiesta di connessione alla quale non segue l'invio di dati e registrano nel log questa anomalia Tali log vengono poi analizzati, segnalando ai responsabili della rete le connessioni ritenute sospette 9

10 Varie fasi di un attacco 2) Port scan Three way handshake: inizio connessione TCP 10

11 Varie fasi di un attacco 2) Portscan: TCP Connect() scanning L'attaccante invia un primo pacchetto TCP, ad una certa porta e ad un certo destinatario, con flag SYN attivo, ad iniziare una nuova connessione Se la porta di attacco è aperta, il destinatario risponde con un pacchetto SYN ACK A questo punto l'attaccante invia un ACK ed attiva la connessione, che viene, di norma, registrata nel log e comunque facilmente verificabile (di solito gli attacchi prevedono l'apertura di più socket in parallelo) Se invece la porta è chiusa l'attaccante riceverà un pacchetto con RST on Es. nmap -st <ip target> (provare anche con -A) 11

12 Varie fasi di un attacco 2) Port Scan: Stealth scan (Idle Scan e Fin Scanning) Attacco analogo al precedente ma del tutto invisibile (es. sudo nmap -si <ip target>) Si basa sull'utilizzo di una terza macchina (zombie) e sul fatto che il campo Identification dell'header IP viene solitamente gestito, da molti sistemi operativi, assegnando un numero progressivo ad ogni pacchetto inviato Di norma, se un destinatario riceve un pacchetto con i flag SYN ed ACK settati ad ON senza una sua precedente richiesta di connessione (SYN), viene inviato un pacchetto di reset (flag RST ad ON). L'attaccante inizia quindi inviando un pacchetto SYN/ACK ad uno zombie 12

13 Varie fasi di un attacco 2) Port Scan: Stealth scan (Idle Scan e Fin Scanning) Lo zombie risponde con RST, svelando in tal modo il valore del suo campo Identification Si invia, quindi al target, usando come IP mittente quello dello zombie (spoofing), una richiesta di connessione (SYN) ad una certa porta Se la porta è attiva, lo zombie riceve un pacchetto di tipo SYN ACK, al quale risponde con un RST; in caso contrario, lo zombie riceve un pacchetto con flag RST ad ON (reset) L'attaccante invia nuovamente un pacchetto SYN/ACK allo zombie e riesce a capire, dal valore del campo Identification, il comportamento dello zombie nel punto precedente 13

14 Varie fasi di un attacco 2) Port Scan: Stealth scan (Idle Scan e Fin Scanning) Infatti nel primo caso il valore del campo Identification si sarà incrementato di due unità (vi è stato l'invio al target di un RST) oppure di una sola unità (il solo RST che viene inviato all'attaccante) Eventuali log da parte del firewall non consentono di identificare l'attaccante, che usa sempre l'indirizzo IP della macchina zombie Tecniche analoghe si basano sull'utilizzo di pacchetti con flag FIN on 14

15 Varie fasi di un attacco 3) Gaining access: La terza fase dell' attacco consiste nell'individuare, a fronte delle informazioni fornite dalla fase precedente, le vulnerabilità dei servizi installati sulla rete oggetto di attacco Si sfruttano particolari programmi detti exploit, che permettono, sfruttando le vulnerabilità individuate, di ottenere il controllo del sistema (es. buffer overflow) In alternativa, si possono utilizzare le vulnerabilità per lanciare attacchi di tipo DoS (denial of service), che rendono del tutto inutilizzabile il sistema target Alcuni esempi di famosi attacchi di questo tipo: 15

16 Varie fasi di un attacco 3) Gaining access: Buffer Overflow Uno degli attacchi più diffusi che può portare, in certi casi, ad un controllo della rete con credenziali di root Sfrutta la vulnerabilità di programmi scritti generalmente in C/C++ che non controllano la dimensione degli array Inserendo, in un array, dei valori che occupano una quantità di byte superiore al numero di byte allocato in memoria per l'array si può ottenere il crash del server (DoS) od, in certi casi, il controllo del server 16

17 Varie fasi di un attacco 3) Gaining access: Buffer Overflow #include <stdio.h> #include <string.h> void func(char *p) { char stack_temp[20]; strcpy(stack_temp, p); printf(stack_temp); } int main() { func("questo TESTO PROVOCA UN OVERFLOWxxxxyyyy"); return 0; } 17

18 Varie fasi di un attacco 3) Gaining access: Buffer Overflow Quando una funzione richiama quella successiva, il puntatore alla prima funzione viene salvato nello stack sotto forma di indirizzo, in modo che il programma possa ritornare alla funzione principale. Lo stack contiene anche i parametri di richiamo della funzione e le relative variabili Lo scopo dell'overflow dello stack è quello di sovrascrivere questo indirizzo di ritorno in modo da far sì che il codice di ritorno punti a funzioni presenti nell'host in grado di fornirci il controllo del sistema (ad esempio una shell bash di root!) 18

19 Varie fasi di un attacco 3) Gaining access: Vulnerabilità legate ad errori di programmazione Talvolta l'accesso alle credenziali root è molto più semplice, a causa di errori di programmazione Famoso l'errore seguente nel codice di openssh if (id < 0 id > channels_alloc) { che avrebbe dovuto essere invece if (id < 0 id >= channels_alloc) { Tale errore comportava la possibilità di entrare come un utente normale ed ottenere successivamente le credenziali di root 19

20 Varie fasi di un attacco 3) Gaining access: Denial of Service di tipo Ping of Death Ping of death: si forgiano dei messaggi (ad esempio, ICMP echo request) di elevata lunghezza (> 64KB) che, in certi sistemi, causano il collasso del server per problemi di allocazione del buffer in grado di contenere il pacchetto ICMP. Il problema, in realtà indipendente da ICMP, sta nel fatto che è possibile spedire frammenti IP che, una volta ricostruiti, occupano più spazio del massimo pacchetto IP consentito (64KB). 20

21 Varie fasi di un attacco 3) Gaining access: Denial of Service di tipo syn flood Un client con indirizzo IP falsificato (IP spoofing) lancia diverse richieste di connessione (SYN) Il server sotto attacco alloca in memoria alcune informazioni relative alla nuova connessione ed invia dei pacchetti SYN/ACK; non può però ricevere la relativa risposta Poiché è necessario un certo intervallo di tempo per eliminare le risorse allocate in memoria, attaccando con molti pacchetti si può arrivare al collasso del server 21

22 Varie fasi di un attacco 3) Gaining access: Denial of Service di tipo smurf (2000: CNN, Yahoo, Amazon) Un altro attacco (smurf) si basa sull'invio ad una rete di ping di broadcast (ICMP echo request) al quale il server deve rispondere con un messaggio ICMP di echo reply Ne esistono diverse varianti (es. ping in broadcast, ping inviati da trojan etc) Soluzione: no ip directed-broadcast oppure disabilitare completamente il protocollo ICMP 22

23 Varie fasi di un attacco 4) Pilfering Una volta ottenuto l'accesso ad una delle macchine della rete target, si cerca di ottenere il controllo degli altri server, ricavando, con varie tecniche, le relative coppie utente/password abilitate 5) Cancellazione delle tracce Si cancellano le tracce lasciate (es. log) e si installano dei particolari programmi (backdoor) che, girando in modo nascosto, consentono un successivo comodo accesso da remoto, da parte dell'attaccante 23

24 Altri tipi di attacchi Viruses, worms ed altre minacce informatiche di vario tipo Virus : software in grado di danneggiare il sistema ospitante ma che richiede un programma ospitante per essere eseguito e replicarsi Worm: analogo al virus ma con capacità di esecuzione indipendente ed autoclonazione attraverso Internet; generano spesso elevato traffico di rete che può portare a blocco completo Delle varie minacce informatiche di questo tipo si cerca di fornire nelle prossime slides una classificazione di massima 24

25 Altri tipi di attacchi Adware: programma che mostra messaggi pubblicitari durante l'utilizzo delle applicazioni Backdoor Trojan: programma che consente di prendere il controllo di un computer senza il consenso del proprietario (es.. Subseven, Backorifice etc) Bluejacking : invio di messaggi anonimi ed indesiderati ad utente che utilizzano PC dotati di tecnologia Bluetooth Bootvirus: modifica il programma di avvio del computer Browser hijacking: modifica la pagina iniziale e l'elenco dei siti preferiti, configurati nel browser 25

26 Altri tipi di attacchi Dialer: cambiano il numero telefonico della connessione Internet, sostituendolo con un servizio a pagamento MouseTrapping: impedisce all'utente di uscire da un determinato sito Internet Phishing: uso di e di falsi siti Web per indurre gli utenti a fornire le proprie credenziali di accesso a siti bancari Ransomware:impedisce l'accesso ai documenti personali finché non viene pagato un riscatto Rootkit: software in grado di nascondere i programmi od i processi utilizzati per sottrarre dati (es. keylogger) o per eseguire operazioni illecite 26

27 Altri tipi di attacchi Spam: invio di posta indesiderata o non richiesta Spoofing: falsificazione dell'indirizzo del mittente nei messaggio di posta Spyware: permette a società commerciali di raccogliere informazioni commerciali ad insaputa dell'utente Trojan: programma che presenta al suo interno funzionalità nascoste ed indesiderate (es. un attacco di tipo DOS, keylogger etc) Zombie: computer controllato da remoto ed usato, ad insaputa dell'utente, per azioni fraudolente o dannose (es. spamming) 27

28 Altri tipi di attacchi Un altro esempio: SQL injection xkcd: Exploits of a Mom 28

29 Altri tipi di attacchi Come funziona la SQL injection? Le pagine web sono scritte in qualche linguaggio o libreria che gestisce le query SQL come stringhe; I programmatori sono pigri. mysql_query( SELECT * FROM Students WHERE (name='$name' AND pwd=md5('$pwd')) ) Se $NAME= Robert e $PWD= ciao, tutto va bene, e la query passata al database è SELECT * FROM Students WHERE (name='robert' AND pwd=md5('ciao')) 29

30 Altri tipi di attacchi mysql_query( SELECT * FROM Students WHERE (name='$name' AND pwd=md5('$pwd')) ) Se invece $NAME= Robert'); DROP TABLE Students; -- e $PWD= ciao : SELECT * FROM Students WHERE (name='robert'); DROP TABLE Students; --' AND pwd=md5( ciao )) Chiudiamo senza errori la SELECT Inseriamo il nostro attacco Evitiamo che l'ultima parte sia interpretata (-- = commento fino a fine riga) 30

31 Altri tipi di attacchi In alcuni casi, non è nemmeno necessaria una SQL injection: Cercare oklahoma sex offender leak con Google! Una (semplice?) sfida: 31

32 Firewall Porta 80 OK LAN Internet Porta 21 Accesso vietato Con un firewall è possibile controllare il traffico da e verso l'esterno; ad esempio è possibile lasciare passare il traffico che ha come porta di destinazione il valore 80 e bloccare altre porte di destinazione. 32

33 Classificazione firewall Personal firewall proteggono il singolo host (es. Zone Alarm), consentendo generalmente di default qualsiasi traffico verso l'esterno (outbound) e bloccando quello dall'esterno (inbound) Network firewall: si interpone fra la LAN ed Internet e controlla tutto il traffico passante: Network appliance (es Cisco Pix, Nokia); dispositivi ad-hoc dotati di loro sistema operativo e software di controllo Software-based: software installato su sistemi operativi standard (es Check Point, MS Isa, Linux iptables, Shorewall) 33

34 Personal firewall Outbound (traffico da interno ad esterno): Consentito per default Inbound (traffico da esterno ad interno) Vietato per default Utilizzabili a scopo personale ma impensabili in una struttura enterprise per i costi e le difficoltà di gestione (ad esempio sarebbe difficile implementare una politica di allineamento delle policy) Inoltre va considerato che il lasciare libero il traffico verso l'esterno deve essere sempre considerato negativo dal punto di vista della sicurezza (backdoor, worm etc) 34

35 Tecniche utilizzate in network firewall 0) Natting (Network Address Translation) 1) Packet filtering 2) Stateful Inspection 3) Proxy Nota: le soluzioni più frequentemente adottate prevedono l'uso combinato di queste tecniche 35

36 NAT firewalls Ogni router, che effettui funzioni di NAT, protegge da accessi esterni in quanto gli host interni possiedono indirizzi privati, non accessibili da Internet Pertanto non è possibile attivare una connessione dall'esterno (ad esempio viene bloccato qualsiasi tentativo di port scan, con l'eccezione delle porte per le quali è abilitato il forwarding) Un evidente limite dei firewall di tipo NAT è che non si effettua alcun controllo sul traffico outbound (verso l' esterno) 36

37 NAT firewalls Ad esempio se si installa (a propria insaputa!) una backdoor, questa può connettersi automaticamente verso un server esterno e trasmettere informazioni della rete, senza alcuna possibilità di controllo (classico sistema usato nello spamming) Inoltre non si controlla il traffico a livello applicativo e quindi il NAT non impedisce il download di software pericoloso (virus) 37

38 Packet filter Packet inspection: un firewall deve essere in grado di analizzare le informazioni riportate negli header TCP/IP Source e destination IP address Source e destination port Tipo di protocollo Sequence number, flags etc Deve inoltre disporre di regole (Access Control List) che consentano di definire dei filtri da applicare ad ogni pacchetto in funzione delle informazioni presenti negli header TCP/IP Il controllo viene attivato a livello 3 (networking); si analizzano anche gli header di livello 4 (transport) ma si ignorano le informazioni del protocollo applicativo al quale il pacchetto si riferisce 38

39 Due filosofie di base Open security policy: tutto è permesso per default; ACL solo per vietare particolari tipi di accesso lasciando liberi i rimanenti Closed security policy: tutto è vietato per default; ACL per aprire i pochi accessi necessari (fortemente consigliata) 39

40 Packet filter router con funzionalità di NAT e packet filter client Intranet server Internet 40

41 Packet filter ACL Source Address Source Port Destination Address Destination Port Rule Any Any/TCP /TCP Allow /TCP Any Any/TCP Allow Any Any Any Any Reject Esempio di ACL (cfr. figura precedente) che consente la connessione di tutti i client di una LAN ad un solo Web server Internet 41

42 Packet filter Due esempi, frequentemente utilizzati, di ACL: Cisco router ACL Linux Netfilter ed Iptables 42

43 Packet filter Cisco ACL deny implicito 43

44 Packet filter Standard Cisco IP ACL Semplici regole di filtro limitate al layer 3 Ognuna di esse viene associata ad un gruppo di numerazione (ACL_#), identificato da un numero compreso fra 1 e a 99 (oppure ) Tale gruppo viene poi utilizzato per associare in blocco le regole ad una specifica interfaccia access-list # {permit deny} source_address [wildcard_mask] [log] Esempio: access-list 10 permit wildcard_mask ha una struttura simile a netmask; i bits a 0 indicano i bits dell'indirizzo IP mittente (source) che devono essere controllati dalla regola; quelli ad 1 indicano la parte esclusa da tale controllo 44

45 Packet filter ACL Router 2 ACL Router 2 interfaccia F0/0 #access-list 10 permit #access-list 10 deny ! applichiamo il blocco 10 all'interfaccia F0/0 per i pacchetti in entrata verso il router # interface F0/0 # ip access-group 10 in 45

46 Packet filter Casi particolari di source_ip_address wildcard_mask host : corrisponde a any: corrisponde a ossia qualsiasi indirizzo mittente Il blocco di regole, identificato da opportuna numerazione, viene applicato ad una specifica interfaccia del router con comando ip access-group <numero blocco ACL> [in/out] IN indica che le regole si applicano al traffico che, dalla rete collegata, viene trasmesso verso questa interfaccia del router; OUT, all'opposto, indica tutto il traffico che dal router viene inviato, tramite questa interfaccia, alla rete collegata 46

47 Packet filter Extended Cisco IP ACL Regole di filtro che analizzano gli header layer 3 e layer 4 Numerazione di gruppo (ACL_#) compresa fra 101 e 199 access-list # {deny permit} tcp source_address source_mask [operator src_port] destination_address destination_mask [operator dest_port] [log log-input] [established] [...] 47

48 Packet filter Extended Cisco IP ACL Regole analoghe possono essere definite per altri protocolli (ip, udp, icmp) Esempio con ip access-list ACL_# {deny permit} ip source_address source_mask destination_address destination_mask [log log-input] [...] 48

49 Packet filter INTERFACCIA F0/1 - permettiamo il traffico http dalla rete diretto verso permettiamo icmp generico - permettiamo udp generico Nota: tutto il resto è implicitamente vietato # access-list 101 permit tcp eq www # access-list 101 permit icmp any any # access-list 101 permit udp any any # interface F0/1 # ip access-group 101 out 49

50 Packet filter Esempio: permettere esclusivamente l invio di In questo esempio viene bloccato sull interfaccia E0 tutto il traffico in uscita ad esclusione della posta elettronica. access-list 102 permit tcp any eq 25 (o eq smtp) access-list 102 deny any any (implicito, non visibile nella lista) interface ethernet 0 ip access-group 102 in (applica le regole all'interfaccia E0 in entrata ossia al traffico outbound rispetto alla rete )) 50

51 Packet filter Linux Netfilter ed Iptables Esempio di ACL Cisco per bloccare il traffico http, qualsiasi sia la provenienza, diretto all'host access-list 111 deny tcp any host eq 80 interface ethernet 0 ip access-group 111 in In Linux la stessa regola sarebbe: iptables -A INPUT -i eth0 -p tcp -d /32 --dport 80 -j DROP 51

52 Packet filter I firewall di tipo packet filtering sono di tipo stateless nel senso che analizzano il singolo pacchetto ma non sono in grado di riconoscere i vari stati della connessione (eccezione: keyword established) La funzionalità di packet filtering è normalmente inclusa in tutti i router ed i firewall software offerti sul mercato Essa consente di ridurre il rischio di attacchi di vario tipo (es. port scan) ma non si può contare esclusivamente su di essa in quanto sono presenti alcuni evidenti limiti dei quali si citano i più importanti 52

53 Packet filter non conservando lo stato delle connessioni, non è ad esempio in grado di capire se la risposta ad una richiesta di connessione (SYN + ACK) sia realmente conseguente ad una richiesta proveniente dall'interno (SYN) nemmeno è in grado di stabilire, a fronte della ricezione di un pacchetto SYN+ACK, da quale porta effimera sia partita la richiesta di connessione (SYN) si devono pertanto abilitare tutte le porte effimere (>1023) per consentire il transito ai pacchetti di risposta ad una richiesta inviata dall'interno questo potrebbe consentire ad una backdoor di ricevere connessioni dall'esterno. 53

54 Packet filter questa regola blocca anche il traffico di risposta a

55 Packet filter questa regola blocca anche il traffico di risposta a soluzione: abilitare pacchetti con porte effimere 55

56 Packet filter per consentire, in alternativa, il ritorno di tutti i pacchetti di risposta si autorizzano i pacchetti di risposta con ACK attivo oppure si usa, nelle ACL Cisco, la keyword established, che consente di ottenere lo stesso scopo in tal modo però pacchetti appositamente malformati ma con il flag ACK attivo possono transitare attraverso il firewall (possibile DoS). Si noti il significato leggermente diverso di ESTABLISHED in iptables, dove significa che sono stati visti pacchetti in entrambe le direzioni (quindi è implicito uno stato). 56

57 Packet filter 2 soluzione: abilitare pacchetti con flag ACK ( od usare parola chiave established) 57

58 Packet filter Vantaggi Performance Flessibilità nella definizione delle policy, basate sui campi degli header TCP ed IP Indipendenza dalle applicazioni Svantaggi non controlla i dati trasportati (livello 7); non impedisce ad esempio il download di trojan horses inseriti in activex od scaricati attraverso porte autorizzate (es. 80, 25) Non supporta autenticazione delle connessioni e quindi non è in grado di verificare l'attendibilità dell' IP mittente autorizzato (controllo IP spoofing) 58

59 Packet filter Per questo motivo il controllo di tipo packet filtering viene solitamente utilizzato come prima linea di difesa, a bordo del router che collega la rete ad Internet (edge router) oppure nei router interni per limitare gli accessi da una sottorete ad un'altra A valle di questo router vengono inserite ulteriori forme di difesa che introducono altri tipi di controllo, presentati nelle prossime slides Il packet filtering è anche frequentemente usato, per ragioni di costi, quale unica forma di difesa, in abbinamento con il natting, in reti che non richiedono elevati livelli di sicurezza (SOHO networks) 59

60 Packet filter 60

61 Stateful inspection firewall Lavora al livello 3 ma tenendo conto delle informazioni di tutti i livelli superiori Tiene anche conto delle informazioni che sono collegate all'intero flusso (stati) e non al singolo pacchetto Ad esempio se un client interno apre una connessione con la porta effimera 2222 verso il server Web porta 80, il firewall mantiene in memoria questa informazione ed accetta i soli pacchetti di ritorno che abbiano: ip mittente porta mittente 80 ip destinatario porta destinataria 2222 che rappresenta l'unica forma di risposta possibile. 61

62 Stateful inspection firewall client firewall server open :80 back add rule: port 2222 on open to SYN :80 SYN/ACK :2222 check; is port 2222 on open to ? syn open :2222 yes yes: pass no: discard 62

63 Stateful inspection firewall abilitazione porta effimera per host Un secondo esempio: il firewall aggiunge automaticamente una nuova regola di filtering per consentire il passaggio dei pacchetti di risposta 63

64 Stateful inspection firewall Un firewall di tipo stateful inspection tiene anche conto delle informazioni di livello 7 per determinati protocolli (HTTP, FTP, SMTP) E' pertanto in grado di intercettare violazioni dei parametri di protocollo ai vari livelli Esempio FTP slide seguente 64

65 Stateful inspection firewall Per consentire una connessione FTP il firewall deve conoscere il numero della porta client con la quale attivare la connessione di tipo DATA Questa informazione è presente nel comando FTP Port (livello 7) 65

66 Stateful inspection firewall Cosa analoga avviene in certi protocolli multimediali (es. H323, Real Time Streaming Protocol etc), dove, a fronte di una richiesta inviata da una certa porta effimera del client, il server deve aprire più connessioni per l'invio in parallelo del contenuto multimediale. Anche in tal caso il firewall analizza il contenuto della richiesta e determina in modo dinamico le porte che devono essere lasciate aperte. La stateful inspection consente infine di controllare la sequenza di frammentazione presente nei pacchetti IP,in quanto l'uso di frammentazione è una delle tecniche utilizzate per superare il controllo degli header TCP da parte dei filtri di tipo stateless (i frammenti dopo il primo non riportano gli header TCP) 66

67 Stateful inspection firewall I firewall di tipo stateful inspection, pur costituendo una soluzione nettamente migliore rispetto al semplice packet filtering, presentano ancora, in genere, una limitata capacità di controllo del protocollo applicativo (livello 7) presente nei pacchetti in transito. Costituiscono quindi una valida alternativa ai firewall di tipo packet filtering come prima linea di difesa ma, poiché molti pericoli possono essere percepiti solo dopo un'attenta analisi dei dati in transito a livello applicativo (es. virus, trojan etc) è necessario, per garantire una sicurezza più completa, affiancare un ulteriore componente di sicurezza: il proxy. 67

68 Stateful inspection firewall Vantaggi Controllo dello stato delle connessioni e riduzione del numero di porte abilitate (minore rischio DOS) Performance e trasparenza rispetto agli host Controllo, ancorchè limitato, dello stato dei protocolli UDP ed ICMP, basati su timer Svantaggi controllo limitato dei dati di livello 7; non impedisce ad esempio il download di trojan horses inseriti in activex od scaricati attraverso porte autorizzate (es. 80, 25) Non supporta autenticazione delle connessioni e quindi non è in grado di verificare l'attendibilità dell' IP mittente autorizzato (controllo IP spoofing) 68

69 Stateful inspection firewall 69

70 Proxy firewall 70

71 Proxy firewall Il proxy ascolta le richieste di servizio di alto livello (es. Http) provenienti dai client della rete privata ed invia tali richieste sulla rete esterna come se il proxy fosse il client originario In altre parole, a fronte di ogni richiesta outbound da parte dei diversi client della rete, si crea una socket di connessione (solo interna) client-proxy anzichè client-server di destinazione Il proxy, agendo da intermediario, crea, per ogni socket interna, una propria connessione verso il server e la porta esterne, richieste dal client 71

72 Proxy Internet 2 2 Firewall con funzione di proxy Il proxy ha due interfacce che consentono di gestire due connessioni indipendenti; in tal modo ogni host interno non è direttamente accessibile da Internet 1 72

73 Proxy firewall La risposta ricevuta dal proxy viene inoltrata verso il client per il quale la presenza del proxy è completamente trasparente Ogni nuova richiesta di connessione viene controllata mediante autenticazione del richiedente, effettuata di solito mediante utente e password; il proxy verifica tali credenziali appoggiandosi ad un proprio database oppure a database esterni (es. radius, active directory) Uno dei principali vantaggi del proxy è dato dalla possibilità di effettuare controlli sui dati dei protocolli applicativi (livello 7); presenta però maggiori problemi di perfomance e di complessità di configurazione rispetto agli altri tipi di firewall visti precedentemente 73

74 Proxy firewall Funziona solo per i protocolli più diffusi (FTP, HTTP, SMTP, HTTPS e pochi altri, a seconda del tipo di prodotto) Rende perciò possibile consentire solo specifici comandi di un protocollo applicativo oppure verificare la presenza di virus o trojan all'interno dei pacchetti trasferiti Controlla inoltre, sempre a livello applicativo, richieste anomale che possono riguardare attacchi di tipo buffer overflow (es. invio di codice pericoloso identificato da specifiche signatures) E' pure possibile verificare gli URL richiesti (white e black list) 74

75 Proxy firewall L'host che agisce da proxy viene opportunamente configurato (hardening) in modo da ridurre i servizi disponibili all'essenziale e limitare il più possibile i rischi di attacco Concentrando tutte le connessioni verso una l'esterno in una sola macchina, si semplifica la gestione della sicurezza e si proteggono i client interni da attacchi esterni (client hiding) Il forwarding a livello IP viene disabilitato e pertanto non è possibile l'ingresso di pacchetti relativi a protocolli diversi da quelli gestiti dal proxy Permette anche funzioni di caching delle pagine visitate in Http,ottimizzando il traffico di rete e le performance Consente infine di registrare tutti gli accessi alla rete esterna per analisi statistiche ex-post ed un controllo (monitoring) del traffico effettuato 75

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Router(config)# access-list access-list number {permit deny} {test-conditions}

Router(config)# access-list access-list number {permit deny} {test-conditions} 1. Definire la ACL con il seguente comando: Router(config)# access-list access-list number {permit deny} {test-conditions} Dalla versione 11.2 del Cisco IOS si può utilizzare un nome al posto del numero

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE LE MINACCE I rischi della rete (virus, spyware, adware, keylogger, rootkit, phishing, spam) Gli attacchi per mezzo di software non aggiornato La tracciabilità dell indirizzo IP pubblico. 1 LE MINACCE I

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2008 Il bollettino può essere

Dettagli

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it I Firewall Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@di.unipi.it Cos è un firewall Un firewall è un sistema, nel senso più ampio del termine, che ha lo scopo di controllare

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Sicurezza delle reti 1

Sicurezza delle reti 1 delle delle 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti esercizi su sicurezza delle reti 20062008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti 1 supponi i fw siano linux con iptables dai una matrice di accesso che esprima la policy qui descritta

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

Principi di Sicurezza nelle Reti di Telecomunicazioni

Principi di Sicurezza nelle Reti di Telecomunicazioni Principi di Sicurezza nelle Reti di Telecomunicazioni Copyright Università degli Studi di Firenze - Disponibile per usi didattici Vedere i termini di uso in appendice ed a: http://mmedia5.det.unifi.it/license.txt

Dettagli

Filtraggio del traffico di rete

Filtraggio del traffico di rete Laboratorio di Amministrazione di Sistemi L-A Filtraggio del traffico di rete Si ringraziano sentitamente: Angelo Neri (CINECA) per il materiale sulla classificazione, le architetture ed i principi di

Dettagli

Attacchi - panoramica

Attacchi - panoramica Attacchi - panoramica Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@telmon.org Tecniche di attacco Più passaggi prima del destinatario (stepstones) Accesso da sistemi poco controllati

Dettagli

Minacce Informatiche. Paolo

Minacce Informatiche. Paolo Minacce Informatiche Paolo Programma Virus, Trojan, spayware, malware ecc... Informazioni generali su Internet Ricerche, siti web, email, chatline, p2p, YouTube, Telefonini, InstantMessaging Che cos è

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando Comandi di Rete Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando PING: verifica la comunicazione tra due pc Il comando ping consente di verificare la connettività a livello

Dettagli

Sicurezza. Ing. Daniele Tarchi. Telematica nei Sistemi di Trasporto - L10 1. Sicurezza: cosa si intende

Sicurezza. Ing. Daniele Tarchi. Telematica nei Sistemi di Trasporto - L10 1. Sicurezza: cosa si intende Sicurezza Ing. Daniele Tarchi Telematica nei Sistemi di Trasporto - L10 1 Sicurezza: cosa si intende Sicurezza Fisica: accesso controllato ai locali, conservazione delle chiavi di accesso alle sale dati,

Dettagli

vittorio.prisco@email.it INTRODUZIONE ALLA SICUREZZA DELLE RETI V. Prisco

vittorio.prisco@email.it INTRODUZIONE ALLA SICUREZZA DELLE RETI V. Prisco 1 INTRODUZIONE ALLA SICUREZZA DELLE RETI Vittorio Prisco 2 PERCHÉ LE VULNERABILITÀ La vulnerabilità delle informazioni è in aumento perchè: le informazioni detenute dalle organizzazioni hanno valore superiore

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

ACCESS LIST. Pietro Nicoletti www.studioreti.it

ACCESS LIST. Pietro Nicoletti www.studioreti.it ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

Autenticazione ed integrità dei dati Firewall

Autenticazione ed integrità dei dati Firewall Pagina 1 di 9 Autenticazione ed integrità dei dati Firewall Per proteggere una rete dagli attacchi provenienti dall'esterno si utilizza normalmente un sistema denominato Firewall. Firewall è un termine

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13 Elementi di Sicurezza e Privatezza Proteggere la rete: tecnologie Lez. 13 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa Un Internet firewall,

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall IPFW su Linux Sommario Corso di Sicurezza su Reti prof. Alfredo De Santis Anno accademico 2001/2002 De Nicola Dario 56/100081 Milano Antonino 56/01039 Mirra Massimo 56/100382 Nardiello Teresa Eleonora

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint Corso di sicurezza su reti a.a.2002/2003 Introduzione Scansione dei servizi Docente del corso: Prof. De Santis Alfredo A cura di: Miele Alessandro Pagnotta Simona Cenni preliminari PortScan Satan Saint

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Reti di Calcolatori 18-06-2013

Reti di Calcolatori 18-06-2013 1. Applicazioni di rete [3 pts] Si descrivano, relativamente al sistema DNS: Compito di Reti di Calcolatori 18-06-2013 a) i motivi per i quali viene usato; b) l architettura generale; c) le modalità di

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Dal protocollo IP ai livelli superiori

Dal protocollo IP ai livelli superiori Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono

Dettagli

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1 Introduzione a Internet e cenni di sicurezza Dott. Paolo Righetto 1 Introduzione a Internet e cenni di sicurezza Quadro generale: Internet Services Provider (ISP) Server WEB World Wide Web Rete ad alta

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet Indirizzi Internet e Protocolli I livelli di trasporto delle informazioni Comunicazione e naming in Internet Tre nuovi standard Sistema di indirizzamento delle risorse (URL) Linguaggio HTML Protocollo

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

I firewall. I firewall

I firewall. I firewall I firewall Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.6 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

2 Cent tips Router sicuri uso di uno sniffer

2 Cent tips Router sicuri uso di uno sniffer 2 Cent tips Router sicuri uso di uno sniffer V Workshop GARR Roma 24-26 Nov 2003 Claudio Allocchio - GARR La Sicurezza? Ma ormai dovreste sapere già tutto o quasi http://www.garr.it/ws4/cecchini.pdf http://www.cert.garr.it/incontri/fi/

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

Man-in-the-middle su reti LAN

Man-in-the-middle su reti LAN Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle

Dettagli

Script PHP per Configurare gli Accessi ad Internet di un router CISCO

Script PHP per Configurare gli Accessi ad Internet di un router CISCO Script PHP per Configurare gli Accessi ad Internet di un router CISCO Autore Roberto Bandiera 9 dicembre 2014 Obiettivo: scrivere uno script PHP per poter controllare da remoto la configurazione di un

Dettagli

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o "Application Gateway )

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o Application Gateway ) Sistemi di elaborazione dell'informazione (Sicurezza su Reti) Introduzione Guida all'installazione e configurazione del Software Firewall Builder ver 2.0.2 (detto anche FWBuilder) distribuito dalla NetCitadel

Dettagli

vulnerabilità delle reti 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

vulnerabilità delle reti 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti vulnerabilità delle reti 1 reti e protocolli vulnerabili gran parte delle vulnerabilità delle reti sono in realtà vulnerabilità dei protocolli inserire la sicurezza in un protocollo significa costringere

Dettagli

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL Docente: Barbara Masucci Vedremo Cosa sono i Firewall Cosa fanno i Firewall Tipi di Firewall Due casi pratici: 1. IPCHAIN Per Linux 2. ZONE ALARM Per Windows 1 2 Introduzione Perché un Firewall? Oggi esistono

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.7 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

TCP e UDP, firewall e NAT

TCP e UDP, firewall e NAT Università di Verona, Facoltà di Scienze MM.FF.NN. Insegnamento di Reti di Calcolatori TCP e UDP, firewall e NAT Davide Quaglia Scopo di questa esercitazione è: 1) utilizzare Wireshark per studiare il

Dettagli

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI FIREWALL VPN RETI PRIVATE VIRTUALI: ACCESSO REMOTO Fondazione dell'ordine degli Ingegneri della Provincia di Milano Commissione per l'ingegneria dell'informazione ing. Gianluca Sironi FIREWALL: LA PROTEZIONE

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Cosa si intende per sicurezza di rete Accesso a sistemi, servizi e risorse solo da e a persone autorizzate Evitare di essere

Dettagli

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11 1 Mattia Lezione IV: Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

Tipologie e metodi di attacco

Tipologie e metodi di attacco Tipologie e metodi di attacco Tipologie di attacco Acquisizione di informazioni L obiettivo è quello di acquisire informazioni, attraverso l intercettazione di comunicazioni riservate o ottenendole in

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti. 1 Mattia Lezione III: I protocolli di base Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca Università degli Studi Roma Tre Istituto Nazionale di Fisica Nucleare Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Impostazione di un insieme di misure di sicurezza per la LAN di un

Dettagli

IP Mobility. Host mobili

IP Mobility. Host mobili IP Mobility Reti II IP Mobility -1 Host mobili! Dispositivi wireless o wired mobili! Connessione alla rete attraverso: " Wireless LAN " Reti cellulari " Reti Satellitari " LAN " Etc.! Una rete di riferimento

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR. Maurizio Aiello, Gianni Mezza e Silvio Scipioni

POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR. Maurizio Aiello, Gianni Mezza e Silvio Scipioni CONSIGLIO NAZIONALE DELLE RICERCHE COLLANA DI PUBBLICAZIONI DEL COMITATO DI GESTIONE DELLA RETE TELEMATICA NAZIONALE POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR (BASE SECURITY) a cura di Maurizio

Dettagli