Honeypots: inganno o realtà?

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Honeypots: inganno o realtà?"

Transcript

1 Honeypots: inganno o realtà? Difesa Stefano Bendandi Grado di difficoltà Un honeypot è una particolare risorsa allestita in modo da apparire come un sistema vulnerabile, suscettibile di essere attaccato e violato.generalmente questi sistemi soddisfano due requisiti: rappresentare un target potenziale per gli aggressori, distraendoli così dalle risorse reali, ed acquisire quante più informazioni possibili sulle tecniche di attacco utilizzate. La sfida non facile che gli honeypot raccolgono è proprio quella di mantenere concentrati su sè stessi le attenzioni di eventuali aggressori, preservando contestualmente l'integrità di altri sistemi più importanti. Dunque si tratta di strumenti di sicurezza proattiva che possono trovare impiego in tutti quei casi nei quali è necessario ricorrere ad un approccio difensivo di tipo strutturato (defense in depth). A differenza dei firewall e dei sistemi per la scoperta delle intrusioni gli honeypot sono progettati per essere attaccati e compromessi. Per questo motivo essi non hanno, in genere, alcun valore intrinseco per chi li allestisce, non contengono dati ed altre informazioni rilevanti ed i servizi di rete che espongono sono destinati a rimanere anonimi e, perciò, non fruibili dagli utenti di un tipico ambiente di produzione. Date queste caratteristiche, dunque, l'intero traffico di rete che fluisce da o verso un honeypot può considerarsi implicitamente sospetto ed, in quanto tale, meritevole di essere analizzato nel dettaglio senza che vi sia la necessità di isolare gli eventuali falsi positivi come, invece, può accadere per gli IDS. Classificazione funzionale Tradizionalmente gli honeypot vengono classificati in due distinte categorie funzionali: produzione e ricerca. L'efficacia dei primi consiste nel proteggere una o più risorse specifiche di una organizzazione, mentre quella dei secondi si concentra, soprattutto, sull'acquisizione di conoscenza circa il modus operandi, le tecniche e gli strumenti di attacco impiegati. Gli honeypot di produzione possono essere ulteriormente diversificati tenendo conto del loro ruolo primario. Dall'articolo imparerai... Cosa sono e come funzionano degli honeypots, Aspetti critici da considerare in una implementazione, Allestimento di honeypots virtuali mediante Honeyd, Tecniche per rilevare la presenza di un honeypot. Cosa dovresti sapere... Concetti di networking e TCP/IP, Modello ISO/OSI, Concetti relativi all'analisi del traffico di rete. 2 hakin9 Nº 7/2007

2 A tale riguardo si parla di prevenzione quando l'obiettivo principale del sistema è quello di sviare i potenziali aggressori, inducendoli in confusione oppure rallentando le loro attività; di identificazione quando l'obiettivo è quello della scoperta di attacchi ed altre attività non autorizzate; infine, di reazione quando l'obiettivo è quello di migliorare la capacità di risposta e gestione degli incidenti informatici tramite lo sviluppo di specifiche competenze. Ognuna di queste soluzioni presenta, ovviamente, dei vantaggi e degli svantaggi ma si distingue per la presenza di caratteristiche peculiari (ad es. gli honeypot di produzione utilizzati con finalità di reazione sono normalmente in grado di catturare una gran quantità di dati). Persino per gli honeypot di ricerca, anche se in modo meno marcato, possiamo tracciare delle aree di specializzazione a seconda della finalità verso la quale è diretta l'acquisizione di conoscenza: identificazione di nuove vulnerabilità per lo sviluppo di signatures per IDS, sviluppo di competenze in materia di analisi forense o semplice studio delle tecniche di attacco. Livelli di interazione Questo fattore, oltre a caratterizzare le modalità con le quali un aggressore può interagire con il sistema, influenza direttamente il livello di complessità e di rischio insiti nella sua installazione, configurazione e manutenzione. In generale ad una maggiore capacità di interazione corrisponde una maggiore probabilità che l'honeypot venga compromesso e, per effetto di ciò, utilizzato come trampolino per sferrare attacchi nei confronti di altri sistemi. D'altra parte, però, soltanto i sistemi caratterizzati da un elevato grado di interazione garantiscono la possibilità di raccogliere un gran numero di informazioni sull'attacco portato a compimento e permettono, dunque, di condurre a posteriori una analisi qualitativamente migliore. Ciò detto possiamo pertanto distinguere tra: honeypot a basso rischio: si tratta di sistemi semplici da installare e Honeypot Produzione 1 Fig. 1: Esempio di dislocazione di honeypot di produzione Fig. 2: Ping sweep Fig. 3: Scansione nmap LAN Web Server Mail Server DMZ configurare, caratterizzati da un livello di interazione nullo o Ftp Server Honeypot Produzione 2 Internet hakin9 Nº 7/2007 3

3 alquanto limitato. Gli honeypot di questo tipo sono in grado di registrare i vari tentativi di attacco e di scansione senza generare tuttavia traffico in uscita; honeypot ad alto rischio: si tratta di soluzioni complesse da installare e configurare basate su sistemi operativi ed applicazioni reali. In questi casi non vi è alcuna emulazione per cui l'aggressore conserva la capacità di interagire con il sistema in modo illimitato. Il principale vantaggio di questi sistemi è rappresentato dalle eccellenti capacità di logging che li rende adatti soprattutto ad un utilizzo per finalità di ricerca. Tra gli svantaggi, invece, va citato proprio l'elevato grado di interazione che può condurre alla scoperta dei meccanismi e della reale natura del sistema, oltre che consentire ovviamente la possibilità di causare danni ben più gravi di quelli normalmente possibili con sistemi a basso impatto. Tra le due categorie citate se ne pone peraltro anche una terza in cui vanno collocati quei sistemi dotati di caratteristiche e di un grado di difficoltà di installazione e configurazione a metà strada tra i sistemi a basso e ad alto impatto. Dislocazione degli honeypot L'efficacia di un honeypot dipende in stretta misura anche dal suo posizionamento all'interno di una rete. Gli honeypot di produzione, impiegati con un ruolo di prevenzione o scoperta delle intrusioni, assicurano la loro miglior efficacia se collocati dietro le difese perimetrali, nelle reti ad alto rischio come le DMZ oppure in quelle interne (Fig. 1). Questa collocazione garantisce i migliori benefici poiché i sistemi sono in grado di esplicare tutta la loro efficacia nei confronti di quegli aggressori che siano riusciti a penetrare le difese perimetrali. Viceversa il posizionamento al di fuori di questo perimetro rischierebbe di compromettere l'utilità dell'honeypot essendo quest'ultimo probabilmente soggetto ad un numero talmente elevato di attacchi da rendere non soltanto arduo, ma anche superfluo, il successivo lavoro di analisi dei dati catturati. Analoghe considerazioni possono essere espresse anche per gli honeypot impiegati con un ruolo di reazione che, avendo lo scopo di riprodurre le funzionalità e l'apparenza di interi sistemi di produzione, trovano una naturale collocazione nelle DMZ dove, di regola, vengono allestiti alcuni tipici servizi pubblici (http server, ftp server, ecc...). Per gli honeypot di ricerca, invece, la dislocazione ideale potrebbe essere nelle reti interne oppure al di fuori del perimetro di sicurezza in relazione al fatto che l'obiettivo della cattura delle informazioni sia relativo ad attacchi interni od esterni. L'importante in questi ultimi due casi, viste le caratteristiche in gioco, è l'adozione di meccanismi ed accorgimenti di controllo tali da impedire che tali sistemi, una volta compromessi, siano sfruttati per finalità illecite. Aspetti critici da considerare Gli honeypot possono contribuire a migliorare il livello di sicurezza di una rete ma solo a condizione che siano allestiti correttamente perché, in caso contrario, essi non solo diventano Fig. 4: Differenza nei valori di TTL inutili ma finiscono per introdurre dei rischi assolutamente inaccettabili. Uno dei principali inconvenienti, imputabili ad una erronea progettazione e/o configurazione, è quello relativo alla scoperta: tale evenienza rischia di vanificare l'utilità del sistema che finisce per essere evitato oppure alimentato con informazioni erronee producendo dei risultati fuorvianti. Il primo accorgimento da adottare è dunque quello di rispettare un certo grado di realismo nell'allestimento e nella configurazione, specie se si ha a che fare con honeypot virtuali che permettono di emulare servizi e sistemi differenti da quelli tipici dell'ambiente in cui sono ospitati. Infatti, anche se i servizi emulati possono apparire verosimili a prima vista, un aggressore che utilizza tecniche di fingerprinting può rendersi conto delle discrepanze in modo semplice. Analogamente il realismo suggerisce che gli honeypot si adattino perfettamente alle infrastrutture di rete da proteggere, così da risultare del tutto naturali in un determinato contesto. Infine, e questo vale soprattutto per le soluzioni di tipo commerciale, devono essere evitate le configurazioni predefinite ed adottato, invece, un approccio orientato alla personalizzazione. Così facendo si riduce il rischio che il nucleo delle funzionalità di base diventi una caratteristica distintiva del 4 hakin9 Nº 7/2007

4 sistema per un aggressore che abbia avuto la possibilità di analizzare e studiare la soluzione in uso. Altra questione da non sottovalutare è quella della riduzione complessiva dei rischi insiti in una installazione che richiede per la sua soluzione: la determinazione degli opportuni livelli di interazione; il compimento di azioni finalizzate al contenimento dei rischi; l'adozione di opportune metodologie di test. La preventiva individuazione dei livelli di interazioni minimi, tali da garantire l'efficacia del sistema in relazione ai suoi obiettivi, già comporta, di per sè, una riduzione della complessità e, quindi, del livello di rischio in gioco. In relazione al secondo punto, invece, le azioni da intraprendere possono essere differenziate: di produzione da utilizzare principalmente con un ruolo di scoperta degli attacchi e delle attività non autorizzate. Dal punto di vista architetturale si tratta di una soluzione a basso livello di interazione dotata di funzionalità di logging e di emulazione di servizi di rete mediante script esterni; sono inoltre supportate ulteriori caratteristiche innovative come: la capacità di impersonificare qualsiasi indirizzo IP non utilizzato all'interno di uno o più segmenti di rete; la capacità di identificare i tentativi di connessione diretti verso qualsiasi porta TCP/UDP, anche se non associata ad alcun servizio; la capacità di simulare il comportamento tipico dello stack TCP/IP di svariati sistemi operativi ed apparati di rete rendendo le risposte dell'honeypot verosimili a fronte di scansioni e tentativi di fingerprinting (a tal fine sono utilizzati gli stessi database impiegati in alcuni noti strumenti come nmap e xprobe2); l'utilizzo di meccanismi di tarpit per bloccare il flusso delle comunicazioni; la capacità di mimare topologie di routing e caratteristiche quali latenza, perdite di connettività ed ampiezza di banda; la possibilità di configurare dei template dinamici in grado di condizionare il comportamento degli honeypot al verificarsi di determinati presupposti. Il principio di funzionamento è molto semplice e si basa sul presupposto di ritenere potenzialmente ostile qualsiasi tentativo di connessione diretto verso uno o più indirizzi di rete inutilizzati. per gli honeypot ad elevata interazione il contenimento presuppone, innanzitutto, l'adozione di opportuni meccanismi di controllo e blocco del flusso dei dati per evitare che i sistemi, una volta compromessi, possano essere utilizzati per portare a compimento attacchi nei confronti di altre risorse; per gli honeypot a bassa interazione potrebbe essere opportuno prevedere, piuttosto, una fase di hardening del sistema operativo per impedire che eventuali vulnerabilità o configurazioni erronee possano riflettersi negativamente sulla stabilità e sull'efficienza dell'intero meccanismo. Per le medesime ragioni si può valutare se l'ambiente di esecuzione debba essere chrooted o comunque vincolato all'interno di una sandbox. Infine, e questo vale soprattutto per gli honeypot virtuali, è necessario assicurarsi che gli aggressori non possano interagire direttamente con il sistema di emulazione. Honeyd Honeyd è un progetto open source per la creazione di honeypot virtuali Listato 1. I l file di configurazione di esempio di Honeyd create template set template personality "Microsoft Windows XP Professional SP1" set template default tcp action reset set template default udp action reset set template default icmp action open add template tcp port 135 open add template tcp port 139 open add template tcp port 445 open add template udp port 135 open add template udp port 137 open add template udp port 138 open add template udp port 445 open create w2k2000sp3 set w2k2000sp3 ethernet "3com" set w2k2000sp3 personality "Microsoft Windows 2000 Server SP3" set w2k2000sp3 default tcp action reset set w2k2000sp3 default udp action reset add w2k2000sp3 tcp port 21 tarpit "sh scripts/win2k/msftp.sh" add w2k2000sp3 tcp port 25 "sh scripts/win2k/exchange-smtp.sh" add w2k2000sp3 tcp port 80 block add w2k2000sp3 tcp port 135 open add w2k2000sp3 tcp port 139 open add w2k2000sp3 tcp port 445 open add w2k2000sp3 tcp port 1025 open add w2k2000sp3 tcp port 1027 open add w2k2000sp3 tcp port 1029 open add w2k2000sp3 udp port 135 open add w2k2000sp3 udp port 137 open add w2k2000sp3 udp port 138 open add w2k2000sp3 udp port 445 open add w2k2000sp3 udp port 500 open bind w2k2000sp3 bind template bind template bind template hakin9 Nº 7/2007 5

5 In questi casi Honeyd assume l'identità del target, acquisendone l'indirizzo IP, e si innescano due reazioni differenti a seconda della configurazione corrente: se alla porta di destinazione non è associato alcun demone il tentativo di connessione viene registrato nei log ed il software comunica che la porta è chiusa oppure non risponde per nulla (anche questo dipende dalla configurazione); se alla porta risulta associato un servizio il software avvia l'esecuzione dello script di emulazione del demone e comincia ad interagire con l'aggressore catturando i dettagli dell'attività in corso. Per sfruttare in modo adeguato le capacità di binding con gli indirizzi di rete inattivi tuttavia occorre adottare dei meccanismi per il reindirizzamento del traffico (arp spoofing, configurazione dei router, bridging, ecc...). Configurazione Honeyd può essere scaricato dall'indirizzo release.php ed è configurabile tramite un semplice file di testo in cui vanno memorizzati i parametri di funzionamento e quelli relativi alle eventuali topologie di rete (vedi Listato 1). Il file di esempio contiene due modelli differenti: il primo emula la presenza di un tipico host Windows XP Professional (SP1) ed è associato a tre diversi indirizzi IP mentre il secondo emula la presenza di un Microsoft Windows 2000 Server (SP3) e risulta associato all'indirizzo restante. Scendendo più nel dettaglio ci possiamo soffermare un attimo sulle particolarità di quest'ultimo template: le porte 21 e 25 risultano associate rispettivamente ad un demone FTP ed SMTP emulati tramite script di shell; sulla porta 21 è impostato un meccanismo di tarpit per bloccare il flusso di comunicazione una volta che la connessione sia stata stabilita (vedremo meglio nel seguito in che cosa consiste questo meccanismo); la porta 80 è impostata in modo da risultare filtrata; Listato 2: Un frammento di cattura del traffico di rete viene emulata la presenza di una determinata scheda di rete in termini di indirizzo MAC TCP [TCP ZeroWindow] ftp > [ACK] Seq=49 Ack=6 Win=0 Len=0 Frame 101 (60 bytes on wire, 60 bytes captured) Arrival Time: Mar 24, :07: Time delta from previous packet: seconds Time since reference or first frame: seconds Frame Number: 101 Packet Length: 60 bytes Capture Length: 60 bytes Protocols in frame: eth:ip:tcp Ethernet II, Src: 3com_82:5c:67 (00:50:da:82:5c:67), Dst: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Destination: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Source: 3com_82:5c:67 (00:50:da:82:5c:67) Type: IP (0x0800) Trailer: Internet Protocol, Src: ( ), Dst: ( ) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) = Differentiated Services Codepoint: Default (0x00) = ECN-Capable Transport (ECT): = ECN-CE: 0 Total Length: 40 Identification: 0x16d1 (5841) Flags: 0x = Reserved bit: Not set.0.. = Don't fragment: Not set..0. = More fragments: Not set Fragment offset: 0 Time to live: 64 Protocol: TCP (0x06) Header checksum: 0xdf20 [correct] Source: ( ) Destination: ( ) Transmission Control Protocol, Src Port: ftp (21), Dst Port: (32787), Seq: 49, Ack: 6, Len: 0 Source port: ftp (21) Destination port: (32787) Sequence number: 49 (relative sequence number) Acknowledgement number: 6 (relative ack number) Header length: 20 bytes Flags: 0x0010 (ACK) = Congestion Window Reduced (CWR): Not set = ECN-Echo: Not set = Urgent: Not set = Acknowledgment: Set = Push: Not set = Reset: Not set = Syn: Not set = Fin: Not set ===> Window size: 0 <=== dimensione della finestra (tarpit) Checksum: 0x266f [correct] SEQ/ACK analysis This is an ACK to the segment in frame: 100 The RTT to ACK the segment was: seconds TCP Analysis Flags This is a ZeroWindow segment 6 hakin9 Nº 7/2007

6 Analisi dei risultati Per intercettare le richieste di risoluzione ARP eseguiamo il demone arpd (scaricabile da tools) mediante il comando: arpd -i eth /30 e subito dopo eseguiamo il demone honeyd tramite il comando: honeyd -f my.config \ -p nmap.prints \ -a nmap.assoc \ -0 pf.os \ -x xprobe2.conf /30 Una volta avviata l'esecuzione eseguiamo un piccolo test per accertare la correttezza e la rispondenza della configurazione prescelta. Possiamo subito notare la risposta ad un ping sweep eseguito sulla sottorete /30 (Fig. 2) ed i risultati di una scansione half open diretta all'indirizzo (Fig. 3). Quest'ultima mostra già, oltre all'emulazione del sistema operativo, l'emulazione dei servizi, dello stato delle porte (la 80 risulta filtrata) e della scheda di rete. Tecniche per la scoperta degli honeypot Per eseguire con successo il fingerprinting di un honeypot un aggressore deve essere in grado di identificare la presenza di meccanismi ad esso relativi (indirizzi, processi, moduli del kernel, strumenti per la cattura dei dati, ecc...) oppure ricostruire le eventuali incongruenze riconducibili ad una parziale o non del tutto veritiera rappresentazione del sistema reale compiuta dall'honeypot. Perché ciò sia possibile occorre una interazione, remota o locale, tra l'aggressore ed il sistema: mentre le interazioni del primo tipo interessano principalmente lo strato di rete ed, in particolare, i livelli 2, 3, 4 e 7 della pila ISO/OSI, quelle locali presuppongono un accesso effettivo al sistema. Livello di data link Il ricorso ad eventuali meccanismi di ridirezione del traffico (ad. es. arp spoofing) con lo scopo di facilitare la simulazione di più host all'interno di una determinata sottorete può dare vita a scenari di risoluzione ARP caratterizzati da una associazione uno a molti tra l'indirizzo MAC del sistema sul quale è in ascolto il demone di emulazione ed i differenti indirizzi IP emulati; ciò può contribuire ad alimentare gli eventuali sospetti di un aggressore che può rendersi conto di questa situazione attraverso un esame della propria cache arp locale oppure utilizzando un semplice sniffer. Un problema analogo può presentarsi anche con gli honeypot ad elevata interazione, soprattutto quando la loro implementazione viene demandata ad apposito software di virtualizzazione (UML, VMWare, ecc...). In tali casi il rischio è dato dal fatto che l'indirizzo MAC può diventare un tratto distintivo inequivocabile in quanto rientrante in un range di indirizzi assegnati ad entità note in base agli standard IEEE. Le contromisure nei confronti di tali potenziali discrepanze sono rappresentate, ove possibile, da una personalizzazione del software oppure dall'adozione di stratagemmi di reindirizzamento del traffico trasparenti (ad es. bridging). Livello di rete In alcune situazioni i pacchetti provenienti da un honeypot in risposta alle varie sollecitazioni possono rivelare delle stranezze, soprattutto nei valori dei campi Time-To-Live (TTL) ed identificativo del datagramma (IPID). Il TTL svolge un ruolo fondamentale sotto un duplice punto di vista di: coerenza con i valori predefiniti attesi per un determinato stack TCP/IP (ad es. 128 per i sistemi Windows, 64 per quelli Linux, ecc...); coerenza delle topologie di rete eventualmente simulate (ad es. decremento dei valori in concomitanza con il transito dei pacchetti attraverso dispositivi di routing). Qualsiasi deviazione rispetto a questi comportamenti tipici può dunque essere vista con sospetto (Fig. 4). La Figura mostra la differenza in termini di valori di Time-To-Live scaturita da due scansioni dello stesso sistema eseguite con tecniche e strumenti differenti. Cambiamenti repentini dei valori dell IPID dei pacchetti possono invece derivare dalla interposizione di dispositivi di ridirezione del traffico come accade nel caso degli honeypot cd. bait and switch. Si tratta di dispositivi installati con lo scopo di dirottare ogni forma di traffico ostile verso un honeypot liberando così i sistemi reali: ciò che accade in questi casi è che, a partire da un determinato momento, l'aggressore comincia ad interagire con un honeypot configurato per replicare le funzionalità di un tipico sistema di produzione. Peraltro, anche se la commutazione avviene in modo trasparente, questo passaggio può causare dei vistosi mutamenti nei valori citati. Infine anche l'analisi statistica dello stato di congestione dei collegamenti di rete, condotta tramite l'ispezione dei valori della proprietà Round-Trip Time (RTT), può avere una sua valenza per finalità di fingerprinting. L'osservazione di sensibili peggioramenti nei valori di tale proprietà, soprattutto in dipendenza dell'esecuzione di alcune attività, potrebbe essere sintomo dell'intervento di particolari meccanismi di cattura dei dati. Un esempio a tale proposito può essere rinvenuto in Sebek, un modulo client-server progettato come kernel rootkit, in grado di intercettare le chiamate di sistema read() e catturare una gran mole di dati, permettendo un analisi molto dettagliata delle azioni compiute da un aggressore. Sebek presenta delle caratteristiche avanzate che lo rendono difficilmente visibile: ad esempio le informazioni catturate dalla componente client vengono inviate, tramite protocollo UDP, ad una componente server in maniera nascosta (il kernel si preoccupa di occultare i pacchetti in uscita modificando anche le strutture dati ed i contatori delle statistiche di rete). hakin9 Nº 7/2007 7

7 Tuttavia, poiché il meccanismo prevede che a fronte della lettura di un singolo byte diverse decine di byte debbano essere trasferiti via rete, una semplice operazione di lettura ripetuta per centinaia di volte può facilmente provocare situazioni di congestione deducibili da un confronto tra i tempi di risposta ottenuti a seguito di scansioni effettuate in momenti temporali differenti. Livello di trasporto Spostandoci a livello di trasporto nella pila ISO/OSI possiamo soffermarci sul dato costituito dal valore della Window Size la cui osservazione può rivelare la presenza di meccanismi di tarpit diretti a mantenere aperti i socket associati ad una connessione impedendo, però, qualsiasi forma di flusso comunicativo. Diversi software, tra i quali Honeyd e Labrea, possiedono questa caratteristica che viene implementata proprio tramite una riduzione a zero della Window Size immediatamente dopo la fase iniziale di instaurazione della connessione. In questo modo nessun dato può essere più ulteriormente trasferito attraverso il canale e, dunque, non risulta possibile neppure chiudere la connessione che rimane aperta ed inattiva consumando inutilmente le risorse del client (Listato 2). Il listato visualizza l'estratto di una sessione di cattura del traffico di rete: il frame visualizzato mostra come il server ftp con indirizzo , emulato da Honeyd, imposta la Window Size del pacchetto a zero, impedendo di fatto ogni ulteriore scambio di dati con il client Ulteriori meccanismi possono addirittura comportare la modifica del contenuto dei datagrammi di rete: a questo proposito un caso tipico è dato dall'utilizzo di Snort-Inline per impedire che un honeypot compromesso possa essere utilizzato per sferrare attacchi nei confronti di altri sistemi. Attraverso tecniche di analisi del traffico di rete ed apposite regole iptables Snort-Inline è anche in grado di alterare il payload dei pacchetti aventi un contenuto particolarmente Cenni sull'autore Stefano Bendandi è laureato in giurisprudenza ed ha conseguito il titolo di avvocato, è certificato CompTIA in materia di sicurezza ed esercita da quasi un decennio la propria attività professionale nel settore IT, dove ha maturato esperienze nell'ambito della progettazione ed implementazione di sistemi informativi, della sicurezza dei database, delle applicazioni e delle infrastrutture di comunicazione. È stato coautore di un libro sugli aspetti tecnologici della tutela della riservatezza nelle biblioteche e, recentemente, ha concluso la preparazione di un altro volume sull'utilizzo del servizio di posta elettronica e di P.E.C. Si occupa di formazione, ricerca e consulenza in materia di problematiche tecniche, legali ed organizzative inerenti la sicurezza informatica, la tutela della privacy e la security governance. È socio ANIP, Associazione Nazionale Informatici Professionisti, ed AIPSI, Associazione Italiana dei Professionisti di Sicurezza Informatica (ISSA Italian Chapter). Può essere contattato all'indirizzo ostile (ad es. una shellcode) al fine di renderli del tutto inoffensivi. Ovviamente questa contromisura, anche se non facilmente riscontrabile, può tuttavia essere rilevabile attraverso un confronto tra il contenuto dei pacchetti in uscita dall'honeypot e quello dei pacchetti che giungono a destinazione nel caso in cui l'aggressore abbia acquisito il pieno controllo del sistema target. Livello di applicazione A questo livello le considerazioni da fare riguardano soprattutto gli honeypot a bassa interazione. La limitata capacità di emulare il set completo delle funzionalità di servizi di rete spesso molto complessi può infatti rappresentare un segno della reale natura del sistema, soprattutto quando l'aggressore pone in essere azioni non prevedibili, tentando di esasperare l'uso di determinati protocolli applicativi ed analizzando le risposte alle varie sollecitazioni. Interazioni a livello di sistema Queste diventano possibili in presenza di honeypot ad elevata interazione e purché vi sia la disponibilità di una qualche forma di accesso, come una shell ottenuta a seguito di compromissione. In questi casi una prima analisi del sistema ed un monitoraggio a basso livello del traffico di rete potrebbero già rivelare alcune illogicità come: In Rete Progetto Honeynet Progetto Honeyd - Sebek - Labrea la scarso livello di attività in un sistema comunque caratterizzato da centinaia di account utente e documenti, e da una moltitudine di servizi attivi; l'assenza di eventi tipicamente riconducibili ad un uso effettivo (login, variazioni nei livelli di utilizzo di cpu e memoria, I/O, file creati e/o modificati in date recenti, ecc ); le probabili ed evidenti limitazioni relativamente all'apertura di connessioni di rete in uscita; la presenza di ulteriori segni distintivi, come quelli riconducibili all'utilizzo di software di virtualizzazione, rinvenibili attraverso la ricerca di pattern noti (versioni di Bios, porte di I/O particolari, stringhe di identificazione delle periferiche, incoerenze varie nella configurazione delle risorse, ecc...); l'operatività di meccanismi di cattura dati e di logging anche ridondandi. Conclusioni Gli honeypot sono strumenti di sicurezza proattiva molto affascinanti sia 8 hakin9 Nº 7/2007

8 per le molteplici applicazioni pratiche che consentono sia per gli interessanti risultati che permettono di raggiungere, soprattutto in un ambito di ricerca puro. Il loro utilizzo può contribuire al mantenimento dei livelli di sicurezza di una rete a condizione che essi siano correttamente installati, configurati e manutenuti e che siano adottati gli adeguati stratagemmi per evitare che, una volta compromessi, possano essere utilizzati per colpire altre risorse. hakin9 Nº 7/2007 9

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Il livello trasporto Protocolli TCP e UDP

Il livello trasporto Protocolli TCP e UDP Il livello trasporto Protocolli TCP e UDP Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi:

Dettagli

Un sistema di Network Intrusion Detection basato su tcpdump

Un sistema di Network Intrusion Detection basato su tcpdump I INFN Security Workshop Firenze 19-20 Settembre 2000 Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN Sezione di Padova Perche` utilizzare un sistema di Network Intrusion

Dettagli

Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web Tecnologie di Sviluppo per il Web Introduzione alle Reti di Calcolatori versione 1.0 del 11/03/2003 G. Mecca mecca@unibas.it Università della Basilicata Reti >> Sommario Sommario dei Concetti Elab. Client-Server

Dettagli

TCP: trasmissione Source port [16 bit] - Identifica il numero di porta sull'host mittente associato alla connessione TCP. Destination port [16 bit] - Identifica il numero di porta sull'host destinatario

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi: le raisons d etre della rete Transport TCP

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Transmission Control Protocol

Transmission Control Protocol Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione

Dettagli

Livello Trasporto. Liv. Applic. Liv. Transport. Transport Entity. Liv. Network. Trasporto

Livello Trasporto. Liv. Applic. Liv. Transport. Transport Entity. Liv. Network. Trasporto Livello Trasporto Fornire un trasporto affidabile ed efficace dall'host di origine a quello di destinazione, indipendentemente dalla rete utilizzata Gestisce una conversazione diretta fra sorgente e destinazione

Dettagli

IP Internet Protocol

IP Internet Protocol IP Internet Protocol Vittorio Maniezzo Università di Bologna Vittorio Maniezzo Università di Bologna 13 IP - 1/20 IP IP è un protocollo a datagrammi In spedizione: Riceve i dati dal livello trasporto e

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Il livello Network del TCP/IP. Il protocollo IP (versione 4)

Il livello Network del TCP/IP. Il protocollo IP (versione 4) Il livello Network del TCP/IP. Il protocollo IP (versione 4) L architettura TCP/IP (il cui nome più preciso è ) è formata da diversi componenti, che si posizionano nello stack dei protocolli a partire

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori I Roberto Canonico (roberto.canonico@unina.it) Giorgio Ventre (giorgio.ventre@unina.it) Il livello rete in Internet Il protocollo

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Il protocollo TCP. Obiettivo. Procedura

Il protocollo TCP. Obiettivo. Procedura Il protocollo TCP Obiettivo In questo esercizio studieremo il funzionamento del protocollo TCP. In particolare analizzeremo la traccia di segmenti TCP scambiati tra il vostro calcolatore ed un server remoto.

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Reti di comunicazione

Reti di comunicazione Reti di comunicazione Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Comunicazione via rete Per effettuare qualsiasi

Dettagli

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA PROGRAMMAZIONE MODULARE 2015-2016 Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA Docenti: Gualdi (teoria), Travaglioni (laboratorio) Ore settimanali previste: 2 TEORIA +

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Introduzione (parte III)

Introduzione (parte III) Introduzione (parte III) Argomenti della lezione Ripasso degli argomenti del primo corso: il livello di trasporto, il meccanismo di controllo delle congestioni e le applicazioni Il livello di trasporto

Dettagli

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Soluzioni dell esercitazione n. 2 a cura di Giacomo Costantini 19 marzo 2014

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Reti di Calcolatori 18-06-2013

Reti di Calcolatori 18-06-2013 1. Applicazioni di rete [3 pts] Si descrivano, relativamente al sistema DNS: Compito di Reti di Calcolatori 18-06-2013 a) i motivi per i quali viene usato; b) l architettura generale; c) le modalità di

Dettagli

I protocolli UDP e TCP

I protocolli UDP e TCP I protocolli UDP e TCP A.A. 2005/2006 Walter Cerroni Il livello di trasporto in Internet APP. APP. TCP UDP IP collegamento logico tra diversi processi applicativi collegamento logico tra diversi host IP

Dettagli

Relazione Laboratorio di reti telematiche

Relazione Laboratorio di reti telematiche Relazione Laboratorio di reti telematiche Djatsa Yota Eric Matricola n. 140360 Fiandrino Claudio Matricola n. 138436 Giacchè Diego Matricola n. 125292 Nfonte Mandje Fouapon Abdou Cassimou Matricola n.

Dettagli

Tappe evolutive della rete Internet

Tappe evolutive della rete Internet UNIVERSITA DEGLI STUDI DI ANCONA FACOLTA DI INGEGNERIA Dipartimento di Elettronica e Automatica Internet della nuova generazione: protocolli e prestazioni Laureando: ANDREA CAPRIOTTI Relatore: Ing. E.GAMBI

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2008 Il bollettino può essere

Dettagli

IL LIVELLO TRASPORTO Protocolli TCP e UDP

IL LIVELLO TRASPORTO Protocolli TCP e UDP Reti di Calcolatori ed Internet IL LIVELLO TRASPORTO Protocolli TCP e UDP 5-1 Il Livello Trasporto I servizi del livello Trasporto Le primitive di Trasporto Indirizzamento Protocolli di Trasporto Livello

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Protocollo ICMP, comandi ping e traceroute

Protocollo ICMP, comandi ping e traceroute Protocollo ICMP, comandi ping e traceroute Internet Control Message Protocol Internet Control Message Protocol (ICMP): usato dagli host, router e gateway per comunicare informazioni riguardanti il livello

Dettagli

Il protocollo IP (Internet Protocol)

Il protocollo IP (Internet Protocol) Politecnico di Milano Advanced Network Technologies Laboratory Il protocollo IP (Internet Protocol) -Servizi offerti da IP -Formato del pacchetto IP 1 Il servizio di comunicazione offerto da IP Connectionless

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Radius AAA Dato un certo numero di punti di accesso dall esterno alla rete Data una grande quantità di utenti Abbiamo la necessità

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

NetCrunch 6. Server per il controllo della rete aziendale. Controlla

NetCrunch 6. Server per il controllo della rete aziendale. Controlla AdRem NetCrunch 6 Server per il controllo della rete aziendale Con NetCrunch puoi tenere sotto controllo ogni applicazione, servizio, server e apparato critico della tua azienda. Documenta Esplora la topologia

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

IL LIVELLO TRASPORTO Protocolli TCP e UDP

IL LIVELLO TRASPORTO Protocolli TCP e UDP Reti di Calcolatori IL LIVELLO TRASPORTO Protocolli TCP e UDP D. Talia RETI DI CALCOLATORI - UNICAL 5-1 Il Livello Trasporto I servizi del livello Trasporto Le primitive di Trasporto Indirizzamento Protocolli

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Protocolli di Comunicazione

Protocolli di Comunicazione Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali.

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali. Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi Introduzione Molte aziende possiedono informazioni

Dettagli

Sicurezza. Sistemi Operativi 17.1

Sicurezza. Sistemi Operativi 17.1 Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi 17.1 Introduzione Molte aziende possiedono

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Network Troubleshooting

Network Troubleshooting Network Troubleshooting Introduzione e concetti base di Giovanni Perteghella [Digital Lab] Webb.it 2004 - Padova 1 Copyright Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni

Dettagli

9. IP: Messaggi di errore e di controllo (ICMP)

9. IP: Messaggi di errore e di controllo (ICMP) 9. IP: Messaggi di errore e di controllo (ICMP) 9.1. Introduzione La quarta funzione fondamentale di un servizio di comunicazione di livello di rete è la segnalazione, alla sorgente, di situazioni di errore

Dettagli

firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet)

firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet) <gottardi@ailinux.org> firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet) Version: 1.0 Giuseppe Gottardi (overet), laureando in Ingegneria Elettronica presso l Università Politecnica

Dettagli

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport. ICMP Application Presentation Session Transport Telnet FTP SMTP SNMP TCP e UDP NFS XDR RPC Network Data Link Physical OSI ICMP ARP e RARP IP Non Specificati Protocolli di routing Internet Protocol Suite

Dettagli

Strumenti di sicurezza delle reti:

Strumenti di sicurezza delle reti: Strumenti di sicurezza delle reti: nozioni di base e componenti open-source ing. Roberto Larcher http://utenti.lycos.it/webteca robertolarcher@hotmail.com Obiettivi del Seminario Prima parte: sapere cosa

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica Dipartimento di Informatica - Università di Verona Laboratorio di Networking Operating Systems Lezione 2 Principali strumenti di diagnostica Master in progettazione e gestione di sistemi di rete edizione

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

Dispense corso Laboratorio di Internet

Dispense corso Laboratorio di Internet Universitá di Roma Sapienza Dipartimento di Ingegneria Elettronica e delle Telecomunicazioni Dispense corso Laboratorio di Internet Luca Chiaraviglio E-mail: {luca.chiaraviglio}@diet.uniroma1.it 3 marzo

Dettagli

ANALISI DI ATTACCHI BASATI SU PORT SCANNING

ANALISI DI ATTACCHI BASATI SU PORT SCANNING ALMA MATER STUDIORUM UNIVERSITÀ DI BOLOGNA Campus di Cesena - Scuola di Scienze Corso di Laurea in Scienze e Tecnologie Informatiche ANALISI DI ATTACCHI BASATI SU PORT SCANNING Relazione finale in Reti

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti. 1 Mattia Lezione III: I protocolli di base Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi

Dettagli

StarShell. IPSec. StarShell

StarShell. IPSec. StarShell IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:

Dettagli

La nascita di Internet

La nascita di Internet La nascita di Nel 1969 la DARPA (Defence Advanced Research Project Agency) studia e realizza la prima rete per la comunicazione tra computer (ARPAnet) fra 3 università americane ed 1 istituto di ricerca.

Dettagli

CORSO DI RETI SSIS. Lezione n.3 9 novembre 2005 Laura Ricci

CORSO DI RETI SSIS. Lezione n.3 9 novembre 2005 Laura Ricci CORSO DI RETI SSIS Lezione n.3 9 novembre 2005 Laura Ricci IL LIVELLO TRASPORTO realizza un supporto per la comunicazione logica tra processi distribuiti comunicazione logica = astrazione che consente

Dettagli

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Francesco Oliviero folivier@unina.it Napoli, 22 Febbraio 2005 ipartimento

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Corso di Sistemi di Elaborazione delle informazioni Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Una definizione di Rete Una moderna rete di calcolatori può essere definita come:

Dettagli

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

Obiettivi d esame HP ATA Networks

Obiettivi d esame HP ATA Networks Obiettivi d esame HP ATA Networks 1 Spiegare e riconoscere tecnologie di rete e le loro implicazioni per le esigenze del cliente. 1.1 Descrivere il modello OSI. 1.1.1 Identificare ogni livello e descrivere

Dettagli

Raw socket. L intercettazione di un pacchetto IP

Raw socket. L intercettazione di un pacchetto IP Raw socket Il sistema compie molte operazioni sui livelli bassi della rete, ma che non sono immediatamente visibili all utente tramite l interfaccia delle socket L intercettazione di un pacchetto IP Anche

Dettagli

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint Corso di sicurezza su reti a.a.2002/2003 Introduzione Scansione dei servizi Docente del corso: Prof. De Santis Alfredo A cura di: Miele Alessandro Pagnotta Simona Cenni preliminari PortScan Satan Saint

Dettagli

INFORMATICA LIVELLO BASE

INFORMATICA LIVELLO BASE INFORMATICA LIVELLO BASE INTRODUZIONE 3 Fase Che cos'è una rete? Quali sono i vantaggi di avere una Rete? I componenti di una Rete Cosa sono gi Gli Hub e gli Switch I Modem e i Router Che cos è un Firewall

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

È possibile filtrare i pacchetti in base alla porta Ad esempio specificando la porta 80 ascolto il traffico web di un host

È possibile filtrare i pacchetti in base alla porta Ad esempio specificando la porta 80 ascolto il traffico web di un host Sniffer con libreria Pcap 1 Realizzazione di uno Sniffer con la libpcap Sistemi per l elaborazione dell informazione: Sicurezza su Reti A.A. 2001/2002 Prof. Alfredo De Santis Giovanni Lovisi Nicola Rossi

Dettagli

IP Mobility. Host mobili

IP Mobility. Host mobili IP Mobility Reti II IP Mobility -1 Host mobili! Dispositivi wireless o wired mobili! Connessione alla rete attraverso: " Wireless LAN " Reti cellulari " Reti Satellitari " LAN " Etc.! Una rete di riferimento

Dettagli

Uso di sniffer ed intercettazione del traffico IP

Uso di sniffer ed intercettazione del traffico IP Uso di sniffer ed intercettazione del traffico IP Massimo Bernaschi Istituto per le Applicazioni del Calcolo Mauro Picone Consiglio Nazionale delle Ricerche Viale del Policlinico, 137-00161 Rome - Italy

Dettagli

Reti di Calcolatori. Master "Bio Info" Reti e Basi di Dati Lezione 4

Reti di Calcolatori. Master Bio Info Reti e Basi di Dati Lezione 4 Reti di Calcolatori Sommario Software di rete Livello Trasporto (TCP) Livello Rete (IP, Routing, ICMP) Livello di Collegamento (Data-Link) Software di rete Livello Rete (IP, Routing, ICMP) Se i protocolli

Dettagli

Livello trasporto: TCP / UDP. Vittorio Maniezzo Università di Bologna. Vittorio Maniezzo Università di Bologna 14 TCP/UDP - 1/35.

Livello trasporto: TCP / UDP. Vittorio Maniezzo Università di Bologna. Vittorio Maniezzo Università di Bologna 14 TCP/UDP - 1/35. Livello trasporto: TCP / UDP Vittorio Maniezzo Università di Bologna Vittorio Maniezzo Università di Bologna 14 TCP/UDP - 1/35 TCP e UDP Internet Protocol (IP) fornisce un servizio non affidabile di trasmissione

Dettagli