Honeypots: inganno o realtà?

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Honeypots: inganno o realtà?"

Transcript

1 Honeypots: inganno o realtà? Difesa Stefano Bendandi Grado di difficoltà Un honeypot è una particolare risorsa allestita in modo da apparire come un sistema vulnerabile, suscettibile di essere attaccato e violato.generalmente questi sistemi soddisfano due requisiti: rappresentare un target potenziale per gli aggressori, distraendoli così dalle risorse reali, ed acquisire quante più informazioni possibili sulle tecniche di attacco utilizzate. La sfida non facile che gli honeypot raccolgono è proprio quella di mantenere concentrati su sè stessi le attenzioni di eventuali aggressori, preservando contestualmente l'integrità di altri sistemi più importanti. Dunque si tratta di strumenti di sicurezza proattiva che possono trovare impiego in tutti quei casi nei quali è necessario ricorrere ad un approccio difensivo di tipo strutturato (defense in depth). A differenza dei firewall e dei sistemi per la scoperta delle intrusioni gli honeypot sono progettati per essere attaccati e compromessi. Per questo motivo essi non hanno, in genere, alcun valore intrinseco per chi li allestisce, non contengono dati ed altre informazioni rilevanti ed i servizi di rete che espongono sono destinati a rimanere anonimi e, perciò, non fruibili dagli utenti di un tipico ambiente di produzione. Date queste caratteristiche, dunque, l'intero traffico di rete che fluisce da o verso un honeypot può considerarsi implicitamente sospetto ed, in quanto tale, meritevole di essere analizzato nel dettaglio senza che vi sia la necessità di isolare gli eventuali falsi positivi come, invece, può accadere per gli IDS. Classificazione funzionale Tradizionalmente gli honeypot vengono classificati in due distinte categorie funzionali: produzione e ricerca. L'efficacia dei primi consiste nel proteggere una o più risorse specifiche di una organizzazione, mentre quella dei secondi si concentra, soprattutto, sull'acquisizione di conoscenza circa il modus operandi, le tecniche e gli strumenti di attacco impiegati. Gli honeypot di produzione possono essere ulteriormente diversificati tenendo conto del loro ruolo primario. Dall'articolo imparerai... Cosa sono e come funzionano degli honeypots, Aspetti critici da considerare in una implementazione, Allestimento di honeypots virtuali mediante Honeyd, Tecniche per rilevare la presenza di un honeypot. Cosa dovresti sapere... Concetti di networking e TCP/IP, Modello ISO/OSI, Concetti relativi all'analisi del traffico di rete. 2 hakin9 Nº 7/2007

2 A tale riguardo si parla di prevenzione quando l'obiettivo principale del sistema è quello di sviare i potenziali aggressori, inducendoli in confusione oppure rallentando le loro attività; di identificazione quando l'obiettivo è quello della scoperta di attacchi ed altre attività non autorizzate; infine, di reazione quando l'obiettivo è quello di migliorare la capacità di risposta e gestione degli incidenti informatici tramite lo sviluppo di specifiche competenze. Ognuna di queste soluzioni presenta, ovviamente, dei vantaggi e degli svantaggi ma si distingue per la presenza di caratteristiche peculiari (ad es. gli honeypot di produzione utilizzati con finalità di reazione sono normalmente in grado di catturare una gran quantità di dati). Persino per gli honeypot di ricerca, anche se in modo meno marcato, possiamo tracciare delle aree di specializzazione a seconda della finalità verso la quale è diretta l'acquisizione di conoscenza: identificazione di nuove vulnerabilità per lo sviluppo di signatures per IDS, sviluppo di competenze in materia di analisi forense o semplice studio delle tecniche di attacco. Livelli di interazione Questo fattore, oltre a caratterizzare le modalità con le quali un aggressore può interagire con il sistema, influenza direttamente il livello di complessità e di rischio insiti nella sua installazione, configurazione e manutenzione. In generale ad una maggiore capacità di interazione corrisponde una maggiore probabilità che l'honeypot venga compromesso e, per effetto di ciò, utilizzato come trampolino per sferrare attacchi nei confronti di altri sistemi. D'altra parte, però, soltanto i sistemi caratterizzati da un elevato grado di interazione garantiscono la possibilità di raccogliere un gran numero di informazioni sull'attacco portato a compimento e permettono, dunque, di condurre a posteriori una analisi qualitativamente migliore. Ciò detto possiamo pertanto distinguere tra: honeypot a basso rischio: si tratta di sistemi semplici da installare e Honeypot Produzione 1 Fig. 1: Esempio di dislocazione di honeypot di produzione Fig. 2: Ping sweep Fig. 3: Scansione nmap LAN Web Server Mail Server DMZ configurare, caratterizzati da un livello di interazione nullo o Ftp Server Honeypot Produzione 2 Internet hakin9 Nº 7/2007 3

3 alquanto limitato. Gli honeypot di questo tipo sono in grado di registrare i vari tentativi di attacco e di scansione senza generare tuttavia traffico in uscita; honeypot ad alto rischio: si tratta di soluzioni complesse da installare e configurare basate su sistemi operativi ed applicazioni reali. In questi casi non vi è alcuna emulazione per cui l'aggressore conserva la capacità di interagire con il sistema in modo illimitato. Il principale vantaggio di questi sistemi è rappresentato dalle eccellenti capacità di logging che li rende adatti soprattutto ad un utilizzo per finalità di ricerca. Tra gli svantaggi, invece, va citato proprio l'elevato grado di interazione che può condurre alla scoperta dei meccanismi e della reale natura del sistema, oltre che consentire ovviamente la possibilità di causare danni ben più gravi di quelli normalmente possibili con sistemi a basso impatto. Tra le due categorie citate se ne pone peraltro anche una terza in cui vanno collocati quei sistemi dotati di caratteristiche e di un grado di difficoltà di installazione e configurazione a metà strada tra i sistemi a basso e ad alto impatto. Dislocazione degli honeypot L'efficacia di un honeypot dipende in stretta misura anche dal suo posizionamento all'interno di una rete. Gli honeypot di produzione, impiegati con un ruolo di prevenzione o scoperta delle intrusioni, assicurano la loro miglior efficacia se collocati dietro le difese perimetrali, nelle reti ad alto rischio come le DMZ oppure in quelle interne (Fig. 1). Questa collocazione garantisce i migliori benefici poiché i sistemi sono in grado di esplicare tutta la loro efficacia nei confronti di quegli aggressori che siano riusciti a penetrare le difese perimetrali. Viceversa il posizionamento al di fuori di questo perimetro rischierebbe di compromettere l'utilità dell'honeypot essendo quest'ultimo probabilmente soggetto ad un numero talmente elevato di attacchi da rendere non soltanto arduo, ma anche superfluo, il successivo lavoro di analisi dei dati catturati. Analoghe considerazioni possono essere espresse anche per gli honeypot impiegati con un ruolo di reazione che, avendo lo scopo di riprodurre le funzionalità e l'apparenza di interi sistemi di produzione, trovano una naturale collocazione nelle DMZ dove, di regola, vengono allestiti alcuni tipici servizi pubblici (http server, ftp server, ecc...). Per gli honeypot di ricerca, invece, la dislocazione ideale potrebbe essere nelle reti interne oppure al di fuori del perimetro di sicurezza in relazione al fatto che l'obiettivo della cattura delle informazioni sia relativo ad attacchi interni od esterni. L'importante in questi ultimi due casi, viste le caratteristiche in gioco, è l'adozione di meccanismi ed accorgimenti di controllo tali da impedire che tali sistemi, una volta compromessi, siano sfruttati per finalità illecite. Aspetti critici da considerare Gli honeypot possono contribuire a migliorare il livello di sicurezza di una rete ma solo a condizione che siano allestiti correttamente perché, in caso contrario, essi non solo diventano Fig. 4: Differenza nei valori di TTL inutili ma finiscono per introdurre dei rischi assolutamente inaccettabili. Uno dei principali inconvenienti, imputabili ad una erronea progettazione e/o configurazione, è quello relativo alla scoperta: tale evenienza rischia di vanificare l'utilità del sistema che finisce per essere evitato oppure alimentato con informazioni erronee producendo dei risultati fuorvianti. Il primo accorgimento da adottare è dunque quello di rispettare un certo grado di realismo nell'allestimento e nella configurazione, specie se si ha a che fare con honeypot virtuali che permettono di emulare servizi e sistemi differenti da quelli tipici dell'ambiente in cui sono ospitati. Infatti, anche se i servizi emulati possono apparire verosimili a prima vista, un aggressore che utilizza tecniche di fingerprinting può rendersi conto delle discrepanze in modo semplice. Analogamente il realismo suggerisce che gli honeypot si adattino perfettamente alle infrastrutture di rete da proteggere, così da risultare del tutto naturali in un determinato contesto. Infine, e questo vale soprattutto per le soluzioni di tipo commerciale, devono essere evitate le configurazioni predefinite ed adottato, invece, un approccio orientato alla personalizzazione. Così facendo si riduce il rischio che il nucleo delle funzionalità di base diventi una caratteristica distintiva del 4 hakin9 Nº 7/2007

4 sistema per un aggressore che abbia avuto la possibilità di analizzare e studiare la soluzione in uso. Altra questione da non sottovalutare è quella della riduzione complessiva dei rischi insiti in una installazione che richiede per la sua soluzione: la determinazione degli opportuni livelli di interazione; il compimento di azioni finalizzate al contenimento dei rischi; l'adozione di opportune metodologie di test. La preventiva individuazione dei livelli di interazioni minimi, tali da garantire l'efficacia del sistema in relazione ai suoi obiettivi, già comporta, di per sè, una riduzione della complessità e, quindi, del livello di rischio in gioco. In relazione al secondo punto, invece, le azioni da intraprendere possono essere differenziate: di produzione da utilizzare principalmente con un ruolo di scoperta degli attacchi e delle attività non autorizzate. Dal punto di vista architetturale si tratta di una soluzione a basso livello di interazione dotata di funzionalità di logging e di emulazione di servizi di rete mediante script esterni; sono inoltre supportate ulteriori caratteristiche innovative come: la capacità di impersonificare qualsiasi indirizzo IP non utilizzato all'interno di uno o più segmenti di rete; la capacità di identificare i tentativi di connessione diretti verso qualsiasi porta TCP/UDP, anche se non associata ad alcun servizio; la capacità di simulare il comportamento tipico dello stack TCP/IP di svariati sistemi operativi ed apparati di rete rendendo le risposte dell'honeypot verosimili a fronte di scansioni e tentativi di fingerprinting (a tal fine sono utilizzati gli stessi database impiegati in alcuni noti strumenti come nmap e xprobe2); l'utilizzo di meccanismi di tarpit per bloccare il flusso delle comunicazioni; la capacità di mimare topologie di routing e caratteristiche quali latenza, perdite di connettività ed ampiezza di banda; la possibilità di configurare dei template dinamici in grado di condizionare il comportamento degli honeypot al verificarsi di determinati presupposti. Il principio di funzionamento è molto semplice e si basa sul presupposto di ritenere potenzialmente ostile qualsiasi tentativo di connessione diretto verso uno o più indirizzi di rete inutilizzati. per gli honeypot ad elevata interazione il contenimento presuppone, innanzitutto, l'adozione di opportuni meccanismi di controllo e blocco del flusso dei dati per evitare che i sistemi, una volta compromessi, possano essere utilizzati per portare a compimento attacchi nei confronti di altre risorse; per gli honeypot a bassa interazione potrebbe essere opportuno prevedere, piuttosto, una fase di hardening del sistema operativo per impedire che eventuali vulnerabilità o configurazioni erronee possano riflettersi negativamente sulla stabilità e sull'efficienza dell'intero meccanismo. Per le medesime ragioni si può valutare se l'ambiente di esecuzione debba essere chrooted o comunque vincolato all'interno di una sandbox. Infine, e questo vale soprattutto per gli honeypot virtuali, è necessario assicurarsi che gli aggressori non possano interagire direttamente con il sistema di emulazione. Honeyd Honeyd è un progetto open source per la creazione di honeypot virtuali Listato 1. I l file di configurazione di esempio di Honeyd create template set template personality "Microsoft Windows XP Professional SP1" set template default tcp action reset set template default udp action reset set template default icmp action open add template tcp port 135 open add template tcp port 139 open add template tcp port 445 open add template udp port 135 open add template udp port 137 open add template udp port 138 open add template udp port 445 open create w2k2000sp3 set w2k2000sp3 ethernet "3com" set w2k2000sp3 personality "Microsoft Windows 2000 Server SP3" set w2k2000sp3 default tcp action reset set w2k2000sp3 default udp action reset add w2k2000sp3 tcp port 21 tarpit "sh scripts/win2k/msftp.sh" add w2k2000sp3 tcp port 25 "sh scripts/win2k/exchange-smtp.sh" add w2k2000sp3 tcp port 80 block add w2k2000sp3 tcp port 135 open add w2k2000sp3 tcp port 139 open add w2k2000sp3 tcp port 445 open add w2k2000sp3 tcp port 1025 open add w2k2000sp3 tcp port 1027 open add w2k2000sp3 tcp port 1029 open add w2k2000sp3 udp port 135 open add w2k2000sp3 udp port 137 open add w2k2000sp3 udp port 138 open add w2k2000sp3 udp port 445 open add w2k2000sp3 udp port 500 open bind w2k2000sp3 bind template bind template bind template hakin9 Nº 7/2007 5

5 In questi casi Honeyd assume l'identità del target, acquisendone l'indirizzo IP, e si innescano due reazioni differenti a seconda della configurazione corrente: se alla porta di destinazione non è associato alcun demone il tentativo di connessione viene registrato nei log ed il software comunica che la porta è chiusa oppure non risponde per nulla (anche questo dipende dalla configurazione); se alla porta risulta associato un servizio il software avvia l'esecuzione dello script di emulazione del demone e comincia ad interagire con l'aggressore catturando i dettagli dell'attività in corso. Per sfruttare in modo adeguato le capacità di binding con gli indirizzi di rete inattivi tuttavia occorre adottare dei meccanismi per il reindirizzamento del traffico (arp spoofing, configurazione dei router, bridging, ecc...). Configurazione Honeyd può essere scaricato dall'indirizzo release.php ed è configurabile tramite un semplice file di testo in cui vanno memorizzati i parametri di funzionamento e quelli relativi alle eventuali topologie di rete (vedi Listato 1). Il file di esempio contiene due modelli differenti: il primo emula la presenza di un tipico host Windows XP Professional (SP1) ed è associato a tre diversi indirizzi IP mentre il secondo emula la presenza di un Microsoft Windows 2000 Server (SP3) e risulta associato all'indirizzo restante. Scendendo più nel dettaglio ci possiamo soffermare un attimo sulle particolarità di quest'ultimo template: le porte 21 e 25 risultano associate rispettivamente ad un demone FTP ed SMTP emulati tramite script di shell; sulla porta 21 è impostato un meccanismo di tarpit per bloccare il flusso di comunicazione una volta che la connessione sia stata stabilita (vedremo meglio nel seguito in che cosa consiste questo meccanismo); la porta 80 è impostata in modo da risultare filtrata; Listato 2: Un frammento di cattura del traffico di rete viene emulata la presenza di una determinata scheda di rete in termini di indirizzo MAC TCP [TCP ZeroWindow] ftp > [ACK] Seq=49 Ack=6 Win=0 Len=0 Frame 101 (60 bytes on wire, 60 bytes captured) Arrival Time: Mar 24, :07: Time delta from previous packet: seconds Time since reference or first frame: seconds Frame Number: 101 Packet Length: 60 bytes Capture Length: 60 bytes Protocols in frame: eth:ip:tcp Ethernet II, Src: 3com_82:5c:67 (00:50:da:82:5c:67), Dst: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Destination: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Source: 3com_82:5c:67 (00:50:da:82:5c:67) Type: IP (0x0800) Trailer: Internet Protocol, Src: ( ), Dst: ( ) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) = Differentiated Services Codepoint: Default (0x00) = ECN-Capable Transport (ECT): = ECN-CE: 0 Total Length: 40 Identification: 0x16d1 (5841) Flags: 0x = Reserved bit: Not set.0.. = Don't fragment: Not set..0. = More fragments: Not set Fragment offset: 0 Time to live: 64 Protocol: TCP (0x06) Header checksum: 0xdf20 [correct] Source: ( ) Destination: ( ) Transmission Control Protocol, Src Port: ftp (21), Dst Port: (32787), Seq: 49, Ack: 6, Len: 0 Source port: ftp (21) Destination port: (32787) Sequence number: 49 (relative sequence number) Acknowledgement number: 6 (relative ack number) Header length: 20 bytes Flags: 0x0010 (ACK) = Congestion Window Reduced (CWR): Not set = ECN-Echo: Not set = Urgent: Not set = Acknowledgment: Set = Push: Not set = Reset: Not set = Syn: Not set = Fin: Not set ===> Window size: 0 <=== dimensione della finestra (tarpit) Checksum: 0x266f [correct] SEQ/ACK analysis This is an ACK to the segment in frame: 100 The RTT to ACK the segment was: seconds TCP Analysis Flags This is a ZeroWindow segment 6 hakin9 Nº 7/2007

6 Analisi dei risultati Per intercettare le richieste di risoluzione ARP eseguiamo il demone arpd (scaricabile da tools) mediante il comando: arpd -i eth /30 e subito dopo eseguiamo il demone honeyd tramite il comando: honeyd -f my.config \ -p nmap.prints \ -a nmap.assoc \ -0 pf.os \ -x xprobe2.conf /30 Una volta avviata l'esecuzione eseguiamo un piccolo test per accertare la correttezza e la rispondenza della configurazione prescelta. Possiamo subito notare la risposta ad un ping sweep eseguito sulla sottorete /30 (Fig. 2) ed i risultati di una scansione half open diretta all'indirizzo (Fig. 3). Quest'ultima mostra già, oltre all'emulazione del sistema operativo, l'emulazione dei servizi, dello stato delle porte (la 80 risulta filtrata) e della scheda di rete. Tecniche per la scoperta degli honeypot Per eseguire con successo il fingerprinting di un honeypot un aggressore deve essere in grado di identificare la presenza di meccanismi ad esso relativi (indirizzi, processi, moduli del kernel, strumenti per la cattura dei dati, ecc...) oppure ricostruire le eventuali incongruenze riconducibili ad una parziale o non del tutto veritiera rappresentazione del sistema reale compiuta dall'honeypot. Perché ciò sia possibile occorre una interazione, remota o locale, tra l'aggressore ed il sistema: mentre le interazioni del primo tipo interessano principalmente lo strato di rete ed, in particolare, i livelli 2, 3, 4 e 7 della pila ISO/OSI, quelle locali presuppongono un accesso effettivo al sistema. Livello di data link Il ricorso ad eventuali meccanismi di ridirezione del traffico (ad. es. arp spoofing) con lo scopo di facilitare la simulazione di più host all'interno di una determinata sottorete può dare vita a scenari di risoluzione ARP caratterizzati da una associazione uno a molti tra l'indirizzo MAC del sistema sul quale è in ascolto il demone di emulazione ed i differenti indirizzi IP emulati; ciò può contribuire ad alimentare gli eventuali sospetti di un aggressore che può rendersi conto di questa situazione attraverso un esame della propria cache arp locale oppure utilizzando un semplice sniffer. Un problema analogo può presentarsi anche con gli honeypot ad elevata interazione, soprattutto quando la loro implementazione viene demandata ad apposito software di virtualizzazione (UML, VMWare, ecc...). In tali casi il rischio è dato dal fatto che l'indirizzo MAC può diventare un tratto distintivo inequivocabile in quanto rientrante in un range di indirizzi assegnati ad entità note in base agli standard IEEE. Le contromisure nei confronti di tali potenziali discrepanze sono rappresentate, ove possibile, da una personalizzazione del software oppure dall'adozione di stratagemmi di reindirizzamento del traffico trasparenti (ad es. bridging). Livello di rete In alcune situazioni i pacchetti provenienti da un honeypot in risposta alle varie sollecitazioni possono rivelare delle stranezze, soprattutto nei valori dei campi Time-To-Live (TTL) ed identificativo del datagramma (IPID). Il TTL svolge un ruolo fondamentale sotto un duplice punto di vista di: coerenza con i valori predefiniti attesi per un determinato stack TCP/IP (ad es. 128 per i sistemi Windows, 64 per quelli Linux, ecc...); coerenza delle topologie di rete eventualmente simulate (ad es. decremento dei valori in concomitanza con il transito dei pacchetti attraverso dispositivi di routing). Qualsiasi deviazione rispetto a questi comportamenti tipici può dunque essere vista con sospetto (Fig. 4). La Figura mostra la differenza in termini di valori di Time-To-Live scaturita da due scansioni dello stesso sistema eseguite con tecniche e strumenti differenti. Cambiamenti repentini dei valori dell IPID dei pacchetti possono invece derivare dalla interposizione di dispositivi di ridirezione del traffico come accade nel caso degli honeypot cd. bait and switch. Si tratta di dispositivi installati con lo scopo di dirottare ogni forma di traffico ostile verso un honeypot liberando così i sistemi reali: ciò che accade in questi casi è che, a partire da un determinato momento, l'aggressore comincia ad interagire con un honeypot configurato per replicare le funzionalità di un tipico sistema di produzione. Peraltro, anche se la commutazione avviene in modo trasparente, questo passaggio può causare dei vistosi mutamenti nei valori citati. Infine anche l'analisi statistica dello stato di congestione dei collegamenti di rete, condotta tramite l'ispezione dei valori della proprietà Round-Trip Time (RTT), può avere una sua valenza per finalità di fingerprinting. L'osservazione di sensibili peggioramenti nei valori di tale proprietà, soprattutto in dipendenza dell'esecuzione di alcune attività, potrebbe essere sintomo dell'intervento di particolari meccanismi di cattura dei dati. Un esempio a tale proposito può essere rinvenuto in Sebek, un modulo client-server progettato come kernel rootkit, in grado di intercettare le chiamate di sistema read() e catturare una gran mole di dati, permettendo un analisi molto dettagliata delle azioni compiute da un aggressore. Sebek presenta delle caratteristiche avanzate che lo rendono difficilmente visibile: ad esempio le informazioni catturate dalla componente client vengono inviate, tramite protocollo UDP, ad una componente server in maniera nascosta (il kernel si preoccupa di occultare i pacchetti in uscita modificando anche le strutture dati ed i contatori delle statistiche di rete). hakin9 Nº 7/2007 7

7 Tuttavia, poiché il meccanismo prevede che a fronte della lettura di un singolo byte diverse decine di byte debbano essere trasferiti via rete, una semplice operazione di lettura ripetuta per centinaia di volte può facilmente provocare situazioni di congestione deducibili da un confronto tra i tempi di risposta ottenuti a seguito di scansioni effettuate in momenti temporali differenti. Livello di trasporto Spostandoci a livello di trasporto nella pila ISO/OSI possiamo soffermarci sul dato costituito dal valore della Window Size la cui osservazione può rivelare la presenza di meccanismi di tarpit diretti a mantenere aperti i socket associati ad una connessione impedendo, però, qualsiasi forma di flusso comunicativo. Diversi software, tra i quali Honeyd e Labrea, possiedono questa caratteristica che viene implementata proprio tramite una riduzione a zero della Window Size immediatamente dopo la fase iniziale di instaurazione della connessione. In questo modo nessun dato può essere più ulteriormente trasferito attraverso il canale e, dunque, non risulta possibile neppure chiudere la connessione che rimane aperta ed inattiva consumando inutilmente le risorse del client (Listato 2). Il listato visualizza l'estratto di una sessione di cattura del traffico di rete: il frame visualizzato mostra come il server ftp con indirizzo , emulato da Honeyd, imposta la Window Size del pacchetto a zero, impedendo di fatto ogni ulteriore scambio di dati con il client Ulteriori meccanismi possono addirittura comportare la modifica del contenuto dei datagrammi di rete: a questo proposito un caso tipico è dato dall'utilizzo di Snort-Inline per impedire che un honeypot compromesso possa essere utilizzato per sferrare attacchi nei confronti di altri sistemi. Attraverso tecniche di analisi del traffico di rete ed apposite regole iptables Snort-Inline è anche in grado di alterare il payload dei pacchetti aventi un contenuto particolarmente Cenni sull'autore Stefano Bendandi è laureato in giurisprudenza ed ha conseguito il titolo di avvocato, è certificato CompTIA in materia di sicurezza ed esercita da quasi un decennio la propria attività professionale nel settore IT, dove ha maturato esperienze nell'ambito della progettazione ed implementazione di sistemi informativi, della sicurezza dei database, delle applicazioni e delle infrastrutture di comunicazione. È stato coautore di un libro sugli aspetti tecnologici della tutela della riservatezza nelle biblioteche e, recentemente, ha concluso la preparazione di un altro volume sull'utilizzo del servizio di posta elettronica e di P.E.C. Si occupa di formazione, ricerca e consulenza in materia di problematiche tecniche, legali ed organizzative inerenti la sicurezza informatica, la tutela della privacy e la security governance. È socio ANIP, Associazione Nazionale Informatici Professionisti, ed AIPSI, Associazione Italiana dei Professionisti di Sicurezza Informatica (ISSA Italian Chapter). Può essere contattato all'indirizzo ostile (ad es. una shellcode) al fine di renderli del tutto inoffensivi. Ovviamente questa contromisura, anche se non facilmente riscontrabile, può tuttavia essere rilevabile attraverso un confronto tra il contenuto dei pacchetti in uscita dall'honeypot e quello dei pacchetti che giungono a destinazione nel caso in cui l'aggressore abbia acquisito il pieno controllo del sistema target. Livello di applicazione A questo livello le considerazioni da fare riguardano soprattutto gli honeypot a bassa interazione. La limitata capacità di emulare il set completo delle funzionalità di servizi di rete spesso molto complessi può infatti rappresentare un segno della reale natura del sistema, soprattutto quando l'aggressore pone in essere azioni non prevedibili, tentando di esasperare l'uso di determinati protocolli applicativi ed analizzando le risposte alle varie sollecitazioni. Interazioni a livello di sistema Queste diventano possibili in presenza di honeypot ad elevata interazione e purché vi sia la disponibilità di una qualche forma di accesso, come una shell ottenuta a seguito di compromissione. In questi casi una prima analisi del sistema ed un monitoraggio a basso livello del traffico di rete potrebbero già rivelare alcune illogicità come: In Rete Progetto Honeynet Progetto Honeyd - Sebek - Labrea la scarso livello di attività in un sistema comunque caratterizzato da centinaia di account utente e documenti, e da una moltitudine di servizi attivi; l'assenza di eventi tipicamente riconducibili ad un uso effettivo (login, variazioni nei livelli di utilizzo di cpu e memoria, I/O, file creati e/o modificati in date recenti, ecc ); le probabili ed evidenti limitazioni relativamente all'apertura di connessioni di rete in uscita; la presenza di ulteriori segni distintivi, come quelli riconducibili all'utilizzo di software di virtualizzazione, rinvenibili attraverso la ricerca di pattern noti (versioni di Bios, porte di I/O particolari, stringhe di identificazione delle periferiche, incoerenze varie nella configurazione delle risorse, ecc...); l'operatività di meccanismi di cattura dati e di logging anche ridondandi. Conclusioni Gli honeypot sono strumenti di sicurezza proattiva molto affascinanti sia 8 hakin9 Nº 7/2007

8 per le molteplici applicazioni pratiche che consentono sia per gli interessanti risultati che permettono di raggiungere, soprattutto in un ambito di ricerca puro. Il loro utilizzo può contribuire al mantenimento dei livelli di sicurezza di una rete a condizione che essi siano correttamente installati, configurati e manutenuti e che siano adottati gli adeguati stratagemmi per evitare che, una volta compromessi, possano essere utilizzati per colpire altre risorse. hakin9 Nº 7/2007 9

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Il livello trasporto Protocolli TCP e UDP

Il livello trasporto Protocolli TCP e UDP Il livello trasporto Protocolli TCP e UDP Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi:

Dettagli

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi: le raisons d etre della rete Transport TCP

Dettagli

Transmission Control Protocol

Transmission Control Protocol Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione

Dettagli

TCP: trasmissione Source port [16 bit] - Identifica il numero di porta sull'host mittente associato alla connessione TCP. Destination port [16 bit] - Identifica il numero di porta sull'host destinatario

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web Tecnologie di Sviluppo per il Web Introduzione alle Reti di Calcolatori versione 1.0 del 11/03/2003 G. Mecca mecca@unibas.it Università della Basilicata Reti >> Sommario Sommario dei Concetti Elab. Client-Server

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

IP Internet Protocol

IP Internet Protocol IP Internet Protocol Vittorio Maniezzo Università di Bologna Vittorio Maniezzo Università di Bologna 13 IP - 1/20 IP IP è un protocollo a datagrammi In spedizione: Riceve i dati dal livello trasporto e

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Introduzione (parte III)

Introduzione (parte III) Introduzione (parte III) Argomenti della lezione Ripasso degli argomenti del primo corso: il livello di trasporto, il meccanismo di controllo delle congestioni e le applicazioni Il livello di trasporto

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Protocolli di Comunicazione

Protocolli di Comunicazione Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol

Dettagli

Il protocollo TCP. Obiettivo. Procedura

Il protocollo TCP. Obiettivo. Procedura Il protocollo TCP Obiettivo In questo esercizio studieremo il funzionamento del protocollo TCP. In particolare analizzeremo la traccia di segmenti TCP scambiati tra il vostro calcolatore ed un server remoto.

Dettagli

Reti di Calcolatori 18-06-2013

Reti di Calcolatori 18-06-2013 1. Applicazioni di rete [3 pts] Si descrivano, relativamente al sistema DNS: Compito di Reti di Calcolatori 18-06-2013 a) i motivi per i quali viene usato; b) l architettura generale; c) le modalità di

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori I Roberto Canonico (roberto.canonico@unina.it) Giorgio Ventre (giorgio.ventre@unina.it) Il livello rete in Internet Il protocollo

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

No. Time Source Destination Protocol Info DHCP DHCP Discover - Transaction ID 0xec763e04

No. Time Source Destination Protocol Info DHCP DHCP Discover - Transaction ID 0xec763e04 Schema della rete La rete che ho utilizzato per l esempio è così strutturato: 1. 1 server DHCP, macchina Windows XP che funge anche da gateway verso Internet 2. 1 client DHCP, pc portatile con Windows

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico ICT Security n. 51, Dicembre 2006 p. 1 di 7 Da IDS a IPS Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico in tempo reale e della relazione tra Intrusion

Dettagli

IP Mobility. Host mobili

IP Mobility. Host mobili IP Mobility Reti II IP Mobility -1 Host mobili! Dispositivi wireless o wired mobili! Connessione alla rete attraverso: " Wireless LAN " Reti cellulari " Reti Satellitari " LAN " Etc.! Una rete di riferimento

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Un sistema di Network Intrusion Detection basato su tcpdump

Un sistema di Network Intrusion Detection basato su tcpdump I INFN Security Workshop Firenze 19-20 Settembre 2000 Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN Sezione di Padova Perche` utilizzare un sistema di Network Intrusion

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Il livello Network del TCP/IP. Il protocollo IP (versione 4)

Il livello Network del TCP/IP. Il protocollo IP (versione 4) Il livello Network del TCP/IP. Il protocollo IP (versione 4) L architettura TCP/IP (il cui nome più preciso è ) è formata da diversi componenti, che si posizionano nello stack dei protocolli a partire

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint Corso di sicurezza su reti a.a.2002/2003 Introduzione Scansione dei servizi Docente del corso: Prof. De Santis Alfredo A cura di: Miele Alessandro Pagnotta Simona Cenni preliminari PortScan Satan Saint

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

10. Stratificazione dei protocolli

10. Stratificazione dei protocolli 10. Stratificazione dei protocolli 10.1. Introduzione Abbiamo visto la struttura dell'internet. Ora dobbiamo esaminare la struttura del restante software di comunicazione, che è organizzato secondo il

Dettagli

Informatica per la comunicazione" - lezione 8 -

Informatica per la comunicazione - lezione 8 - Informatica per la comunicazione - lezione 8 - I multipli 1 KB (kilo) = 1000 B 1 MB (mega) = 1 mln B 1 GB (giga) = 1 mld B 1 TB (tera) = 1000 mld B Codifica binaria dei numeri Numerazione con base 10:

Dettagli

Obiettivi d esame HP ATA Networks

Obiettivi d esame HP ATA Networks Obiettivi d esame HP ATA Networks 1 Spiegare e riconoscere tecnologie di rete e le loro implicazioni per le esigenze del cliente. 1.1 Descrivere il modello OSI. 1.1.1 Identificare ogni livello e descrivere

Dettagli

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Radius AAA Dato un certo numero di punti di accesso dall esterno alla rete Data una grande quantità di utenti Abbiamo la necessità

Dettagli

Livello Trasporto. Liv. Applic. Liv. Transport. Transport Entity. Liv. Network. Trasporto

Livello Trasporto. Liv. Applic. Liv. Transport. Transport Entity. Liv. Network. Trasporto Livello Trasporto Fornire un trasporto affidabile ed efficace dall'host di origine a quello di destinazione, indipendentemente dalla rete utilizzata Gestisce una conversazione diretta fra sorgente e destinazione

Dettagli

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7 Sommario Indice 1 Sicurezza informatica 1 1.1 Cause di perdite di dati....................... 1 1.2 Protezione dei dati.......................... 2 1.3 Tipi di sicurezza........................... 3 1.4

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it Livello di Rete Gaia Maselli maselli@di.uniroma1.it Queste slide sono un adattamento delle slide fornite dal libro di testo e pertanto protette da copyright. All material copyright 1996-2007 J.F Kurose

Dettagli

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA PROGRAMMAZIONE MODULARE 2015-2016 Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA Docenti: Gualdi (teoria), Travaglioni (laboratorio) Ore settimanali previste: 2 TEORIA +

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11 1 Mattia Lezione IV: Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) PARTE 1 richiami SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) Parte 1 Modulo 1: Stack TCP/IP TCP/IP Protocol Stack (standard de facto) Basato su 5 livelli invece che sui 7 dello stack ISO/OSI Application

Dettagli

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1 Introduzione Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio Livello applicativo Principi delle applicazioni di rete 2-1 Pila di protocolli Internet Software applicazione: di

Dettagli

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Corso di Sistemi di Elaborazione delle informazioni Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Una definizione di Rete Una moderna rete di calcolatori può essere definita come:

Dettagli

Reti di Calcolatori. Il software

Reti di Calcolatori. Il software Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) PARTE 2 SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) Parte 2 Modulo 1: Stack TCP/IP TCP/IP Protocol Stack (standard de facto) Basato su 5 livelli invece che sui 7 dello stack ISO/OSI Application

Dettagli

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI Confronto tra ISO-OSI e TCP/IP, con approfondimento di quest ultimo e del livello di trasporto in cui agiscono i SOCKET. TCP/IP

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Installazione di una rete privata virtuale (VPN) con Windows 2000

Installazione di una rete privata virtuale (VPN) con Windows 2000 Pagina 1 di 8 Microsoft.com Home Mappa del sito Cerca su Microsoft.com: Vai TechNet Home Prodotti e tecnologie Soluzioni IT Sicurezza Eventi Community TechNetWork Il programma TechNet Mappa del sito Altre

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica Dipartimento di Informatica - Università di Verona Laboratorio di Networking Operating Systems Lezione 2 Principali strumenti di diagnostica Master in progettazione e gestione di sistemi di rete edizione

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

StarShell. IPSec. StarShell

StarShell. IPSec. StarShell IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:

Dettagli

Convertitore di rete NETCON

Convertitore di rete NETCON MANUALE DI PROGRAMMAZIONE INTERFACCIA TCP/IP PER SISTEMI REVERBERI Convertitore di rete NETCON RMNE24I0 rev. 1 0708 I N D I C E 1. Scopo... 4 2. Descrizione... 4 3. Collegamenti elettrici del dispositivo...

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti. 1 Mattia Lezione III: I protocolli di base Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi

Dettagli

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password. INTRODUZIONE ALLA VPN (Rete virtuale privata - Virtual Private Network) Un modo sicuro di condividere il lavoro tra diverse aziende creando una rete virtuale privata Recensito da Paolo Latella paolo.latella@alice.it

Dettagli

Prova in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00

Prova in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00 Prova in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome:

Dettagli

Reti di Telecomunicazioni LB Introduzione al corso

Reti di Telecomunicazioni LB Introduzione al corso Reti di Telecomunicazioni LB Introduzione al corso A.A. 2005/2006 Walter Cerroni Il corso Seguito di Reti di Telecomunicazioni LA Approfondimento sui protocolli di Internet TCP/IP, protocolli di routing,

Dettagli

I protocolli UDP e TCP

I protocolli UDP e TCP I protocolli UDP e TCP A.A. 2005/2006 Walter Cerroni Il livello di trasporto in Internet APP. APP. TCP UDP IP collegamento logico tra diversi processi applicativi collegamento logico tra diversi host IP

Dettagli

Parte II: Reti di calcolatori Lezione 9

Parte II: Reti di calcolatori Lezione 9 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II: Reti di calcolatori Lezione 9 Martedì 1-04-2014 1 Applicazioni P2P

Dettagli

Il Mondo delle Intranet

Il Mondo delle Intranet Politecnico di Milano Advanced Network Technologies Laboratory Il Mondo delle Intranet Network Address Translation (NAT) Virtual Private Networks (VPN) Reti Private e Intranet EG sottorete IG IG rete IG

Dettagli

Corsi di Reti di Calcolatori (Docente Luca Becchetti)

Corsi di Reti di Calcolatori (Docente Luca Becchetti) Corsi di Reti di Calcolatori (Docente Luca Becchetti) NOT : le soluzioni proposte sono volutamente sintetiche. Lo studente dovrebbe fare uno sforzo per risolvere i quesiti in modo autonomo, espandendo

Dettagli

Prof. Mario Cannataro Ing. Giuseppe Pirrò

Prof. Mario Cannataro Ing. Giuseppe Pirrò Prof. Mario Cannataro Ing. Giuseppe Pirrò Footprinting Scansione Enumerazione Exploit Controllo del sistema Raccolta di informazioni sull obbiettivo da attaccare. Determinare il profilo di protezione della

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Tappe evolutive della rete Internet

Tappe evolutive della rete Internet UNIVERSITA DEGLI STUDI DI ANCONA FACOLTA DI INGEGNERIA Dipartimento di Elettronica e Automatica Internet della nuova generazione: protocolli e prestazioni Laureando: ANDREA CAPRIOTTI Relatore: Ing. E.GAMBI

Dettagli

OmniAccessSuite. Plug-Ins. Ver. 1.3

OmniAccessSuite. Plug-Ins. Ver. 1.3 OmniAccessSuite Plug-Ins Ver. 1.3 Descrizione Prodotto e Plug-Ins OmniAccessSuite OmniAccessSuite rappresenta la soluzione innovativa e modulare per il controllo degli accessi. Il prodotto, sviluppato

Dettagli

Esame del corso di Sistemi Operativi e Reti

Esame del corso di Sistemi Operativi e Reti Esame del corso di Sistemi Operativi e Reti (a.a. 2014/2015, prof. Gianluca Amato) Appello dell'8 Gennaio 2015 Svolgere i seguenti esercizi (ognuno vale 8 punti), giustificando i risultati ottenuti. Se

Dettagli

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico IP e subnetting Ip IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico come nel caso del MAC Address) una

Dettagli

Protocollo ICMP, comandi ping e traceroute

Protocollo ICMP, comandi ping e traceroute Protocollo ICMP, comandi ping e traceroute Internet Control Message Protocol Internet Control Message Protocol (ICMP): usato dagli host, router e gateway per comunicare informazioni riguardanti il livello

Dettagli