Filtraggio del traffico di rete

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Filtraggio del traffico di rete"

Transcript

1 Laboratorio di Amministrazione di Sistemi L-A Filtraggio del traffico di rete Si ringraziano sentitamente: Angelo Neri (CINECA) per il materiale sulla classificazione, le architetture ed i principi di funzionamento dei firewall Fabio Bucciarelli (DEIS Università di Bologna) per il materiale sulla struttura e la configurazione del packet filter di Linux Firewall Il termine firewall usato nell'informatica non deriva da "muro di fuoco" ma da "muro antincendio". Il suo scopo è quindi impedire che un incendio si propaghi da una parte all'altra del muro.

2 Firewall Una immagine che rispecchia meglio la realtà del firewall è la cinta muraria di una città medievale. Naturalmente una città non può non avere contatti con l'esterno e la cinta muraria è fornita di porte con guardie che verificano se chi prova ad entrare o ad uscire è autorizzato oppure no. Il firewall può quindi essere una buona difesa contro una banda di briganti che provano ad entrare palesemente armati in città ma non può nulla contro i furti effettuati dagli abitanti stessi della città se non al più controllare che nessuno esca col maltolto (se le guardie sono state istruite in tal modo e sono più abili nel perquisire i passanti di quanto questi siano capaci di nascondere la refurtiva). Firewall Il firewall è quindi l'insieme delle difese perimetrali, siano esse realizzate in hardware od in software, con uno o più dispositivi.

3 Classificazione dei firewall Packet filters Un packet filter è un programma od un dispositivo che controlla gli accessi ad una rete analizzando i pacchetti in ingresso ed in uscita e scegliendo quali bloccare e quali far passare in base agli indirizzi IP di provenienza e di destinazione. Nel contesto di una rete TCP/IP vengono controllati anche le porte tcp/udp ed i vari flag SYN, FYN, ACK, ecc. Altro parametro importante su cui si basano le decisioni di un packet filter e l interfaccia sui cui il pacchetto transita e la direzione (ingresso o uscita)

4 Packet filters Un packet filter può essere stateful o stateless ma praticamente tutte le implementazioni di packet filters stateful offrono anche un qualche tipo di protocol inspection per cui sono dei multilayer stateful firewall. Per questo motivo col termine "packet filter" ci si riferisce di solito a stateless packet filter. Un packet filter stateless prende le decisioni pacchetto per pacchetto analizzando solo le info contenute nel pacchetto stesso Un packet filter statefull utilizza anche informazioni di stato della connessione o comunque comunicazione di cui il pacchetto fa parte Packet filters Il vantaggio principale del packet filtering rispetto alle altre tecniche di filtraggio è che questa è la tecnica più semplice da implementare, richiede meno risorse hardware ed è quindi la tecnica più economica e per questo motivo è anche la più diffusa. Si può fare con praticamente qualunque router e con la maggior parte dei sistemi operativi: Linux Windows da NT in poi Macintosh da OS X

5 Packet filters Un packet filter analizza di ogni pacchetto che passa: Interfaccia su cui passano i pacchetti. Protocollo IP. Per esempio TCP, UDP, ICMP, ESP. Indirizzo sorgente. Indirizzo di destinazione. Porta sorgente. Solo per i pacchetti TCP o UDP. Porta di destinazione. Flag di connessione. Per esempio SYN, ACK, RST, FYN, ecc Direzione Packet filters Un packet filter compara il valore dei campi IP con quelli delle regole con cui e' stato configurato ed in base a queste il pacchetto passa oppure no. La configurazione del packet filter è quindi fondamentale. Comunque anche con la migliore configurazione il packet filter non verifica il contenuto dei pacchetti per cui non può bloccare virus ed ha problemi con protocolli che negoziano le porte, come ad esempio FTP attivo.

6 Packet filters La regola d'oro per la configurazione di un filtro è permettere ciò che deve passare e negare tutto il resto. Purtroppo nella vita reale non sempre è facile capire cosa si deve permettere e cosa negare. Packet filters: cosa filtrare Nella RFC2827 ci sono dei consigli interessanti, in particolare: Traffico in ingresso: Bloccare i pacchetti destinati a servizi che non si vogliono offrire su internet. Bloccare gli indirizzi con source address illegali, di broadcast, di loopback e riservati. Se non si utilizza il multicast bloccare gli indirizzi multicast ( /4) Bloccare ICMP broadcast. Bloccare echo UDP. Bloccare i pacchetti provenienti dall'esterno con indirizzo sorgente appartenente alla nostra rete.

7 Packet filters: cosa filtrare I source address da bloccare sono quelli: illegali (es /8) di broadcast (p.e /32) riservati; almeno quelli della rfc1918: / / /16 di loopback: /8 Packet filters: cosa filtrare Traffico in uscita: Bloccare il traffico con un source address invalido. E' facile se la nostra rete è una foglia, praticamente impossibile altrimenti.

8 Packet filters Caratteristiche e problemi di un packet filter stateless Per permettere una comunicazione vanno esplicitamente permessi i pacchetti in entrambe le direzioni Ad es. dal mio PC voglio poter accedere a servizi esterni (ad esempio navigare su Web) ma in generale NON voglio che dall esterno si possa accedere ad alcunchè sul mio PC (sono solo cliente della rete). Posso lasciar passare tutti i pacchetti in uscita e bloccare tutti pacchetti in ingresso tranne le risposte alle mie richieste ma.. Come distinguere le risposte a richieste mie da tentativi di accesso esterno al mio PC? Sui servizio TCP based ci possiamo basare sui Flag TCP: per iniziare una connessione viene inviato un pacchetto con SYN=1 ma ACK=0, posso bloccare tutti questi e ammettere ogni altra combinazione (SYN=0 oppure SYN=1 e ACK<>0). Tali combinazioni vengono spesso indicate con established. E chiaramente una approssimazione che però normalmente funzione nel senso che non consente dall esterno di stabilire una valida connessione TCP Sui servizi UDP non ho modo di Packet filters Sui servizi UDP non ho modo di distinguerlo, se devo usare dei servizi UDP oltre il packet filter devo sostanzialmente accettare qualunque pacchetto UDP di risposta almeno dagli host (IP) e servizi (port) che voglio utilizzare Ad esempio per utilizare un server DNS (server A porta 53) devo consentire tutti i pacchetti UDP in ingresso che hanno come from (server A, porta 53). Il problema e che e abbastanza facile spoofare l indirizzo from.. Un esempio con ACL Cisco, gli host sulla vlan206 sono client interface Vlan206 ip address ip access-group 2256 in ip access-group 2206 out! Solo le sesssioni tcp e il DNS access-list 2206 permit tcp any any established access-list 2206 permit udp host eq domain any access-list 2206 deny ip any any log! Anti spoof access-list 2256 permit ip any access-list 2256 deny ip any any log

9 Packet filters Un esempio con ACL Cisco, gli host sulla vlan206 sono client, l host è anche un web server interface Vlan206 ip address ip access-group 2256 in ip access-group 2206 out! Solo le sesssioni tcp e il DNS access-list 2206 permit tcp any any established access-list 2206 permit udp host eq domain any access-list 2206 permit tcp any host eq www access-list 2206 deny ip any any log! Anti spoof access-list 2256 permit ip any access-list 2256 deny ip any any log Packet filters In generale e difficile far passare i servizi che negoziano le porte di comunicazione o che prevedono call back (come l FTP) Il problema dell FTP: In una normale sessione FTP tra il client A e il server S avviene: TCP open (C,>1023) (S,21) Control Channel Sul control channel si scambiano i comandi: es GET filename Il trasferimento avviene sul Data Channel Il Client sceglie una porta alta sulla quale si mette in ascolto e la comunica al server con il comando PORT es: PORT 1234 TCP open (S,20) -> (C,1234) <- Data Channel Su questo canale il file viene effettivamente trasferito ma il client deve accettare connessioni su porte alte.. FTP prevede una modalità passiva che scarica il problema sul server TCP open (C,>1023) (S,21) Control Channel Sul control channel si scambiano i comandi: es GET filename Il Client chiede la modalità passiva (PASV) e il server si mette in ascolto su una porat alta es:3456 TCP open (C,>1023) -> (S,> 1023) <- Data Channel Su questo canale il file viene effettivamente trasferito ma il server deve accettare connessioni su porte alte..

10 Stateful packet filter La differenza sostanziale è che il firewall mantiene traccia delle sessioni e quindi è in grado di riconoscere automaticamente le risposte. Di solito esistono sintassi facilitate (o è addirittura automatico) per dire al firewall fai passare le risposte In più possono analizzare il traffico a livello più alto per interpretare i protocolli sovrastanti e aprire dinamicamente le porte necessarie (vedi ad esempio il protocollo FTP) Application level firewall Al massimo un network level firewall (un firewall che lavora ai livelli OSI 3/4, ad esempio un packet filter) può bloccare pacchetti che vengono da IP non validi o che provano connessioni a servizi non autorizzati. Fatica a gestire protocolli come FTP attivo ed ancor più protocolli complessi come ad esempio H.323 (VOIP) o SQL*Net (Oracle). Questi problemi possono essere risolti solo a livelli più alti della pila OSI.

11 Application level firewall Un modo è usare un application gateway o proxy applicativo cioè un software specifico per un determinato protocollo che fa contemporaneamente da server per chi deve navigare e da client verso internet. Application level firewall Faccio un esempio pratico per chiarire il concetto: con il mio pc ( ) voglio collegarmi a google. Non posso però farlo direttamente perchè sulla rete è stato proibito (con un qualche tipo di network firewall) il routing diretto e solo una singola macchina può accedere ad internet e su questa è ospitato il proxy web. Mi devo perciò collegare al proxy e chiederle la pagina di google. Il proxy in questo caso è un web server che riceve la mia richiesta, la interpreta, chiede la pagina a google (fa da client) e poi me la fornisce.

12 Application level firewall Sono anche possibili (e diffusi) caching proxy in cui le pagine più richieste vengono tenute in una cache locale in modo da evitare da dover scaricare più volte la stessa pagina e quindi velocizzare la navigazione per gli utenti e diminuire l'impiego di banda. I proxy possono poi anche essere trasparenti in modo da evitare di dover fare della configurazione sui client. Application level firewall Un proxy, essendo contemporaneamente server e client, può bloccare gli attacchi basati sulla non conformità dei dati al protocollo. Per fare un esempio pratico (CVE ) le estensioni Internet printing ISAPI di Windows 2000 permettevano di eseguire codice arbitrario a chi avesse fatto una richiesta con 420 byte nel campo 'Host' e caratteri particolari. Un web proxy avrebbe potuto bloccare un attacco di questo tipo ma non blocca attacchi in cui il protocollo è rispettato e sono i dati ad essere pericolosi (come un virus per ). Un proxy è un Man in the Middle buono Un'altra cosa che un application gateway è in grado di fare è permettere solo alcuni comandi. Un proxy smtp potrebbe bloccare i comandi VRFY ed EXPN, utili una volta ma oramai usati solo dagli spammer, oppure alterare I banner Gli application level gateway eccellono nella capacità di scrivere log particolarmente significativi perchè comprendono perfettamente il protocollo applicativo.

13 Stateful multilayer protocol inspection firewalls Uno stateful multilayer firewall è un firewall che lavora su vari livelli OSI, tiene traccia dello stato delle connessioni e di almeno un protocollo applicativo. Necessita di risorse hardware decisamente superiore a quelle di un packet filter ed ha prestazioni di poco inferiori. Per decidere se un pacchetto può o non può passare non guarda al singolo pacchetto ma alla storia della connessione tcp od udp (a rigore la connessione udp non esiste ma per quanto riguarda il firewall una connessione udp è uno scambio di pacchetti). Stateful multilayer firewalls Ogni volta che viene stabilita una connessione il firewall si segna in una tabella le informazioni sulla connessione. Queste sono: indirizzo sorgente e destinazione, porta sorgente e destinazione, i fari flag tcp, in particolare il sequence number. Quando arriva un pacchetto di ritorno viene accettato solo dopo aver verificato nella tabella delle connessioni che tutti i parametri corrispondano.

14 Stateful multilayer firewalls Un application gateway conosce un protocollo applicativo e si mette fisicamente in mezzo tra client e server evitando che i due si parlino direttamente. Un protocol inspection firewall invece permette che il client ed il server dialoghino ma verifica la correttezza formale dei protocolli usati e nel caso non venga rispettata tronca la comunicazione. Stateful multilayer firewalls Purtroppo (o per fortuna) la rete è in continua evoluzione e ci sono protocolli oramai consolidati come HTTP ed FTP ma ne vengono creati continuamente di nuovi ed anche quelli esistenti vengono modificati. Non è praticamente possibile trovare un firewall che sia in grado di capire e filtrare in maniera corretta tutti i protocolli che ci possono interessare.

15 Personal firewall I personal firewall (o host firewall) sono un tipo di firewall che devono essere usati sulla macchina da proteggere, non verificano solo il traffico di rete ma anche quale processo sta accedendo alla rete. Questo permette una precisione enorme nel controllo. Personal firewall I personal firewall vanno configurati individualmente sui vari host e raramente questo può essere fatto in maniera accurata per cui solitamente si perde il vantaggio della granularità del controllo.

16 Personal firewall I personal firewall sono poi spesso progettati per mandare più alert del necessario e raramente forniscono tutti i dati sui pacchetti bloccati o ricevuti per cui è difficile capire cosa effettivamente facciano. Tabella riassuntiva sui firewall Packet filter Economici Veloci Filtraggio grezzo Application level firewall Non molto costosi Solitamente lenti Massima granularità nel filtraggio e nei log Serve un gateway per ogni protocollo Multilayer stateful firewall Costosi Abbastanza veloci Filtraggio molto preciso

17 Come progettare una rete Per ora abbiamo visto una classificazione dei firewall, vediamo ora come va progettata una rete in modo da renderla sicura. Come progettare una rete La prima idea che viene è: Internet Firewall Rete locale

18 Come progettare una rete Questa soluzione è valida ma solo nel caso che non vengano offerti servizi. Le macchine che offrono servizi sono generalmente attaccabili molto più facilmente di quelle che non offrono servizi e vanno perciò messe in una rete a parte chiamata DMZ (DeMilitarized Zone) in modo da evitare che un attaccante si impossessi di una macchina aperta in qualche modo all'esterno e da questa possa attaccare le macchine interne (generalmente considerate più preziose) senza dover passare dal firewall. Come progettare una rete Internet Firewall 1 DMZ Rete interna Firewall 2

19 Come progettare una rete In realtà non si perde quasi nulla a riunire firewall 1 e firewall 2 Internet Firewall Rete interna DMZ Come progettare una rete E' naturalmente possibile usare più DMZ per separare reti con dati di sensibilità differente: Internet Firewall DMZ 2 Rete interna DMZ 1

20 Come progettare una rete E' fondamentale che non sia possibile raggiungere la rete interna dalla DMZ e tantomeno dall'esterno. Come faccio allora ad accedere alla rete interna da internet (per manutenzione o quant'altro)? Sono possibili due soluzioni: usare un bastion host. Usare una VPN. Come progettare una rete Un bastion host è una macchina esposta ad internet, posizionata nella DMZ o meglio ancora in una propria DMZ. Il suo scopo è concentrare in un unico punto tutti i modi di accedere alla rete interna in modo da poter concentrare in un solo punto la maggior parte degli sforzi per rendere sicura la rete.

21 Come progettare una rete In queste slides ci siamo sempre riferiti al firewall come ad un unico oggetto. Vediamo ora come viene di solito realizzato il sistema Firewall Come progettare una rete Internet Router esterno Stateful multilayer Firewall Router interno Proxy Router DMZ Proxy Rete interna DMZ

22 Come progettare una rete Abbiamo visto che packet filter, application level firewall e multilayer stateful firewall hanno punti di forza e di debolezza per cui vale la pena sfruttare le caratteristiche di ogni sistema. Ogni router è un packet filter a costo zero (abbiamo già pagato per avere il router). E' vero che tutto quello che fa un packet filter lo puo' fare il firewall stateful ma "sgrossando" il traffico con i packet filter si diminuisce il carico sulla macchina più costosa aumentando però la complessità dell ambiente. Come progettare una rete I router vanno quindi configurati in questo modo: Traffico in ingresso: Bloccare i pacchetti destinati a servizi che non si vogliono offrire su internet. Bloccare gli indirizzi con source address invalidi. Bloccare i pacchetti con protocolli non utilizzati. Bloccare i pacchetti provenienti dall'esterno con indirizzo sorgente appartenente alla nostra rete. Permettere tutto il traffico di protocolli permessi e complessi (FTP, H323, ecc). Questi pacchetti verranno analizzati dal multilayer stateful firewall

23 Come progettare una rete Traffico in uscita: bloccare il traffico con un source address invalido. Come progettare una rete È bene inoltre usare un application gateway almeno per il web visto che il protocollo HTTP è oramai statico, è possibile trovare ottimo software free (p.e. squid) ed usando un caching proxy è pure possibile aumentare la velocità della navigazione e risparmiare banda.

24 Firewall di linux E integrato nel kernel di linux, quindi rappresenta la soluzione più semplice e veloce. Il kernel deve essere predisposto in fase di compilazione, oppure devono essere caricati gli appositi moduli. Kernel 2.0.* -> ipfwadmin Kernel 2.2.* -> ipchains Kernel 2.4.* -> iptables Firewall di linux L attraversamento dei pacchetti tra un interfaccia ed un altra deve essere abilitata espressamente nel kernel, attraverso il comando: # echo 1 > /proc/sys/net/ipv4/ip_forward Possibilità di estensioni (moduli), che possono essere incluse o meno in fase di compilazione

25 Iptables Si basa sui concetti di tabelle, catene e regole Una tabella è formata da catene (punti di controllo) e una catena da regole Tabelle Filter NAT Mangle

26 Tabella filter Contiene le regole di filtraggio vere e proprie dei pacchetti che il firewall origina e riceve o che transitano dal firewall Tabella NAT Consente di effettuare il NAT (Networking Address Translation) degli indirizzi IP o del valore della porta sorgente o di destinazione

27 Tabella mangle Usata per effettuare alterazioni particolari dell header IP (TTL, TOS, MARK) Particolarmente interessante è il target MARK, che permette di marcare il pacchetto, in modo da essere trattato diversamente nei successivi punti di controllo o da altri programmi Come i pacchetti attraversano i filtri Filtraggio dei pacchetti che devono essere inoltrati Pacchetto che deve essere inoltrato Effettua NAT (Network Address Translation) dei pacchetti in ingresso Mangle FORWARDING Filter FORWARDING Effettua NAT dei pacchetti in uscita (tipicamente viene fatto il mascheramento della soregente) RETE Mangle PREROUTING Nat PREROUTING ROUTING DECISION Viene deciso se il pacchetto è destinato a localhost o deve essere inoltrato Viene decisa l interfaccia d uscita del pacchetto ROUTING DECISION Mangle POSTROUTING Nat POSTROUTING RETE Pacchetto destinato a localhost Mangle INPUT Filter INPUT LOCAL PROCESS ROUTING DECISION Mangle OUTPUT Filter OUTPUT Nat OUTPUT Pacchetto originato dal localhost Filtraggio dei pacchetti in ingresso al firewall Filtraggio dei pacchetti in uscita al firewall

28 Catene della tabella filter INPUT operazioni di filtraggio di pacchetti appena gunti al firewall e diretti all host FORWARD operazioni di filtraggio di pacchetti che transitano dal firewall OUTPUT operazioni di filtraggio di pacchetti generati localmente che stanno per uscire dal firewall Catene della tabella NAT PREROUTING operazioni di nat di pacchetti appena giunti al firewall OUTPUT operazioni di nat di pacchetti generati localmente POSTROUTING operazioni di nat di pacchetti che stanno per uscire dal firewall

29 Catene della tabella mangle PREROUTING INPUT FORWARD OUTPUT POSTROUTING Le regole Hanno la forma di ACL Ogni catena ha una policy di default L elenco delle regole viene scorso dall inizio alla fine Al primo match si stabilisce cosa fare del pacchetto e, salvo casi particolari si interrompe l analisi delle regole della catena Se per nessuna regola c è il match, si esegue la policy di default

30 Come si costruisce una regola #iptables [table] command [match] [target] [table] selezione della tabella [match] criteri per la selezione del pacchetto [target] destino del pacchetto che soddisfa il match Comandi sulle catene Creare una nuova catena (-N) Cancellare una catena vuota (-X) Cambiare lapolicy di default di una catena (- P) Elencare le regole presenti in una catena (-L) Svuotare una catena delle sue regole (-F) Azzerare i contatori

31 Comandi per manipolare le regole di una catena Appendere una nuova regola alla catena (-A) Inserire una regola in una determinata posizione (-I) Sostituzione di una regola presente in una certa posizione (-R) Cancellazione di una regola presente in una certa posizione (-D) Cancellazione della 1 regola di una catena (- D) Itarget(1) ACCEPT il pacchetto viene accettato DROP il pacchetto viene scartato REJECT stesso effetto di DROP, ma viene inviato in risposta un messaggio di errore ICMP di tipo port unreachable Catena creata dall utente

32 Itarget(2) RETURN termina la catena; se è una catena predefinita, viene eseguita la tattica, se è definita dall utente, esegue la regola successiva sulla catena precedente QUEUE accoda i pacchetti per elaborazioni userspace Esempi Internet eth FIREWALL eth LAN * #iptables A FORWARD i eth1 j DROP Tutte le opzioni di match possono essere negate attraverso il simbolo!

33 Esempi Internet eth FIREWALL eth LAN * #iptables A FORWARD i eth1 s /24 d 0/0 j DROP Esempi Internet eth FIREWALL eth LAN * #iptables A INPUT p tcp s d dport 22 j ACCEPT #iptables A INPUT p tcp s 0/0 d dport 22 j DROP

34 Esempi Internet eth FIREWALL eth LAN * #iptables A FORWARD mac-source 00:60.08:91:CC:B7 s d 0/0 j ACCEPT I frammenti IP (1) A volte il pacchetto generato dall host mittente è troppo grande per attraversare alcune reti, viene quindi frammentato Il frammento contiene un sottoinsieme dell header, non è quindi possibile verificare le intestazioni TCP, UDP e regole come p tcp, - -sport non possono essere verificate

35 I frammenti IP (2) C è la possibilità di dare una regola specifica per i frammenti, attraverso l opzione f Esempio: #iptables A OUTPUT f d j DROP I flag TCP Si possono filtrare i pacchetti attraverso i flag specifici di TCP --tcp-flags seguita da 2 stringhe di flag: la prima stringa è la maschera:lista di flag che si vogliono esaminare la seconda indica quali flag devono essere impostati

36 I flag TCP (esempio) Voglio fare il log di tutte le connessioni TCP che passano dal firewall #iptables A FORWARD p tcp tcp-flags ALL SYN,FIN j LOG --syn è un abbreviazione di tcp-flags SYN,RST,ACK SYN Connection tracking (1) Capacità per un firewall di mantenere memoria dello stato delle connessioni. Si usa l opzione --state seguita da una lista di stati da confrontare.

37 Connection tracking (2) Questi stati sono: NEW un pacchetto che crea una nuova connessione ESTABLISHED un pacchetto che appartiene a una connessione esistente Connection tracking (3) RELATED pacchetto relativo a una connessione esistente di cui non fa parte (es. errore ICMP, FTP data) INVALID pacchetto che non può essere identificato (in genere va scartato)

38 Connection tracking (esempi) #iptables A FORWARD d /16 m state -state ESTABLISHED, RELATED j ACCEPT Consente il transito verso * per connessioni già realizzate o correlate a connessioni precedenti #iptables A FORWARD d /16 m state -state INVALID j DROP Elimina i pacchetti non identificabili Network Address Translation (NAT) Tecnica descritta nell RFC 1631, con la quale un nodo di rete speciale acquista funzionalità simili a quelle di un router, allo scopo di sostituire indirizzi IP reali con altri indirizzi più convenienti E possibile riutilizzare dinamicamente gli indirizzi IP privati, permettendo a tali reti di accedere all esterno, pur non essendo questi univoci a livello globale

39 NAT Internet eth NAT eth * LAN Host Host Normalmente gli indirizzi IP * non hanno la possibilità di essere riconosciuti univocamente all interno della rete globale, pertanto non è possibile accedere all esterno. Si può ottenere attraverso il NAT NAT Souce NAT (SNAT) si ha quando si altera l indirizzo sorgente del pacchetto. E effettuata in fase di post-routing Destination NAT (DNAT) si ha quando si altera l indirizzo di destinazione, ossia si cambia dove la connessione è diretta. Si effettua in fase di pre-routing

40 SNAT * eth eth Internet NAT LAN Host Host #iptable t nat A POSTROUTING o eth0 j SNAT to-source SNAT (mascheramento) Internet Indirizzamento IP dinamico NAT eth * LAN Host Host #iptables t nat A POSTROUTING o ppp0 j MASQUERADE

41 DNAT Internet :80 NAT :80 Rete locale Server HTTP reale #iptables t nat A PREROUTING p tcp - dport 80 i eth0 j DNAT todestination DNAT (redirect) Internet eth Proxy trasparente eth LAN * Si vuole che tutte le richieste di servizi HTTP, da parte della rete locale, siano dirottati verso il proxy, sullo stesso computer che ospita il NAT, alla porta 8080 #iptables t nat A PREROUTING p tcp dport 80 i eth1 j REDIRECT to-port 8080

42 Bibliografia Rusty Russel, Linux 2.4 Packet filtering HOWTO HOWTO.html Rusty Russel, Linux 2.4 NAT HOWTO HOWTO.html Oskar Andreasson, Iptables tutorial Manpage di iptables

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Netfilter: utilizzo di iptables per

Netfilter: utilizzo di iptables per Netfilter: utilizzo di iptables per intercettare e manipolare i pacchetti di rete Giacomo Strangolino Sincrotrone Trieste http://www.giacomos.it delleceste@gmail.com Sicurezza delle reti informatiche Primi

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Iptables. Mauro Piccolo piccolo@di.unito.it

Iptables. Mauro Piccolo piccolo@di.unito.it Iptables Mauro Piccolo piccolo@di.unito.it Iptables Iptables e' utilizzato per compilare, mantenere ed ispezionare le tabelle di instradamento nel kernel di Linux La configurazione di iptables e' molto

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Cosa si intende per sicurezza di rete Accesso a sistemi, servizi e risorse solo da e a persone autorizzate Evitare di essere

Dettagli

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Marco Papa (marco@netstudent.polito.it) NetStudent Politecnico di Torino 04 Giugno 2009 Marco (NetStudent) Firewalling in GNU/Linux

Dettagli

TCP e UDP, firewall e NAT

TCP e UDP, firewall e NAT Università di Verona, Facoltà di Scienze MM.FF.NN. Insegnamento di Reti di Calcolatori TCP e UDP, firewall e NAT Davide Quaglia Scopo di questa esercitazione è: 1) utilizzare Wireshark per studiare il

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

esercizi su sicurezza delle reti 2006-2008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti esercizi su sicurezza delle reti 20062008 maurizio pizzonia sicurezza dei sistemi informatici e delle reti 1 supponi i fw siano linux con iptables dai una matrice di accesso che esprima la policy qui descritta

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Router(config)# access-list access-list number {permit deny} {test-conditions}

Router(config)# access-list access-list number {permit deny} {test-conditions} 1. Definire la ACL con il seguente comando: Router(config)# access-list access-list number {permit deny} {test-conditions} Dalla versione 11.2 del Cisco IOS si può utilizzare un nome al posto del numero

Dettagli

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28 Viene proposto uno script, personalizzabile, utilizzabile in un firewall Linux con 3 interfacce: esterna, DMZ e interna. Contiene degli esempi per gestire VPN IpSec e PPTP sia fra il server stesso su gira

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

Kernel Linux 2.4: firewall 1985

Kernel Linux 2.4: firewall 1985 Kernel Linux 2.4: firewall 1985 Mark Grennan, Firewalling and Proxy Server HOWTO Peter Bieringer, Linux IPv6 HOWTO

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall

Concetto di regola. Sommario. Che cos è un Firewall? Descrizione di un Firewall. Funzione del Firewall IPFW su Linux Sommario Corso di Sicurezza su Reti prof. Alfredo De Santis Anno accademico 2001/2002 De Nicola Dario 56/100081 Milano Antonino 56/01039 Mirra Massimo 56/100382 Nardiello Teresa Eleonora

Dettagli

Corso avanzato di Reti e sicurezza informatica

Corso avanzato di Reti e sicurezza informatica Corso avanzato di Reti e sicurezza informatica http://www.glugto.org/ GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 1 DISCLAIMER L'insegnante e l'intera associazione GlugTo non si assumono

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Il sistema operativo multifunzionale creato da Fulvio Ricciardi www.zeroshell.net lan + dmz + internet ( Autore: massimo.giaimo@sibtonline.net

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

FIREWALL iptables V1.1 del 18/03/2013

FIREWALL iptables V1.1 del 18/03/2013 FIREWALL iptables V1.1 del 18/03/2013 1/18 Copyright 2013 Dott.Ing. Ivan Ferrazzi Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License,

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Proteggere la rete: tecnologie

Proteggere la rete: tecnologie Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Proteggere la rete: tecnologie Alessandro Reina Aristide Fattori

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Sicurezza delle reti 1

Sicurezza delle reti 1 delle delle 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it I Firewall Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@di.unipi.it Cos è un firewall Un firewall è un sistema, nel senso più ampio del termine, che ha lo scopo di controllare

Dettagli

Firewall: concetti di base

Firewall: concetti di base : concetti di base Alberto Ferrante OSLab & ALaRI, Facoltà d informatica, USI ferrante@alari.ch 4 giugno 2009 A. Ferrante : concetti di base 1 / 21 Sommario A. Ferrante : concetti di base 2 / 21 A. Ferrante

Dettagli

User. Group Introduzione ai firewall con Linux

User. Group Introduzione ai firewall con Linux Introduzione ai firewalls Mauro Barattin e Oriano Chiaradia Introduzione Introduzione ai firewall Perché proteggersi Cosa proteggere con un firewall Approcci pratici alla sicurezza Definizione di firewall

Dettagli

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL Docente: Barbara Masucci Vedremo Cosa sono i Firewall Cosa fanno i Firewall Tipi di Firewall Due casi pratici: 1. IPCHAIN Per Linux 2. ZONE ALARM Per Windows 1 2 Introduzione Perché un Firewall? Oggi esistono

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables.

Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables. Sommario Firewall con iptables Fabio Trabucchi - Giordano Fracasso 5 Febbraio 2005 Diario delle revisioni Revisione 0.2 7 Febbraio 2005 fabio.trabucchi@studenti.unipr.it giordano.fracasso@studenti.unipr.it

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

Reti locali e architetture firewall

Reti locali e architetture firewall Reti locali e architetture firewall Gianni Bianchini giannibi@dii.unisi.it Master in Economia digitale & E-business Centro per lo studio dei sistemi complessi - Università di Siena Giugno 2004 (C) 2004

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI FIREWALL VPN RETI PRIVATE VIRTUALI: ACCESSO REMOTO Fondazione dell'ordine degli Ingegneri della Provincia di Milano Commissione per l'ingegneria dell'informazione ing. Gianluca Sironi FIREWALL: LA PROTEZIONE

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

ACCESS LIST. Pietro Nicoletti www.studioreti.it

ACCESS LIST. Pietro Nicoletti www.studioreti.it ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

CREA IL TUO SERVER CASALINGO

CREA IL TUO SERVER CASALINGO LINUX DAY 2008 PESCARALUG CREA IL TUO SERVER CASALINGO sottotitolo: FAI RIVIVERE IL TUO BANDONE GRAZIE A LINUX DUE DESTINI POSSIBILI: 1) Se avete hardware vecchio e/o rotto e volete liberarvene, telefonate

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Access Control List (I parte)

Access Control List (I parte) - Laboratorio di Servizi di Telecomunicazioni Access Control List (I parte) Indice Cosa sono le ACL? Interfacce Inbound & Outbound Wildcard mask Configurare una ACL standard ACL extended Named ACL Posizionamento

Dettagli

Dal protocollo IP ai livelli superiori

Dal protocollo IP ai livelli superiori Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

I firewall. I firewall

I firewall. I firewall I firewall Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di

Dettagli

FIREWALLING, CONFIGURAZIONI E NETFILTER Corso di Sicurezza e Gestione delle reti

FIREWALLING, CONFIGURAZIONI E NETFILTER Corso di Sicurezza e Gestione delle reti FIREWALLING, CONFIGURAZIONI E NETFILTER Corso di Sicurezza e Gestione delle reti LEONARDO MACCARI: LEONARDO.MACCARI@UNIFI.IT LART - LABORATORIO DI RETI E TELECOMUNICAZIONI DIPARTIMENTO DI ELETTRONICA E

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com Besnate, 24 Ottobre 2009 Oltre il Firewall Autore: Gianluca pipex08@gmail.com Cos'è un firewall i FIREWALL sono i semafori del traffico di rete del nostro PC Stabiliscono le regole per i pacchetti che

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

sicurezza delle reti (metodi crittografici esclusi) 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

sicurezza delle reti (metodi crittografici esclusi) 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti sicurezza delle reti (metodi crittografici esclusi) 1 classificazione degli attacchi sorgente di informazioni sorgente di informazioni sorgente di informazioni flusso normale destinatario destinatario

Dettagli

Il Mondo delle Intranet

Il Mondo delle Intranet Politecnico di Milano Advanced Network Technologies Laboratory Il Mondo delle Intranet Network Address Translation (NAT) Virtual Private Networks (VPN) Reti Private e Intranet EG sottorete IG IG rete IG

Dettagli

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Networking NAT 1 Sommario L indirizzamento privato e pubblico I meccanismi di address

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività

In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX. Imparare a NATTARE la connetività 1 MSACK::Hacklab msack.c4occupata.org In questo Workshop: Settare il networking di base sulla nostra macchina GNU/LINUX Imparare a NATTARE la connetività Configurare la nostra piccola workstation come

Dettagli

Transparent Firewall

Transparent Firewall Transparent Firewall Dallavalle A. Dallavalle F. Sozzi 18 Febbraio 2006 In un sistema operativo Linux con un kernel aggiornato alla versione 2.6.x è possibile realizzare un transparent firewall utilizzando

Dettagli

CAPITOLO 1 PANORAMICA SUI PROBLEMI DI SICUREZZA

CAPITOLO 1 PANORAMICA SUI PROBLEMI DI SICUREZZA INTRODUZIONE INTRODUZIONE Quando un PC è connesso ad internet esso diventa, a tutti gli effetti, un nodo della rete. Il sistema connesso, può esporre dei servizi di rete, cioè delle applicazioni che hanno

Dettagli

Realizzazione e gestione di Local Area Network

Realizzazione e gestione di Local Area Network Realizzazione e gestione di Local Area Network Ceracchi Fabiana Mansi Luigi Tutor Angelo Veloce NETWORK La rete è un insieme di sistemi per l elaborazione delle informazioni messi in comunicazione tra

Dettagli

Autenticazione ed integrità dei dati Firewall

Autenticazione ed integrità dei dati Firewall Pagina 1 di 9 Autenticazione ed integrità dei dati Firewall Per proteggere una rete dagli attacchi provenienti dall'esterno si utilizza normalmente un sistema denominato Firewall. Firewall è un termine

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Antonio Cianfrani. Extended Access Control List (ACL)

Antonio Cianfrani. Extended Access Control List (ACL) Antonio Cianfrani Extended Access Control List (ACL) Extended ACL (1/4) Le ACL Extended sono molto spesso usate più delle standard perché offrono un controllo decisamente maggiore Le ACL Extended controllano

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Rusty Russell v1.0.8, Tue Jul 4 14:20:53 EST 2000. 1 Introduzione 3. 2.1 Cos è?... 4 2.2 Perché?... 5. 1.3 Come?... 4 1.4 Dove?...

Rusty Russell v1.0.8, Tue Jul 4 14:20:53 EST 2000. 1 Introduzione 3. 2.1 Cos è?... 4 2.2 Perché?... 5. 1.3 Come?... 4 1.4 Dove?... Linux IPCHAINS HOWTO Rusty Russell v1.0.8, Tue Jul 4 14:20:53 EST 2000 Questo documento intende descrivere come ottenere, installare e configurare il software di enhanced IP firewalling chains per Linux,

Dettagli

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso Università degli Studi di Parma - Facoltà di Ingegneria Corso di Sicurezza nelle reti a.a. 2009/2010 Soluzioni dei quesiti sulla seconda parte del corso 1) Si consideri lo schema di rete rappresentato

Dettagli

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy Firewall Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy preparata da: Cataldo Basile (cataldo.basile@polito.it) Andrea Atzeni (shocked@polito.it)

Dettagli

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto

Dettagli

Problematiche di Sicurezza in Ambiente Linux

Problematiche di Sicurezza in Ambiente Linux ALESSIA CIRAUDO Problematiche di Sicurezza in Ambiente Linux Progetto Bari-Catania: Buone Prassi Integrative tra Università e Impresa FlashC om Durata: 2 mesi Tutor aziendale: Vincenzo Mosca Collaboratore

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Uso di sniffer ed intercettazione del traffico IP

Uso di sniffer ed intercettazione del traffico IP Uso di sniffer ed intercettazione del traffico IP Massimo Bernaschi Istituto per le Applicazioni del Calcolo Mauro Picone Consiglio Nazionale delle Ricerche Viale del Policlinico, 137-00161 Rome - Italy

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2008 Il bollettino può essere

Dettagli

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport. ICMP Application Presentation Session Transport Telnet FTP SMTP SNMP TCP e UDP NFS XDR RPC Network Data Link Physical OSI ICMP ARP e RARP IP Non Specificati Protocolli di routing Internet Protocol Suite

Dettagli