RETI DI CALCOLATORI II

Транскрипт

1 RETI DI CALCOLATORI II Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI Facoltà di Ingegneria Università degli Studi di Udine 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 1

2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori prof. Pier Luca Montessoro e ing. Davide Pierattoni, Università degli Studi di Udine. Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione. Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampe) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L autore non assume alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste slide. In ogni caso questa nota di copyright e il suo richiamo in calce ad ogni slide non devono mai essere rimossi e devono essere riportati anche in utilizzi parziali Pier Luca Montessoro (si veda la nota a pagina 2) 2

3 Sicurezza applicata in rete 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 3

4 Argomenti della lezione Firewall e filtraggio del traffico Proxy e application gateway Servizi pubblici e DMZ 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 4

5 Aspetti di sicurezza 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 5

6 Extranet Servizi di rete per clienti e fornitori basati su Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 6

7 Extranet Permette a operatori esterni di accedere alle risorse elaborative dell azienda Database interni Software amministrativi e gestionali Sistemi per e-commerce 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 7

8 Extranet Intranet aziendale server Web, SMTP Access Router router Rete dell ISP Cliente Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 8

9 Extranet Intranet aziendale server Web, SMTP Access Router router Fornitore Rete dell ISP Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 9

10 Per gestire i servizi extranet: È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 10

11 Extranet Intranet aziendale server Web, SMTP Access Router router Rete dell ISP Intruder Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 11

12 Firewall Collega una rete fidata a una rete considerata non sicura Combina dispositivi hardware e funzionalità software Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 12

13 Internet ed intranet Internet Untrusted network intranet firewall Trusted network 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 13

14 Firewall: obiettivi Bloccare il traffico indesiderato proveniente dall esterno Lasciare passare solo i flussi fidati, strettamente necessari ai servizi aziendali Impedire eventi maligni che possono celarsi all interno dei flussi fidati 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 14

15 I firewall in pratica Internet intranet firewall 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 15

16 I firewall in pratica Internet intranet firewall 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 16

17 Firewall: funzionalità Packet filter Analizza l header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto Blocca i pacchetti in base a regole definite a priori dall amministratore di rete È disponibile su alcuni router 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 17

18 Firewall: funzionalità Stateful inspection Effettua un analisi dei flussi in tempo reale Intercetta violazioni dei parametri di protocollo ai vari livelli Ispeziona anche le informazioni scambiate a livello di applicazione 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 18

19 Firewall: esempio di funzionamento 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 19

20 Firewall: esempio NAT e firewall Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti Blocco dei pacchetti in base a regole definite a priori dall amministratore di rete mediante Access Control List Il filtraggio avviene in modo bidirezionale 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 20

21 Firewall firewall Internet intranet L host (client) deve contattare un server web su Internet Pier Luca Montessoro (si veda la nota a pagina 2) 21

22 Firewall firewall Internet intranet Il client invia al default router un pacchetto IP avente: SIP SPort 30231/TCP DIP DPort 80/TCP Pier Luca Montessoro (si veda la nota a pagina 2) 22

23 Firewall firewall Internet intranet Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) Pier Luca Montessoro (si veda la nota a pagina 2) 23

24 ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP /TCP F /TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 24

25 Firewall firewall Internet intranet Il router/firewall accetta il pacchetto NAT e inoltro al destinatario Pier Luca Montessoro (si veda la nota a pagina 2) 25

26 Firewall firewall Internet intranet Il server risponde alla richiesta di connessione del client Pier Luca Montessoro (si veda la nota a pagina 2) 26

27 Firewall firewall Internet intranet Il server risponde al client con un pacchetto avente: SIP SPort 80/TCP DIP DPort 1024/TCP Pier Luca Montessoro (si veda la nota a pagina 2) 27

28 Firewall firewall Internet intranet Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) Pier Luca Montessoro (si veda la nota a pagina 2) 28

29 ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP /TCP F /TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 29

30 Firewall firewall Internet intranet Il router/firewall applica la traduzione (NAT) e il client riceve correttamente il pacchetto Pier Luca Montessoro (si veda la nota a pagina 2) 30

31 Firewall firewall Internet intranet Il client invia al default router un pacchetto IP avente: SIP SPort 30232/TCP DIP DPort 80/TCP Pier Luca Montessoro (si veda la nota a pagina 2) 31

32 Filtraggio firewall Internet intranet Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) Pier Luca Montessoro (si veda la nota a pagina 2) 32

33 ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP /TCP F /TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 33

34 Filtraggio firewall Internet intranet Il router/firewall blocca il pacchetto e invia al client un pacchetto ICMP Destination Unreachable Pier Luca Montessoro (si veda la nota a pagina 2) 34

35 Servizi protetti firewall Internet intranet Un client esterno invia una richiesta al server protetto 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 35

36 Servizi protetti firewall Internet intranet Il pacchetto possiede: SIP SPort 3200/TCP DIP DPort 80/TCP 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 36

37 ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP /TCP F /TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 37

38 Servizi protetti firewall Internet intranet Il router/firewall applica la traduzione (NAT) e inoltra il pacchetto al server interno 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 38

39 Proxy e application gateway 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 39

40 Application gateway Collega due segmenti di rete a livello di applicazione Riguarda il traffico uscente dalla rete aziendale Fa da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 40

41 Application gateway Il sistema maschera l origine del collegamento iniziale I client della rete interna accedono ai servizi su Internet soltanto attraverso il gateway Il gateway può autorizzare gli utenti in base a specifiche policy di accesso 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 41

42 Application gateway e servizi Servizi che possono essere filtrati mediante application gateway: HTTP FTP Telnet Posta elettronica (SMTP, POP3/IMAP) 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 42

43 Policy di accesso A fasce orarie IP black list: lista dei server riconosciuti come maliziosi Keyword list: elenco di termini vietati o non conformi 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 43

44 Policy di accesso Tipo di informazioni scambiate (file eseguibili, immagini ) Personalizzate per utente 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 44

45 Application gateway Internet intranet proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 45

46 MI SERVE Application gateway Internet intranet proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 46

47 Application gateway IEEE.COM E UN SITO FIDATO! Internet intranet proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 47

48 Application gateway Internet intranet html proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 48

49 Application gateway Internet 802.html intranet ECCOLO! proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 49

50 Application gateway MI SERVE Internet intranet html proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 50

51 Application gateway VIETATO! intranet Internet html proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 51

52 Firewall e DMZ 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 52

53 DMZ Zona demilitarizzata Porzione di rete a cavallo tra la rete protetta e Internet Separa i servizi pubblicamente accessibili da servizi e dati di natura privata 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 53

54 DMZ Servizi privati intranet Internet Host interni DMZ Servizi pubblici 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 54

55 DMZ Protected hosts intranet Inner firewall DMZ Internet Outer firewall Bastion host 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 55

56 DMZ I servizi pubblici risiedono su server collocati nella DMZ I servizi privati e gli host della rete interna sono protetti da due firewall I server della DMZ sono detti bastion host perché unici visibili (e attaccabili) dalla rete esterna 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 56

57 Sicurezza applicata in rete 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 57