Reti di calcolatori:applicazioni Terzo Modulo (vers novembre 2011) Sicurezza delle reti e firewall

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Reti di calcolatori:applicazioni Terzo Modulo (vers. 6.1 28 novembre 2011) Sicurezza delle reti e firewall"

Transcript

1 Reti di calcolatori:applicazioni Terzo Modulo (vers novembre 2011) Sicurezza delle reti e firewall Docente: Mauro Brunato Esercitatore: Stefano Setti Lucidi originali: Claudio Covelli 1

2 Agenda Introduzione ai firewall Principali tipi di attacco Principali tipi di firewall Esempi di architetture per la protezione delle reti 2

3 Introduzione Collegando una LAN ad Internet tramite un router in grado di instradare il traffico da e verso l'esterno, si espone la rete a rischi di vario tipo derivanti da: Accessi indesiderati da host esterni (DoS, syn flood etc) aventi lo scopo di compromettere le funzionalità della rete o carpirne informazioni di interesse Installazione di software (es. virus, worms, trojan horses) in grado di: provocare anomalie di funzionamento in uno o più nodi della rete (es. traffico anomalo) trasmettere informazioni della nostra macchina verso l'esterno (es. spyware) o creare una testa di ponte verso l'interno (backdoor) 3

4 Introduzione Nasce pertanto l'esigenza di una componente di rete (firewall), posto immediatamente a valle del router di collegamento ad Internet, che consenta di configurare delle regole di controllo di tutto il traffico proveniente o diretto verso l'esterno E' pertanto di importanza primaria conoscere le principali metodologie di attacco e le tecniche a disposizione (numerose) che consentono di ridurre od eliminare i rischi della rete 4

5 Firewall LAN Router ISP Internet E' permesso il flusso di traffico in entrambe le direzioni ed in modo incondizionato 5

6 Firewall LAN Internet Internet Il firewall ispeziona il contenuto di tutti i pacchetti in transito, eliminando quelli che non soddisfano i requisiti di sicurezza individuati (filtering router) 6

7 Firewall Internet Architettura Tipo Border Router (ISP; first line of defence: NAT, packet filtering etc; primo filtro layer 3/4) firewall with stateful inspection; secondo filtro layer 3/4/7 traffico inbound DMZ (public network) proxy traffico outbound; filtro layer 7 servizi accessibili su Internet Bastion Host (servizi essenziali; hardening) Intranet (private network) 7

8 Varie fasi di un attacco 1) Footprinting : Ogni attacco inizia con la raccolta di dati della rete target Si parte da pochi dati pubblici a disposizione (un indirizzo web, un' ) e quindi, essenzialmente, da un nome di dominio Con particolari programmi (ad es. DNSMap), che combinano il nome del dominio con i nomi più comuni utilizzati per i server (es. www, mail, ns etc), si cerca di individuare i principali indirizzi IP pubblici della rete oggetto di attacco Una tecnica alternativa è rappresentata dal social engineering, che consiste nell'ottenere tali informazioni direttamente dalla vittima 8

9 Varie fasi di un attacco 2) Port scan : Rappresentano la seconda fase dell'attacco volta generalmente ad identificare, per ognuno dei server della rete, le porte aperte (scanning) e le versioni dei programmi che le gestiscono (enumeration) Si utilizzano particolari programmi dei quali il più noto è nmap, che cerca di individuare le porta attive aprendo delle connessioni con ognuna di esse In generale i servizi di firewall notano però una richiesta di connessione alla quale non segue l'invio di dati e registrano nel log questa anomalia Tali log vengono poi analizzati, segnalando ai responsabili della rete le connessioni ritenute sospette 9

10 Varie fasi di un attacco 2) Port scan Three way handshake: inizio connessione TCP 10

11 Varie fasi di un attacco 2) Portscan: TCP Connect() scanning L'attaccante invia un primo pacchetto TCP, ad una certa porta e ad un certo destinatario, con flag SYN attivo, ad iniziare una nuova connessione Se la porta di attacco è aperta, il destinatario risponde con un pacchetto SYN ACK A questo punto l'attaccante invia un ACK ed attiva la connessione, che viene, di norma, registrata nel log e comunque facilmente verificabile (di solito gli attacchi prevedono l'apertura di più socket in parallelo) Se invece la porta è chiusa l'attaccante riceverà un pacchetto con RST on Es. nmap -st <ip target> (provare anche con -A) 11

12 Varie fasi di un attacco 2) Port Scan: Stealth scan (Idle Scan e Fin Scanning) Attacco analogo al precedente ma del tutto invisibile (es. sudo nmap -si <ip target>) Si basa sull'utilizzo di una terza macchina (zombie) e sul fatto che il campo Identification dell'header IP viene solitamente gestito, da molti sistemi operativi, assegnando un numero progressivo ad ogni pacchetto inviato Di norma, se un destinatario riceve un pacchetto con i flag SYN ed ACK settati ad ON senza una sua precedente richiesta di connessione (SYN), viene inviato un pacchetto di reset (flag RST ad ON). L'attaccante inizia quindi inviando un pacchetto SYN/ACK ad uno zombie 12

13 Varie fasi di un attacco 2) Port Scan: Stealth scan (Idle Scan e Fin Scanning) Lo zombie risponde con RST, svelando in tal modo il valore del suo campo Identification Si invia, quindi al target, usando come IP mittente quello dello zombie (spoofing), una richiesta di connessione (SYN) ad una certa porta Se la porta è attiva, lo zombie riceve un pacchetto di tipo SYN ACK, al quale risponde con un RST; in caso contrario, lo zombie riceve un pacchetto con flag RST ad ON (reset) L'attaccante invia nuovamente un pacchetto SYN/ACK allo zombie e riesce a capire, dal valore del campo Identification, il comportamento dello zombie nel punto precedente 13

14 Varie fasi di un attacco 2) Port Scan: Stealth scan (Idle Scan e Fin Scanning) Infatti nel primo caso il valore del campo Identification si sarà incrementato di due unità (vi è stato l'invio al target di un RST) oppure di una sola unità (il solo RST che viene inviato all'attaccante) Eventuali log da parte del firewall non consentono di identificare l'attaccante, che usa sempre l'indirizzo IP della macchina zombie Tecniche analoghe si basano sull'utilizzo di pacchetti con flag FIN on 14

15 Varie fasi di un attacco 3) Gaining access: La terza fase dell' attacco consiste nell'individuare, a fronte delle informazioni fornite dalla fase precedente, le vulnerabilità dei servizi installati sulla rete oggetto di attacco Si sfruttano particolari programmi detti exploit, che permettono, sfruttando le vulnerabilità individuate, di ottenere il controllo del sistema (es. buffer overflow) In alternativa, si possono utilizzare le vulnerabilità per lanciare attacchi di tipo DoS (denial of service), che rendono del tutto inutilizzabile il sistema target Alcuni esempi di famosi attacchi di questo tipo: 15

16 Varie fasi di un attacco 3) Gaining access: Buffer Overflow Uno degli attacchi più diffusi che può portare, in certi casi, ad un controllo della rete con credenziali di root Sfrutta la vulnerabilità di programmi scritti generalmente in C/C++ che non controllano la dimensione degli array Inserendo, in un array, dei valori che occupano una quantità di byte superiore al numero di byte allocato in memoria per l'array si può ottenere il crash del server (DoS) od, in certi casi, il controllo del server 16

17 Varie fasi di un attacco 3) Gaining access: Buffer Overflow #include <stdio.h> #include <string.h> void func(char *p) { char stack_temp[20]; strcpy(stack_temp, p); printf(stack_temp); } int main() { func("questo TESTO PROVOCA UN OVERFLOWxxxxyyyy"); return 0; } 17

18 Varie fasi di un attacco 3) Gaining access: Buffer Overflow Quando una funzione richiama quella successiva, il puntatore alla prima funzione viene salvato nello stack sotto forma di indirizzo, in modo che il programma possa ritornare alla funzione principale. Lo stack contiene anche i parametri di richiamo della funzione e le relative variabili Lo scopo dell'overflow dello stack è quello di sovrascrivere questo indirizzo di ritorno in modo da far sì che il codice di ritorno punti a funzioni presenti nell'host in grado di fornirci il controllo del sistema (ad esempio una shell bash di root!) 18

19 Varie fasi di un attacco 3) Gaining access: Vulnerabilità legate ad errori di programmazione Talvolta l'accesso alle credenziali root è molto più semplice, a causa di errori di programmazione Famoso l'errore seguente nel codice di openssh if (id < 0 id > channels_alloc) { che avrebbe dovuto essere invece if (id < 0 id >= channels_alloc) { Tale errore comportava la possibilità di entrare come un utente normale ed ottenere successivamente le credenziali di root 19

20 Varie fasi di un attacco 3) Gaining access: Denial of Service di tipo Ping of Death Ping of death: si forgiano dei messaggi (ad esempio, ICMP echo request) di elevata lunghezza (> 64KB) che, in certi sistemi, causano il collasso del server per problemi di allocazione del buffer in grado di contenere il pacchetto ICMP. Il problema, in realtà indipendente da ICMP, sta nel fatto che è possibile spedire frammenti IP che, una volta ricostruiti, occupano più spazio del massimo pacchetto IP consentito (64KB). 20

21 Varie fasi di un attacco 3) Gaining access: Denial of Service di tipo syn flood Un client con indirizzo IP falsificato (IP spoofing) lancia diverse richieste di connessione (SYN) Il server sotto attacco alloca in memoria alcune informazioni relative alla nuova connessione ed invia dei pacchetti SYN/ACK; non può però ricevere la relativa risposta Poiché è necessario un certo intervallo di tempo per eliminare le risorse allocate in memoria, attaccando con molti pacchetti si può arrivare al collasso del server 21

22 Varie fasi di un attacco 3) Gaining access: Denial of Service di tipo smurf (2000: CNN, Yahoo, Amazon) Un altro attacco (smurf) si basa sull'invio ad una rete di ping di broadcast (ICMP echo request) al quale il server deve rispondere con un messaggio ICMP di echo reply Ne esistono diverse varianti (es. ping in broadcast, ping inviati da trojan etc) Soluzione: no ip directed-broadcast oppure disabilitare completamente il protocollo ICMP 22

23 Varie fasi di un attacco 4) Pilfering Una volta ottenuto l'accesso ad una delle macchine della rete target, si cerca di ottenere il controllo degli altri server, ricavando, con varie tecniche, le relative coppie utente/password abilitate 5) Cancellazione delle tracce Si cancellano le tracce lasciate (es. log) e si installano dei particolari programmi (backdoor) che, girando in modo nascosto, consentono un successivo comodo accesso da remoto, da parte dell'attaccante 23

24 Altri tipi di attacchi Viruses, worms ed altre minacce informatiche di vario tipo Virus : software in grado di danneggiare il sistema ospitante ma che richiede un programma ospitante per essere eseguito e replicarsi Worm: analogo al virus ma con capacità di esecuzione indipendente ed autoclonazione attraverso Internet; generano spesso elevato traffico di rete che può portare a blocco completo Delle varie minacce informatiche di questo tipo si cerca di fornire nelle prossime slides una classificazione di massima 24

25 Altri tipi di attacchi Adware: programma che mostra messaggi pubblicitari durante l'utilizzo delle applicazioni Backdoor Trojan: programma che consente di prendere il controllo di un computer senza il consenso del proprietario (es.. Subseven, Backorifice etc) Bluejacking : invio di messaggi anonimi ed indesiderati ad utente che utilizzano PC dotati di tecnologia Bluetooth Bootvirus: modifica il programma di avvio del computer Browser hijacking: modifica la pagina iniziale e l'elenco dei siti preferiti, configurati nel browser 25

26 Altri tipi di attacchi Dialer: cambiano il numero telefonico della connessione Internet, sostituendolo con un servizio a pagamento MouseTrapping: impedisce all'utente di uscire da un determinato sito Internet Phishing: uso di e di falsi siti Web per indurre gli utenti a fornire le proprie credenziali di accesso a siti bancari Ransomware:impedisce l'accesso ai documenti personali finché non viene pagato un riscatto Rootkit: software in grado di nascondere i programmi od i processi utilizzati per sottrarre dati (es. keylogger) o per eseguire operazioni illecite 26

27 Altri tipi di attacchi Spam: invio di posta indesiderata o non richiesta Spoofing: falsificazione dell'indirizzo del mittente nei messaggio di posta Spyware: permette a società commerciali di raccogliere informazioni commerciali ad insaputa dell'utente Trojan: programma che presenta al suo interno funzionalità nascoste ed indesiderate (es. un attacco di tipo DOS, keylogger etc) Zombie: computer controllato da remoto ed usato, ad insaputa dell'utente, per azioni fraudolente o dannose (es. spamming) 27

28 Altri tipi di attacchi Un altro esempio: SQL injection xkcd: Exploits of a Mom 28

29 Altri tipi di attacchi Come funziona la SQL injection? Le pagine web sono scritte in qualche linguaggio o libreria che gestisce le query SQL come stringhe; I programmatori sono pigri. mysql_query( SELECT * FROM Students WHERE (name='$name' AND pwd=md5('$pwd')) ) Se $NAME= Robert e $PWD= ciao, tutto va bene, e la query passata al database è SELECT * FROM Students WHERE (name='robert' AND pwd=md5('ciao')) 29

30 Altri tipi di attacchi mysql_query( SELECT * FROM Students WHERE (name='$name' AND pwd=md5('$pwd')) ) Se invece $NAME= Robert'); DROP TABLE Students; -- e $PWD= ciao : SELECT * FROM Students WHERE (name='robert'); DROP TABLE Students; --' AND pwd=md5( ciao )) Chiudiamo senza errori la SELECT Inseriamo il nostro attacco Evitiamo che l'ultima parte sia interpretata (-- = commento fino a fine riga) 30

31 Altri tipi di attacchi In alcuni casi, non è nemmeno necessaria una SQL injection: Cercare oklahoma sex offender leak con Google! Una (semplice?) sfida: 31

32 Firewall Porta 80 OK LAN Internet Porta 21 Accesso vietato Con un firewall è possibile controllare il traffico da e verso l'esterno; ad esempio è possibile lasciare passare il traffico che ha come porta di destinazione il valore 80 e bloccare altre porte di destinazione. 32

33 Classificazione firewall Personal firewall proteggono il singolo host (es. Zone Alarm), consentendo generalmente di default qualsiasi traffico verso l'esterno (outbound) e bloccando quello dall'esterno (inbound) Network firewall: si interpone fra la LAN ed Internet e controlla tutto il traffico passante: Network appliance (es Cisco Pix, Nokia); dispositivi ad-hoc dotati di loro sistema operativo e software di controllo Software-based: software installato su sistemi operativi standard (es Check Point, MS Isa, Linux iptables, Shorewall) 33

34 Personal firewall Outbound (traffico da interno ad esterno): Consentito per default Inbound (traffico da esterno ad interno) Vietato per default Utilizzabili a scopo personale ma impensabili in una struttura enterprise per i costi e le difficoltà di gestione (ad esempio sarebbe difficile implementare una politica di allineamento delle policy) Inoltre va considerato che il lasciare libero il traffico verso l'esterno deve essere sempre considerato negativo dal punto di vista della sicurezza (backdoor, worm etc) 34

35 Tecniche utilizzate in network firewall 0) Natting (Network Address Translation) 1) Packet filtering 2) Stateful Inspection 3) Proxy Nota: le soluzioni più frequentemente adottate prevedono l'uso combinato di queste tecniche 35

36 NAT firewalls Ogni router, che effettui funzioni di NAT, protegge da accessi esterni in quanto gli host interni possiedono indirizzi privati, non accessibili da Internet Pertanto non è possibile attivare una connessione dall'esterno (ad esempio viene bloccato qualsiasi tentativo di port scan, con l'eccezione delle porte per le quali è abilitato il forwarding) Un evidente limite dei firewall di tipo NAT è che non si effettua alcun controllo sul traffico outbound (verso l' esterno) 36

37 NAT firewalls Ad esempio se si installa (a propria insaputa!) una backdoor, questa può connettersi automaticamente verso un server esterno e trasmettere informazioni della rete, senza alcuna possibilità di controllo (classico sistema usato nello spamming) Inoltre non si controlla il traffico a livello applicativo e quindi il NAT non impedisce il download di software pericoloso (virus) 37

38 Packet filter Packet inspection: un firewall deve essere in grado di analizzare le informazioni riportate negli header TCP/IP Source e destination IP address Source e destination port Tipo di protocollo Sequence number, flags etc Deve inoltre disporre di regole (Access Control List) che consentano di definire dei filtri da applicare ad ogni pacchetto in funzione delle informazioni presenti negli header TCP/IP Il controllo viene attivato a livello 3 (networking); si analizzano anche gli header di livello 4 (transport) ma si ignorano le informazioni del protocollo applicativo al quale il pacchetto si riferisce 38

39 Due filosofie di base Open security policy: tutto è permesso per default; ACL solo per vietare particolari tipi di accesso lasciando liberi i rimanenti Closed security policy: tutto è vietato per default; ACL per aprire i pochi accessi necessari (fortemente consigliata) 39

40 Packet filter router con funzionalità di NAT e packet filter client Intranet server Internet 40

41 Packet filter ACL Source Address Source Port Destination Address Destination Port Rule Any Any/TCP /TCP Allow /TCP Any Any/TCP Allow Any Any Any Any Reject Esempio di ACL (cfr. figura precedente) che consente la connessione di tutti i client di una LAN ad un solo Web server Internet 41

42 Packet filter Due esempi, frequentemente utilizzati, di ACL: Cisco router ACL Linux Netfilter ed Iptables 42

43 Packet filter Cisco ACL deny implicito 43

44 Packet filter Standard Cisco IP ACL Semplici regole di filtro limitate al layer 3 Ognuna di esse viene associata ad un gruppo di numerazione (ACL_#), identificato da un numero compreso fra 1 e a 99 (oppure ) Tale gruppo viene poi utilizzato per associare in blocco le regole ad una specifica interfaccia access-list # {permit deny} source_address [wildcard_mask] [log] Esempio: access-list 10 permit wildcard_mask ha una struttura simile a netmask; i bits a 0 indicano i bits dell'indirizzo IP mittente (source) che devono essere controllati dalla regola; quelli ad 1 indicano la parte esclusa da tale controllo 44

45 Packet filter ACL Router 2 ACL Router 2 interfaccia F0/0 #access-list 10 permit #access-list 10 deny ! applichiamo il blocco 10 all'interfaccia F0/0 per i pacchetti in entrata verso il router # interface F0/0 # ip access-group 10 in 45

46 Packet filter Casi particolari di source_ip_address wildcard_mask host : corrisponde a any: corrisponde a ossia qualsiasi indirizzo mittente Il blocco di regole, identificato da opportuna numerazione, viene applicato ad una specifica interfaccia del router con comando ip access-group <numero blocco ACL> [in/out] IN indica che le regole si applicano al traffico che, dalla rete collegata, viene trasmesso verso questa interfaccia del router; OUT, all'opposto, indica tutto il traffico che dal router viene inviato, tramite questa interfaccia, alla rete collegata 46

47 Packet filter Extended Cisco IP ACL Regole di filtro che analizzano gli header layer 3 e layer 4 Numerazione di gruppo (ACL_#) compresa fra 101 e 199 access-list # {deny permit} tcp source_address source_mask [operator src_port] destination_address destination_mask [operator dest_port] [log log-input] [established] [...] 47

48 Packet filter Extended Cisco IP ACL Regole analoghe possono essere definite per altri protocolli (ip, udp, icmp) Esempio con ip access-list ACL_# {deny permit} ip source_address source_mask destination_address destination_mask [log log-input] [...] 48

49 Packet filter INTERFACCIA F0/1 - permettiamo il traffico http dalla rete diretto verso permettiamo icmp generico - permettiamo udp generico Nota: tutto il resto è implicitamente vietato # access-list 101 permit tcp eq www # access-list 101 permit icmp any any # access-list 101 permit udp any any # interface F0/1 # ip access-group 101 out 49

50 Packet filter Esempio: permettere esclusivamente l invio di In questo esempio viene bloccato sull interfaccia E0 tutto il traffico in uscita ad esclusione della posta elettronica. access-list 102 permit tcp any eq 25 (o eq smtp) access-list 102 deny any any (implicito, non visibile nella lista) interface ethernet 0 ip access-group 102 in (applica le regole all'interfaccia E0 in entrata ossia al traffico outbound rispetto alla rete )) 50

51 Packet filter Linux Netfilter ed Iptables Esempio di ACL Cisco per bloccare il traffico http, qualsiasi sia la provenienza, diretto all'host access-list 111 deny tcp any host eq 80 interface ethernet 0 ip access-group 111 in In Linux la stessa regola sarebbe: iptables -A INPUT -i eth0 -p tcp -d /32 --dport 80 -j DROP 51

52 Packet filter I firewall di tipo packet filtering sono di tipo stateless nel senso che analizzano il singolo pacchetto ma non sono in grado di riconoscere i vari stati della connessione (eccezione: keyword established) La funzionalità di packet filtering è normalmente inclusa in tutti i router ed i firewall software offerti sul mercato Essa consente di ridurre il rischio di attacchi di vario tipo (es. port scan) ma non si può contare esclusivamente su di essa in quanto sono presenti alcuni evidenti limiti dei quali si citano i più importanti 52

53 Packet filter non conservando lo stato delle connessioni, non è ad esempio in grado di capire se la risposta ad una richiesta di connessione (SYN + ACK) sia realmente conseguente ad una richiesta proveniente dall'interno (SYN) nemmeno è in grado di stabilire, a fronte della ricezione di un pacchetto SYN+ACK, da quale porta effimera sia partita la richiesta di connessione (SYN) si devono pertanto abilitare tutte le porte effimere (>1023) per consentire il transito ai pacchetti di risposta ad una richiesta inviata dall'interno questo potrebbe consentire ad una backdoor di ricevere connessioni dall'esterno. 53

54 Packet filter questa regola blocca anche il traffico di risposta a

55 Packet filter questa regola blocca anche il traffico di risposta a soluzione: abilitare pacchetti con porte effimere 55

56 Packet filter per consentire, in alternativa, il ritorno di tutti i pacchetti di risposta si autorizzano i pacchetti di risposta con ACK attivo oppure si usa, nelle ACL Cisco, la keyword established, che consente di ottenere lo stesso scopo in tal modo però pacchetti appositamente malformati ma con il flag ACK attivo possono transitare attraverso il firewall (possibile DoS). Si noti il significato leggermente diverso di ESTABLISHED in iptables, dove significa che sono stati visti pacchetti in entrambe le direzioni (quindi è implicito uno stato). 56

57 Packet filter 2 soluzione: abilitare pacchetti con flag ACK ( od usare parola chiave established) 57

58 Packet filter Vantaggi Performance Flessibilità nella definizione delle policy, basate sui campi degli header TCP ed IP Indipendenza dalle applicazioni Svantaggi non controlla i dati trasportati (livello 7); non impedisce ad esempio il download di trojan horses inseriti in activex od scaricati attraverso porte autorizzate (es. 80, 25) Non supporta autenticazione delle connessioni e quindi non è in grado di verificare l'attendibilità dell' IP mittente autorizzato (controllo IP spoofing) 58

59 Packet filter Per questo motivo il controllo di tipo packet filtering viene solitamente utilizzato come prima linea di difesa, a bordo del router che collega la rete ad Internet (edge router) oppure nei router interni per limitare gli accessi da una sottorete ad un'altra A valle di questo router vengono inserite ulteriori forme di difesa che introducono altri tipi di controllo, presentati nelle prossime slides Il packet filtering è anche frequentemente usato, per ragioni di costi, quale unica forma di difesa, in abbinamento con il natting, in reti che non richiedono elevati livelli di sicurezza (SOHO networks) 59

60 Packet filter 60

61 Stateful inspection firewall Lavora al livello 3 ma tenendo conto delle informazioni di tutti i livelli superiori Tiene anche conto delle informazioni che sono collegate all'intero flusso (stati) e non al singolo pacchetto Ad esempio se un client interno apre una connessione con la porta effimera 2222 verso il server Web porta 80, il firewall mantiene in memoria questa informazione ed accetta i soli pacchetti di ritorno che abbiano: ip mittente porta mittente 80 ip destinatario porta destinataria 2222 che rappresenta l'unica forma di risposta possibile. 61

62 Stateful inspection firewall client firewall server open :80 back add rule: port 2222 on open to SYN :80 SYN/ACK :2222 check; is port 2222 on open to ? syn open :2222 yes yes: pass no: discard 62

63 Stateful inspection firewall abilitazione porta effimera per host Un secondo esempio: il firewall aggiunge automaticamente una nuova regola di filtering per consentire il passaggio dei pacchetti di risposta 63

64 Stateful inspection firewall Un firewall di tipo stateful inspection tiene anche conto delle informazioni di livello 7 per determinati protocolli (HTTP, FTP, SMTP) E' pertanto in grado di intercettare violazioni dei parametri di protocollo ai vari livelli Esempio FTP slide seguente 64

65 Stateful inspection firewall Per consentire una connessione FTP il firewall deve conoscere il numero della porta client con la quale attivare la connessione di tipo DATA Questa informazione è presente nel comando FTP Port (livello 7) 65

66 Stateful inspection firewall Cosa analoga avviene in certi protocolli multimediali (es. H323, Real Time Streaming Protocol etc), dove, a fronte di una richiesta inviata da una certa porta effimera del client, il server deve aprire più connessioni per l'invio in parallelo del contenuto multimediale. Anche in tal caso il firewall analizza il contenuto della richiesta e determina in modo dinamico le porte che devono essere lasciate aperte. La stateful inspection consente infine di controllare la sequenza di frammentazione presente nei pacchetti IP,in quanto l'uso di frammentazione è una delle tecniche utilizzate per superare il controllo degli header TCP da parte dei filtri di tipo stateless (i frammenti dopo il primo non riportano gli header TCP) 66

67 Stateful inspection firewall I firewall di tipo stateful inspection, pur costituendo una soluzione nettamente migliore rispetto al semplice packet filtering, presentano ancora, in genere, una limitata capacità di controllo del protocollo applicativo (livello 7) presente nei pacchetti in transito. Costituiscono quindi una valida alternativa ai firewall di tipo packet filtering come prima linea di difesa ma, poiché molti pericoli possono essere percepiti solo dopo un'attenta analisi dei dati in transito a livello applicativo (es. virus, trojan etc) è necessario, per garantire una sicurezza più completa, affiancare un ulteriore componente di sicurezza: il proxy. 67

68 Stateful inspection firewall Vantaggi Controllo dello stato delle connessioni e riduzione del numero di porte abilitate (minore rischio DOS) Performance e trasparenza rispetto agli host Controllo, ancorchè limitato, dello stato dei protocolli UDP ed ICMP, basati su timer Svantaggi controllo limitato dei dati di livello 7; non impedisce ad esempio il download di trojan horses inseriti in activex od scaricati attraverso porte autorizzate (es. 80, 25) Non supporta autenticazione delle connessioni e quindi non è in grado di verificare l'attendibilità dell' IP mittente autorizzato (controllo IP spoofing) 68

69 Stateful inspection firewall 69

70 Proxy firewall 70

71 Proxy firewall Il proxy ascolta le richieste di servizio di alto livello (es. Http) provenienti dai client della rete privata ed invia tali richieste sulla rete esterna come se il proxy fosse il client originario In altre parole, a fronte di ogni richiesta outbound da parte dei diversi client della rete, si crea una socket di connessione (solo interna) client-proxy anzichè client-server di destinazione Il proxy, agendo da intermediario, crea, per ogni socket interna, una propria connessione verso il server e la porta esterne, richieste dal client 71

72 Proxy Internet 2 2 Firewall con funzione di proxy Il proxy ha due interfacce che consentono di gestire due connessioni indipendenti; in tal modo ogni host interno non è direttamente accessibile da Internet 1 72

73 Proxy firewall La risposta ricevuta dal proxy viene inoltrata verso il client per il quale la presenza del proxy è completamente trasparente Ogni nuova richiesta di connessione viene controllata mediante autenticazione del richiedente, effettuata di solito mediante utente e password; il proxy verifica tali credenziali appoggiandosi ad un proprio database oppure a database esterni (es. radius, active directory) Uno dei principali vantaggi del proxy è dato dalla possibilità di effettuare controlli sui dati dei protocolli applicativi (livello 7); presenta però maggiori problemi di perfomance e di complessità di configurazione rispetto agli altri tipi di firewall visti precedentemente 73

74 Proxy firewall Funziona solo per i protocolli più diffusi (FTP, HTTP, SMTP, HTTPS e pochi altri, a seconda del tipo di prodotto) Rende perciò possibile consentire solo specifici comandi di un protocollo applicativo oppure verificare la presenza di virus o trojan all'interno dei pacchetti trasferiti Controlla inoltre, sempre a livello applicativo, richieste anomale che possono riguardare attacchi di tipo buffer overflow (es. invio di codice pericoloso identificato da specifiche signatures) E' pure possibile verificare gli URL richiesti (white e black list) 74

75 Proxy firewall L'host che agisce da proxy viene opportunamente configurato (hardening) in modo da ridurre i servizi disponibili all'essenziale e limitare il più possibile i rischi di attacco Concentrando tutte le connessioni verso una l'esterno in una sola macchina, si semplifica la gestione della sicurezza e si proteggono i client interni da attacchi esterni (client hiding) Il forwarding a livello IP viene disabilitato e pertanto non è possibile l'ingresso di pacchetti relativi a protocolli diversi da quelli gestiti dal proxy Permette anche funzioni di caching delle pagine visitate in Http,ottimizzando il traffico di rete e le performance Consente infine di registrare tutti gli accessi alla rete esterna per analisi statistiche ex-post ed un controllo (monitoring) del traffico effettuato 75

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Cosa è lo spoofing. Cosa è lo spoofing. Argomenti. Spoofing conosciuti. Introduzione. Corso di Sistemi di Elaborazione: Sicurezza su Reti

Cosa è lo spoofing. Cosa è lo spoofing. Argomenti. Spoofing conosciuti. Introduzione. Corso di Sistemi di Elaborazione: Sicurezza su Reti Introduzione Corso di Sistemi di Elaborazione: Sicurezza su Reti A.A. 2001/2002 Prof. A. De Santis A cura di: Angelo Celentano matr. 53/11544 Raffaele Pisapia matr. 53/10991 Mariangela Verrecchia matr.

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP. Configurazione di indirizzi IP statici multipli Per mappare gli indirizzi IP pubblici, associandoli a Server interni, è possibile sfruttare due differenti metodi: 1. uso della funzione di Address Translation

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

SubnetMask: come funzionano e come si calcolano le sottoreti (SpySystem.it)

SubnetMask: come funzionano e come si calcolano le sottoreti (SpySystem.it) SubnetMask: come funzionano e come si calcolano le sottoreti (SpySystem.it) In una rete TCP/IP, se un computer (A) deve inoltrare una richiesta ad un altro computer (B) attraverso la rete locale, lo dovrà

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Introduzione alle applicazioni di rete

Introduzione alle applicazioni di rete Introduzione alle applicazioni di rete Definizioni base Modelli client-server e peer-to-peer Socket API Scelta del tipo di servizio Indirizzamento dei processi Identificazione di un servizio Concorrenza

Dettagli

Sicurezza delle reti Spoofing: cos'è e come avviene IP Spoofing Spoofing non Cieco

Sicurezza delle reti Spoofing: cos'è e come avviene IP Spoofing Spoofing non Cieco SPOOFING Sicurezza delle reti Non bisogna essere sorpresi dal fatto che le reti di computer siano l'obbiettivo preferito, sia oggi sia in futuro, da parte di aggressori. Visto che un attacco su larga scala

Dettagli

CONFIGURAZIONE DEI SERVIZI (seconda parte)

CONFIGURAZIONE DEI SERVIZI (seconda parte) Corso ForTIC C2 LEZIONE n. 10 CONFIGURAZIONE DEI SERVIZI (seconda parte) WEB SERVER PROXY FIREWALL Strumenti di controllo della rete I contenuti di questo documento, salvo diversa indicazione, sono rilasciati

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Cos è un protocollo? Ciao. Ciao 2:00. tempo. Un protocollo umano e un protocollo di reti di computer:

Cos è un protocollo? Ciao. Ciao 2:00. <file> tempo. Un protocollo umano e un protocollo di reti di computer: Cos è un protocollo? Un protocollo umano e un protocollo di reti di computer: Ciao Ciao Hai l ora? 2:00 tempo TCP connection request TCP connection reply. Get http://www.di.unito.it/index.htm Domanda:

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli

Inizializzazione degli Host. BOOTP e DHCP

Inizializzazione degli Host. BOOTP e DHCP BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un

Dettagli

Luca Mari, Sistemi informativi applicati (reti di calcolatori) appunti delle lezioni. Architetture client/server: applicazioni client

Luca Mari, Sistemi informativi applicati (reti di calcolatori) appunti delle lezioni. Architetture client/server: applicazioni client Versione 25.4.05 Sistemi informativi applicati (reti di calcolatori): appunti delle lezioni Architetture client/server: applicazioni client 1 Architetture client/server: un esempio World wide web è un

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless La configurazione degli indirizzi IP Configurazione statica, con DHCP, e stateless 1 Parametri essenziali per una stazione IP Parametri obbligatori Indirizzo IP Netmask Parametri formalmente non obbligatori,

Dettagli

J+... J+3 J+2 J+1 K+1 K+2 K+3 K+...

J+... J+3 J+2 J+1 K+1 K+2 K+3 K+... Setup delle ConnessioniTCP Una connessione TCP viene instaurata con le seguenti fasi, che formano il Three-Way Handshake (perchè formato da almeno 3 pacchetti trasmessi): 1) il server si predispone ad

Dettagli

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30 Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette.

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Il World Wide Web: nozioni introduttive

Il World Wide Web: nozioni introduttive Il World Wide Web: nozioni introduttive Dott. Nicole NOVIELLI novielli@di.uniba.it http://www.di.uniba.it/intint/people/nicole.html Cos è Internet! Acronimo di "interconnected networks" ("reti interconnesse")!

Dettagli

- Antivirus, Firewall e buone norme di comportamento

- Antivirus, Firewall e buone norme di comportamento Reti Di cosa parleremo? - Definizione di Rete e Concetti di Base - Tipologie di reti - Tecnologie Wireless - Internet e WWW - Connessioni casalinghe a Internet - Posta elettronica, FTP e Internet Browser

Dettagli

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Protocolli di rete Sommario Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Configurazione statica e dinamica

Dettagli

DNS (Domain Name System) Gruppo Linux

DNS (Domain Name System) Gruppo Linux DNS (Domain Name System) Gruppo Linux Luca Sozio Matteo Giordano Vincenzo Sgaramella Enrico Palmerini DNS (Domain Name System) Ci sono due modi per identificare un host nella rete: - Attraverso un hostname

Dettagli

ARP (Address Resolution Protocol)

ARP (Address Resolution Protocol) ARP (Address Resolution Protocol) Il routing Indirizzo IP della stazione mittente conosce: - il proprio indirizzo (IP e MAC) - la netmask (cioè la subnet) - l indirizzo IP del default gateway, il router

Dettagli

Determinare la grandezza della sottorete

Determinare la grandezza della sottorete Determinare la grandezza della sottorete Ogni rete IP possiede due indirizzi non assegnabili direttamente agli host l indirizzo della rete a cui appartiene e l'indirizzo di broadcast. Quando si creano

Dettagli

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 Sistemi Web-Based - Terminologia Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 CLIENT: il client è il programma che richiede un servizio a un computer collegato in

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli

HORIZON SQL CONFIGURAZIONE DI RETE

HORIZON SQL CONFIGURAZIONE DI RETE 1-1/9 HORIZON SQL CONFIGURAZIONE DI RETE 1 CARATTERISTICHE DI UN DATABASE SQL...1-2 Considerazioni generali... 1-2 Concetto di Server... 1-2 Concetto di Client... 1-2 Concetto di database SQL... 1-2 Vantaggi...

Dettagli

Gestione posta elettronica (versione 1.1)

Gestione posta elettronica (versione 1.1) Gestione posta elettronica (versione 1.1) Premessa La presente guida illustra le fasi da seguire per una corretta gestione della posta elettronica ai fini della protocollazione in entrata delle mail (o

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

Modulo 11. Il livello trasporto ed il protocollo TCP Indice

Modulo 11. Il livello trasporto ed il protocollo TCP Indice Pagina 1 di 14 Il livello trasporto ed il protocollo TCP Indice servizi del livello trasporto multiplexing/demultiplexing trasporto senza connesione: UDP principi del trasferimento dati affidabile trasporto

Dettagli

MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa

MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa Cosa è MPLS MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa L idea di base consiste nell associare a ciascun pacchetto un breve identificativo

Dettagli

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a:

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a: Lab 4.1 Utilizzare FTP (File Tranfer Protocol) LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) In questa lezione imparerete a: Utilizzare altri servizi Internet, Collegarsi al servizio Telnet, Accedere

Dettagli

SERVER VIDEO 1-PORTA H.264

SERVER VIDEO 1-PORTA H.264 SERVER VIDEO 1-PORTA H.264 MANUALE UTENTE DN-16100 SALVAGUARDIA IMPORTANTE Tutti i prodotti senza piombo offerti dall'azienda sono a norma con i requisiti della legge Europea sulla restrizione per l'uso

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello della Web Application 5 3 Struttura della web Application 6 4 Casi di utilizzo della Web

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

Reti di Telecomunicazione Lezione 7

Reti di Telecomunicazione Lezione 7 Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Protocollo HTTP. Alessandro Sorato

Protocollo HTTP. Alessandro Sorato Un protocollo è un insieme di regole che permettono di trovare uno standard di comunicazione tra diversi computer attraverso la rete. Quando due o più computer comunicano tra di loro si scambiano una serie

Dettagli

PRESENTAZIONE DI UN SMS AL GATEWAY

PRESENTAZIONE DI UN SMS AL GATEWAY Interfaccia Full Ascii Con questa interfaccia è possibile inviare i dati al Server utilizzando solo caratteri Ascii rappresentabili e solo i valori che cambiano tra un sms e l altro, mantenendo la connessione

Dettagli

Routers and Routing process explanation through the Network Address Translation

Routers and Routing process explanation through the Network Address Translation Routers and Routing process explanation through the Network Address Translation 0x100 Router 0x110 Cos è? Quello che nel gergo informatico viene chiamato Router (o Switch Router) è un dispositivo di rete

Dettagli

Sicurezza della Rete: Programmi e tecniche di intrusione

Sicurezza della Rete: Programmi e tecniche di intrusione Gestione della sicurezza in Rete: Programmi e tecniche di intrusione 1 SECONDA UNIVERSITÀ DEGLI STUDI DI NAPOLI Facoltà di Ingegneria Corso di Reti di Calcolatori Sicurezza della Rete: Programmi e tecniche

Dettagli

Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015

Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015 Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015 Definizione Mentre una LAN è una rete locale costituita da un certo numero di pc connessi ad uno switch, una VLAN è una LAN VIRTUALE (Virtual

Dettagli

GESTIONE DELLA E-MAIL

GESTIONE DELLA E-MAIL GESTIONE DELLA E-MAIL Esistono due metodologie, completamente diverse tra loro, in grado di consentire la gestione di più caselle di Posta Elettronica: 1. tramite un'interfaccia Web Mail; 2. tramite alcuni

Dettagli

Ambienti supportati. Configurazione della stampante di rete. Stampa. Gestione della carta. Manutenzione. Risoluzione dei problemi.

Ambienti supportati. Configurazione della stampante di rete. Stampa. Gestione della carta. Manutenzione. Risoluzione dei problemi. I server di stampa vengono utilizzati per collegare le stampanti alle reti. In tal modo, più utenti possono accedere alle stampanti dalle proprie workstation, condividendo sofisticate e costose risorse.

Dettagli

Servizi DNS - SMTP FTP - TELNET. Programmi. Outlook Express Internet Explorer

Servizi DNS - SMTP FTP - TELNET. Programmi. Outlook Express Internet Explorer Servizi DNS - SMTP FTP - TELNET Programmi Outlook Express Internet Explorer 72 DNS Poiché riferirsi a una risorsa (sia essa un host oppure l'indirizzo di posta elettronica di un utente) utilizzando un

Dettagli

UNIVERSITÀ DEGLI STUDI DI GENOVA

UNIVERSITÀ DEGLI STUDI DI GENOVA UNIVERSITÀ DEGLI STUDI DI GENOVA FACOLTÀ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA ELETTRONICA TESI DI LAUREA Sviluppo di tecniche di clustering e log correlation dedicate al trattamento

Dettagli

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail Configurare un programma di posta con l account PEC di Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account ii nel programma di

Dettagli

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP Università degli Studi di Pisa Facoltà di Scienze Matematiche,Fisiche e Naturali Corso di Laurea in Informatica Michela Chiucini MIB PER IL CONTROLLO DELLO STATO DI UN SERVER

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account

Dettagli

Interfaccia Web per customizzare l interfaccia dei terminali e

Interfaccia Web per customizzare l interfaccia dei terminali e SIP - Session Initiation Protocol Il protocollo SIP (RFC 2543) è un protocollo di segnalazione e controllo in architettura peer-to-peer che opera al livello delle applicazioni e quindi sviluppato per stabilire

Dettagli

Lezione n 1! Introduzione"

Lezione n 1! Introduzione Lezione n 1! Introduzione" Corso sui linguaggi del web" Fondamentali del web" Fondamentali di una gestione FTP" Nomenclatura di base del linguaggio del web" Come funziona la rete internet?" Connessione"

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Architettura di un sistema informatico 1 CONCETTI GENERALI

Architettura di un sistema informatico 1 CONCETTI GENERALI Architettura di un sistema informatico Realizzata dal Dott. Dino Feragalli 1 CONCETTI GENERALI 1.1 Obiettivi Il seguente progetto vuole descrivere l amministrazione dell ITC (Information Tecnology end

Dettagli

Incontri a Tema Universita deglistudidipadova. GNU/Linux Firewall. Alberto Cammozzo Mauro Malvestio {mmzz, malveo} @ stat.unipd.it

Incontri a Tema Universita deglistudidipadova. GNU/Linux Firewall. Alberto Cammozzo Mauro Malvestio {mmzz, malveo} @ stat.unipd.it Incontri a Tema Universita deglistudidipadova GNU/Linux Firewall Alberto Cammozzo Mauro Malvestio {mmzz, malveo} @ stat.unipd.it NAT (SNAT / DNAT / MASQ) SNAT : Cambia la provenienza della connesione [SOURCE

Dettagli

I name server DNS. DNS: Domain Name System. Esempio di DNS. DNS: Root name server. DNS: queries ripetute

I name server DNS. DNS: Domain Name System. Esempio di DNS. DNS: Root name server. DNS: queries ripetute DNS: Domain Name System I name DNS Persone: identificatori: CF, nome, Numero di Passaporto Host e router Internet: Indirizzo IP ( bit) - usato per instradare i pacchetti nome, per es., massimotto.diiie.unisa.it

Dettagli

Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici

Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici Art. 1 Oggetto Il presente modulo di assunzione di responsabilità (di seguito

Dettagli

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor NetMonitor Micro guida all uso per la versione 1.2.0 di NetMonitor Cos è NetMonitor? NetMonitor è un piccolo software per il monitoraggio dei dispositivi in rete. Permette di avere una panoramica sui dispositivi

Dettagli

SPOSTAMENTO SITEMANAGER DA SERVER DIREL A SERVER PROPRIETARIO

SPOSTAMENTO SITEMANAGER DA SERVER DIREL A SERVER PROPRIETARIO SPOSTAMENTO SITEMANAGER DA SERVER DIREL A SERVER PROPRIETARIO La seguente guida mostra come trasferire un SiteManager presente nel Server Gateanager al Server Proprietario; assumiamo a titolo di esempio,

Dettagli

Un client su arduino invia i dati acquisiti ad un database

Un client su arduino invia i dati acquisiti ad un database Un client su arduino invia i dati acquisiti ad un database PROBLEMA Si vogliono inviare, periodicamente, i dati acquisiti da alcuni sensori ad un database presente su di un server. Arduino con shield Ethernet

Dettagli

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci Manuale di Remote Desktop Connection Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci 2 Indice 1 Introduzione 5 2 Il protocollo Remote Frame Buffer 6 3 Uso di Remote Desktop

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

G e s t i o n e U t e n z e C N R

G e s t i o n e U t e n z e C N R u t e n t i. c n r. i t G e s t i o n e U t e n z e C N R G U I D A U T E N T E Versione 1.1 Aurelio D Amico (Marzo 2013) Consiglio Nazionale delle Ricerche - Sistemi informativi - Roma utenti.cnr.it -

Dettagli

Appunti di Antonio Bernardo

Appunti di Antonio Bernardo Internet Appunti di Antonio Bernardo Cos è Internet Internet può essere vista come una rete logica di enorme complessità, appoggiata a strutture fisiche e collegamenti di vario tipo (fibre ottiche, cavi

Dettagli

MailStore Proxy è disponibile gratuitamente per tutti i clienti di MailStore Server all indirizzo http://www.mailstore.com/en/downloads.

MailStore Proxy è disponibile gratuitamente per tutti i clienti di MailStore Server all indirizzo http://www.mailstore.com/en/downloads. MailStore Proxy Con MailStore Proxy, il server proxy di MailStore, è possibile archiviare i messaggi in modo automatico al momento dell invio/ricezione. I pro e i contro di questa procedura vengono esaminati

Dettagli

DNS cache poisoning e Bind

DNS cache poisoning e Bind ICT Security n. 19, Gennaio 2004 p. 1 di 5 DNS cache poisoning e Bind Il Domain Name System è fondamentale per l'accesso a internet in quanto risolve i nomi degli host nei corrispondenti numeri IP. Se

Dettagli

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO CLSMS SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO Sommario e introduzione CLSMS SOMMARIO INSTALLAZIONE E CONFIGURAZIONE... 3 Parametri di configurazione... 4 Attivazione Software...

Dettagli

Guida dell amministratore

Guida dell amministratore Guida dell amministratore Le informazioni e il contenuto del presente documento vengono forniti esclusivamente a scopi informativi e come sono, senza garanzie di alcun tipo, sia espresse che implicite,

Dettagli

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic

Dettagli

Guida alla scansione su FTP

Guida alla scansione su FTP Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni

Dettagli

Gestire le comunicazione aziendali con software Open Source

Gestire le comunicazione aziendali con software Open Source Gestire le comunicazione aziendali con software Open Source Data: Ottobre 2012 Firewall pfsense Mail Server Zimbra Centralino Telefonico Asterisk e FreePBX Fax Server centralizzato Hylafax ed Avantfax

Dettagli

Questo documento è allegato al libro Elettrotecnica, Elettronica, Telecomunicazioni e Automazione di

Questo documento è allegato al libro Elettrotecnica, Elettronica, Telecomunicazioni e Automazione di Questo documento è allegato al libro Elettrotecnica, Elettronica, Telecomunicazioni e Automazione di Trapa L., IBN Editore, a cui si può fare riferimento per maggiori approfondimenti. Altri argomenti correlati

Dettagli

Programmazione di rete in Java

Programmazione di rete in Java Programmazione di rete in Java Reti di calcolatori Una rete di calcolatori è un sistema che permette la condivisione di dati informativi e risorse (sia hardware sia software) tra diversi calcolatori. Lo

Dettagli

Posta Elettronica Certificata

Posta Elettronica Certificata Posta Elettronica Certificata Manuale di utilizzo del servizio Webmail di Telecom Italia Trust Technologies Documento ad uso pubblico Pag. 1 di 33 Indice degli argomenti 1 INTRODUZIONE... 3 1.1 Obiettivi...

Dettagli

2 Requisiti di sistema 4 2.1 Requisiti software 4 2.2 Requisiti hardware 5 2.3 Software antivirus e di backup 5 2.4 Impostazioni del firewall 5

2 Requisiti di sistema 4 2.1 Requisiti software 4 2.2 Requisiti hardware 5 2.3 Software antivirus e di backup 5 2.4 Impostazioni del firewall 5 Guida introduttiva Rivedere i requisiti di sistema e seguire i facili passaggi della presente guida per distribuire e provare con successo GFI FaxMaker. Le informazioni e il contenuto del presente documento

Dettagli

GUIDA DELL UTENTE IN RETE

GUIDA DELL UTENTE IN RETE GUIDA DELL UTENTE IN RETE Memorizza registro di stampa in rete Versione 0 ITA Definizione delle note Nella presente Guida dell'utente viene utilizzata la seguente icona: Le note spiegano come intervenire

Dettagli

GLI ERRORI DI OUTLOOK EXPRESS

GLI ERRORI DI OUTLOOK EXPRESS Page 1 of 6 GLI ERRORI DI OUTLOOK EXPRESS 1) Impossibile inviare il messaggio. Uno dei destinatari non è stato accettato dal server. L'indirizzo di posta elettronica non accettato è "user@dominio altro

Dettagli

Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi.

Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi. Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi. Internet: la rete delle reti Alberto Ferrari Connessioni

Dettagli

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it FIRESHOP.NET Gestione Utility & Configurazioni Rev. 2014.3.1 www.firesoft.it Sommario SOMMARIO Introduzione... 4 Impostare i dati della propria azienda... 5 Aggiornare il programma... 6 Controllare l integrità

Dettagli

Installazione ed attivazione della "SUITE OFFIS" versione SERVER

Installazione ed attivazione della SUITE OFFIS versione SERVER Installazione ed attivazione della "SUITE OFFIS" versione SERVER Premessa La versione server di OFFIS può essere installata e utilizzata indifferentemente da PC/Win o Mac/Osx e consente l'accesso contemporaneo

Dettagli

Voice Over IP NAT Traversal

Voice Over IP NAT Traversal Voice Over IP Traversal Giorgio Zoppi zoppi@cli.di.unipi.it Tecnologie di Convergenza su IP a.a.2005/2006 VoIP Traversal 1 57 Tecnologie di Convergenza su IP Che cosa è il (Network Address Translation?

Dettagli

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003 PRIVACY POLICY MARE Premessa Mare Srl I.S. (nel seguito, anche: Mare oppure la società ) è particolarmente attenta e sensibile alla tutela della riservatezza e dei diritti fondamentali delle persone e

Dettagli

E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA Ottimizzazione dei processi aziendali Con il modulo E-mail Integrata, NTS Informatica ha realizzato uno strumento di posta elettronica

Dettagli

SISSI IN RETE. Quick Reference guide guida di riferimento rapido

SISSI IN RETE. Quick Reference guide guida di riferimento rapido SISSI IN RETE Quick Reference guide guida di riferimento rapido Indice generale Sissi in rete...3 Introduzione...3 Architettura Software...3 Installazione di SISSI in rete...3 Utilizzo di SISSI in Rete...4

Dettagli

R.Focardi Laboratorio di Ingegneria del Software 6. 1

R.Focardi Laboratorio di Ingegneria del Software 6. 1 Networking Java permette comunicazioni in rete basate sul concetto di socket, che permette di vedere la comunicazione in termini di flusso (stream), in modo analogo all input-output di file, usando Stream

Dettagli

Inidirizzi IP e Nomi di Dominio. Domain Name System. Spazio dei Nomi Piatto. Gestione dello Spazio dei Nomi

Inidirizzi IP e Nomi di Dominio. Domain Name System. Spazio dei Nomi Piatto. Gestione dello Spazio dei Nomi I semestre 03/04 Inidirizzi IP e Nomi di Dominio Domain Name System Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/professori/auletta/ Università degli studi di Salerno Laurea in Informatica

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

Guida all'installazione rapida di scansione su e-mail

Guida all'installazione rapida di scansione su e-mail Xerox WorkCentre M118i Guida all'installazione rapida di scansione su e-mail 701P42705 Questa guida fornisce un riferimento rapido per l'impostazione della funzione Scansione su e-mail su Xerox WorkCentre

Dettagli

MANUALE GESTIONE DELLE UTENZE - PORTALE ARGO (VERS. 2.1.0)

MANUALE GESTIONE DELLE UTENZE - PORTALE ARGO (VERS. 2.1.0) Indice generale PREMESSA... 2 ACCESSO... 2 GESTIONE DELLE UTENZE... 3 DATI DELLA SCUOLA... 6 UTENTI...7 LISTA UTENTI... 8 CREA NUOVO UTENTE...8 ABILITAZIONI UTENTE...9 ORARI D'ACCESSO... 11 DETTAGLIO UTENTE...

Dettagli

CORSO DI ALGORITMI E PROGRAMMAZIONE. JDBC Java DataBase Connectivity

CORSO DI ALGORITMI E PROGRAMMAZIONE. JDBC Java DataBase Connectivity CORSO DI ALGORITMI E PROGRAMMAZIONE JDBC Java DataBase Connectivity Anno Accademico 2002-2003 Accesso remoto al DB Istruzioni SQL Rete DataBase Utente Host client Server di DataBase Host server Accesso

Dettagli

Lista di controllo per la migrazione del dominio a Swisscom/IP-Plus

Lista di controllo per la migrazione del dominio a Swisscom/IP-Plus Lista di controllo per la migrazione del dominio a /IP-Plus Iter: : ufficio cantonale di coordinamento per Per la scuola: (nome, indirizzo e località) Migrazione di record DNS esistenti a IP-Plus nonché

Dettagli