FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway"

Muzio Valentino Di Giacomo
8 anni fa
Visualizzazioni

1 FIREWALL Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione Sessione Application Gateway Packet Filtering UDP IP TCP RTP ICMP Trasporto Rete Collegamento Fisico

Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI

2 Tipologie di Firewall Screening router Dual-homed system Packet Filtering Bastion Host Switch di di livello 3-43 Proxy firewall Application gateway Dual-homed system Bastion Host Alcune definizioni Screening router: un router configurato per svolgere funzionalità tipiche di un packet filtering Dual Homed System: un sistema (host, workstation, server) con due interfacce di rete Bastion Host: tipo particolare di host, workstation, server punto forte e critico per la sicurezza del sistema (in esso è concentrata la maggior parte della politica di sicurezza del sistema)

packet filtering Dual Homed System: un sistema (host, workstation, server) con due interfacce di rete Bastion Host: tipo particolare di host,

3 Alcune definizioni Switch di livello 3-4: dispositivo di rete che implementa funzionalità di livello fisico (rigenerazione del segnale tipico del media utilizzato), di livello data link (controlo di livello 2), di livello 3 (instradamento o filtraggio di datagrammi IP), di livello 4 (filtraggio di traffico in base al tipo di servizio Internet a cui si riferisce) Proxy Firewall: un sistema di tipo server proxy con funzionalità di filtraggio tipiche di un firewall Proxy Server: Funzionamento External server 3 Internet 2 Proxy Proxy server Application protocol analysis Proxy client Application layer proxy service 4 1 Intranet Log delle connessioni Client

servizio Internet a cui si riferisce) Proxy Firewall: un sistema di tipo server proxy con funzionalità di filtraggio tipiche di un firewall Proxy Server:

4 Filtering dei Pacchetti I I pacchetti possono essere filtrati in in base a: a: Informazioni specificate nell intestazione del datagramma IP Informazioni specificate nell area dati del datagramma IP Modalità di filtraggio Stateless :senza controllo di stato Stateful: con controllo di stato

Informazioni specificate nell area dati del datagramma IP Modalità di

5 Caratteristiche usate dal Filtro UDP/TCP Porta sorgente Porta destinazione Flag: SYN, ACK, ecc. ecc. IP IP Indirizzo IP IP sorgente Indirizzo IP IP di di destinazione Opzioni IP IP Tipo di di protocollo trasportato Frammentazione ICMP Codice ICMP (tipo di di messaggio ICMP) Parametri per il Filtro Direzione del traffico a cui applicare il filtraggio (in/out/entrambe) Azione da intraprendere (filtraggio/inoltro) Riferimento temporale in cui applicare il filtro Indirizzo IP sorgente Indirizzo IP destinazione Tipo di protocollo (ICMP/TCP/UD P) Opzioni IP/ICMP Range di porte TCP/UDP sorgente Range di porte TCP/UDP di destinazione Opzioni TCP/UDP

messaggio ICMP) Parametri per il Filtro Direzione del traffico a cui applicare il filtraggio (in/out/entrambe) Azione da intraprendere (filtraggio/inoltro)

6 Esempio di un packet filter # iptables A INPUT p TCP j ACCEPT -dport 80 m state state NEW [append] [pacchetti entranti] [Protocollo] (TCP) [azione] (Accettazione) [tipo richiesta] (http) Packet Filtering - Funzionamento Arrivo del datagramma IP IP Analisi dell intestazione/area dati Applicazione delle regole Tabella di di condizioni e azioni Ordine sequenziale per per l applicazione delle delle regole Azione: routing, eliminazione, registrazione in in un un log

del datagramma IP IP Analisi dell intestazione/area dati Applicazione delle regole Tabella di di condizioni e azioni

7 Una possibile implementazione di un Packet Filtering: router con ACL Le Access Control List costituiscono le regole per il filtro Può effettuare controlli a livello di rete e trasporto Access Control List Una Access Control List permette di abilitare/negare il flusso dei pacchetti, in funzione degli host/servizi interessati Per abilitare, ad esempio, la mail, una ACL potrebbe avere il seguente formato: Type Src_IP Dst_IP Src_Port Dst_Port Action tcp * * * 25 permit * * * * * deny Tutto quello che non è esplicitamente previsto è negato

pacchetti, in funzione degli host/servizi interessati Per abilitare, ad esempio, la mail, una ACL potrebbe avere il seguente formato: Type

8 Alcune configurazioni SCREENING ROUTER

9 SCREENED HOST FIREWALL SCREENING ROUTER CON DUAL-HOMED BASTION HOST

10 DMZ BELT AND SUSPENDERS

11 FINE Anno Accademico 2005/06

Documenti analoghi

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)