POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR. Maurizio Aiello, Gianni Mezza e Silvio Scipioni

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR. Maurizio Aiello, Gianni Mezza e Silvio Scipioni"

Transcript

1 CONSIGLIO NAZIONALE DELLE RICERCHE COLLANA DI PUBBLICAZIONI DEL COMITATO DI GESTIONE DELLA RETE TELEMATICA NAZIONALE POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR (BASE SECURITY) a cura di Maurizio Aiello, Gianni Mezza e Silvio Scipioni 21 NOVEMBRE 2003 CDGNET TECHNICAL REPORT VERSIONE DEFINITIVA

2 INDICE INTRODUZIONE...1 FILTERING COS È E COME SI CONFIGURA...4 Informazioni generali sul filtering...4 Politiche di default...4 Applicazione delle regole di filtering ai router...5 NETWORK SECURITY: LIVELLO BASE...7 Configurazione del router per evitare DoS verso se stesso...7 Smurfing...7 Filtraggi sul router...8 Regole anti-spoofing...9 Regola per connessioni stabilite, sia in ingresso che in uscita...10 Land attack!...11 Condivisioni e debolezze di windows...11 Posta elettronica...12 Servizi da chiudere esplicitamente...13 Servizi non indispensabili...13 Conclusioni e suggerimenti di filtering...14 Politiche di filtering dei router delle sedi CNR ii

3 POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR (BASE SECURITY) INTRODUZIONE A chi è rivolto: destinatari di questo documento sono tutti i gestori di router delle sedi CNR connesse alla rete GARR. Prerequisiti: per l utilizzo di questo documento è necessaria la conoscenza delle procedure di avvio/arresto dei router, nonché la capacità di effettuare operazioni di normale manutenzione sui router, come la configurazione e relative operazioni sugli stessi. Tutti gli esempi riportati in questo documento riguardano Router cisco, fermo restando che la generalità delle situazioni proposte consente di effettuare ugualmente i filtraggi in altri ambienti a patto di modificare la sintassi dei comandi, utilizzando quelli previsti dal proprio dispositivo. Altro prerequisito è la conoscenza dei servizi Internet, smtp, http, telnet, ftp, etc. Di cosa parla questo documento: come effettuare un filtering corretto sui router che ci collegano ad Internet scegliendo un opportuna politica di sicurezza ed implementandola. Di cosa non parla questo questo documento: che cos e un firewall, architetture firewall, che cosa sono i servizi Internet, come si filtrano i virus attraverso un gateway di posta, come si rilevano gli attacchi di rete. Organizzazione del documento: inizialmente sono spiegati i concetti base del filtering, di tipo basic (normale), dopodiché sono proposte alcune possibili configurazioni su tre livelli: base, media ed avanzata. In questo documento ci occupiamo solamente della sicurezza di livello basso. La difficoltà non è legata a un effettiva complessità tecnica della configurazione proposta, ma all impatto che potrebbe avere sull utenza. Tale concetto sarà spiegato meglio in seguito, comunque potremmo dire che i livelli prevedono le seguenti problematiche: Difficoltà Impatto sull utenza Livello di sicurezza Bassa Media Alta Limitato, nel migliore dei casi non ci si accorge neanche di essere filtrati Alcuni utenti hanno l esigenza di avere regole create ad hoc allo scopo di poter lavorare L utente riesce ad utilizzare solo quello che gli è consentito, ovvero i servizi specificati nella politica di sicurezza Il minimo indispensabile, non evita le intrusioni di un hacker motivato, ma limita i danni causati ad esempio da worm e simili Può essere un giusto compromesso tra un buon livello di sicurezza e un basso carico di lavoro nella gestione del firewall Alto. Politiche di filtering dei router delle sedi CNR 1

4 Principi base di sicurezza Il primo principio della sicurezza è il minimo privilegio, ovvero la garanzia che all utenza venga data la possibilità di fare tutto quello che serve per lavorare e nient altro. Facendo un esempio tratto dalla vita di tutti i giorni a un cassiere di banca viene data la chiave della sua cassa, non viene dato un passe-partout che apre ogni cassa: in questo modo egli può svolgere il suo compito e non ha alcuna responsabilità in caso di ammanchi di denaro in altre casse. Il minimo privilegio dovrebbe quindi essere percepito come una facilitazione dall utente, che viene scaricato di responsabilità. In ambito networking il minimo privilegio consiste nel lasciar passare attraverso il router, e quindi nel far giungere ai propri Pc solo ed esclusivamente quei pacchetti tcp/ip relativi a protocolli noti e che sono di utilizzo, trascurando gli altri. Molte volte questo evento viene percepito come una privazione, da parte del tecnico che gestisce la rete o addirittura del responsabile della rete (access point administrator del GARR). Facciamo un esempio: è buona norma se desideriamo effettuare trasferimenti di files adottare le seguenti precauzioni: Scegliere un ftp server robusto, affidabile e sicuro Installarlo su una macchina che non contenga altri servizi critici per l utenza Aggiornare sempre il software (patch del Sistema Operativo e dell applicativo) Separare in maniera logica e fisica questa macchina dal resto della rete Ovviamente costringere tutti ad usare questo servizio per il trasferimento files, ovvero filtrare il protocollo ftp in entrata della nostra rete verso le altre macchine In questo caso dobbiamo porre enfasi sul fatto che il grosso lavoro che è stato svolto è un valore aggiunto per l utente, dal momento che egli è esposto in misura minore ad attacchi di hacker, non si deve preoccupare di installare e configurare un servizio ftp da solo e ne guadagna la sicurezza della rete nel suo complesso. Bisogna stare attenti a non far sembrare questa configurazione come creata ad hoc per controllare il traffico e/o la tipologia dei files scaricati, per imporre vincoli assurdi perché di fatto la rete è nostra e quindi si fa quello che diciamo noi, per aggiungere complessità ad una operazione di per sé banale e che noi cerchiamo di rendere complicata. In questo senso il filtering è quindi più una questione politica che non tecnica in senso stretto. La prima operazione da effettuare è quindi concordare una politica di sicurezza che sia sostenibile, ovvero scegliere i servizi necessari per la nostra rete e stabilire le modalità della loro erogazione, nel modo più semplice possibile per l utenza ed evitando eccessi. Tali eccessi infatti possono condurre a una fastidiosa guerra tra il gestore dell infrastruttura e lo studente o il ricercatore smaliziato che cercano scappatoie alle regole di utilizzo della rete. Una volta che la security policy è stata grossomodo individuata è necessario dargli ampia visibilità presso i referenti tecnici della nostra utenza in modo che possano essere effettuate le dovute segnalazioni/correzioni da parte loro. Possiamo scoprire cosí che la nostra utenza utilizza servizi che noi in fase iniziale non abbiamo considerato. Si consiglia pertanto di rendere visibili le regole di filtering ai responsabili informatici della nostra rete (periodicamente via mail ad esempio, oppure su un sito web accessibile solo ed esclusivamente alle persone sopraindicate). Considerazioni generali sul filtering e definizione delle politiche di sicurezza: Per definire una politica di sicurezza è sufficiente rispondere alla domanda: Che tipo di protocolli/connessioni sono utili per il mio lavoro e in che modo devo consentire queste connessioni? Il concetto quello che serve però è tutt altro che univoco, e a volte può portare a incomprensioni. I protocolli p2p come gnutella o DirectConnect sono sicuramente pericolosi dal punto di vista del system administrator e quindi la domanda che ci poniamo e : Sono effettivamente utili o li possiamo disabilitare attraverso il firewall?. Maggiore è il livello di sicurezza che intendiamo implementare e maggiori saranno le richieste particolari degli utenti, come conseguenza della rigorosa applicazione del principio del minimo privilegio. La difficoltà consiste nel trovare la giusta via di mezzo, la politica che garantisce un livello di sicurezza adeguato e la giusta soddisfazione dell utenza (con buona pace del gestore che non viene subissato di richieste). In definitiva oltre alla domanda relativa a quali tipi di Politiche di filtering dei router delle sedi CNR 2

5 protocolli sono ritenuti sicuri o meno bisogna anche fare i conti con la domanda: Che tipo di protocolli/connessioni sono in grado di filtrare bilanciando le richieste degli utenti e l interesse in questo problema da parte del management (Direttore dell Istituto/dell Area etc.)? Nuovamente bisogna ricordare che il filtering è un azione non esclusivamente tecnica. Politiche di filtering dei router delle sedi CNR 3

6 FILTERING COS È E COME SI CONFIGURA Informazioni generali sul filtering Effettuare un operazione di filtering sui pacchetti entranti/uscenti nella/dalla nostra Lan significa controllare il pacchetto ed ispezionarlo al suo interno per vedere di che tipo sia, e se sia conforme alla nostra politica di sicurezza. Se il pacchetto è di tipo consentito allora esso viene fatto transitare da una interfaccia all altra del router, mediante il routing, altrimenti viene scartato (eventualmente effettuando anche il logging). Esistono altri metodi di filtering che utilizzano bridging firewall, firewall NIC embedded oppure firewall locali installati su macchine singole, ma in questa sede non li consideriamo. La granularità delle regole di filtering è a livello di protocollo, scegliendo ad esempio tra TCP, UDP, ICMP, e IP. Nell ambito di un certo protocollo, ad esempio TCP, abbiamo la possibilità di specificare una porta e quindi un servizio (es. porta 25 = smtp = posta elettronica), anche se questa corrispondenza non è sempre biunivoca (es. nel caso di ftp le porte coinvolte sono due, la 20 e la 21). Inoltre è possibile inserire in una regola di filtering anche l indirizzo ip di una macchina o di una classe di macchine, in modo da costruire regole di una certa complessità. Politiche di default Ogni qualvolta si sceglie una serie di regole di filtraggio è anche fondamentale determinare la politica di default, ovvero decidere cosa fare con i pacchetti che non rientrano in nessuna delle regole predefinite. Ci sono due possibili opzioni: Default permit: utilizzando questa politica il set di regole viene scelto in modo tale da vietare esplicitamente i protocolli o gli host considerati pericolosi; un eventuale pacchetto che non rientra in questa categoria viene considerato buono e quindi lasciato passare (non filtrato). Esempio: Vieta il passaggio di NFS, di telnet e di ftp provenienti dall esterno, e lascia passare tutto il resto. Conseguenze: viene consentito ad esempio gnutella, pop e imap e quant altro non esplicitamente vietato. Default deny: il set di regole viene scelto in modo tale da consentire solo i protocolli o gli host ip o una combinazione host/protocollo considerati leciti in modo tale che un pacchetto che non rientra nelle specifiche da noi selezionate viene automaticamente scartato. Esempio: Consenti il traffico smtp verso il server di posta elettronica, consenti il traffico ssh entrante verso ogni host e vieta ogni altra cosa. Conseguenze: viene proibito il traffico ftp, nfs, telnet, gnutella pop e imap e quant altro. Ovviamente il primo approccio presenta un grado di sicurezza minore, ma soprattutto nella fase iniziale di creazione del firewall consente di avere meno problemi nell interazione con l utenza; viceversa la politica di default deny è più sicura ma implementa un firewall che necessita di grande manutenzione nell aggiornamento delle regole con il variare delle necessità dell utenza. È bene ricordare a questo punto che se io voglio utilizzare una politica del tipo: Voglio che i miei utenti possano fare qualsiasi cosa quando utilizzano un pc dalla Lan interna, mentre non voglio che user esterni si connettano alle mie macchine non è possibile consentire tutti i pacchetti uscenti dalla mia lan e proibire tutti i pacchetti entranti, dal momento che la comunicazione è ovviamente bidirezionale e quindi non consentire pacchetti in ingresso equivale a non consentire alcun tipo di comunicazione. A tal proposito si osservi la seguente figura che rappresenta una connessione di tipo http da un client appartenente alla LAN x ad un server (www.redhat.com). Nella figura sono indicati l indirizzo sorgente e destinazione ip, nonché la porta sorgente/destinazione. Politiche di filtering dei router delle sedi CNR 4

7 Figura 1: connessione verso server http Applicazione delle regole di filtering ai router In tutti gli esempi che seguono ipotizziamo che ci sia una rete interna, detta Intranet e una rete esterna detta Internet. La realtà ovviamente può essere più complessa, ma i concetti espressi rimangono validi. Si ipotizza che il sistema di routing sia dotato di IOS Cisco. Va da sé che se si optasse per un altra piattaforma di routing sarebbe possibile riutilizzare gli esempi mostrati a patto di aggiornarne la sintassi. Caratteristica fondamentale dei sistemi di packet filtering è che il filtering si applica ad una determinata interfaccia e in una determinata direzione del traffico dati. Ad esempio avendo un router Cisco dotato di una seriale per il collegamento Wan e di 10 interfacce ethernet per collegare le varie Politiche di filtering dei router delle sedi CNR 5

8 Lan è possibile decidere a quale interfaccia si vuole applicare il set di regole: a una, all altra o a entrambe. In questo modo è possibile avere una granularità maggiore nella definizione delle aree protette dal firewall e nella creazione di livelli diversi di sicurezza (zona DMZ e zona interna). Normalmente per ogni interfaccia del router vengono scelti due insiemi di regole di filtering diversi, uno per i pacchetti entranti nell interfaccia (cioè che provengono dalla rete ed entrano nel router) e uno per quelli uscenti (che escono dal router e vanno verso la rete). È da notare che ad esempio un pacchetto http che proviene da un server esterno (come sia entrante nell interfaccia seriale del router e uscente dall interfaccia ethernet che collega i vari Pc di una certa Lan tra loro. È quindi fondamentale capire la direzione corretta dei pacchetti. La sintassi del filtering su router cisco viene data per nota, si ricordano solamente alcuni concetti principali: Le access-list avanzate sono identificate da un numero variabile da 100 a 199 Any significa ogni indirizzo, mentre host seguito da un indirizzo rappresenta la macchina identificata da quell indirizzo IP Nelle maschere che seguono un indirizzo ip il bit posto a 1 ha un significato di wildcard (esempio: vuol dire gli indirizzi internet ) La keyword log significa che ogni volta che la regola trova applicazione viene effettuato un log su un server syslog appositamente configurato La keyword permit o deny specifica se il pacchetto viene accettato dal router, oppure viene scartato. Normalmente il set delle regole di filtering viene applicato in maniera sequenziale, ovvero viene eseguita una serie di controlli sul pacchetto e non appena il pacchetto soddisfa una regola su questo viene eseguita l azione di permit o deny; infine si passa al pacchetto successivo. Per questo motivo è critico l ordine in cui vengono scritte le regole. Ad esempio: access-list 111 permit ip any any access-list 111 deny tcp any any eq 23 ha come effetto quello di far passare qualsiasi pacchetto (tcp, udp etc.) perché viene sempre applicata la prima regola, mentre la seconda (che ha come intento di non concedere l accesso in telnet alle macchine interne da parte di un esterno) non viene mai applicata. Per raggiungere lo scopo desiderato si deve utilizzare questo set: access-list 111 deny tcp any any eq 23 access-list 111 permit ip any any La seconda riga dell esempio rappresenta la politica di default (in questo caso default permit) e deve essere sempre aggiunta per chiarezza e per essere sicuri di ottenere l effetto voluto, in modo che ci sia sempre almeno una regola che soddisfi i pacchetti in transito. In caso non venga specificata allora viene applicato il default deny any any. Dal punto di vista pratico ci sono implicazioni molto importanti derivanti dal fatto che, ad esempio, é molto difficile aggiungere regole on the fly al router in quanto una eventuale regola verrebbe aggiunta in fondo al set e quindi verrebbe probabilmente ignorata in quanto sarebbe preceduta dalla politica di default, tipicamente un deny any any. Per questo motivo l approccio migliore per aggiungere regole di filtraggio consiste in: Eliminare il set attuale: sul router in modalità di configurazione da terminale (conf term) si dà il comando: no access-list 111. Si modifica il set di filtering su un pc dotato di tftp server, inserendo le nuove regole nel posto giusto; Politiche di filtering dei router delle sedi CNR 6

9 Si scarica la configurazione corretta sulla memoria volatile del router tramite copy tftp running-config Si controlla che effettivamente il filtraggio funzioni e quindi si salva in flash la configurazione mediante copy running-config startup-config Volendo si può aggiungere il comando no access-list 111 come prima riga del set di filtering, in modo che quando verrà scaricata tramite tftp la access-list, questa verrà prima distrutta e poi ricreata da zero. Questo ci consente di saltare il primo punto di questa checklist, passando direttamente al punto 2. Volendo si può anche inserire la keyword log in fondo a un filtro: in questo modo è possibile attivare il logging della regola (configurando un opportuno syslog via rete) e di conseguenza evidenziare quale regola determina l uscita dal flusso dei controlli. Lo scopo principale di questa azione è il debugging dei filtri o il controllo di eventuali attacchi a scopo intrusivo. È sempre buona norma inserire prima di ogni filtro un commento (realizzabile su Cisco mediante il carattere! all inizio della linea) che ricordi per quale scopo è stato inserito. Infatti a posteriori ci si può trovare con un insieme molto grosso di filtering e di difficile decodificazione senza gli opportuni commenti. NETWORK SECURITY: LIVELLO BASE In questa sezione ci occupiamo della definizione di access-list e di configurazioni particolari che hanno un basso impatto sull utenza: determinate acl (come le regole anti-spoofing) sono assolutamente trasparenti, altre hanno un effetto solo per particolari utenti che eseguono operazioni molto pericolose, come la condivisione di cartelle windows via internet, che quindi è meglio proibire (a meno di eccezioni molto rare). Configurazione del router per evitare DoS verso se stesso Di solito sono attivi alcuni servizi praticamente inutili (echo chargen, daytime, discard), tipici del mondo Unix e che un tempo servivano per attività di diagnostica come alternativa ad icmp. Ormai di fatto non vengono più utilizzati, se non dagli hacker per effettuare DoS verso il router stesso (saturandone la cpu) o verso altri siti usando appositi pacchetti ip spoofati (pacchetti con indirizzo origine contraffatto). Di conseguenza è sempre buona norma disabilitare questi servizi utilizzando i seguenti comandi nel file di configurazione: No service udp-small-server No service tcp-small-server No ip http server No ip source-route Inoltre é sempre meglio disabilitare anche l http server e i pacchetti ip che si dovessero presentare con le ip options settate (strict e loose source routing, ormai non più utilizzate). Smurfing Un attacco DoS molto usato soprattutto in passato è lo smurf attack, nel quale router mal configurati i ii vengono utilizzati come mezzo per mettere fuori servizio host vittime. Il funzionamento è semplice (vedi figura 2): un hacker invia un pacchetto ip di tipo icmp echo request (ping) che ha le seguenti caratteristiche: Destination ip address: un indirizzo di broadcast della lan ad es Source ip address: l indirizzo della vittima ad es (o anche un host esterno alla LAN) Politiche di filtering dei router delle sedi CNR 7

10 In questo modo il pacchetto viaggia in Internet verso la lan e quando arriva a destinazione tutti gli host di questa rete (destinatari del messaggio visto che è un broadcast) risponderanno con un icmp echo reply verso la vittima che sarà quindi sottoposto a un bombardamento di pacchetti di risposta. In questo modo l hacker ottiene un effetto moltiplicatore, ovvero per ogni pacchetto di attacco che invia viene generata una risposta da ogni host la quale viene inviata verso l obiettivo. Figura 2: smurf attack Per evitare questo problema è sufficiente configurare il nostro router in modo che non consenta il passaggio di pacchetti ip che abbiano come destination ip un indirizzo di broadcast: Interface ethernet No ip directed-broadcast Filtraggi sul router La nostra base di partenza è costituita, come al solito, da un router connesso da una parte ad Internet e dall altra alle nostre Lan; il set di filtri viene definito sull interfaccia seriale del collegamento Wan relativamente ai pacchetti provenienti da Internet. È sufficiente nella maggior parte dei casi effettuare il filtering solo per i pacchetti entranti poiché essendo la comunicazione bidirezionale basta interrompere un flusso per bloccare l intero canale. In ogni caso per gli esempi che seguono utilizzeremo la access-list 111 come filtro per i pacchetti entranti sul router, mentre per i pacchetti uscenti utilizzeremo la access-list 121 (quando necessaria). È importante notare che nelle regole della access-list 121 (traffico uscente), per ogni riga che descrive un filtraggio, il primo blocco di indirizzi di solito sarà appartenente alla rete interna, mentre il secondo blocco sarà un indirizzo di Internet. Politiche di filtering dei router delle sedi CNR 8

11 In tutti gli esempi successivi ipotizziamo che si debba proteggere una rete di classe C ( x) collegata ad Internet mediante un router Cisco. Per applicare gli esempi alle singole realtà del CNR sarà necessario modificare gli indirizzi IP in accordo con le proprie reti. Per conoscere tutte le corrispondenze tra il numero di porta (tcp/udp) e servizio Internet corrispondente è sufficiente andare sul sito iana (Internet Assigned Numbers Authority) per trovare l elenco completo. Tutte le regole descritte qui di seguito dovrebbero essere abbastanza generali per essere utilizzabili in molti contesti reali in ambito CNR, ma è evidente che la corretta applicazione di quanto riportato non puó prescindere da un attento studio della topologia della propria rete e dei servizi erogati alla propria utenza. È possibile quindi che il set di regole sia applicabile cosí com è alla propria realtà ma ciò non è garantito. Dal momento che il livello di sicurezza scelto è il minimo indispensabile, la politica adottata è quella di default permit. Come pratica generale è consigliabile applicare pochi filtri per volta, controllando poi l esito dell operazione e aggiungendo altri filtri in maniera graduale. Definiamo ora l access-list 111 come il set dei filtri da applicare ai pacchetti entranti nell interfaccia seriale di collegamento ad Internet, mentre l access-list 121 come il set dei filtri da applicare ai pacchetti uscenti. interface Serial0/0 description Prima linea ip address ip access-group 111 in ip access-group 121 out bandwidth 2048 Prima e ultima riga del filtro 111: no access-list access-list 111 permit ip any any Prima e ultime righe del filtro 121: no access-list access-list 121 permit ip any access-list 121 deny ip any any default permit \ anti-spoofing e / default permit Regole anti-spoofing È ovvio che i pacchetti provenienti dall esterno dovrebbero avere indirizzo ip diverso dalla lan interna; specularmente si puó dire per i pacchetti che provengono dalla lan, devono avere esclusivamente un indirizzo ip della lan stessa. Inoltre non è possibile che provengano dall esterno pacchetti con indirizzi di Lan riservate. Per questo motivo definiamo i seguenti filtri anti-spoofing: access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any e inoltre: Politiche di filtering dei router delle sedi CNR 9

12 access-list 121 permit ip any access-list 121 deny ip any any Naturalmente l ultima riga applica la politica di default deny, ed é indispensabile per garantire che dalla nostra rete non possano partire pacchetti con indirizzo ip falsificato (spoofed ip address) e appartenente ad una rete esterna. Ipotizzando che un hacker riesca a penetrare in un nostro sistema informatico, utilizzando pacchetti con indirizzi ip falsificati potrebbe utilizzare la nostra rete per portare attacchi ad altri sistemi: nel caso di un denial of service lo scopo sarebbe quello di bloccare qualche rete o qualche server. Mediante software disponibili con facilità in rete (ad es. synk4.c), utilizzando un indirizzo ip fasullo si possono lanciare syn flood DoS verso indirizzi ip qualsiasi. Se sul router non fossero presenti regole anti-spoofing per i pacchetti in uscita potremmo diventare degli inconsapevoli attaccanti di siti strategici (governativi, militari, etc.). Viceversa se non fossero presenti regole anti-spoofing per i pacchetti in ingresso potremmo essere vittime di attacchi DoS verso le nostre macchine, ad esempio mediante attacco di tipo echo-chargen. Potremmo chiederci perché il router non scarti automaticamente questi pacchetti chiaramente fasulli, ma questa domanda è sensata solo nell architettura utilizzata in esempio (una rete interna e internet dall altra parte); in realtà le cose potrebbero essere molto più complesse e ciò costringe il router ad effettuare il suo lavoro, che in mancanza di filtri opportuni è di forwardare i pacchetti da un interfaccia all altra (compresi quelli che noi riteniamo essere spoofati). Regola per connessioni stabilite, sia in ingresso che in uscita TCP Il primo pacchetto di ogni connessione di tipo TCP (resta escluso quindi ICMP e UDP) ha la caratteristica di non avere il bit ack settato, mentre dal secondo in poi (il secondo pacchetto è quello di risposta a seguito di una richiesta di connessione, vedi figura 2) tale bit è sempre settato. In altre parole, quando si tenta di iniziare una connessione manca il bit di ack: questo fatto ci consente di discriminare se un pacchetto che giunge al nostro router appartiene a una connessione già stabilita oppure no. Se una connessione è già stabilita (ack bit a 1) significa che in qualche modo il pacchetto ha già passato i requisiti richiesti dalla nostra politica di sicurezza, e quindi è inutile continuare a controllarlo. Politiche di filtering dei router delle sedi CNR 10

13 Figura 3: tcp three-way handshake Normalmente é vero che le connessioni iniziate dall esterno (tentativi di collegamento verso server della nostra Lan) devono superare controlli precisi mentre vengono consentite tutte le connessioni iniziate dall interno (collegamenti dei nostri utenti verso server Internet). Per i motivi sopraccitati consentiamo il transito dei pacchetti che entrano verso la nostra Lan e che hanno il bit di ack settato. Access-list 111 permit tcp any any estabilished Access-list 121 permit tcp any any estabilished Se posizioniamo questa regola all inizio della nostra acl la maggior parte dei pacchetti in arrivo verranno accettati subito, mentre il set di filtering sarà analizzato solo dai pacchetti di inizio connessione dall esterno verso l interno. Ciò aumenta tremendamente le performance delle operazioni di routing/filtering, svincolando quasi le prestazioni dalla lunghezza della access-list. UDP La mancanza di un ack bit non permette di utilizzare un metodo simile per UDP e quindi ci costringe ad adottare una delle seguenti politiche alternative se si intende effettuare filtering su tale protocollo: utilizzo di un firewall di tipo stateful che tenga traccia dello stato delle connessioni entranti/uscenti filtraggio completo del traffico udp (tranne che per qualche protocollo selezionato) libero traffico del traffico udp in ingresso/uscita, tranne che per qualche servizio selezionato Le prime due opzioni consentono una configurazione più sicura della rete, mentre la terza è da sconsigliare considerata la pericolosità di UDP (data la sua natura di protocollo connection-less). Nel definire il livello attuale di sicurezza (base) però utilizzeremo proprio quest ultima policy (vedi paragrafi successivi) dal momento che il nostro scopo è comunque di non provocare disservizi verso l utenza. Land attack! Il land attack è un attacco di DoS che consiste nel mandare verso un certo host un pacchetto tcp con il bit syn settato (inizio connessione) avente: dip (destination ip address) = host vittima sip (source ip address) = host vittima. Con pacchetti così forgiati alcune implementazioni deboli dello stack tcp/ip vanno in crash. Per evitare che questo accada sulle nostre interfacce seriali del router è necessario inserire un filtro del tipo: Access-list 111 deny ip <ser_ip> <ser_ip> Avendo indicato con ser_ip l indirizzo del/delle interfacce seriali del router Condivisioni e debolezze di windows I sistemi operativi windows in tutte le loro varianti sono noti per essere tra i sistemi operativi più deboli dal punto di vista della sicurezza. Periodicamente Internet viene invasa da nuovi worm e problemi correlati a bachi di questa famiglia di sistemi operativi. Politiche di filtering dei router delle sedi CNR 11

14 Per cercare di tamponare questi eventi è necessario impedire che la propria rete lasci aperte verso l esterno le porte tipicamente utilizzate da windows e notoriamente pericolose, ovvero quello che vanno dalla 135 alla 139, la 445 e la 593 access-list 111 deny tcp any any range access-list 111 deny udp any any range access-list 111 deny tcp any any eq 445 access-list 111 deny udp any any eq 445 access-list 111 deny tcp any any eq 593 access-list 111 deny udp any any eq 593 Impatto per l utenza: applicando questo filtro non sarà più possibile da Internet accedere a cartelle condivise nella nostra rete. Dal punto di vista pratico questo è un bene: infatti la maggior parte degli utenti condivide directory del proprio pc senza password, convinto che nessuno lo saprà mai e spinto dal fatto che è un modo molto comodo per trasferire i files tra pc. Purtroppo il meccanismo di Security through obscurity è reso del tutto inefficace dalla presenza su web di worm che usano queste debolezze iii e di efficacissimi port scanner e vulnerability scanner iv v Posta elettronica Un server di posta elettronica è una macchina che effettua due servizi: 1. riceve posta elettronica da un altro server e la salva in un database pronta per essere letta; 2. accetta da client richieste di invio di posta verso altri utenti La caratteristica 2. è notoriamente fonte di problemi, perché può permettere l invio di mail non richieste a sfondo pubblicitario. Questo è reso possibile dal fatto che se i server non sono configurati correttamente possono garantire accesso al servizio anche a persone non autorizzate. È noto infatti che i server di posta sono configurabili come open-relay, ovvero il server accetta di inviare posta per conto di ogni utente di Internet che ne fa richiesta. Ovviamente questa configurazione priva di controllo è assolutamente deprecabile in ambiti CNR, dal momento che è necessario controllare l accesso al server della posta mediante il meccanismo di controllo degli ip address. In particolare il nostro server di posta dovrà accettare di inviare posta seguendo la seguente configurazione di relaying: Destinatario interno Destinatario internet Mittente interno OK OK Mittente internet OK NO In linea di principio il protocollo smtp presenta queste problematiche perché è completamente privo di autenticazione basata su username e password, basando di fatto tutto il controllo sull indirizzo ip. Il problema non é tanto la complessità di realizzare una tale configurazione (o simile, a seconda della complessità della propria rete), quanto la proliferazione di server smtp nella propria rete, visto che normalmente l utente installa sul proprio pc con linux un server di posta senza preoccuparsi di configurarlo correttamente, o addirittura senza che neanche l utente ne sia a conoscenza. È pertanto necessario attivare un filtraggio sul router che consenta di accedere dall esterno soltanto a una o comunque poche macchine server di posta di cui conosciamo i gestori (nel senso che ci possiamo fidare della loro affidabilità) e che sappiamo abbiano configurato correttamente i server. Access-list 111 permit tcp any host server1_di_posta eq smtp Access-list 111 permit tcp any host server2_di_posta eq smtp Access-list 111 deny tcp any any eq smtp Prendiamo in considerazione la seguente ipotesi: se un hacker riuscisse ad effettuare un intrusione su una macchina di un nostro utente, potrebbe configurarla come server di posta e spedire messaggi di spam su Internet senza che noi ce ne possiamo accorgere. Questa situazione è molto insidiosa dal momento che è difficile da scovare se non effettuando sniffing sul cavo di rete. È consigliabile quindi Politiche di filtering dei router delle sedi CNR 12

15 mettere un filtro anche per spedire posta in Internet: solo i server autorizzati possono spedire direttamente messaggi verso altri server (in questo caso l invio di spam da parte di nostri utenti sarà facilmente individuabile mediante l analisi dei log dei server). Access-list 121 permit tcp host server1_di_posta any eq 25 Access-list 121 permit tcp host server2_di_posta any eq 25 Access-list 121 deny tcp any any eq 25 Impatto per l utenza: le access list in ingresso obbligano a ricevere la posta solo sui server di Istituto o di Area. Le access list in uscita obbligano a configurare il client ad utilizzare un smtp server predefinito. In definitiva non sono di limitazione alcuna per l utente. Servizi da chiudere esplicitamente Access-list 111 deny tcp any any eq 2049 (NFS) Access-list 111 deny udp any any eq 2049 (NFS) NFS è un protocollo noto per i suoi problemi inerenti a un autenticazione client/server non forte basata sull indirizzo IP o nome della macchina e conseguente esposizione ad attacchi di tipo ip spoofing o DNS cache poisoning. Peraltro l accesso a un filesystem da remoto puó condurre a scritture del file.rhosts nelle aree utente e quindi all esposizione di login remote tramite la suite R- Berkeley. Servizi non indispensabili I filtraggi indicati in questa parte del documento sono diversi rispetto a quanto visto finora. Seppur molto importanti i filtri indicati di seguito imporranno sicuramente delle limitazioni di utilizzo alla nostra Lan e alcuni servizi offerti/utilizzati dagli utenti potrebbero subire delle limitazioni. Per questo motivo si consiglia di adottare questi filtri solo in caso di effettiva conoscenza della realtà della propria rete locale. Le porte fino alla 1023 sono note, nel senso che ad ogni porta è associato un servizio Internet preciso. Le porte dalla 1024 in su invece sono utilizzate dai client e da server non noti (a parte qualche caso, come NFS che utilizza la 2049 tcp/udp o 6667 per i server irc). Per questo motivo se vogliamo filtrare più porte possibili relativamente ai servizi noti è necessario concentrarsi sulle porte da 1 a Per servizi non indispensabili intendiamo quelli che normalmente non sono utilizzati nel contesto di una rete di ricerca. Ovviamente puó succedere che qualche porta contenuta negli intervalli di seguito riportati sia veramente utilizzata: solo la conoscenza della realtà locale del sistemista di rete puó quindi stabilire se queste regole possono essere adattate alla propria situazione. I servizi che dobbiamo in generale mantenere per consentire l accesso dall esterno alla nostra rete: Servizio Porte ftp 20 e 21 Ssh 22 telnet 23 Smtp 25 Dns 53 http 80 Pop3 110 nntp 119 Ntp 123 imap 143 Snmp 161 https 443 Imaps 993 Spop3 995 Politiche di filtering dei router delle sedi CNR 13

16 Viceversa ci sono servizi che per la loro natura intrinsecamente insicura devono essere sicuramente filtrati, anche se causano un minimo disservizio all utenza (superabile, ad esempio sostituendo rsh con telnet o ssh): tftp 69 Finger 79 Suite R-berkeley X Irc Le porte dalla 1 alla 19 solitamente sono inutili e offrono solo servizi che venivano usati in passato per funzioni diagnostiche (chargen, echo), oppure informative (daytime) o del tutto inutili (discard). Per evitare problemi quindi è consigliabile filtrare tutte queste porte senza per altro arrecare alcun disservizio all utenza normale. Le porte indicate di seguito si possono normalmente filtrare, facendo attenzione a quanto scritto tra parentesi; inoltre la 69 tftp e la 79 finger sono effettivamente da proibire esplicitamente. Irc puó essere pericoloso dal momento che è possibile che i nostri server siano utilizzati come bouncer dei canali, ed è preferibile disabilitarlo. X11 presenta caratteristiche intrinseche che ne sconsigliano l utilizzo attraverso un firewall. Dal momento che in alcuni casi viene utilizzato per consentire la visualizzazione del display remoto di alcune macchine di calcolo o di simulazione si consiglia di consentirne l accesso solo da Reti note verso i calcolatori interessati. Access-list 111 deny tcp any any range 1 19 Access-list 111 deny udp any any range 1 19 Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range (da notare che in questo caso sono giá incluse parte delle regole del filtering di windows) Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range (attenzione a xdmcp-177) Access-list 111 deny tcp any any range (attenzione a xdmcp-177) Access-list 111 deny tcp any any range (ottimo filtrare windows, suite R- Berkeley ) Access-list 111 deny tcp any any eq 994 Access-lis 111 deny tcp any any range Access-list 111 deny tcp any any range (X11) Access-list 111 deny tcp any any range (IRC) Access-list 111 deny udp any any range Conclusioni e suggerimenti di filtering Per concludere di seguito sono riportate le regole suggerite da inserire nel file di configurazione del proprio router, in base a un ipotesi molto conservativa, ovvero cercando di limitare al massimo l impatto sull utenza (le porte basse dei Servizi non indispensabili sono filtrate solo fino alla 79, le successive sono selezionate singolarmente). Per approfondimenti e ulteriori regole di configurazione si consiglia la lettura dei seguenti documenti: (IOS Cisco) (JUNOS Juniper) No service udp-small-server Politiche di filtering dei router delle sedi CNR 14

17 No service tcp-small-server No ip http server No ip source-route Interface ethernet No ip directed-broadcast interface Serial0/0 description Prima linea ip address ip access-group 111 in ip access-group 121 out bandwidth 2048 no access-list 111 Access-list 111 permit tcp any any estabilished Access-list 111 deny tcp any any range 1 19 Access-list 111 permit tcp any host server1_di_posta eq smtp Access-list 111 permit tcp any host server2_di_posta eq smtp Access-list 111 deny tcp any any eq smtp Access-list 111 deny tcp any any range Access-list 111 deny tcp any any range (occhio a sql*net) access-list 111 deny tcp any any range access-list 111 deny tcp any any eq 445 Access-list 111 deny tcp any any range access-list 111 deny tcp any any eq 593 Access-list 111 deny tcp any any eq 2049 (NFS) Access-list 111 deny tcp any any range (X11) Access-list 111 deny tcp any any range (IRC) Access-list 111 deny udp any any range 1 19 Access-list 111 deny udp any any range Access-list 111 deny udp any any range access-list 111 deny udp any any range access-list 111 deny udp any any eq 445 Access-list 111 deny udp any any range access-list 111 deny udp any any eq 593 Access-list 111 deny udp any any eq 2049 (NFS) Access-list 111 deny udp any any range Access-list 111 deny ip <ser_ip> <ser_ip> access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 permit ip any any default permit no access-list 121 Access-list 121 permit tcp any any estabilished Access-list 121 permit tcp host server1_di_posta any eq 25 Access-list 121 permit tcp host server2_di_posta any eq 25 Access-list 121 deny tcp any any eq 25 access-list 121 deny tcp any any eq irc log access-list 121 deny tcp any any range log access-list 121 permit ip any access-list 121 deny ip any any \ anti-spoofing e / default permit Politiche di filtering dei router delle sedi CNR 15

18 i ii ftp://ftp.isi.edu/in-notes/rfc2644.txt iii iv v Politiche di filtering dei router delle sedi CNR 16

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Router(config)# access-list access-list number {permit deny} {test-conditions}

Router(config)# access-list access-list number {permit deny} {test-conditions} 1. Definire la ACL con il seguente comando: Router(config)# access-list access-list number {permit deny} {test-conditions} Dalla versione 11.2 del Cisco IOS si può utilizzare un nome al posto del numero

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

ACCESS LIST. Pietro Nicoletti www.studioreti.it

ACCESS LIST. Pietro Nicoletti www.studioreti.it ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Access Control List (I parte)

Access Control List (I parte) - Laboratorio di Servizi di Telecomunicazioni Access Control List (I parte) Indice Cosa sono le ACL? Interfacce Inbound & Outbound Wildcard mask Configurare una ACL standard ACL extended Named ACL Posizionamento

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

2 Cent tips Router sicuri uso di uno sniffer

2 Cent tips Router sicuri uso di uno sniffer 2 Cent tips Router sicuri uso di uno sniffer V Workshop GARR Roma 24-26 Nov 2003 Claudio Allocchio - GARR La Sicurezza? Ma ormai dovreste sapere già tutto o quasi http://www.garr.it/ws4/cecchini.pdf http://www.cert.garr.it/incontri/fi/

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Antonio Cianfrani. Extended Access Control List (ACL)

Antonio Cianfrani. Extended Access Control List (ACL) Antonio Cianfrani Extended Access Control List (ACL) Extended ACL (1/4) Le ACL Extended sono molto spesso usate più delle standard perché offrono un controllo decisamente maggiore Le ACL Extended controllano

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

Autenticazione ed integrità dei dati Firewall

Autenticazione ed integrità dei dati Firewall Pagina 1 di 9 Autenticazione ed integrità dei dati Firewall Per proteggere una rete dagli attacchi provenienti dall'esterno si utilizza normalmente un sistema denominato Firewall. Firewall è un termine

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay 2014. abinsula. October 25, 2014

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay 2014. abinsula. October 25, 2014 Ettercap, analisi e sniffing nella rete Gianfranco Costamagna abinsula LinuxDay 2014 October 25, 2014 Chi siamo Abinsula un azienda specializzata in sistemi Embedded, Sicurezza Informatica e sviluppo di

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Realizzazione e gestione di Local Area Network

Realizzazione e gestione di Local Area Network Realizzazione e gestione di Local Area Network Ceracchi Fabiana Mansi Luigi Tutor Angelo Veloce NETWORK La rete è un insieme di sistemi per l elaborazione delle informazioni messi in comunicazione tra

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Indirizzamento privato e NAT

Indirizzamento privato e NAT Indirizzamento privato e NAT Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11 1 Mattia Lezione VIII: Sicurezza perimetrale Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Petra Firewall 3.1. Guida Utente

Petra Firewall 3.1. Guida Utente Petra Firewall 3.1 Guida Utente Petra Firewall 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright.

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando Comandi di Rete Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando PING: verifica la comunicazione tra due pc Il comando ping consente di verificare la connettività a livello

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca Università degli Studi Roma Tre Istituto Nazionale di Fisica Nucleare Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Impostazione di un insieme di misure di sicurezza per la LAN di un

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

QUICK START GUIDE F640

QUICK START GUIDE F640 QUICK START GUIDE F640 Rev 1.0 PARAGRAFO ARGOMENTO PAGINA 1.1 Connessione dell apparato 3 1.2 Primo accesso all apparato 3 1.3 Configurazione parametri di rete 4 2 Gestioni condivisioni Windows 5 2.1 Impostazioni

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15 Entrare in un pc è una espressione un po generica...può infatti significare più cose: - Disporre di risorse, quali files o stampanti, condivise, rese fruibili liberamente o tramite password con i ripettivi

Dettagli

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti. 1 Mattia Lezione III: I protocolli di base Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2008 Il bollettino può essere

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it I Firewall Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@di.unipi.it Cos è un firewall Un firewall è un sistema, nel senso più ampio del termine, che ha lo scopo di controllare

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

www.lug-govonis.net LINUX e le reti

www.lug-govonis.net LINUX e le reti LINUX e le reti Ci troviamo di fronte ad una rete quando 2 o più computer sono in grado di comunicare tra di loro; esistono molti tipi di connessioni di rete divisi per protocollo di trasporto e per tipo

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

2 DESCRIZIONE DEI SERVIZI

2 DESCRIZIONE DEI SERVIZI Premessa In generale i servizi di un Full Service Provider sono più o meno paragonabili. Qui di seguito viene descritto il servizio di Firewalling specifico di un fornitore ma di contenuto assolutamente

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Gli indirizzi dell Internet Protocol. IP Address

Gli indirizzi dell Internet Protocol. IP Address Gli indirizzi dell Internet Protocol IP Address Il protocollo IP Prevalente è ormai diventato nell implementazione di reti di computer la tecnologia sintetizzata nei protocolli TCP- Ip IP è un protocollo

Dettagli

Principi di Sicurezza nelle Reti di Telecomunicazioni

Principi di Sicurezza nelle Reti di Telecomunicazioni Principi di Sicurezza nelle Reti di Telecomunicazioni Copyright Università degli Studi di Firenze - Disponibile per usi didattici Vedere i termini di uso in appendice ed a: http://mmedia5.det.unifi.it/license.txt

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Il Livello delle Applicazioni 2 Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Lavorare in Rete Esercitazione

Lavorare in Rete Esercitazione Alfonso Miola Lavorare in Rete Esercitazione Dispensa C-01-02-E Settembre 2005 1 2 Contenuti Reti di calcolatori I vantaggi della comunicazione lavorare in rete con Windows Internet indirizzi IP client/server

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Configurazione Rete in LINUX

Configurazione Rete in LINUX Configurazione Rete in LINUX Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi TCP/IP Il trasferimento dati con il protocollo TCP/IP si basa fondamentalmente su

Dettagli

Configurare un Cisco 837 per il collegamento ad Internet

Configurare un Cisco 837 per il collegamento ad Internet Configurare un Cisco 837 per il collegamento ad Internet Autore: Massimo Rabbi Data: 29/08/2006 Note introduttive In questa guida vedremo come configurare un router Cisco modello 837 per il collegamento

Dettagli

Sicurezza delle reti 1

Sicurezza delle reti 1 delle delle 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

ETI/Domo. Italiano. www.bpt.it. ETI-Domo Config 24810070 IT 29-07-14

ETI/Domo. Italiano. www.bpt.it. ETI-Domo Config 24810070 IT 29-07-14 ETI/Domo 24810070 www.bpt.it IT Italiano ETI-Domo Config 24810070 IT 29-07-14 Configurazione del PC Prima di procedere con la configurazione di tutto il sistema è necessario configurare il PC in modo che

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

Petra Firewall 2.8. Guida Utente

Petra Firewall 2.8. Guida Utente Petra Firewall 2.8 Guida Utente Petra Firewall 2.8: Guida Utente Copyright 1996, 2002 Link SRL (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright.

Dettagli

Sicurezza. Ing. Daniele Tarchi. Telematica nei Sistemi di Trasporto - L10 1. Sicurezza: cosa si intende

Sicurezza. Ing. Daniele Tarchi. Telematica nei Sistemi di Trasporto - L10 1. Sicurezza: cosa si intende Sicurezza Ing. Daniele Tarchi Telematica nei Sistemi di Trasporto - L10 1 Sicurezza: cosa si intende Sicurezza Fisica: accesso controllato ai locali, conservazione delle chiavi di accesso alle sale dati,

Dettagli

Man-in-the-middle su reti LAN

Man-in-the-middle su reti LAN Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle

Dettagli

firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet)

firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet) <gottardi@ailinux.org> firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet) Version: 1.0 Giuseppe Gottardi (overet), laureando in Ingegneria Elettronica presso l Università Politecnica

Dettagli

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica Dipartimento di Informatica - Università di Verona Laboratorio di Networking Operating Systems Lezione 2 Principali strumenti di diagnostica Master in progettazione e gestione di sistemi di rete edizione

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15. Pietro Frasca. Parte II Lezione 1

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15. Pietro Frasca. Parte II Lezione 1 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15 Parte II Lezione 1 Giovedì 5-03-2015 TESTO DI RIFERIMENTO RETI DI CALCOLATORI E INTERNET un

Dettagli