Sicurezza base in Linux. 26 febbraio 2007 Romano Trampus SIB SBA

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza base in Linux. 26 febbraio 2007 Romano Trampus SIB SBA"

Transcript

1 Sicurezza base in Linux 26 febbraio 2007 Romano Trampus SIB SBA

2 Premessa Distribuzione di riferimento: (K)Ubuntu. TUTTE le nozioni introdotte possono essere trasportate (probabilmente con nessuno o con minimi adeguamenti) alle altre distribuzioni. Molti dei concetti sono applicabili a S.O. Diversi da Linux (Unix like o meno). Le definizioni proposte non hanno pretesa di completezza e precisione.

3 Sommario Breve introduzione sulla sicurezza Evoluzione della sicurezza Sicurezza in linux Linux desktop Linux server

4 Sicurezza?

5 Definizioni La sicurezza è la conoscenza che l'evoluzione di un sistema non produrrà stati indesiderati. (definizioni non formali tratte da wikipedia.org)

6 Definizioni La sicurezza è la conoscenza che l'evoluzione di un sistema non produrrà stati indesiderati. Il rischio è la misura della mancanza di sicurezza ed è legato al possibile esito del verificarsi di un evento. Esso è funzione della probabilità dell'evento e della magnitudo del danno conseguente al verificarsi dell'evento. (definizioni non formali tratte da wikipedia.org)

7 Sicurezza In generale la sicurezza non è falsificabile (Popper). Possiamo provare con l'osservazione che si verifica un incidente, ma non possiamo osservare che non c'è stato. La sicurezza non è (non può) essere un obiettivo: la sicurezza è un metodo per raggiungere altri obiettivi.

8 Sicurezza In informatica la sicurezza è il processo per proteggere i dati e le risorse da accessi, uso, diffusione, modificazioni, distruzione non autorizzate. Information security is the process of protecting data (resources) from unauthorized access, use, disclosure, destruction, modification, or disruption. Computer security is a field of computer science concerned with the control of risks related to computer use.

9 rischio Rischio = probabilità x danno Il rischio non si elimina: si riduce Il rischio che non viene eliminato si chiama rischio residuo Il danno è quantificabile, la probabilità ha una componente soggettiva

10 Rischi Obiettivo: identificare i rischi e ridurne le eventuali perdite. Il processo di gestione del rischio si divide in fasi e attività secondo lo schema: IDENTIFICAZIONE VALUTAZIONE RISCHI ANALISI GESTIONE RISCHI ORDINAMENTO IN BASE ALLA PRIORITÀ PIANIFICAZIONE CONTROLLO RISCHI APPLICAZIONE DELLE AZIONI DI ATTENUAZIONE MONITORAGGIO Periodicamente si ripete il ciclo. Almeno una volta all'anno.

11 Attenuazione del rischio

12 Analisi Ridurre il danno Ridurre la probabilità Contenere i costi L'analisi comprende lo studio legislativo, normativo, ambientale, personale, professionale, delle attività, dei processi, etc.

13 Tipi di sicurezza Le misure prevedono due grandi famiglie: quelle relative alla prevenzione e quelle relative alla protezione. Le misure possono essere attive, passive, strutturali, impiantistiche, amministrative, disciplinari, etc. La gestione è la parte che deve mantenere in vita la sicurezza con studi, aggiornamenti, formazione, informazione, manutenzione, verifiche, esercitazioni, piani di sicurezza, adeguamenti, etc

14 Sicurezza attiva / passiva Sicurezza passiva Per sicurezza passiva normalmente si intendono le tecniche e gli strumenti di tipo difensivo, ossia quel complesso di soluzioni il cui obiettivo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata. Il concetto di sicurezza passiva pertanto è molto generale: ad esempio, per l'accesso a locali protetti, l'utilizzo di porte di accesso blindate, congiuntamente all'impiego di sistemi di identificazione personale, sono da considerarsi componenti di sicurezza passiva. Sicurezza attiva Per sicurezza attiva si intendono, invece, le tecniche e gli strumenti mediante i quali le informazioni ed i dati di natura riservata sono resi intrinsecamente sicuri, proteggendo gli stessi sia dalla possibilità che un utente non autorizzato possa accedervi (confidenzialità), sia dalla possibilità che un utente non autorizzato possa modificarli (integrità).

15 Legge sulla privacy Art. 31 Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

16 Legge sulla privacy Art. 34 Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

17 Legge sulla privacy e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

18 Roadmap Installazione Firewall Autenticazione su AD Servizi Antivirus Accesso ai file

19 Non parliamo di... Sicurezza fisica Ridondanza Backup Questi sono elementi che comunque DEVONO essere presi in considerazione PRIMA di installare un server.

20 Prima Presumiamo che PRIMA di installare un server siano stati definiti gli obiettivi e sia stato valutato il rapporto costi / benefici (inclusa manutenzione). Principio di necessità.

21 Installazione Ci sono due filosofie di installazione: Installare il minimo indispensabile per il funzionamento del sistema e aggiungere solo i pacchetti relativi ai servizi che verranno erogati. Installare un sistema completo e rimuovere successivamente i pacchetti non necessari Per i server si dovrebbe prediligere la prima opzione. Molte distribuzioni producono una versione specifica per i server.

22 Installazione Di norma i seguenti pacchetti / servizi dovrebbero essere disattivati: Tutti i servizi normalmente attivati in /etc/inetd.conf, in particolare: telnet, ftp, finger, discard, echo, daytime,... Meglio disattivare inetd/xinetd. Stampanti (cups) se non si devono gestire code di stampa. dns e mail server dhcp server

23 Rimuovere pacchetti non indispensabili Per avere la lista di tutti i pacchetti installati: dpkg --list Per identificare il pacchetto che ha prodotto il file chiamato foo si esegua uno dei comandi: dpkg --search nomefile Per installare un pacchetto apt-get install nome_pacchetto dselect

24 Porte in ascolto Per ottenere una lista dei servizi attivi in ascolto (TCP and UDP sockets) si può usare il comando: # netstat -tulp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:auth *:* LISTEN 2328/xinetd tcp 0 LISTEN 0 localhost.localdomain:smtp *:* 2360/sendmail: acce tcp 0 0 *:ssh *:* LISTEN 2317/sshd

25 Porte in ascolto Comando alternativo: # lsof -i -n egrep 'COMMAND LISTEN UDP' COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME sshd xinetd 2317 root 2328 root 3u IPv6 5u IPv TCP *:ssh (LISTEN) TCP *:auth (LISTEN) sendmail 2360 root 3u IPv TCP :smtp (LISTEN)

26 Firewall Tutte le distribuzioni di linux implementano un firewall (iptables). In generale un firewall sull'host deve essere considerato complementare a un firewall di rete. Iptables lavora su tre tabelle: filter, nat, mangle. Ciscuna ha al suo internet diverse catene: INPUT, OUTPUT, FORWARD,... Ciascuna catena ha una POLICY di default DENY/ACCEPT

27 iptables in breve Tabella filter, catene INPUT, OUTPUT, FORWARD Decisione sul routing FORWARD INPUT OUTPUT Processi locali

28 iptables in breve 1) Impostare la policy di default: iptables -P INPUT DROP... 2) Svuotare il contenuto delle catene: iptables -F INPUT... 3)Creare nuove catene: iptables -N nome catena 4)Impostare le regole: iptables -A INPUT -p tcp -dport 80 -d /32 -j ACCEPT

29 Iptables GUI Sono disponibili frontend grafici per le iptables. firestarter, a GNOME application oriented towards end-users that includes a wizard useful to quickly setup firewall rules. The application includes a GUI to be able to monitor when a firewall rule blocks traffic fwbuilder, an object oriented GUI which includes policy compilers for various firewall platforms including Linux' netfilter, BSD's pf (used in OpenBSD, NetBSD, FreeBSD and MacOS X) as well as router's accesslists. It is similar to enterprise firewall management software. Complete fwbuilder's functionality is also available from the command line. shorewall, a firewall configuration tool which provides support for IPsec as well as limited support for traffic shaping as well as the definition of the firewall rules. Configuration is done through a simple set of files that are used to generate the iptables rules guarddog, a KDE based firewall configuration package oriented both to novice and advanced users.

30 Iptables GUI knetfilter, a KDE GUI to manage firewall and NAT rules for iptables (alternative/competitor to the guarddog tool although slightly oriented towards advanced users) bastille, this hardening applicatio. One of the hardening steps that the administrator can configure is a definition of the allowed and disallowed network traffic that is used to generate a set of firewall rules that the system will execute on startup.

31 Autenticazione L'autenticazione consiste nell'identificazione di un utente tramite credenziali (in genere username / password). Successivamente al processo di autenticazione, le operazioni effettuate dall'utente sono tracciate in file di log.

32 Autenticare su AD Si può configurare linux per autenticare gli utenti su AD utilizzando Kerberos + LDAP. LDAP è utitlizzato per recuperare le informazioni sugli utenti. Kerberos è utilizzato per la fase di autenticazione 1) $ sudo apt-get install libnss-ldap

33 Autenticare su AD Indicare l'indirizzo del server AD:

34 Autenticare su AD Indicare il base dn per la ricerca degli utenti:

35 Autenticare su AD AD è compatibile con LDAP v.3

36 # /etc/libnss-ldap.conf Autenticare su AD # Your LDAP server. Must be resolvable without using LDAP. # Multiple hosts may be specified, each separated by a # space. How long nss_ldap takes to failover depends on # whether your LDAP client library supports configurable # network or connect timeouts (see bind_timelimit). host # The distinguished name of the search base. base dc=ds,dc=units,dc=it # The LDAP version to use (defaults to 3 # if supported by client library) ldap_version 3 # RFC 2307 (AD) mappings # <to> <from> nss_map_attribute userpassword sambapassword nss_map_attribute gecos name nss_map_attribute uid unixname nss_map_attribute shadowlastchange pwdlastset nss_map_objectclass posixgroup group pam_filter objectclass=user pam_password crypt # Disable SASL security layers. This is needed for AD. sasl_secprops maxssf=0

37 Autenticare su AD # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: group: shadow: files ldap files ldap files ldap

38 Autenticare su AD Verificare la configurazione:

39 Autenticare su AD Adesso che ci sono le informazioni sugli utenti su può configurare il processo di autenticazione. L'autenticazione si basa su Kerberos 5, quindi bisogna installare il modulo PAM kerberos 5 $ sudo apt-get-install heimdal-clients libpam-heimdal

40 Autenticare su AD In /etc/krb5.conf [libdefaults] default_realm = DS.UNITS.IT [realms] DS.UNITS.IT = { kdc = :88 } [domain_realm].ds.units.it = DS.UNITS.IT ds.units.it = DS.UNITS.IT......

41 Autenticare su AD # # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # # prompt user "Password for <principal>: " (warning: no l18n) auth sufficient pam_krb5.so minimum_uid=100 auth required pam_unix.so nullok_secure # use password from pam_unix prompt #auth sufficient pam_unix.so nullok_secure #auth sufficient pam_krb5.so minimum_uid=1000 use_first_pass

42 Autenticare su AD # # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). The default is pam_unix. # session required session optional session optional session required pam_unix.so pam_foreground.so pam_krb5.so pam_mkhomedir.so umask=0022 skel=/etc/skel

43 Autenticare su AD # # /etc/pam.d/common-account - authorization settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # account required pam_unix.so account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] pam_krb5.so

44 Autenticare su AD Affinché i ticket di Kerberos siano validi è necessario che Linux abbia l'orologio sincronizzato con AD: $ sudo apt-get install ntpdate $ sudo ntpdate ntp.units.it 25 Jan 16:22:06 ntpdate[8158]: step time server offset sec $ sudo apt-get install ntp-simple

45 Autenticare su AD Infine verifichiamo il funzionamento: $ kinit 5400 Password: $ klist Credentials cache: FILE:/tmp/krb5cc_1000 Principal: Issued Expires Principal Jan 25 16:23:06 Jul 26 02:23:58

46 Autenticare applicazioni web Per autenticare utenti di applicazioni web su AD non è necessario installare tutto il sistema di autenticazione ma è sufficiente fare il bind dell'utente su LDAP di AD.

47 Accesso interattivo al sistema Il sistema può essere utilizzato accedendo con due modalità: Accesso all'ambiente grafico. Accesso ad una console (linea di comando) Per i server è preferibile non installare l'ambiente grafico (a meno che non sia un terminal server).

48 Accesso SSH L'accesso alla console dovrebbe avvenire esclusivamente tramite protocollo SSH2. Il file di configurazione è /etc/ssh/sshd_config Su alcune distribuzioni il server ssh è opzionale E' importante controllare all'installazione alcuni parametri

49 Rendere sicuro SSH ListenAddress Imposta il server per ascoltare solo su una determinata interfaccia (nel caso che il sistema ne abbia più di una. PermitRootLogin no Blocca l'accesso dell'utente root. Se l'utente deve diventare root deve utilizzare su o sudo. In questo modo la password di root non può essere ottenuta con un bute-force. Port 666 o ListenAddress :666 Cambia la porta di ascolto. PermitEmptyPasswords no Non permette l'accesso ad utenti senza password.

50 Rendere sicuro SSH AllowUsers alex ref Permette l'accesso solo ad alcuni utenti. E' possibile limitare l'accesso solo da alcuni host. AllowGroups wheel admin Permette l'accesso solo agli utenti di determinati gruppi. AllowGroups e AllowUsers hanno direttive equivalenti per proibire l'accesso ad utenti o gruppi di utenti: DenyUsers user DenyGroups user

51 Rendere sicuro SSH PasswordAuthentication yes Permette l'accesso con autenticazione basata su password. L'alternativa è l'accesso basato su credenziali che devono essere salvate in ~/.ssh/authorized_keys E' opportuno disabilitare le forme di autenticazione che non servono, per esempio: RhostsRSAAuthentication HostbasedAuthentication KerberosAuthentication RhostsAuthentication

52 Rendere sicuro SSH Protocol 2 Disabilita il protocollo versione 1, che possiede problemi di sicurezza per come è disegnato. Banner /etc/some_file Specifica un banner che verrà visualizzato dopo l'accesso. In alcuni paesi aspetti legali impongono che l'utente sia informato sulla possibilità che le sue azioni siano monitorate. E' possibile controllare l'accesso tramite ssh anche configurando PAM, utilizzando pam_listfile oppure pam_wheel. Ad esempio si possono autorizzare all'accesso solo gli utenti elencati in /etc/loginusers aggiungendo in /etc/pam.d/ssh: auth required pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers

53 Accesso ai file apt-get install acl Granting an additional user read access setfacl -m u:lisa:r file Revoking write access from all groups and all named users (using the effective rights mask) setfacl -m m::rx file Removing a named group entry from a file's ACL setfacl -x g:staff file

54 Filtrare i servizi Utilizzando il firewall Utilizzando xinetd service nntp { socket_type = stream protocol = tcp wait = no user = news group = news server = /usr/bin/env server_args = POSTING_OK=1 PATH=/usr/sbin/:/usr/bin:/sbin/:/bin +/usr/sbin/snntpd logger -p news.info bind = }

55 Limitare l'ambiente grafico Se non è necessario connettersi dall'esterno all'ambiente grafico: $ startx -- -nolisten tcp Se si usa Xfree 3.3.6: #!/bin/sh exec /usr/bin/x11/x -dpi 100 -nolisten tcp Se si usa XDM bisogna impostare in /etc/x11/xdm/xservers :0 local /usr/bin/x11/x vt7 -dpi 100 -nolisten tcp Se si usa Gdm bisogna impostare in /etc/gdm/gdm.conf DisallowTCP=true

56 Display manager If you only want to have a display manager installed for local usage (having a nice graphical login, that is), make sure the XDMCP (X Display Manager Control Protocol) stuff is disabled. In XDM you can do this with this line in /etc/x11/xdm/xdm-config: DisplayManager.requestPort: 0 For GDM there should be in your gdm.conf: [xdmcp] Enable=false Normally, all display managers are configured not to start XDMCP

57 Apache You can limit access to the Apache server if you only want to use it internally (for testing purposes, to access the doc-central archive, etc.) and do not want outsiders to access it. To do this use the Listen or BindAddress directives in /etc/apache/http.conf. Using Listen: Listen :80 Using BindAddress: BindAddress Then restart apache with /etc/init.d/apache restart and you will see that it is only listening on the loopback interface.

58 Proteggere la rete By entering /sbin/sysctl -A you can see what you can configure and what the options are, and it can be modified running /sbin/sysctl -w variable=value (see sysctl(8)). For example: net/ipv4/icmp_echo_ignore_broadcasts = 1 This is a Windows emulator because it acts like Windows on broadcast ping if this option is set to 1. That is, ICMP echo requests sent to the broadcast address will be ignored. Otherwise, it does nothing. If you want to prevent you system from answering ICMP echo requests, just enable this configuration option: net/ipv4/icmp_echo_ignore_all = 1 To log packets with impossible addresses (due to wrong routes) on your network use: /proc/sys/net/ipv4/conf/all/log_martians = 1 For more information on what things can be done with /proc/sys/net/ipv4/* read /usr/src/linux/documentation/filesystems/proc.txt. All the options are described thoroughly under /usr/src/linux/documentation/networking/ip-sysctl.txt [34].

59 Proteggere la rete This option is a double-edged sword. On the one hand it protects your system against syn packet flooding; on the other hand it violates defined standards (RFCs). (/etc/sysctl.conf) net/ipv4/tcp_syncookies = 1 If you want to change this option each time the kernel is working you need to change it in /etc/network/options by setting syncookies=yes. This will take effect when ever /etc/init.d/networking is run (which is typically done at boot time) while the following will have a one-time effect until the reboot: echo 1 > /proc/sys/net/ipv4/tcp_syncookies This option will only be available if the kernel is compiled with the CONFIG_SYNCOOKIES. All Debian kernels are compiled with this option builtin but you can verify it running: $ sysctl -A grep syncookies net/ipv4/tcp_syncookies = 1

60 Antivirus Anche su Linux si possono installare antivirus. Ad esempio Sophos antivirus. A differenza di alcuni anni fa, gli antivirus su linux fanno la scansione all'accesso dei file come su windows.

61 Tratto da: Andreasson(2001)

62 Sintassi Iptable [-t table] command action Se [-t table] non è specificata si applica la tabella filter I comandi possono essere: A chain aggiunge una regola in coda alla chain iptables A INPUT p icmp j DROP D chain cancella una regola dalla chain iptables D INPUT p icmp j DROP iptables D INPUT 1 R chain sostituisce una regola alla chain iptables R INPUT 1 s /16 j DROP I chain inserisce nel punto specificato una regola iptables I INPUT 1 s /24 j ACCEPT L chain visualizza la catena (-n per non risolvere i nomi) iptables t nat L n F chain cancella le regole da una catena iptables F INPUT Z chain azzera i contatori di una catena

63 Sintassi N chain_name crea una nuova catena iptables N tcp_packet_rule X chain_name cancella una catena iptbales X tcp_packet_rule P chain imposta le policy di default per una catena iptables P INPUT DROP E chain rinomina una catena iptables E tcp_packet_rule tcp_packets Le policy di default possono essere solo ACCEPT o DROP. REJECT è un modulo che deve essere caricato e quindi non può essere una policy per una catena. Possono essere cancellate solo le catene definite dall utente. Per cancellare una catena questa deve essere vuota. Quando si specifica come azione una catena definita dall utente questa deve essere prima creata.

64 Catene Una catena definita dall utente può essere indicata come azione (-j) per una regola INPUT regola regola regola regola regola regola tcp_packet_rule regola regola regola regola Il match con regole che delegano a un altra catena una serie di controlli non sono definitive.

65 Matches A ogni tipo di regola sono associate delle opzioni specifiche. Le opzioni possono essere implicite o esplicite. Se sono esplicite richiedono l indicazione del modulo che le supporta. Le opzioni implicite che vengono riconosciute sono quelle associate ai principali protocolli (tcp, udp, icmp)

66 Opzioni per p tcp --sport: indica la porta sorgente della connessione --dport: indica la porta di destinazione della connessione --tcp-flags gruppo flag: indica quale flag deve essere impostato tra un gruppo di flag indicato iptable A INPUT p tcp tcp-flags SYN,ACK,FIN SYN j DROP (rifiuta i tentativi di connessione) --syn: shortcut per tcp-flags SYN,ACK,FIN SYN --tcp-option #: confronta il campo option del pacchetto

67 Opzioni per p udp --sport: analogo alla stessa opzione per il tcp --dport: analogo alla stessa opazione per il tcp

68 Opzioni per p icmp --icmp-type #: confronta il tipo di pacchetto icmp iptables A p icmp icmp-type 8 j DROP Per sapere i tipi di pacchetti icmp si può dare il comando iptables protocol icmp -help

69 Negazioni Tutti i parametri delle regole (sia di quelle implicite che di quelle esplicite) possono essere negati con il! iptables A p tcp s! /24 j ACCEPT iptables A p tcp! syn j ACCEPT

70 Regole esplicite (moduli) Per usarli è necessario che siano anch essi compilati nel kernel o che siano disponibili per il caricamento dinamico Per verificare se sono disponibili uso il comando modprobe: modprobe ipt_log modprobe ipt_masquerade modprobe ipt_reject modprobe ip_conntrack_ftp modprobe ip_conntrack_irc

71 Regole esplicite: MAC match -mac-source: confronta il MAC del pacchetto che deve essere espresso nella forma xx:xx:xx:xx:xx:xx Si applica solo alle tabelle di PREROUTING, FORWARD e INPUT iptables A INPUT mac-source 00:0a:43:bf:ee:12 i eth0 j ACCEPT

72 Regole esplicite: limit --limit: specifica la quantità massima di pacchetti su cui operare la regole in n/t dove t può essere second, minute, hour, day iptables A INPUT p tcp - syn m limit - limit 5/minute j ACCEPT (accetta solo 5 connessioni al minuto) --limit-burst: specifica il numero massimo di connessioni accettate in una unità di tempo iptables A INPUT p tcp - syn m limit - limit-burst 5 j ACCEPT

73 Regole esplicite: multiport Le opzioni sport e dport implicite nei protocolli tcp e udp consentono di indicare, oltre all indicazione di una singola porta, anche intervalli iptables A INPUT p tcp -sport 20:25 j ACCEPT Se invece voglio specificare un elenco di porte devo usare il modulo multiport: iptables A INPUT p tcp m multiport - source-port 20,21,22,80,8080 j ACCEPT iptables A INPUT p tcp m multiport -destinationport 80,8080 j ACCEPT iptables A INPUT p udp m multiport - port 53 j ACCEPT Con l opzione -port il match viene fatto sia sulla porta sorgente che sulla porta destinazione E possibile specificare al massimo 15 porte come opzione

74 Regole esplicite: state Il modulo state tiene traccia dello stato delle connessioni. Queste possono assumere i valori NEW, ESTABLISHED, RELATED, INVALID. E importante notare che per definire NEW lo stato di una connessione il modulo NON si basa sui flag dei pacchetti (SYN) iptables A INPUT p tcp -syn m state - state NEW j ACCEPT iptables A INPUT p tcp m state - state ESTABLISHED j ACCEPT Con il modulo ip_conntrack_ftp è possibile accettare le connessioni relative alla connessione DATI

75 Strategie nello scrivere le regole Raggrupparle in catene semplici, da richiamare nelle catene di default Vantaggi: si evita di riscrivere le stesse regole in catene diverse si ottimizza il parsing delle catene da parte del kernel

76 NAT SNAT: quando viene modificato l indirizzo sorgente del primo pacchetto DNAT: quando viene modificato l indirizzo di destinazione del primo pacchetto Le catene vengono ispezionate solo per il primo pacchetto. Poi sono i moduli di connection tracking si occupano di applicare le modifiche ai pacchetti successivi. Il nat avviene nel PREROUTING (DNAT) e nel POSTROUTING (SNAT)

77 SNAT si può usare l opzione o interface esempi iptables nat A POSTROUTING s o eth0 j SNAT - to iptables nat A POSTROUTING s o eth0 j SNAT -to :1-1023

78 DNAT si può usare l opzione i interface esempi iptables t nat A PREROUTING p tcp - dport 80 i eth2 j DNAT -to :8080

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Iptables. Mauro Piccolo piccolo@di.unito.it

Iptables. Mauro Piccolo piccolo@di.unito.it Iptables Mauro Piccolo piccolo@di.unito.it Iptables Iptables e' utilizzato per compilare, mantenere ed ispezionare le tabelle di instradamento nel kernel di Linux La configurazione di iptables e' molto

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla

Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla 1. Which are three reasons a company may choose Linux over Windows as an operating system? (Choose three.)? a) It

Dettagli

CONFIGURATION MANUAL

CONFIGURATION MANUAL RELAY PROTOCOL CONFIGURATION TYPE CONFIGURATION MANUAL Copyright 2010 Data 18.06.2013 Rev. 1 Pag. 1 of 15 1. ENG General connection information for the IEC 61850 board 3 2. ENG Steps to retrieve and connect

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28 Viene proposto uno script, personalizzabile, utilizzabile in un firewall Linux con 3 interfacce: esterna, DMZ e interna. Contiene degli esempi per gestire VPN IpSec e PPTP sia fra il server stesso su gira

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Posta elettronica per gli studenti Email for the students

Posta elettronica per gli studenti Email for the students http://www.uninettunouniverstiy.net Posta elettronica per gli studenti Email for the students Ver. 1.0 Ultimo aggiornamento (last update): 10/09/2008 13.47 Informazioni sul Documento / Information on the

Dettagli

Corso avanzato di Reti e sicurezza informatica

Corso avanzato di Reti e sicurezza informatica Corso avanzato di Reti e sicurezza informatica http://www.glugto.org/ GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 1 DISCLAIMER L'insegnante e l'intera associazione GlugTo non si assumono

Dettagli

! S/Key! Descrizione esercitazione! Alcuni sistemi S/Key-aware. " Windows " Linux. ! Inizializzazione del sistema. " S = prepare(passphrase, seed)

! S/Key! Descrizione esercitazione! Alcuni sistemi S/Key-aware.  Windows  Linux. ! Inizializzazione del sistema.  S = prepare(passphrase, seed) Sommario Esercitazione 04 Angelo Di Iorio! S/Key! Descrizione esercitazione! Alcuni sistemi S/Key-aware " Windows " Linux!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$- ).+/&'(+%!0 ).+/&'(+%!0 *+$1,",2.!

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2

Dettagli

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio Sommario Esercitazione 04 Angelo Di Iorio One-time password S/Key Descrizione esercitazione Alcuni sistemi S/Key-aware Windows Linux ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA 2 Un po di background Un

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

Introduzione Kerberos. Orazio Battaglia

Introduzione Kerberos. Orazio Battaglia Orazio Battaglia Il protocollo Kerberos è stato sviluppato dal MIT (Massachusetts Institute of Tecnology) Iniziato a sviluppare negli anni 80 è stato rilasciato come Open Source nel 1987 ed è diventato

Dettagli

4-441-095-52 (1) Network Camera

4-441-095-52 (1) Network Camera 4-441-095-52 (1) Network Camera Guida SNC easy IP setup Versione software 1.0 Prima di utilizzare l apparecchio, leggere attentamente le istruzioni e conservarle come riferimento futuro. 2012 Sony Corporation

Dettagli

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Il sistema operativo multifunzionale creato da Fulvio Ricciardi www.zeroshell.net lan + dmz + internet ( Autore: massimo.giaimo@sibtonline.net

Dettagli

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email.

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email. Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005 LINUX LINUX CON RETI E TCP/IP http://happytux.altervista.org ~ anna.1704@email.it 1 LAN con router adsl http://happytux.altervista.org

Dettagli

Netfilter: utilizzo di iptables per

Netfilter: utilizzo di iptables per Netfilter: utilizzo di iptables per intercettare e manipolare i pacchetti di rete Giacomo Strangolino Sincrotrone Trieste http://www.giacomos.it delleceste@gmail.com Sicurezza delle reti informatiche Primi

Dettagli

Uso di una procedura di autenticazione unificata per client Linux e Microsoft Windows su server Microsoft Windows.

Uso di una procedura di autenticazione unificata per client Linux e Microsoft Windows su server Microsoft Windows. UNIVERSITA DEGLI STUDI G. D ANNUNZIO CHIETI-PESCARA FACOLTA ECONOMIA LAUREA DI I LIVELLO IN ECONOMIA INFORMATICA TESI DI LAUREA Uso di una procedura di autenticazione unificata per client Linux e Microsoft

Dettagli

SBSAfg.exe nella cartella Tools del DVD Opzioni avanzate: Migration Mode Unattend Mode Attended Mode con dati pre-caricati

SBSAfg.exe nella cartella Tools del DVD Opzioni avanzate: Migration Mode Unattend Mode Attended Mode con dati pre-caricati SBSAfg.exe nella cartella Tools del DVD Opzioni avanzate: Migration Mode Unattend Mode Attended Mode con dati pre-caricati Collegare il router e tutti i devices interni a Internet ISP connection device

Dettagli

Indice. Indice V. Introduzione... XI

Indice. Indice V. Introduzione... XI V Introduzione........................................................ XI PARTE I Installazione di Linux come Server.............................. 1 1 Riepilogo tecnico delle distribuzioni Linux e di Windows

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Protocolli di Sessione TCP/IP: una panoramica

Protocolli di Sessione TCP/IP: una panoramica Protocolli di Sessione TCP/IP: una panoramica Carlo Perassi carlo@linux.it Un breve documento, utile per la presentazione dei principali protocolli di livello Sessione dello stack TCP/IP e dei principali

Dettagli

Introduzione all uso del Software Cisco Packet Tracer

Introduzione all uso del Software Cisco Packet Tracer - Laboratorio di Servizi di Telecomunicazione Introduzione all uso del Software Cisco Packet Tracer Packet Tracer? Che cosa è Packet Tracer? Cisco Packet Tracer è un software didattico per l emulazione

Dettagli

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100)

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100) Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100) Pagina 1 di 10 Per abilitare la modalità di autenticazione degli utenti occorre, prima di

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

Processi di stampa in attesa protetti. Guida per l'amministratore

Processi di stampa in attesa protetti. Guida per l'amministratore Processi di stampa in attesa protetti Guida per l'amministratore Settembre 2013 www.lexmark.com Sommario 2 Sommario Panoramica...3 Configurazione processi di stampa in attesa protetti...4 Configurazione

Dettagli

SHAREPOINT INCOMING E-MAIL. Configurazione base

SHAREPOINT INCOMING E-MAIL. Configurazione base SHAREPOINT INCOMING E-MAIL Configurazione base Versione 1.0 14/11/2011 Green Team Società Cooperativa Via della Liberazione 6/c 40128 Bologna tel 051 199 351 50 fax 051 05 440 38 Documento redatto da:

Dettagli

NAL DI STAGING. Versione 1.0

NAL DI STAGING. Versione 1.0 NAL DI STAGING Versione 1.0 14/10/2008 Indice dei Contenuti 1. Introduzione... 3 2. Installazione NAL di staging... 3 VMWare Server... 3 Preistallazione su server linux... 6 Preinstallazione su server

Dettagli

Archiviare messaggi da Microsoft Office 365

Archiviare messaggi da Microsoft Office 365 Archiviare messaggi da Microsoft Office 365 Nota: Questo tutorial si riferisce specificamente all'archiviazione da Microsoft Office 365. Si dà come presupposto che il lettore abbia già installato MailStore

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Win/Mac/NFS. Microsoft Networking. http://docs.qnap.com/nas/4.0/it/win_mac_nfs.htm. Manuale dell utente del software QNAP Turbo NAS

Win/Mac/NFS. Microsoft Networking. http://docs.qnap.com/nas/4.0/it/win_mac_nfs.htm. Manuale dell utente del software QNAP Turbo NAS Page 1 of 8 Manuale dell utente del software QNAP Turbo NAS Win/Mac/NFS Microsoft Networking Per consentire l accesso al NAS sulla rete di Microsoft Windows, abilitare il servizio file per Microsoft Networking.

Dettagli

Gestione centralizzata delle utenze tramite LDAP. Giuseppe Lo Biondo INFN-MI lobiondo@mi.infn.it Firenze, 19 Settembre 2000

Gestione centralizzata delle utenze tramite LDAP. Giuseppe Lo Biondo INFN-MI lobiondo@mi.infn.it Firenze, 19 Settembre 2000 Gestione centralizzata delle utenze tramite LDAP Giuseppe Lo Biondo INFN-MI lobiondo@mi.infn.it Firenze, 19 Settembre 2000 Perché centralizzare le utenze? Avere a che fare con una utenza numerosa e con

Dettagli

Software di gestione della stampante

Software di gestione della stampante Questo argomento include le seguenti sezioni: "Uso del software CentreWare" a pagina 3-11 "Uso delle funzioni di gestione della stampante" a pagina 3-13 Uso del software CentreWare CentreWare Internet

Dettagli

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007 Modulo 8: Applicativi Parte 3: Terminale remoto 1 Sommario Premessa Telnet SSH XWindows VNC RDP Reti di Calcolatori 2 1 Premessa Necessita : controllare a distanza un dispositivo attraverso la connessione

Dettagli

Lezione n.9 LPR- Informatica Applicata

Lezione n.9 LPR- Informatica Applicata Lezione n.9 LPR- Informatica Applicata LINUX Gestione della Rete 3/4/2006 Laura Ricci Laura Ricci 1 INDIRIZZI RISERVATI Alcuni indirizzi all interno di una rete sono riservati: indirizzo di rete e broadcast.

Dettagli

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Luigi Mori Network Security Manager lm@symbolic.it Secure Application Access. Anywhere. 1 VPN SSL Tecnologia di accesso remoto sicuro alla

Dettagli

TCP e UDP, firewall e NAT

TCP e UDP, firewall e NAT Università di Verona, Facoltà di Scienze MM.FF.NN. Insegnamento di Reti di Calcolatori TCP e UDP, firewall e NAT Davide Quaglia Scopo di questa esercitazione è: 1) utilizzare Wireshark per studiare il

Dettagli

Sistema Operativo di un Router (IOS Software)

Sistema Operativo di un Router (IOS Software) - Laboratorio di Servizi di Telecomunicazione Sistema Operativo di un Router (IOS Software) Slide tratte da Cisco Press CCNA Instructor s Manual ed elaborate dall Ing. Francesco Immè IOS Un router o uno

Dettagli

Fileserver con SAMBA e Windows

Fileserver con SAMBA e Windows Fileserver con SAMBA e Windows Integrazione con Microsoft Active Directory Emiliano Vavassori BGlug Bergamo Linux User Group Circoscrizione n 2, Largo Röntgen n 3 24128 Bergamo 23 ottobre 2010 LinuxDay

Dettagli

Installazione di NoCat

Installazione di NoCat Servizio Calcolo e Reti Pavia, 15 Agosto 2006 Installazione di NoCat Andrea Rappoldi 1 Introduzione 2 Migliorie apportate Quando un client stabilsce per la prima volta la connessione http o https con il

Dettagli

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Marco Papa (marco@netstudent.polito.it) NetStudent Politecnico di Torino 04 Giugno 2009 Marco (NetStudent) Firewalling in GNU/Linux

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma Corso amministratore di sistema Linux Programma 1 OBIETTIVI E MODALITA DI FRUIZIONE E VALUTAZIONE 1.1 Obiettivo e modalità di fruizione L obiettivo del corso è di fornire le conoscenze tecniche e metodologiche

Dettagli

Firewall: concetti di base

Firewall: concetti di base : concetti di base Alberto Ferrante OSLab & ALaRI, Facoltà d informatica, USI ferrante@alari.ch 4 giugno 2009 A. Ferrante : concetti di base 1 / 21 Sommario A. Ferrante : concetti di base 2 / 21 A. Ferrante

Dettagli

Elementi di Configurazione di un Router

Elementi di Configurazione di un Router Antonio Cianfrani Elementi di Configurazione di un Router Router IP: generalità Il router ha le stesse componenti base di un PC (CPU, memoria, system bus e interfacce input/output) Come tutti i computer

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità ping traceroute netstat Test del DNS nslookup

Dettagli

Roma2LUG. aka l aula del Pinguino. Laboratorio: Configurazione e Gestione della Rete Locale

Roma2LUG. aka l aula del Pinguino. Laboratorio: Configurazione e Gestione della Rete Locale Roma2LUG aka l aula del Pinguino in Laboratorio: Configurazione e Gestione della Rete Locale Aprile 2014 Microsoft Corporation, una Software House statunitense, annuncia il termine del supporto per il

Dettagli

Setup dell ambiente virtuale

Setup dell ambiente virtuale Setup dell ambiente virtuale 1.1 L immagine per le macchine virtuali Il file mininet-vm-x86 64.qcow è l immagine di una memoria di massa su cui è installato un sistema Linux 3.13 Ubuntu 14.04.1 LTS SMP

Dettagli

Kerberos - autenticazione centralizzata

Kerberos - autenticazione centralizzata - autenticazione centralizzata Iniziamo con Kerberos... Kerberos Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica

Dettagli

Archiviare messaggi di posta elettronica senza avere un proprio mail server

Archiviare messaggi di posta elettronica senza avere un proprio mail server Archiviare messaggi di posta elettronica senza avere un proprio mail server Nota: Questo tutorial si riferisce specificamente all'archiviazione in ambiente privo di un proprio mail server. Si dà come presupposto

Dettagli

Autenticazione utente con Smart Card nel sistema Linux

Autenticazione utente con Smart Card nel sistema Linux Autenticazione utente con Smart Card nel sistema Linux Autenticazione con Speranza Diego Frasca Marco Autenticazione Linux Basata su login-password - ogni utente ha una sua login ed una sua password che

Dettagli

Plugin Single Sign-On

Plugin Single Sign-On NEXT-GEN USG Plugin Single Sign-On Configurazione Agent SSO su AD Verificare di avere l ultima release del client SSO installato su Windows Server. AL momento di redigere la guida la più recente è la 1.0.3

Dettagli

Applicativo di Gnome per la configurazione automatica della rete

Applicativo di Gnome per la configurazione automatica della rete Linux e la rete Configurazione delle connessioni di rete Il modo più semplice per farlo è usare il tool grafico di gnome Il presente documento costituisce solo una bozza di appunti riguardanti gli argomenti

Dettagli

Samba: guida rapida - Guide@Debianizzati.Org

Samba: guida rapida - Guide@Debianizzati.Org 1 of 7 26/01/2013 02:09 Samba: guida rapida Da Guide@izzati.Org. Samba Condivisione risorse Guida Rapida Guida Estesa Controller di dominio Sarge Etch Lenny Squeeze Wheezy Ubuntu Lucid Altro Scansione

Dettagli

Reti di Telecomunicazione Lezione 7

Reti di Telecomunicazione Lezione 7 Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione

Dettagli

DICHIARAZIONE DI RESPONSABILITÀ

DICHIARAZIONE DI RESPONSABILITÀ - 0MNSWK0082LUA - - ITALIANO - DICHIARAZIONE DI RESPONSABILITÀ Il produttore non accetta responsabilità per la perdita di dati, produttività, dispositivi o qualunque altro danno o costo associato (diretto

Dettagli

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)... Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...1 1 INDICE...ERROR! BOOKMARK NOT DEFINED. 2 INTRODUZIONE...2 3 COSA VI SERVE

Dettagli

Transparent Firewall

Transparent Firewall Transparent Firewall Dallavalle A. Dallavalle F. Sozzi 18 Febbraio 2006 In un sistema operativo Linux con un kernel aggiornato alla versione 2.6.x è possibile realizzare un transparent firewall utilizzando

Dettagli

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica Dipartimento di Informatica - Università di Verona Laboratorio di Networking Operating Systems Lezione 2 Principali strumenti di diagnostica Master in progettazione e gestione di sistemi di rete edizione

Dettagli

Posta Elettronica Certificata elettronica per il servizio PEC di TI Trust Documento ad uso pubblico Pag. 1 di 33 Indice degli argomenti 1 Scopo del documento... 3 2 Primo accesso e cambio password... 4

Dettagli

www.aylook.com -Fig.1-

www.aylook.com -Fig.1- 1. RAGGIUNGIBILITA DI AYLOOK DA REMOTO La raggiungibilità da remoto di Aylook è gestibile in modo efficace attraverso una normale connessione ADSL. Si presentano, però, almeno due casi: 1.1 Aylook che

Dettagli

Single Sign-On su USG

Single Sign-On su USG NEXT-GEN USG Single Sign-On su USG Windows Server 2008 e superiori Client SSO ZyXEL, scaricabile da ftp://ftp.zyxel.com/sso_agent/software/sso%20agent_1.0.3.zip già installato sul server Struttura Active

Dettagli

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on Antonio Mattioli Seminario G@SL 5/12/2006 Windows Single Sign-on Cos è il Single Sing-on? Il Single sign-on è una speciale forma di autenticazione che permette ad un utente di autenticarsi una volta sola

Dettagli

User Guide Guglielmo SmartClient

User Guide Guglielmo SmartClient User Guide Guglielmo SmartClient User Guide - Guglielmo SmartClient Version: 1.0 Guglielmo All rights reserved. All trademarks and logos referenced herein belong to their respective companies. -2- 1. Introduction

Dettagli

Creare connessioni cifrate con stunnel

Creare connessioni cifrate con stunnel ICT Security n. 24, Giugno 2004 p. 1 di 5 Creare connessioni cifrate con stunnel Capita, e purtroppo anche frequentemente, di dover offrire servizi molto insicuri, utilizzando ad esempio protocolli che

Dettagli

Petra VPN 3.1. Guida Utente

Petra VPN 3.1. Guida Utente Petra VPN 3.1 Guida Utente Petra VPN 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti

Dettagli

Ethereal A cura di Donato Emma demma@napoli.consorzio-cini.it

Ethereal A cura di Donato Emma demma@napoli.consorzio-cini.it Corso di Laurea in Ingegneria delle Telecomunicazioni Corso di Reti di Calcolatori Docente: Simon Pietro Romano spromano@unina.it Ethereal A cura di Donato Emma demma@napoli.consorzio-cini.it Protocol

Dettagli

DEPLOY DI ZEROSHELL IN AMBIENTE VIRTUALE. Lorenzo Comi

DEPLOY DI ZEROSHELL IN AMBIENTE VIRTUALE. Lorenzo Comi DEPLOY DI ZEROSHELL IN AMBIENTE VIRTUALE Lorenzo Comi Introduzione: software ed hardware 2 Software per la virtualizzazione: VMware Fusion. 3 macchine virtuali Zeroshell 3.0.0 con profilo attivo. Macchina

Dettagli

BACKUP APPLIANCE. User guide Rev 1.0

BACKUP APPLIANCE. User guide Rev 1.0 BACKUP APPLIANCE User guide Rev 1.0 1.1 Connessione dell apparato... 2 1.2 Primo accesso all appliance... 2 1.3 Configurazione parametri di rete... 4 1.4 Configurazione Server di posta in uscita... 5 1.5

Dettagli

Add workstations to domain. Adjust memory quotas for a process. Bypass traverse checking. Change the system time. Create a token object

Add workstations to domain. Adjust memory quotas for a process. Bypass traverse checking. Change the system time. Create a token object SeTcb Act as part of the operating system Consente ad un processo di assumere l identità di un qualsiasi utente ottenere così l accesso alle risorse per cui è autorizzato tale utente SeMachineAccount SeIncreaseQuota

Dettagli

Università di Roma La Sapienza Facoltà di Ingegneria. Lezione 5. Passi base per le esperienze ed esercizi contenuti in questa lezione

Università di Roma La Sapienza Facoltà di Ingegneria. Lezione 5. Passi base per le esperienze ed esercizi contenuti in questa lezione UniversitàdiRomaLaSapienza FacoltàdiIngegneria Corso di ProgettazionediRetieSistemiInformatici,a.a.2010/2011 Dott.EmilianoCasalicchio Lezione5 5Maggio2011 *** Passibaseperleesperienzeedesercizicontenutiinquestalezione

Dettagli

SAMBA COS È? Samba è un software che fornisce servizi di condivisione utilizzando il protocollo SMB (Server Message Block). A differenza di altri programmi, Samba è gratuito e Open Source, e permette l

Dettagli

Configurazione dell Accesso Internet AREA INFORMATICA E TELEMATICA

Configurazione dell Accesso Internet AREA INFORMATICA E TELEMATICA Configurazione dell Accesso Internet AREA INFORMATICA E TELEMATICA INDICE: Premessa... 3 1. Configurazione Connessione per gli Utenti Windows XP... 4 1. Wizard di Sistema.... 4 2. File di Installazione

Dettagli

Corso Amministratore di Sistema Linux Programma

Corso Amministratore di Sistema Linux Programma Corso Amministratore di Rev. 1.0 Rev. Stato: 1.0 Approvato Stato: Approvato Amministratore Nuovo Portale di Sistema De Sanctis Amministratore di CONTROLLO DOCUMENTO TITOLO: Corso Amministratore di VERSIONE:

Dettagli

Sophos Endpoint Security and Control Guida di avvio per computer autonomi

Sophos Endpoint Security and Control Guida di avvio per computer autonomi Sophos Endpoint Security and Control Guida di avvio per computer autonomi Sophos Endpoint Security and Control versione 9 Sophos Anti-Virus per Mac OS X, versione 7 Data documento: ottobre 2009 Sommario

Dettagli

System & Network Integrator. Rap 3 : suite di Identity & Access Management

System & Network Integrator. Rap 3 : suite di Identity & Access Management System & Network Integrator Rap 3 : suite di Identity & Access Management Agenda Contesto Legislativo per i progetti IAM Impatto di una soluzione IAM in azienda La soluzione di SysNet: Rap 3 I moduli l

Dettagli

Introduzione ai servizi di Linux

Introduzione ai servizi di Linux Introduzione ai servizi di Linux Premessa Adios è un interessante sistema operativo Linux basato sulla distribuzione Fedora Core 6 (ex Red Hat) distribuito come Live CD (con la possibilità di essere anche

Dettagli

Hardening di un sistema GNU/Linux

Hardening di un sistema GNU/Linux Hardening di un sistema GNU/Linux Gianluca P pex Minnella - Linux_Var - gianm@despammed.com Hardening GNU/Linux Systems Hardening: è un aspetto della sicurezza informatica GNU/Linux OS - client e server

Dettagli

INTERNET e RETI di CALCOLATORI A.A. 2014/2015 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

INTERNET e RETI di CALCOLATORI A.A. 2014/2015 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam. Laurea in INFORMATICA INTERNET e RETI di CALCOLATORI A.A. 2014/2015 Capitolo 4 Dynamic Host Configuration Protocol fausto.marcantoni@unicam.it Prima di iniziare... Gli indirizzi IP privati possono essere

Dettagli

Introduzione Il sistema operativo Linux è oggi una delle principali distribuzioni di Unix, in grado di portare in ogni PC tutta la potenza e la flessibilità di una workstation Unix e un set completo di

Dettagli

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti esercizi su sicurezza delle reti 20062008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti 1 supponi i fw siano linux con iptables dai una matrice di accesso che esprima la policy qui descritta

Dettagli

Manuale utente del servizio di Posta Elettronica Certificata

Manuale utente del servizio di Posta Elettronica Certificata 27 Ottobre 26 Manuale utente del servizio di Posta Elettronica Certificata Pagina 1 di 5 27 Ottobre 26 TABELLA DELLE VERSIONI Versione Data Paragrafo Descrizione delle modifiche apportate 1A 7-8-22 Tutti

Dettagli

http://bcloud.brennercom.it/it/brennercom-b-cloud/applicazioni/26-0.html

http://bcloud.brennercom.it/it/brennercom-b-cloud/applicazioni/26-0.html b.backup Manuale Windows Questo manuale descrive le funzionalità di base del client b.backup illustra le operazioni necessarie per installare e attivare l applicazione, e spiega come eseguire un backup

Dettagli

Informazioni Generali (1/2)

Informazioni Generali (1/2) Prima Esercitazione Informazioni Generali (1/2) Ricevimento su appuntamento (tramite e-mail). E-mail d.deguglielmo@iet.unipi.it specificare come oggetto Reti Informatiche 2 Informazioni Generali (2/2)

Dettagli

Oracle Solaris Studio 12.4: Guida per la sicurezza

Oracle Solaris Studio 12.4: Guida per la sicurezza Oracle Solaris Studio 12.4: Guida per la sicurezza N. di parte: E60509 Ottobre 2014 Copyright 2013, 2014, Oracle e/o relative consociate. Tutti i diritti riservati. Il software e la relativa documentazione

Dettagli

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione XIX: Virtual Private Network a.a. 2015/16 1 cba 2011 15 M.. Creative Commons

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

Introduzione ad Active Directory. Orazio Battaglia

Introduzione ad Active Directory. Orazio Battaglia Introduzione ad Active Directory Orazio Battaglia Introduzione al DNS Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Dettagli

Ordine delle regole (1)

Ordine delle regole (1) Ordine delle regole (1) Se scrivo: iptables -A INPUT -p icmp -j DROP e poi ping localhost Pensa prima di Cosa succede? provare E se aggiungo: iptables -A INPUT -p icmp -j ACCEPT E ancora: iptables -I INPUT

Dettagli

Indice. Introduzione PARTE PRIMA ELEMENTI DI BASE DI SUSE LINUX 1

Indice. Introduzione PARTE PRIMA ELEMENTI DI BASE DI SUSE LINUX 1 Indice Introduzione XIII PARTE PRIMA ELEMENTI DI BASE DI SUSE LINUX 1 Capitolo 1 Installazione di SUSE 10 3 1.1 Scelta del metodo di installazione 3 1.2 Avvio dell installazione 5 1.3 Controllo del supporto

Dettagli