Honeypots: inganno o realtà?

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Honeypots: inganno o realtà?"

Transcript

1 Honeypots: inganno o realtà? Difesa Stefano Bendandi Grado di difficoltà Un honeypot è una particolare risorsa allestita in modo da apparire come un sistema vulnerabile, suscettibile di essere attaccato e violato.generalmente questi sistemi soddisfano due requisiti: rappresentare un target potenziale per gli aggressori, distraendoli così dalle risorse reali, ed acquisire quante più informazioni possibili sulle tecniche di attacco utilizzate. La sfida non facile che gli honeypot raccolgono è proprio quella di mantenere concentrati su sè stessi le attenzioni di eventuali aggressori, preservando contestualmente l'integrità di altri sistemi più importanti. Dunque si tratta di strumenti di sicurezza proattiva che possono trovare impiego in tutti quei casi nei quali è necessario ricorrere ad un approccio difensivo di tipo strutturato (defense in depth). A differenza dei firewall e dei sistemi per la scoperta delle intrusioni gli honeypot sono progettati per essere attaccati e compromessi. Per questo motivo essi non hanno, in genere, alcun valore intrinseco per chi li allestisce, non contengono dati ed altre informazioni rilevanti ed i servizi di rete che espongono sono destinati a rimanere anonimi e, perciò, non fruibili dagli utenti di un tipico ambiente di produzione. Date queste caratteristiche, dunque, l'intero traffico di rete che fluisce da o verso un honeypot può considerarsi implicitamente sospetto ed, in quanto tale, meritevole di essere analizzato nel dettaglio senza che vi sia la necessità di isolare gli eventuali falsi positivi come, invece, può accadere per gli IDS. Classificazione funzionale Tradizionalmente gli honeypot vengono classificati in due distinte categorie funzionali: produzione e ricerca. L'efficacia dei primi consiste nel proteggere una o più risorse specifiche di una organizzazione, mentre quella dei secondi si concentra, soprattutto, sull'acquisizione di conoscenza circa il modus operandi, le tecniche e gli strumenti di attacco impiegati. Gli honeypot di produzione possono essere ulteriormente diversificati tenendo conto del loro ruolo primario. Dall'articolo imparerai... Cosa sono e come funzionano degli honeypots, Aspetti critici da considerare in una implementazione, Allestimento di honeypots virtuali mediante Honeyd, Tecniche per rilevare la presenza di un honeypot. Cosa dovresti sapere... Concetti di networking e TCP/IP, Modello ISO/OSI, Concetti relativi all'analisi del traffico di rete. 2 hakin9 Nº 7/2007

2 A tale riguardo si parla di prevenzione quando l'obiettivo principale del sistema è quello di sviare i potenziali aggressori, inducendoli in confusione oppure rallentando le loro attività; di identificazione quando l'obiettivo è quello della scoperta di attacchi ed altre attività non autorizzate; infine, di reazione quando l'obiettivo è quello di migliorare la capacità di risposta e gestione degli incidenti informatici tramite lo sviluppo di specifiche competenze. Ognuna di queste soluzioni presenta, ovviamente, dei vantaggi e degli svantaggi ma si distingue per la presenza di caratteristiche peculiari (ad es. gli honeypot di produzione utilizzati con finalità di reazione sono normalmente in grado di catturare una gran quantità di dati). Persino per gli honeypot di ricerca, anche se in modo meno marcato, possiamo tracciare delle aree di specializzazione a seconda della finalità verso la quale è diretta l'acquisizione di conoscenza: identificazione di nuove vulnerabilità per lo sviluppo di signatures per IDS, sviluppo di competenze in materia di analisi forense o semplice studio delle tecniche di attacco. Livelli di interazione Questo fattore, oltre a caratterizzare le modalità con le quali un aggressore può interagire con il sistema, influenza direttamente il livello di complessità e di rischio insiti nella sua installazione, configurazione e manutenzione. In generale ad una maggiore capacità di interazione corrisponde una maggiore probabilità che l'honeypot venga compromesso e, per effetto di ciò, utilizzato come trampolino per sferrare attacchi nei confronti di altri sistemi. D'altra parte, però, soltanto i sistemi caratterizzati da un elevato grado di interazione garantiscono la possibilità di raccogliere un gran numero di informazioni sull'attacco portato a compimento e permettono, dunque, di condurre a posteriori una analisi qualitativamente migliore. Ciò detto possiamo pertanto distinguere tra: honeypot a basso rischio: si tratta di sistemi semplici da installare e Honeypot Produzione 1 Fig. 1: Esempio di dislocazione di honeypot di produzione Fig. 2: Ping sweep Fig. 3: Scansione nmap LAN Web Server Mail Server DMZ configurare, caratterizzati da un livello di interazione nullo o Ftp Server Honeypot Produzione 2 Internet hakin9 Nº 7/2007 3

3 alquanto limitato. Gli honeypot di questo tipo sono in grado di registrare i vari tentativi di attacco e di scansione senza generare tuttavia traffico in uscita; honeypot ad alto rischio: si tratta di soluzioni complesse da installare e configurare basate su sistemi operativi ed applicazioni reali. In questi casi non vi è alcuna emulazione per cui l'aggressore conserva la capacità di interagire con il sistema in modo illimitato. Il principale vantaggio di questi sistemi è rappresentato dalle eccellenti capacità di logging che li rende adatti soprattutto ad un utilizzo per finalità di ricerca. Tra gli svantaggi, invece, va citato proprio l'elevato grado di interazione che può condurre alla scoperta dei meccanismi e della reale natura del sistema, oltre che consentire ovviamente la possibilità di causare danni ben più gravi di quelli normalmente possibili con sistemi a basso impatto. Tra le due categorie citate se ne pone peraltro anche una terza in cui vanno collocati quei sistemi dotati di caratteristiche e di un grado di difficoltà di installazione e configurazione a metà strada tra i sistemi a basso e ad alto impatto. Dislocazione degli honeypot L'efficacia di un honeypot dipende in stretta misura anche dal suo posizionamento all'interno di una rete. Gli honeypot di produzione, impiegati con un ruolo di prevenzione o scoperta delle intrusioni, assicurano la loro miglior efficacia se collocati dietro le difese perimetrali, nelle reti ad alto rischio come le DMZ oppure in quelle interne (Fig. 1). Questa collocazione garantisce i migliori benefici poiché i sistemi sono in grado di esplicare tutta la loro efficacia nei confronti di quegli aggressori che siano riusciti a penetrare le difese perimetrali. Viceversa il posizionamento al di fuori di questo perimetro rischierebbe di compromettere l'utilità dell'honeypot essendo quest'ultimo probabilmente soggetto ad un numero talmente elevato di attacchi da rendere non soltanto arduo, ma anche superfluo, il successivo lavoro di analisi dei dati catturati. Analoghe considerazioni possono essere espresse anche per gli honeypot impiegati con un ruolo di reazione che, avendo lo scopo di riprodurre le funzionalità e l'apparenza di interi sistemi di produzione, trovano una naturale collocazione nelle DMZ dove, di regola, vengono allestiti alcuni tipici servizi pubblici (http server, ftp server, ecc...). Per gli honeypot di ricerca, invece, la dislocazione ideale potrebbe essere nelle reti interne oppure al di fuori del perimetro di sicurezza in relazione al fatto che l'obiettivo della cattura delle informazioni sia relativo ad attacchi interni od esterni. L'importante in questi ultimi due casi, viste le caratteristiche in gioco, è l'adozione di meccanismi ed accorgimenti di controllo tali da impedire che tali sistemi, una volta compromessi, siano sfruttati per finalità illecite. Aspetti critici da considerare Gli honeypot possono contribuire a migliorare il livello di sicurezza di una rete ma solo a condizione che siano allestiti correttamente perché, in caso contrario, essi non solo diventano Fig. 4: Differenza nei valori di TTL inutili ma finiscono per introdurre dei rischi assolutamente inaccettabili. Uno dei principali inconvenienti, imputabili ad una erronea progettazione e/o configurazione, è quello relativo alla scoperta: tale evenienza rischia di vanificare l'utilità del sistema che finisce per essere evitato oppure alimentato con informazioni erronee producendo dei risultati fuorvianti. Il primo accorgimento da adottare è dunque quello di rispettare un certo grado di realismo nell'allestimento e nella configurazione, specie se si ha a che fare con honeypot virtuali che permettono di emulare servizi e sistemi differenti da quelli tipici dell'ambiente in cui sono ospitati. Infatti, anche se i servizi emulati possono apparire verosimili a prima vista, un aggressore che utilizza tecniche di fingerprinting può rendersi conto delle discrepanze in modo semplice. Analogamente il realismo suggerisce che gli honeypot si adattino perfettamente alle infrastrutture di rete da proteggere, così da risultare del tutto naturali in un determinato contesto. Infine, e questo vale soprattutto per le soluzioni di tipo commerciale, devono essere evitate le configurazioni predefinite ed adottato, invece, un approccio orientato alla personalizzazione. Così facendo si riduce il rischio che il nucleo delle funzionalità di base diventi una caratteristica distintiva del 4 hakin9 Nº 7/2007

4 sistema per un aggressore che abbia avuto la possibilità di analizzare e studiare la soluzione in uso. Altra questione da non sottovalutare è quella della riduzione complessiva dei rischi insiti in una installazione che richiede per la sua soluzione: la determinazione degli opportuni livelli di interazione; il compimento di azioni finalizzate al contenimento dei rischi; l'adozione di opportune metodologie di test. La preventiva individuazione dei livelli di interazioni minimi, tali da garantire l'efficacia del sistema in relazione ai suoi obiettivi, già comporta, di per sè, una riduzione della complessità e, quindi, del livello di rischio in gioco. In relazione al secondo punto, invece, le azioni da intraprendere possono essere differenziate: di produzione da utilizzare principalmente con un ruolo di scoperta degli attacchi e delle attività non autorizzate. Dal punto di vista architetturale si tratta di una soluzione a basso livello di interazione dotata di funzionalità di logging e di emulazione di servizi di rete mediante script esterni; sono inoltre supportate ulteriori caratteristiche innovative come: la capacità di impersonificare qualsiasi indirizzo IP non utilizzato all'interno di uno o più segmenti di rete; la capacità di identificare i tentativi di connessione diretti verso qualsiasi porta TCP/UDP, anche se non associata ad alcun servizio; la capacità di simulare il comportamento tipico dello stack TCP/IP di svariati sistemi operativi ed apparati di rete rendendo le risposte dell'honeypot verosimili a fronte di scansioni e tentativi di fingerprinting (a tal fine sono utilizzati gli stessi database impiegati in alcuni noti strumenti come nmap e xprobe2); l'utilizzo di meccanismi di tarpit per bloccare il flusso delle comunicazioni; la capacità di mimare topologie di routing e caratteristiche quali latenza, perdite di connettività ed ampiezza di banda; la possibilità di configurare dei template dinamici in grado di condizionare il comportamento degli honeypot al verificarsi di determinati presupposti. Il principio di funzionamento è molto semplice e si basa sul presupposto di ritenere potenzialmente ostile qualsiasi tentativo di connessione diretto verso uno o più indirizzi di rete inutilizzati. per gli honeypot ad elevata interazione il contenimento presuppone, innanzitutto, l'adozione di opportuni meccanismi di controllo e blocco del flusso dei dati per evitare che i sistemi, una volta compromessi, possano essere utilizzati per portare a compimento attacchi nei confronti di altre risorse; per gli honeypot a bassa interazione potrebbe essere opportuno prevedere, piuttosto, una fase di hardening del sistema operativo per impedire che eventuali vulnerabilità o configurazioni erronee possano riflettersi negativamente sulla stabilità e sull'efficienza dell'intero meccanismo. Per le medesime ragioni si può valutare se l'ambiente di esecuzione debba essere chrooted o comunque vincolato all'interno di una sandbox. Infine, e questo vale soprattutto per gli honeypot virtuali, è necessario assicurarsi che gli aggressori non possano interagire direttamente con il sistema di emulazione. Honeyd Honeyd è un progetto open source per la creazione di honeypot virtuali Listato 1. I l file di configurazione di esempio di Honeyd create template set template personality "Microsoft Windows XP Professional SP1" set template default tcp action reset set template default udp action reset set template default icmp action open add template tcp port 135 open add template tcp port 139 open add template tcp port 445 open add template udp port 135 open add template udp port 137 open add template udp port 138 open add template udp port 445 open create w2k2000sp3 set w2k2000sp3 ethernet "3com" set w2k2000sp3 personality "Microsoft Windows 2000 Server SP3" set w2k2000sp3 default tcp action reset set w2k2000sp3 default udp action reset add w2k2000sp3 tcp port 21 tarpit "sh scripts/win2k/msftp.sh" add w2k2000sp3 tcp port 25 "sh scripts/win2k/exchange-smtp.sh" add w2k2000sp3 tcp port 80 block add w2k2000sp3 tcp port 135 open add w2k2000sp3 tcp port 139 open add w2k2000sp3 tcp port 445 open add w2k2000sp3 tcp port 1025 open add w2k2000sp3 tcp port 1027 open add w2k2000sp3 tcp port 1029 open add w2k2000sp3 udp port 135 open add w2k2000sp3 udp port 137 open add w2k2000sp3 udp port 138 open add w2k2000sp3 udp port 445 open add w2k2000sp3 udp port 500 open bind w2k2000sp3 bind template bind template bind template hakin9 Nº 7/2007 5

5 In questi casi Honeyd assume l'identità del target, acquisendone l'indirizzo IP, e si innescano due reazioni differenti a seconda della configurazione corrente: se alla porta di destinazione non è associato alcun demone il tentativo di connessione viene registrato nei log ed il software comunica che la porta è chiusa oppure non risponde per nulla (anche questo dipende dalla configurazione); se alla porta risulta associato un servizio il software avvia l'esecuzione dello script di emulazione del demone e comincia ad interagire con l'aggressore catturando i dettagli dell'attività in corso. Per sfruttare in modo adeguato le capacità di binding con gli indirizzi di rete inattivi tuttavia occorre adottare dei meccanismi per il reindirizzamento del traffico (arp spoofing, configurazione dei router, bridging, ecc...). Configurazione Honeyd può essere scaricato dall'indirizzo release.php ed è configurabile tramite un semplice file di testo in cui vanno memorizzati i parametri di funzionamento e quelli relativi alle eventuali topologie di rete (vedi Listato 1). Il file di esempio contiene due modelli differenti: il primo emula la presenza di un tipico host Windows XP Professional (SP1) ed è associato a tre diversi indirizzi IP mentre il secondo emula la presenza di un Microsoft Windows 2000 Server (SP3) e risulta associato all'indirizzo restante. Scendendo più nel dettaglio ci possiamo soffermare un attimo sulle particolarità di quest'ultimo template: le porte 21 e 25 risultano associate rispettivamente ad un demone FTP ed SMTP emulati tramite script di shell; sulla porta 21 è impostato un meccanismo di tarpit per bloccare il flusso di comunicazione una volta che la connessione sia stata stabilita (vedremo meglio nel seguito in che cosa consiste questo meccanismo); la porta 80 è impostata in modo da risultare filtrata; Listato 2: Un frammento di cattura del traffico di rete viene emulata la presenza di una determinata scheda di rete in termini di indirizzo MAC TCP [TCP ZeroWindow] ftp > [ACK] Seq=49 Ack=6 Win=0 Len=0 Frame 101 (60 bytes on wire, 60 bytes captured) Arrival Time: Mar 24, :07: Time delta from previous packet: seconds Time since reference or first frame: seconds Frame Number: 101 Packet Length: 60 bytes Capture Length: 60 bytes Protocols in frame: eth:ip:tcp Ethernet II, Src: 3com_82:5c:67 (00:50:da:82:5c:67), Dst: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Destination: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Source: 3com_82:5c:67 (00:50:da:82:5c:67) Type: IP (0x0800) Trailer: Internet Protocol, Src: ( ), Dst: ( ) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) = Differentiated Services Codepoint: Default (0x00) = ECN-Capable Transport (ECT): = ECN-CE: 0 Total Length: 40 Identification: 0x16d1 (5841) Flags: 0x = Reserved bit: Not set.0.. = Don't fragment: Not set..0. = More fragments: Not set Fragment offset: 0 Time to live: 64 Protocol: TCP (0x06) Header checksum: 0xdf20 [correct] Source: ( ) Destination: ( ) Transmission Control Protocol, Src Port: ftp (21), Dst Port: (32787), Seq: 49, Ack: 6, Len: 0 Source port: ftp (21) Destination port: (32787) Sequence number: 49 (relative sequence number) Acknowledgement number: 6 (relative ack number) Header length: 20 bytes Flags: 0x0010 (ACK) = Congestion Window Reduced (CWR): Not set = ECN-Echo: Not set = Urgent: Not set = Acknowledgment: Set = Push: Not set = Reset: Not set = Syn: Not set = Fin: Not set ===> Window size: 0 <=== dimensione della finestra (tarpit) Checksum: 0x266f [correct] SEQ/ACK analysis This is an ACK to the segment in frame: 100 The RTT to ACK the segment was: seconds TCP Analysis Flags This is a ZeroWindow segment 6 hakin9 Nº 7/2007

6 Analisi dei risultati Per intercettare le richieste di risoluzione ARP eseguiamo il demone arpd (scaricabile da tools) mediante il comando: arpd -i eth /30 e subito dopo eseguiamo il demone honeyd tramite il comando: honeyd -f my.config \ -p nmap.prints \ -a nmap.assoc \ -0 pf.os \ -x xprobe2.conf /30 Una volta avviata l'esecuzione eseguiamo un piccolo test per accertare la correttezza e la rispondenza della configurazione prescelta. Possiamo subito notare la risposta ad un ping sweep eseguito sulla sottorete /30 (Fig. 2) ed i risultati di una scansione half open diretta all'indirizzo (Fig. 3). Quest'ultima mostra già, oltre all'emulazione del sistema operativo, l'emulazione dei servizi, dello stato delle porte (la 80 risulta filtrata) e della scheda di rete. Tecniche per la scoperta degli honeypot Per eseguire con successo il fingerprinting di un honeypot un aggressore deve essere in grado di identificare la presenza di meccanismi ad esso relativi (indirizzi, processi, moduli del kernel, strumenti per la cattura dei dati, ecc...) oppure ricostruire le eventuali incongruenze riconducibili ad una parziale o non del tutto veritiera rappresentazione del sistema reale compiuta dall'honeypot. Perché ciò sia possibile occorre una interazione, remota o locale, tra l'aggressore ed il sistema: mentre le interazioni del primo tipo interessano principalmente lo strato di rete ed, in particolare, i livelli 2, 3, 4 e 7 della pila ISO/OSI, quelle locali presuppongono un accesso effettivo al sistema. Livello di data link Il ricorso ad eventuali meccanismi di ridirezione del traffico (ad. es. arp spoofing) con lo scopo di facilitare la simulazione di più host all'interno di una determinata sottorete può dare vita a scenari di risoluzione ARP caratterizzati da una associazione uno a molti tra l'indirizzo MAC del sistema sul quale è in ascolto il demone di emulazione ed i differenti indirizzi IP emulati; ciò può contribuire ad alimentare gli eventuali sospetti di un aggressore che può rendersi conto di questa situazione attraverso un esame della propria cache arp locale oppure utilizzando un semplice sniffer. Un problema analogo può presentarsi anche con gli honeypot ad elevata interazione, soprattutto quando la loro implementazione viene demandata ad apposito software di virtualizzazione (UML, VMWare, ecc...). In tali casi il rischio è dato dal fatto che l'indirizzo MAC può diventare un tratto distintivo inequivocabile in quanto rientrante in un range di indirizzi assegnati ad entità note in base agli standard IEEE. Le contromisure nei confronti di tali potenziali discrepanze sono rappresentate, ove possibile, da una personalizzazione del software oppure dall'adozione di stratagemmi di reindirizzamento del traffico trasparenti (ad es. bridging). Livello di rete In alcune situazioni i pacchetti provenienti da un honeypot in risposta alle varie sollecitazioni possono rivelare delle stranezze, soprattutto nei valori dei campi Time-To-Live (TTL) ed identificativo del datagramma (IPID). Il TTL svolge un ruolo fondamentale sotto un duplice punto di vista di: coerenza con i valori predefiniti attesi per un determinato stack TCP/IP (ad es. 128 per i sistemi Windows, 64 per quelli Linux, ecc...); coerenza delle topologie di rete eventualmente simulate (ad es. decremento dei valori in concomitanza con il transito dei pacchetti attraverso dispositivi di routing). Qualsiasi deviazione rispetto a questi comportamenti tipici può dunque essere vista con sospetto (Fig. 4). La Figura mostra la differenza in termini di valori di Time-To-Live scaturita da due scansioni dello stesso sistema eseguite con tecniche e strumenti differenti. Cambiamenti repentini dei valori dell IPID dei pacchetti possono invece derivare dalla interposizione di dispositivi di ridirezione del traffico come accade nel caso degli honeypot cd. bait and switch. Si tratta di dispositivi installati con lo scopo di dirottare ogni forma di traffico ostile verso un honeypot liberando così i sistemi reali: ciò che accade in questi casi è che, a partire da un determinato momento, l'aggressore comincia ad interagire con un honeypot configurato per replicare le funzionalità di un tipico sistema di produzione. Peraltro, anche se la commutazione avviene in modo trasparente, questo passaggio può causare dei vistosi mutamenti nei valori citati. Infine anche l'analisi statistica dello stato di congestione dei collegamenti di rete, condotta tramite l'ispezione dei valori della proprietà Round-Trip Time (RTT), può avere una sua valenza per finalità di fingerprinting. L'osservazione di sensibili peggioramenti nei valori di tale proprietà, soprattutto in dipendenza dell'esecuzione di alcune attività, potrebbe essere sintomo dell'intervento di particolari meccanismi di cattura dei dati. Un esempio a tale proposito può essere rinvenuto in Sebek, un modulo client-server progettato come kernel rootkit, in grado di intercettare le chiamate di sistema read() e catturare una gran mole di dati, permettendo un analisi molto dettagliata delle azioni compiute da un aggressore. Sebek presenta delle caratteristiche avanzate che lo rendono difficilmente visibile: ad esempio le informazioni catturate dalla componente client vengono inviate, tramite protocollo UDP, ad una componente server in maniera nascosta (il kernel si preoccupa di occultare i pacchetti in uscita modificando anche le strutture dati ed i contatori delle statistiche di rete). hakin9 Nº 7/2007 7

7 Tuttavia, poiché il meccanismo prevede che a fronte della lettura di un singolo byte diverse decine di byte debbano essere trasferiti via rete, una semplice operazione di lettura ripetuta per centinaia di volte può facilmente provocare situazioni di congestione deducibili da un confronto tra i tempi di risposta ottenuti a seguito di scansioni effettuate in momenti temporali differenti. Livello di trasporto Spostandoci a livello di trasporto nella pila ISO/OSI possiamo soffermarci sul dato costituito dal valore della Window Size la cui osservazione può rivelare la presenza di meccanismi di tarpit diretti a mantenere aperti i socket associati ad una connessione impedendo, però, qualsiasi forma di flusso comunicativo. Diversi software, tra i quali Honeyd e Labrea, possiedono questa caratteristica che viene implementata proprio tramite una riduzione a zero della Window Size immediatamente dopo la fase iniziale di instaurazione della connessione. In questo modo nessun dato può essere più ulteriormente trasferito attraverso il canale e, dunque, non risulta possibile neppure chiudere la connessione che rimane aperta ed inattiva consumando inutilmente le risorse del client (Listato 2). Il listato visualizza l'estratto di una sessione di cattura del traffico di rete: il frame visualizzato mostra come il server ftp con indirizzo , emulato da Honeyd, imposta la Window Size del pacchetto a zero, impedendo di fatto ogni ulteriore scambio di dati con il client Ulteriori meccanismi possono addirittura comportare la modifica del contenuto dei datagrammi di rete: a questo proposito un caso tipico è dato dall'utilizzo di Snort-Inline per impedire che un honeypot compromesso possa essere utilizzato per sferrare attacchi nei confronti di altri sistemi. Attraverso tecniche di analisi del traffico di rete ed apposite regole iptables Snort-Inline è anche in grado di alterare il payload dei pacchetti aventi un contenuto particolarmente Cenni sull'autore Stefano Bendandi è laureato in giurisprudenza ed ha conseguito il titolo di avvocato, è certificato CompTIA in materia di sicurezza ed esercita da quasi un decennio la propria attività professionale nel settore IT, dove ha maturato esperienze nell'ambito della progettazione ed implementazione di sistemi informativi, della sicurezza dei database, delle applicazioni e delle infrastrutture di comunicazione. È stato coautore di un libro sugli aspetti tecnologici della tutela della riservatezza nelle biblioteche e, recentemente, ha concluso la preparazione di un altro volume sull'utilizzo del servizio di posta elettronica e di P.E.C. Si occupa di formazione, ricerca e consulenza in materia di problematiche tecniche, legali ed organizzative inerenti la sicurezza informatica, la tutela della privacy e la security governance. È socio ANIP, Associazione Nazionale Informatici Professionisti, ed AIPSI, Associazione Italiana dei Professionisti di Sicurezza Informatica (ISSA Italian Chapter). Può essere contattato all'indirizzo ostile (ad es. una shellcode) al fine di renderli del tutto inoffensivi. Ovviamente questa contromisura, anche se non facilmente riscontrabile, può tuttavia essere rilevabile attraverso un confronto tra il contenuto dei pacchetti in uscita dall'honeypot e quello dei pacchetti che giungono a destinazione nel caso in cui l'aggressore abbia acquisito il pieno controllo del sistema target. Livello di applicazione A questo livello le considerazioni da fare riguardano soprattutto gli honeypot a bassa interazione. La limitata capacità di emulare il set completo delle funzionalità di servizi di rete spesso molto complessi può infatti rappresentare un segno della reale natura del sistema, soprattutto quando l'aggressore pone in essere azioni non prevedibili, tentando di esasperare l'uso di determinati protocolli applicativi ed analizzando le risposte alle varie sollecitazioni. Interazioni a livello di sistema Queste diventano possibili in presenza di honeypot ad elevata interazione e purché vi sia la disponibilità di una qualche forma di accesso, come una shell ottenuta a seguito di compromissione. In questi casi una prima analisi del sistema ed un monitoraggio a basso livello del traffico di rete potrebbero già rivelare alcune illogicità come: In Rete Progetto Honeynet Progetto Honeyd - Sebek - Labrea la scarso livello di attività in un sistema comunque caratterizzato da centinaia di account utente e documenti, e da una moltitudine di servizi attivi; l'assenza di eventi tipicamente riconducibili ad un uso effettivo (login, variazioni nei livelli di utilizzo di cpu e memoria, I/O, file creati e/o modificati in date recenti, ecc ); le probabili ed evidenti limitazioni relativamente all'apertura di connessioni di rete in uscita; la presenza di ulteriori segni distintivi, come quelli riconducibili all'utilizzo di software di virtualizzazione, rinvenibili attraverso la ricerca di pattern noti (versioni di Bios, porte di I/O particolari, stringhe di identificazione delle periferiche, incoerenze varie nella configurazione delle risorse, ecc...); l'operatività di meccanismi di cattura dati e di logging anche ridondandi. Conclusioni Gli honeypot sono strumenti di sicurezza proattiva molto affascinanti sia 8 hakin9 Nº 7/2007

8 per le molteplici applicazioni pratiche che consentono sia per gli interessanti risultati che permettono di raggiungere, soprattutto in un ambito di ricerca puro. Il loro utilizzo può contribuire al mantenimento dei livelli di sicurezza di una rete a condizione che essi siano correttamente installati, configurati e manutenuti e che siano adottati gli adeguati stratagemmi per evitare che, una volta compromessi, possano essere utilizzati per colpire altre risorse. hakin9 Nº 7/2007 9

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Il livello trasporto Protocolli TCP e UDP

Il livello trasporto Protocolli TCP e UDP Il livello trasporto Protocolli TCP e UDP Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi:

Dettagli

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi: le raisons d etre della rete Transport TCP

Dettagli

TCP: trasmissione Source port [16 bit] - Identifica il numero di porta sull'host mittente associato alla connessione TCP. Destination port [16 bit] - Identifica il numero di porta sull'host destinatario

Dettagli

Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web Tecnologie di Sviluppo per il Web Introduzione alle Reti di Calcolatori versione 1.0 del 11/03/2003 G. Mecca mecca@unibas.it Università della Basilicata Reti >> Sommario Sommario dei Concetti Elab. Client-Server

Dettagli

Transmission Control Protocol

Transmission Control Protocol Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

IP Internet Protocol

IP Internet Protocol IP Internet Protocol Vittorio Maniezzo Università di Bologna Vittorio Maniezzo Università di Bologna 13 IP - 1/20 IP IP è un protocollo a datagrammi In spedizione: Riceve i dati dal livello trasporto e

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

Un sistema di Network Intrusion Detection basato su tcpdump

Un sistema di Network Intrusion Detection basato su tcpdump I INFN Security Workshop Firenze 19-20 Settembre 2000 Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN Sezione di Padova Perche` utilizzare un sistema di Network Intrusion

Dettagli

Il protocollo TCP. Obiettivo. Procedura

Il protocollo TCP. Obiettivo. Procedura Il protocollo TCP Obiettivo In questo esercizio studieremo il funzionamento del protocollo TCP. In particolare analizzeremo la traccia di segmenti TCP scambiati tra il vostro calcolatore ed un server remoto.

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori I Roberto Canonico (roberto.canonico@unina.it) Giorgio Ventre (giorgio.ventre@unina.it) Il livello rete in Internet Il protocollo

Dettagli

Introduzione (parte III)

Introduzione (parte III) Introduzione (parte III) Argomenti della lezione Ripasso degli argomenti del primo corso: il livello di trasporto, il meccanismo di controllo delle congestioni e le applicazioni Il livello di trasporto

Dettagli

Protocolli di Comunicazione

Protocolli di Comunicazione Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol

Dettagli

Livello Trasporto. Liv. Applic. Liv. Transport. Transport Entity. Liv. Network. Trasporto

Livello Trasporto. Liv. Applic. Liv. Transport. Transport Entity. Liv. Network. Trasporto Livello Trasporto Fornire un trasporto affidabile ed efficace dall'host di origine a quello di destinazione, indipendentemente dalla rete utilizzata Gestisce una conversazione diretta fra sorgente e destinazione

Dettagli

Obiettivi d esame HP ATA Networks

Obiettivi d esame HP ATA Networks Obiettivi d esame HP ATA Networks 1 Spiegare e riconoscere tecnologie di rete e le loro implicazioni per le esigenze del cliente. 1.1 Descrivere il modello OSI. 1.1.1 Identificare ogni livello e descrivere

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Il livello Network del TCP/IP. Il protocollo IP (versione 4)

Il livello Network del TCP/IP. Il protocollo IP (versione 4) Il livello Network del TCP/IP. Il protocollo IP (versione 4) L architettura TCP/IP (il cui nome più preciso è ) è formata da diversi componenti, che si posizionano nello stack dei protocolli a partire

Dettagli

No. Time Source Destination Protocol Info DHCP DHCP Discover - Transaction ID 0xec763e04

No. Time Source Destination Protocol Info DHCP DHCP Discover - Transaction ID 0xec763e04 Schema della rete La rete che ho utilizzato per l esempio è così strutturato: 1. 1 server DHCP, macchina Windows XP che funge anche da gateway verso Internet 2. 1 client DHCP, pc portatile con Windows

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA PROGRAMMAZIONE MODULARE 2015-2016 Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA Docenti: Gualdi (teoria), Travaglioni (laboratorio) Ore settimanali previste: 2 TEORIA +

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Radius AAA Dato un certo numero di punti di accesso dall esterno alla rete Data una grande quantità di utenti Abbiamo la necessità

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Reti di Calcolatori 18-06-2013

Reti di Calcolatori 18-06-2013 1. Applicazioni di rete [3 pts] Si descrivano, relativamente al sistema DNS: Compito di Reti di Calcolatori 18-06-2013 a) i motivi per i quali viene usato; b) l architettura generale; c) le modalità di

Dettagli

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico ICT Security n. 51, Dicembre 2006 p. 1 di 7 Da IDS a IPS Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico in tempo reale e della relazione tra Intrusion

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

INFORMATICA LIVELLO BASE

INFORMATICA LIVELLO BASE INFORMATICA LIVELLO BASE INTRODUZIONE 3 Fase Che cos'è una rete? Quali sono i vantaggi di avere una Rete? I componenti di una Rete Cosa sono gi Gli Hub e gli Switch I Modem e i Router Che cos è un Firewall

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Soluzioni dell esercitazione n. 2 a cura di Giacomo Costantini 19 marzo 2014

Dettagli

I protocolli UDP e TCP

I protocolli UDP e TCP I protocolli UDP e TCP A.A. 2005/2006 Walter Cerroni Il livello di trasporto in Internet APP. APP. TCP UDP IP collegamento logico tra diversi processi applicativi collegamento logico tra diversi host IP

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

IP Mobility. Host mobili

IP Mobility. Host mobili IP Mobility Reti II IP Mobility -1 Host mobili! Dispositivi wireless o wired mobili! Connessione alla rete attraverso: " Wireless LAN " Reti cellulari " Reti Satellitari " LAN " Etc.! Una rete di riferimento

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

AdRem Free itools 2006. - L importanza degli strumenti di diagnostica -

AdRem Free itools 2006. - L importanza degli strumenti di diagnostica - AdRem Free itools 2006 - L importanza degli strumenti di diagnostica - Introduzione La capacità di configurare, gestire e risolvere i problemi relativi alle reti TCP/IP è parte fondamentale dell attività

Dettagli

10. Stratificazione dei protocolli

10. Stratificazione dei protocolli 10. Stratificazione dei protocolli 10.1. Introduzione Abbiamo visto la struttura dell'internet. Ora dobbiamo esaminare la struttura del restante software di comunicazione, che è organizzato secondo il

Dettagli

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti. 1 Mattia Lezione III: I protocolli di base Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1 Introduzione Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio Livello applicativo Principi delle applicazioni di rete 2-1 Pila di protocolli Internet Software applicazione: di

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint Corso di sicurezza su reti a.a.2002/2003 Introduzione Scansione dei servizi Docente del corso: Prof. De Santis Alfredo A cura di: Miele Alessandro Pagnotta Simona Cenni preliminari PortScan Satan Saint

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

NetCrunch 6. Server per il controllo della rete aziendale. Controlla

NetCrunch 6. Server per il controllo della rete aziendale. Controlla AdRem NetCrunch 6 Server per il controllo della rete aziendale Con NetCrunch puoi tenere sotto controllo ogni applicazione, servizio, server e apparato critico della tua azienda. Documenta Esplora la topologia

Dettagli

StarShell. IPSec. StarShell

StarShell. IPSec. StarShell IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:

Dettagli

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) PARTE 2 SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) Parte 2 Modulo 1: Stack TCP/IP TCP/IP Protocol Stack (standard de facto) Basato su 5 livelli invece che sui 7 dello stack ISO/OSI Application

Dettagli

Reti di comunicazione

Reti di comunicazione Reti di comunicazione Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Comunicazione via rete Per effettuare qualsiasi

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2008 Il bollettino può essere

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Tappe evolutive della rete Internet

Tappe evolutive della rete Internet UNIVERSITA DEGLI STUDI DI ANCONA FACOLTA DI INGEGNERIA Dipartimento di Elettronica e Automatica Internet della nuova generazione: protocolli e prestazioni Laureando: ANDREA CAPRIOTTI Relatore: Ing. E.GAMBI

Dettagli

Protocollo ICMP, comandi ping e traceroute

Protocollo ICMP, comandi ping e traceroute Protocollo ICMP, comandi ping e traceroute Internet Control Message Protocol Internet Control Message Protocol (ICMP): usato dagli host, router e gateway per comunicare informazioni riguardanti il livello

Dettagli

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) PARTE 1 richiami SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) Parte 1 Modulo 1: Stack TCP/IP TCP/IP Protocol Stack (standard de facto) Basato su 5 livelli invece che sui 7 dello stack ISO/OSI Application

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Prova in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00

Prova in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00 Prova in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome:

Dettagli

IL LIVELLO TRASPORTO Protocolli TCP e UDP

IL LIVELLO TRASPORTO Protocolli TCP e UDP Reti di Calcolatori ed Internet IL LIVELLO TRASPORTO Protocolli TCP e UDP 5-1 Il Livello Trasporto I servizi del livello Trasporto Le primitive di Trasporto Indirizzamento Protocolli di Trasporto Livello

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Convertitore di rete NETCON

Convertitore di rete NETCON MANUALE DI PROGRAMMAZIONE INTERFACCIA TCP/IP PER SISTEMI REVERBERI Convertitore di rete NETCON RMNE24I0 rev. 1 0708 I N D I C E 1. Scopo... 4 2. Descrizione... 4 3. Collegamenti elettrici del dispositivo...

Dettagli

Uso di sniffer ed intercettazione del traffico IP

Uso di sniffer ed intercettazione del traffico IP Uso di sniffer ed intercettazione del traffico IP Massimo Bernaschi Istituto per le Applicazioni del Calcolo Mauro Picone Consiglio Nazionale delle Ricerche Viale del Policlinico, 137-00161 Rome - Italy

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto

Dettagli

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password. INTRODUZIONE ALLA VPN (Rete virtuale privata - Virtual Private Network) Un modo sicuro di condividere il lavoro tra diverse aziende creando una rete virtuale privata Recensito da Paolo Latella paolo.latella@alice.it

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

Il protocollo IP (Internet Protocol)

Il protocollo IP (Internet Protocol) Politecnico di Milano Advanced Network Technologies Laboratory Il protocollo IP (Internet Protocol) -Servizi offerti da IP -Formato del pacchetto IP 1 Il servizio di comunicazione offerto da IP Connectionless

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11 1 Mattia Lezione IV: Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli