POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR. Maurizio Aiello, Gianni Mezza e Silvio Scipioni
|
|
- Annalisa Bello
- 8 anni fa
- Visualizzazioni
Transcript
1 CONSIGLIO NAZIONALE DELLE RICERCHE COLLANA DI PUBBLICAZIONI DEL COMITATO DI GESTIONE DELLA RETE TELEMATICA NAZIONALE POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR (BASE SECURITY) a cura di Maurizio Aiello, Gianni Mezza e Silvio Scipioni 21 NOVEMBRE 2003 CDGNET TECHNICAL REPORT VERSIONE DEFINITIVA
2 INDICE INTRODUZIONE...1 FILTERING COS È E COME SI CONFIGURA...4 Informazioni generali sul filtering...4 Politiche di default...4 Applicazione delle regole di filtering ai router...5 NETWORK SECURITY: LIVELLO BASE...7 Configurazione del router per evitare DoS verso se stesso...7 Smurfing...7 Filtraggi sul router...8 Regole anti-spoofing...9 Regola per connessioni stabilite, sia in ingresso che in uscita...10 Land attack!...11 Condivisioni e debolezze di windows...11 Posta elettronica...12 Servizi da chiudere esplicitamente...13 Servizi non indispensabili...13 Conclusioni e suggerimenti di filtering...14 Politiche di filtering dei router delle sedi CNR ii
3 POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR (BASE SECURITY) INTRODUZIONE A chi è rivolto: destinatari di questo documento sono tutti i gestori di router delle sedi CNR connesse alla rete GARR. Prerequisiti: per l utilizzo di questo documento è necessaria la conoscenza delle procedure di avvio/arresto dei router, nonché la capacità di effettuare operazioni di normale manutenzione sui router, come la configurazione e relative operazioni sugli stessi. Tutti gli esempi riportati in questo documento riguardano Router cisco, fermo restando che la generalità delle situazioni proposte consente di effettuare ugualmente i filtraggi in altri ambienti a patto di modificare la sintassi dei comandi, utilizzando quelli previsti dal proprio dispositivo. Altro prerequisito è la conoscenza dei servizi Internet, smtp, http, telnet, ftp, etc. Di cosa parla questo documento: come effettuare un filtering corretto sui router che ci collegano ad Internet scegliendo un opportuna politica di sicurezza ed implementandola. Di cosa non parla questo questo documento: che cos e un firewall, architetture firewall, che cosa sono i servizi Internet, come si filtrano i virus attraverso un gateway di posta, come si rilevano gli attacchi di rete. Organizzazione del documento: inizialmente sono spiegati i concetti base del filtering, di tipo basic (normale), dopodiché sono proposte alcune possibili configurazioni su tre livelli: base, media ed avanzata. In questo documento ci occupiamo solamente della sicurezza di livello basso. La difficoltà non è legata a un effettiva complessità tecnica della configurazione proposta, ma all impatto che potrebbe avere sull utenza. Tale concetto sarà spiegato meglio in seguito, comunque potremmo dire che i livelli prevedono le seguenti problematiche: Difficoltà Impatto sull utenza Livello di sicurezza Bassa Media Alta Limitato, nel migliore dei casi non ci si accorge neanche di essere filtrati Alcuni utenti hanno l esigenza di avere regole create ad hoc allo scopo di poter lavorare L utente riesce ad utilizzare solo quello che gli è consentito, ovvero i servizi specificati nella politica di sicurezza Il minimo indispensabile, non evita le intrusioni di un hacker motivato, ma limita i danni causati ad esempio da worm e simili Può essere un giusto compromesso tra un buon livello di sicurezza e un basso carico di lavoro nella gestione del firewall Alto. Politiche di filtering dei router delle sedi CNR 1
4 Principi base di sicurezza Il primo principio della sicurezza è il minimo privilegio, ovvero la garanzia che all utenza venga data la possibilità di fare tutto quello che serve per lavorare e nient altro. Facendo un esempio tratto dalla vita di tutti i giorni a un cassiere di banca viene data la chiave della sua cassa, non viene dato un passe-partout che apre ogni cassa: in questo modo egli può svolgere il suo compito e non ha alcuna responsabilità in caso di ammanchi di denaro in altre casse. Il minimo privilegio dovrebbe quindi essere percepito come una facilitazione dall utente, che viene scaricato di responsabilità. In ambito networking il minimo privilegio consiste nel lasciar passare attraverso il router, e quindi nel far giungere ai propri Pc solo ed esclusivamente quei pacchetti tcp/ip relativi a protocolli noti e che sono di utilizzo, trascurando gli altri. Molte volte questo evento viene percepito come una privazione, da parte del tecnico che gestisce la rete o addirittura del responsabile della rete (access point administrator del GARR). Facciamo un esempio: è buona norma se desideriamo effettuare trasferimenti di files adottare le seguenti precauzioni: Scegliere un ftp server robusto, affidabile e sicuro Installarlo su una macchina che non contenga altri servizi critici per l utenza Aggiornare sempre il software (patch del Sistema Operativo e dell applicativo) Separare in maniera logica e fisica questa macchina dal resto della rete Ovviamente costringere tutti ad usare questo servizio per il trasferimento files, ovvero filtrare il protocollo ftp in entrata della nostra rete verso le altre macchine In questo caso dobbiamo porre enfasi sul fatto che il grosso lavoro che è stato svolto è un valore aggiunto per l utente, dal momento che egli è esposto in misura minore ad attacchi di hacker, non si deve preoccupare di installare e configurare un servizio ftp da solo e ne guadagna la sicurezza della rete nel suo complesso. Bisogna stare attenti a non far sembrare questa configurazione come creata ad hoc per controllare il traffico e/o la tipologia dei files scaricati, per imporre vincoli assurdi perché di fatto la rete è nostra e quindi si fa quello che diciamo noi, per aggiungere complessità ad una operazione di per sé banale e che noi cerchiamo di rendere complicata. In questo senso il filtering è quindi più una questione politica che non tecnica in senso stretto. La prima operazione da effettuare è quindi concordare una politica di sicurezza che sia sostenibile, ovvero scegliere i servizi necessari per la nostra rete e stabilire le modalità della loro erogazione, nel modo più semplice possibile per l utenza ed evitando eccessi. Tali eccessi infatti possono condurre a una fastidiosa guerra tra il gestore dell infrastruttura e lo studente o il ricercatore smaliziato che cercano scappatoie alle regole di utilizzo della rete. Una volta che la security policy è stata grossomodo individuata è necessario dargli ampia visibilità presso i referenti tecnici della nostra utenza in modo che possano essere effettuate le dovute segnalazioni/correzioni da parte loro. Possiamo scoprire cosí che la nostra utenza utilizza servizi che noi in fase iniziale non abbiamo considerato. Si consiglia pertanto di rendere visibili le regole di filtering ai responsabili informatici della nostra rete (periodicamente via mail ad esempio, oppure su un sito web accessibile solo ed esclusivamente alle persone sopraindicate). Considerazioni generali sul filtering e definizione delle politiche di sicurezza: Per definire una politica di sicurezza è sufficiente rispondere alla domanda: Che tipo di protocolli/connessioni sono utili per il mio lavoro e in che modo devo consentire queste connessioni? Il concetto quello che serve però è tutt altro che univoco, e a volte può portare a incomprensioni. I protocolli p2p come gnutella o DirectConnect sono sicuramente pericolosi dal punto di vista del system administrator e quindi la domanda che ci poniamo e : Sono effettivamente utili o li possiamo disabilitare attraverso il firewall?. Maggiore è il livello di sicurezza che intendiamo implementare e maggiori saranno le richieste particolari degli utenti, come conseguenza della rigorosa applicazione del principio del minimo privilegio. La difficoltà consiste nel trovare la giusta via di mezzo, la politica che garantisce un livello di sicurezza adeguato e la giusta soddisfazione dell utenza (con buona pace del gestore che non viene subissato di richieste). In definitiva oltre alla domanda relativa a quali tipi di Politiche di filtering dei router delle sedi CNR 2
5 protocolli sono ritenuti sicuri o meno bisogna anche fare i conti con la domanda: Che tipo di protocolli/connessioni sono in grado di filtrare bilanciando le richieste degli utenti e l interesse in questo problema da parte del management (Direttore dell Istituto/dell Area etc.)? Nuovamente bisogna ricordare che il filtering è un azione non esclusivamente tecnica. Politiche di filtering dei router delle sedi CNR 3
6 FILTERING COS È E COME SI CONFIGURA Informazioni generali sul filtering Effettuare un operazione di filtering sui pacchetti entranti/uscenti nella/dalla nostra Lan significa controllare il pacchetto ed ispezionarlo al suo interno per vedere di che tipo sia, e se sia conforme alla nostra politica di sicurezza. Se il pacchetto è di tipo consentito allora esso viene fatto transitare da una interfaccia all altra del router, mediante il routing, altrimenti viene scartato (eventualmente effettuando anche il logging). Esistono altri metodi di filtering che utilizzano bridging firewall, firewall NIC embedded oppure firewall locali installati su macchine singole, ma in questa sede non li consideriamo. La granularità delle regole di filtering è a livello di protocollo, scegliendo ad esempio tra TCP, UDP, ICMP, e IP. Nell ambito di un certo protocollo, ad esempio TCP, abbiamo la possibilità di specificare una porta e quindi un servizio (es. porta 25 = smtp = posta elettronica), anche se questa corrispondenza non è sempre biunivoca (es. nel caso di ftp le porte coinvolte sono due, la 20 e la 21). Inoltre è possibile inserire in una regola di filtering anche l indirizzo ip di una macchina o di una classe di macchine, in modo da costruire regole di una certa complessità. Politiche di default Ogni qualvolta si sceglie una serie di regole di filtraggio è anche fondamentale determinare la politica di default, ovvero decidere cosa fare con i pacchetti che non rientrano in nessuna delle regole predefinite. Ci sono due possibili opzioni: Default permit: utilizzando questa politica il set di regole viene scelto in modo tale da vietare esplicitamente i protocolli o gli host considerati pericolosi; un eventuale pacchetto che non rientra in questa categoria viene considerato buono e quindi lasciato passare (non filtrato). Esempio: Vieta il passaggio di NFS, di telnet e di ftp provenienti dall esterno, e lascia passare tutto il resto. Conseguenze: viene consentito ad esempio gnutella, pop e imap e quant altro non esplicitamente vietato. Default deny: il set di regole viene scelto in modo tale da consentire solo i protocolli o gli host ip o una combinazione host/protocollo considerati leciti in modo tale che un pacchetto che non rientra nelle specifiche da noi selezionate viene automaticamente scartato. Esempio: Consenti il traffico smtp verso il server di posta elettronica, consenti il traffico ssh entrante verso ogni host e vieta ogni altra cosa. Conseguenze: viene proibito il traffico ftp, nfs, telnet, gnutella pop e imap e quant altro. Ovviamente il primo approccio presenta un grado di sicurezza minore, ma soprattutto nella fase iniziale di creazione del firewall consente di avere meno problemi nell interazione con l utenza; viceversa la politica di default deny è più sicura ma implementa un firewall che necessita di grande manutenzione nell aggiornamento delle regole con il variare delle necessità dell utenza. È bene ricordare a questo punto che se io voglio utilizzare una politica del tipo: Voglio che i miei utenti possano fare qualsiasi cosa quando utilizzano un pc dalla Lan interna, mentre non voglio che user esterni si connettano alle mie macchine non è possibile consentire tutti i pacchetti uscenti dalla mia lan e proibire tutti i pacchetti entranti, dal momento che la comunicazione è ovviamente bidirezionale e quindi non consentire pacchetti in ingresso equivale a non consentire alcun tipo di comunicazione. A tal proposito si osservi la seguente figura che rappresenta una connessione di tipo http da un client appartenente alla LAN x ad un server ( Nella figura sono indicati l indirizzo sorgente e destinazione ip, nonché la porta sorgente/destinazione. Politiche di filtering dei router delle sedi CNR 4
7 Figura 1: connessione verso server http Applicazione delle regole di filtering ai router In tutti gli esempi che seguono ipotizziamo che ci sia una rete interna, detta Intranet e una rete esterna detta Internet. La realtà ovviamente può essere più complessa, ma i concetti espressi rimangono validi. Si ipotizza che il sistema di routing sia dotato di IOS Cisco. Va da sé che se si optasse per un altra piattaforma di routing sarebbe possibile riutilizzare gli esempi mostrati a patto di aggiornarne la sintassi. Caratteristica fondamentale dei sistemi di packet filtering è che il filtering si applica ad una determinata interfaccia e in una determinata direzione del traffico dati. Ad esempio avendo un router Cisco dotato di una seriale per il collegamento Wan e di 10 interfacce ethernet per collegare le varie Politiche di filtering dei router delle sedi CNR 5
8 Lan è possibile decidere a quale interfaccia si vuole applicare il set di regole: a una, all altra o a entrambe. In questo modo è possibile avere una granularità maggiore nella definizione delle aree protette dal firewall e nella creazione di livelli diversi di sicurezza (zona DMZ e zona interna). Normalmente per ogni interfaccia del router vengono scelti due insiemi di regole di filtering diversi, uno per i pacchetti entranti nell interfaccia (cioè che provengono dalla rete ed entrano nel router) e uno per quelli uscenti (che escono dal router e vanno verso la rete). È da notare che ad esempio un pacchetto http che proviene da un server esterno (come sia entrante nell interfaccia seriale del router e uscente dall interfaccia ethernet che collega i vari Pc di una certa Lan tra loro. È quindi fondamentale capire la direzione corretta dei pacchetti. La sintassi del filtering su router cisco viene data per nota, si ricordano solamente alcuni concetti principali: Le access-list avanzate sono identificate da un numero variabile da 100 a 199 Any significa ogni indirizzo, mentre host seguito da un indirizzo rappresenta la macchina identificata da quell indirizzo IP Nelle maschere che seguono un indirizzo ip il bit posto a 1 ha un significato di wildcard (esempio: vuol dire gli indirizzi internet ) La keyword log significa che ogni volta che la regola trova applicazione viene effettuato un log su un server syslog appositamente configurato La keyword permit o deny specifica se il pacchetto viene accettato dal router, oppure viene scartato. Normalmente il set delle regole di filtering viene applicato in maniera sequenziale, ovvero viene eseguita una serie di controlli sul pacchetto e non appena il pacchetto soddisfa una regola su questo viene eseguita l azione di permit o deny; infine si passa al pacchetto successivo. Per questo motivo è critico l ordine in cui vengono scritte le regole. Ad esempio: access-list 111 permit ip any any access-list 111 deny tcp any any eq 23 ha come effetto quello di far passare qualsiasi pacchetto (tcp, udp etc.) perché viene sempre applicata la prima regola, mentre la seconda (che ha come intento di non concedere l accesso in telnet alle macchine interne da parte di un esterno) non viene mai applicata. Per raggiungere lo scopo desiderato si deve utilizzare questo set: access-list 111 deny tcp any any eq 23 access-list 111 permit ip any any La seconda riga dell esempio rappresenta la politica di default (in questo caso default permit) e deve essere sempre aggiunta per chiarezza e per essere sicuri di ottenere l effetto voluto, in modo che ci sia sempre almeno una regola che soddisfi i pacchetti in transito. In caso non venga specificata allora viene applicato il default deny any any. Dal punto di vista pratico ci sono implicazioni molto importanti derivanti dal fatto che, ad esempio, é molto difficile aggiungere regole on the fly al router in quanto una eventuale regola verrebbe aggiunta in fondo al set e quindi verrebbe probabilmente ignorata in quanto sarebbe preceduta dalla politica di default, tipicamente un deny any any. Per questo motivo l approccio migliore per aggiungere regole di filtraggio consiste in: Eliminare il set attuale: sul router in modalità di configurazione da terminale (conf term) si dà il comando: no access-list 111. Si modifica il set di filtering su un pc dotato di tftp server, inserendo le nuove regole nel posto giusto; Politiche di filtering dei router delle sedi CNR 6
9 Si scarica la configurazione corretta sulla memoria volatile del router tramite copy tftp running-config Si controlla che effettivamente il filtraggio funzioni e quindi si salva in flash la configurazione mediante copy running-config startup-config Volendo si può aggiungere il comando no access-list 111 come prima riga del set di filtering, in modo che quando verrà scaricata tramite tftp la access-list, questa verrà prima distrutta e poi ricreata da zero. Questo ci consente di saltare il primo punto di questa checklist, passando direttamente al punto 2. Volendo si può anche inserire la keyword log in fondo a un filtro: in questo modo è possibile attivare il logging della regola (configurando un opportuno syslog via rete) e di conseguenza evidenziare quale regola determina l uscita dal flusso dei controlli. Lo scopo principale di questa azione è il debugging dei filtri o il controllo di eventuali attacchi a scopo intrusivo. È sempre buona norma inserire prima di ogni filtro un commento (realizzabile su Cisco mediante il carattere! all inizio della linea) che ricordi per quale scopo è stato inserito. Infatti a posteriori ci si può trovare con un insieme molto grosso di filtering e di difficile decodificazione senza gli opportuni commenti. NETWORK SECURITY: LIVELLO BASE In questa sezione ci occupiamo della definizione di access-list e di configurazioni particolari che hanno un basso impatto sull utenza: determinate acl (come le regole anti-spoofing) sono assolutamente trasparenti, altre hanno un effetto solo per particolari utenti che eseguono operazioni molto pericolose, come la condivisione di cartelle windows via internet, che quindi è meglio proibire (a meno di eccezioni molto rare). Configurazione del router per evitare DoS verso se stesso Di solito sono attivi alcuni servizi praticamente inutili (echo chargen, daytime, discard), tipici del mondo Unix e che un tempo servivano per attività di diagnostica come alternativa ad icmp. Ormai di fatto non vengono più utilizzati, se non dagli hacker per effettuare DoS verso il router stesso (saturandone la cpu) o verso altri siti usando appositi pacchetti ip spoofati (pacchetti con indirizzo origine contraffatto). Di conseguenza è sempre buona norma disabilitare questi servizi utilizzando i seguenti comandi nel file di configurazione: No service udp-small-server No service tcp-small-server No ip http server No ip source-route Inoltre é sempre meglio disabilitare anche l http server e i pacchetti ip che si dovessero presentare con le ip options settate (strict e loose source routing, ormai non più utilizzate). Smurfing Un attacco DoS molto usato soprattutto in passato è lo smurf attack, nel quale router mal configurati i ii vengono utilizzati come mezzo per mettere fuori servizio host vittime. Il funzionamento è semplice (vedi figura 2): un hacker invia un pacchetto ip di tipo icmp echo request (ping) che ha le seguenti caratteristiche: Destination ip address: un indirizzo di broadcast della lan ad es Source ip address: l indirizzo della vittima ad es (o anche un host esterno alla LAN) Politiche di filtering dei router delle sedi CNR 7
10 In questo modo il pacchetto viaggia in Internet verso la lan e quando arriva a destinazione tutti gli host di questa rete (destinatari del messaggio visto che è un broadcast) risponderanno con un icmp echo reply verso la vittima che sarà quindi sottoposto a un bombardamento di pacchetti di risposta. In questo modo l hacker ottiene un effetto moltiplicatore, ovvero per ogni pacchetto di attacco che invia viene generata una risposta da ogni host la quale viene inviata verso l obiettivo. Figura 2: smurf attack Per evitare questo problema è sufficiente configurare il nostro router in modo che non consenta il passaggio di pacchetti ip che abbiano come destination ip un indirizzo di broadcast: Interface ethernet No ip directed-broadcast Filtraggi sul router La nostra base di partenza è costituita, come al solito, da un router connesso da una parte ad Internet e dall altra alle nostre Lan; il set di filtri viene definito sull interfaccia seriale del collegamento Wan relativamente ai pacchetti provenienti da Internet. È sufficiente nella maggior parte dei casi effettuare il filtering solo per i pacchetti entranti poiché essendo la comunicazione bidirezionale basta interrompere un flusso per bloccare l intero canale. In ogni caso per gli esempi che seguono utilizzeremo la access-list 111 come filtro per i pacchetti entranti sul router, mentre per i pacchetti uscenti utilizzeremo la access-list 121 (quando necessaria). È importante notare che nelle regole della access-list 121 (traffico uscente), per ogni riga che descrive un filtraggio, il primo blocco di indirizzi di solito sarà appartenente alla rete interna, mentre il secondo blocco sarà un indirizzo di Internet. Politiche di filtering dei router delle sedi CNR 8
11 In tutti gli esempi successivi ipotizziamo che si debba proteggere una rete di classe C ( x) collegata ad Internet mediante un router Cisco. Per applicare gli esempi alle singole realtà del CNR sarà necessario modificare gli indirizzi IP in accordo con le proprie reti. Per conoscere tutte le corrispondenze tra il numero di porta (tcp/udp) e servizio Internet corrispondente è sufficiente andare sul sito iana (Internet Assigned Numbers Authority) per trovare l elenco completo. Tutte le regole descritte qui di seguito dovrebbero essere abbastanza generali per essere utilizzabili in molti contesti reali in ambito CNR, ma è evidente che la corretta applicazione di quanto riportato non puó prescindere da un attento studio della topologia della propria rete e dei servizi erogati alla propria utenza. È possibile quindi che il set di regole sia applicabile cosí com è alla propria realtà ma ciò non è garantito. Dal momento che il livello di sicurezza scelto è il minimo indispensabile, la politica adottata è quella di default permit. Come pratica generale è consigliabile applicare pochi filtri per volta, controllando poi l esito dell operazione e aggiungendo altri filtri in maniera graduale. Definiamo ora l access-list 111 come il set dei filtri da applicare ai pacchetti entranti nell interfaccia seriale di collegamento ad Internet, mentre l access-list 121 come il set dei filtri da applicare ai pacchetti uscenti. interface Serial0/0 description Prima linea ip address ip access-group 111 in ip access-group 121 out bandwidth 2048 Prima e ultima riga del filtro 111: no access-list access-list 111 permit ip any any Prima e ultime righe del filtro 121: no access-list access-list 121 permit ip any access-list 121 deny ip any any default permit \ anti-spoofing e / default permit Regole anti-spoofing È ovvio che i pacchetti provenienti dall esterno dovrebbero avere indirizzo ip diverso dalla lan interna; specularmente si puó dire per i pacchetti che provengono dalla lan, devono avere esclusivamente un indirizzo ip della lan stessa. Inoltre non è possibile che provengano dall esterno pacchetti con indirizzi di Lan riservate. Per questo motivo definiamo i seguenti filtri anti-spoofing: access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any e inoltre: Politiche di filtering dei router delle sedi CNR 9
12 access-list 121 permit ip any access-list 121 deny ip any any Naturalmente l ultima riga applica la politica di default deny, ed é indispensabile per garantire che dalla nostra rete non possano partire pacchetti con indirizzo ip falsificato (spoofed ip address) e appartenente ad una rete esterna. Ipotizzando che un hacker riesca a penetrare in un nostro sistema informatico, utilizzando pacchetti con indirizzi ip falsificati potrebbe utilizzare la nostra rete per portare attacchi ad altri sistemi: nel caso di un denial of service lo scopo sarebbe quello di bloccare qualche rete o qualche server. Mediante software disponibili con facilità in rete (ad es. synk4.c), utilizzando un indirizzo ip fasullo si possono lanciare syn flood DoS verso indirizzi ip qualsiasi. Se sul router non fossero presenti regole anti-spoofing per i pacchetti in uscita potremmo diventare degli inconsapevoli attaccanti di siti strategici (governativi, militari, etc.). Viceversa se non fossero presenti regole anti-spoofing per i pacchetti in ingresso potremmo essere vittime di attacchi DoS verso le nostre macchine, ad esempio mediante attacco di tipo echo-chargen. Potremmo chiederci perché il router non scarti automaticamente questi pacchetti chiaramente fasulli, ma questa domanda è sensata solo nell architettura utilizzata in esempio (una rete interna e internet dall altra parte); in realtà le cose potrebbero essere molto più complesse e ciò costringe il router ad effettuare il suo lavoro, che in mancanza di filtri opportuni è di forwardare i pacchetti da un interfaccia all altra (compresi quelli che noi riteniamo essere spoofati). Regola per connessioni stabilite, sia in ingresso che in uscita TCP Il primo pacchetto di ogni connessione di tipo TCP (resta escluso quindi ICMP e UDP) ha la caratteristica di non avere il bit ack settato, mentre dal secondo in poi (il secondo pacchetto è quello di risposta a seguito di una richiesta di connessione, vedi figura 2) tale bit è sempre settato. In altre parole, quando si tenta di iniziare una connessione manca il bit di ack: questo fatto ci consente di discriminare se un pacchetto che giunge al nostro router appartiene a una connessione già stabilita oppure no. Se una connessione è già stabilita (ack bit a 1) significa che in qualche modo il pacchetto ha già passato i requisiti richiesti dalla nostra politica di sicurezza, e quindi è inutile continuare a controllarlo. Politiche di filtering dei router delle sedi CNR 10
13 Figura 3: tcp three-way handshake Normalmente é vero che le connessioni iniziate dall esterno (tentativi di collegamento verso server della nostra Lan) devono superare controlli precisi mentre vengono consentite tutte le connessioni iniziate dall interno (collegamenti dei nostri utenti verso server Internet). Per i motivi sopraccitati consentiamo il transito dei pacchetti che entrano verso la nostra Lan e che hanno il bit di ack settato. Access-list 111 permit tcp any any estabilished Access-list 121 permit tcp any any estabilished Se posizioniamo questa regola all inizio della nostra acl la maggior parte dei pacchetti in arrivo verranno accettati subito, mentre il set di filtering sarà analizzato solo dai pacchetti di inizio connessione dall esterno verso l interno. Ciò aumenta tremendamente le performance delle operazioni di routing/filtering, svincolando quasi le prestazioni dalla lunghezza della access-list. UDP La mancanza di un ack bit non permette di utilizzare un metodo simile per UDP e quindi ci costringe ad adottare una delle seguenti politiche alternative se si intende effettuare filtering su tale protocollo: utilizzo di un firewall di tipo stateful che tenga traccia dello stato delle connessioni entranti/uscenti filtraggio completo del traffico udp (tranne che per qualche protocollo selezionato) libero traffico del traffico udp in ingresso/uscita, tranne che per qualche servizio selezionato Le prime due opzioni consentono una configurazione più sicura della rete, mentre la terza è da sconsigliare considerata la pericolosità di UDP (data la sua natura di protocollo connection-less). Nel definire il livello attuale di sicurezza (base) però utilizzeremo proprio quest ultima policy (vedi paragrafi successivi) dal momento che il nostro scopo è comunque di non provocare disservizi verso l utenza. Land attack! Il land attack è un attacco di DoS che consiste nel mandare verso un certo host un pacchetto tcp con il bit syn settato (inizio connessione) avente: dip (destination ip address) = host vittima sip (source ip address) = host vittima. Con pacchetti così forgiati alcune implementazioni deboli dello stack tcp/ip vanno in crash. Per evitare che questo accada sulle nostre interfacce seriali del router è necessario inserire un filtro del tipo: Access-list 111 deny ip <ser_ip> <ser_ip> Avendo indicato con ser_ip l indirizzo del/delle interfacce seriali del router Condivisioni e debolezze di windows I sistemi operativi windows in tutte le loro varianti sono noti per essere tra i sistemi operativi più deboli dal punto di vista della sicurezza. Periodicamente Internet viene invasa da nuovi worm e problemi correlati a bachi di questa famiglia di sistemi operativi. Politiche di filtering dei router delle sedi CNR 11
14 Per cercare di tamponare questi eventi è necessario impedire che la propria rete lasci aperte verso l esterno le porte tipicamente utilizzate da windows e notoriamente pericolose, ovvero quello che vanno dalla 135 alla 139, la 445 e la 593 access-list 111 deny tcp any any range access-list 111 deny udp any any range access-list 111 deny tcp any any eq 445 access-list 111 deny udp any any eq 445 access-list 111 deny tcp any any eq 593 access-list 111 deny udp any any eq 593 Impatto per l utenza: applicando questo filtro non sarà più possibile da Internet accedere a cartelle condivise nella nostra rete. Dal punto di vista pratico questo è un bene: infatti la maggior parte degli utenti condivide directory del proprio pc senza password, convinto che nessuno lo saprà mai e spinto dal fatto che è un modo molto comodo per trasferire i files tra pc. Purtroppo il meccanismo di Security through obscurity è reso del tutto inefficace dalla presenza su web di worm che usano queste debolezze iii e di efficacissimi port scanner e vulnerability scanner iv v Posta elettronica Un server di posta elettronica è una macchina che effettua due servizi: 1. riceve posta elettronica da un altro server e la salva in un database pronta per essere letta; 2. accetta da client richieste di invio di posta verso altri utenti La caratteristica 2. è notoriamente fonte di problemi, perché può permettere l invio di mail non richieste a sfondo pubblicitario. Questo è reso possibile dal fatto che se i server non sono configurati correttamente possono garantire accesso al servizio anche a persone non autorizzate. È noto infatti che i server di posta sono configurabili come open-relay, ovvero il server accetta di inviare posta per conto di ogni utente di Internet che ne fa richiesta. Ovviamente questa configurazione priva di controllo è assolutamente deprecabile in ambiti CNR, dal momento che è necessario controllare l accesso al server della posta mediante il meccanismo di controllo degli ip address. In particolare il nostro server di posta dovrà accettare di inviare posta seguendo la seguente configurazione di relaying: Destinatario interno Destinatario internet Mittente interno OK OK Mittente internet OK NO In linea di principio il protocollo smtp presenta queste problematiche perché è completamente privo di autenticazione basata su username e password, basando di fatto tutto il controllo sull indirizzo ip. Il problema non é tanto la complessità di realizzare una tale configurazione (o simile, a seconda della complessità della propria rete), quanto la proliferazione di server smtp nella propria rete, visto che normalmente l utente installa sul proprio pc con linux un server di posta senza preoccuparsi di configurarlo correttamente, o addirittura senza che neanche l utente ne sia a conoscenza. È pertanto necessario attivare un filtraggio sul router che consenta di accedere dall esterno soltanto a una o comunque poche macchine server di posta di cui conosciamo i gestori (nel senso che ci possiamo fidare della loro affidabilità) e che sappiamo abbiano configurato correttamente i server. Access-list 111 permit tcp any host server1_di_posta eq smtp Access-list 111 permit tcp any host server2_di_posta eq smtp Access-list 111 deny tcp any any eq smtp Prendiamo in considerazione la seguente ipotesi: se un hacker riuscisse ad effettuare un intrusione su una macchina di un nostro utente, potrebbe configurarla come server di posta e spedire messaggi di spam su Internet senza che noi ce ne possiamo accorgere. Questa situazione è molto insidiosa dal momento che è difficile da scovare se non effettuando sniffing sul cavo di rete. È consigliabile quindi Politiche di filtering dei router delle sedi CNR 12
15 mettere un filtro anche per spedire posta in Internet: solo i server autorizzati possono spedire direttamente messaggi verso altri server (in questo caso l invio di spam da parte di nostri utenti sarà facilmente individuabile mediante l analisi dei log dei server). Access-list 121 permit tcp host server1_di_posta any eq 25 Access-list 121 permit tcp host server2_di_posta any eq 25 Access-list 121 deny tcp any any eq 25 Impatto per l utenza: le access list in ingresso obbligano a ricevere la posta solo sui server di Istituto o di Area. Le access list in uscita obbligano a configurare il client ad utilizzare un smtp server predefinito. In definitiva non sono di limitazione alcuna per l utente. Servizi da chiudere esplicitamente Access-list 111 deny tcp any any eq 2049 (NFS) Access-list 111 deny udp any any eq 2049 (NFS) NFS è un protocollo noto per i suoi problemi inerenti a un autenticazione client/server non forte basata sull indirizzo IP o nome della macchina e conseguente esposizione ad attacchi di tipo ip spoofing o DNS cache poisoning. Peraltro l accesso a un filesystem da remoto puó condurre a scritture del file.rhosts nelle aree utente e quindi all esposizione di login remote tramite la suite R- Berkeley. Servizi non indispensabili I filtraggi indicati in questa parte del documento sono diversi rispetto a quanto visto finora. Seppur molto importanti i filtri indicati di seguito imporranno sicuramente delle limitazioni di utilizzo alla nostra Lan e alcuni servizi offerti/utilizzati dagli utenti potrebbero subire delle limitazioni. Per questo motivo si consiglia di adottare questi filtri solo in caso di effettiva conoscenza della realtà della propria rete locale. Le porte fino alla 1023 sono note, nel senso che ad ogni porta è associato un servizio Internet preciso. Le porte dalla 1024 in su invece sono utilizzate dai client e da server non noti (a parte qualche caso, come NFS che utilizza la 2049 tcp/udp o 6667 per i server irc). Per questo motivo se vogliamo filtrare più porte possibili relativamente ai servizi noti è necessario concentrarsi sulle porte da 1 a Per servizi non indispensabili intendiamo quelli che normalmente non sono utilizzati nel contesto di una rete di ricerca. Ovviamente puó succedere che qualche porta contenuta negli intervalli di seguito riportati sia veramente utilizzata: solo la conoscenza della realtà locale del sistemista di rete puó quindi stabilire se queste regole possono essere adattate alla propria situazione. I servizi che dobbiamo in generale mantenere per consentire l accesso dall esterno alla nostra rete: Servizio Porte ftp 20 e 21 Ssh 22 telnet 23 Smtp 25 Dns 53 http 80 Pop3 110 nntp 119 Ntp 123 imap 143 Snmp 161 https 443 Imaps 993 Spop3 995 Politiche di filtering dei router delle sedi CNR 13
16 Viceversa ci sono servizi che per la loro natura intrinsecamente insicura devono essere sicuramente filtrati, anche se causano un minimo disservizio all utenza (superabile, ad esempio sostituendo rsh con telnet o ssh): tftp 69 Finger 79 Suite R-berkeley X Irc Le porte dalla 1 alla 19 solitamente sono inutili e offrono solo servizi che venivano usati in passato per funzioni diagnostiche (chargen, echo), oppure informative (daytime) o del tutto inutili (discard). Per evitare problemi quindi è consigliabile filtrare tutte queste porte senza per altro arrecare alcun disservizio all utenza normale. Le porte indicate di seguito si possono normalmente filtrare, facendo attenzione a quanto scritto tra parentesi; inoltre la 69 tftp e la 79 finger sono effettivamente da proibire esplicitamente. Irc puó essere pericoloso dal momento che è possibile che i nostri server siano utilizzati come bouncer dei canali, ed è preferibile disabilitarlo. X11 presenta caratteristiche intrinseche che ne sconsigliano l utilizzo attraverso un firewall. Dal momento che in alcuni casi viene utilizzato per consentire la visualizzazione del display remoto di alcune macchine di calcolo o di simulazione si consiglia di consentirne l accesso solo da Reti note verso i calcolatori interessati. Access-list 111 deny tcp any any range 1 19 Access-list 111 deny udp any any range 1 19 Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range (da notare che in questo caso sono giá incluse parte delle regole del filtering di windows) Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range (attenzione a xdmcp-177) Access-list 111 deny tcp any any range (attenzione a xdmcp-177) Access-list 111 deny tcp any any range (ottimo filtrare windows, suite R- Berkeley ) Access-list 111 deny tcp any any eq 994 Access-lis 111 deny tcp any any range Access-list 111 deny tcp any any range (X11) Access-list 111 deny tcp any any range (IRC) Access-list 111 deny udp any any range Conclusioni e suggerimenti di filtering Per concludere di seguito sono riportate le regole suggerite da inserire nel file di configurazione del proprio router, in base a un ipotesi molto conservativa, ovvero cercando di limitare al massimo l impatto sull utenza (le porte basse dei Servizi non indispensabili sono filtrate solo fino alla 79, le successive sono selezionate singolarmente). Per approfondimenti e ulteriori regole di configurazione si consiglia la lettura dei seguenti documenti: (IOS Cisco) (JUNOS Juniper) No service udp-small-server Politiche di filtering dei router delle sedi CNR 14
17 No service tcp-small-server No ip http server No ip source-route Interface ethernet No ip directed-broadcast interface Serial0/0 description Prima linea ip address ip access-group 111 in ip access-group 121 out bandwidth 2048 no access-list 111 Access-list 111 permit tcp any any estabilished Access-list 111 deny tcp any any range 1 19 Access-list 111 permit tcp any host server1_di_posta eq smtp Access-list 111 permit tcp any host server2_di_posta eq smtp Access-list 111 deny tcp any any eq smtp Access-list 111 deny tcp any any range Access-list 111 deny tcp any any range (occhio a sql*net) access-list 111 deny tcp any any range access-list 111 deny tcp any any eq 445 Access-list 111 deny tcp any any range access-list 111 deny tcp any any eq 593 Access-list 111 deny tcp any any eq 2049 (NFS) Access-list 111 deny tcp any any range (X11) Access-list 111 deny tcp any any range (IRC) Access-list 111 deny udp any any range 1 19 Access-list 111 deny udp any any range Access-list 111 deny udp any any range access-list 111 deny udp any any range access-list 111 deny udp any any eq 445 Access-list 111 deny udp any any range access-list 111 deny udp any any eq 593 Access-list 111 deny udp any any eq 2049 (NFS) Access-list 111 deny udp any any range Access-list 111 deny ip <ser_ip> <ser_ip> access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 permit ip any any default permit no access-list 121 Access-list 121 permit tcp any any estabilished Access-list 121 permit tcp host server1_di_posta any eq 25 Access-list 121 permit tcp host server2_di_posta any eq 25 Access-list 121 deny tcp any any eq 25 access-list 121 deny tcp any any eq irc log access-list 121 deny tcp any any range log access-list 121 permit ip any access-list 121 deny ip any any \ anti-spoofing e / default permit Politiche di filtering dei router delle sedi CNR 15
18 i ii ftp://ftp.isi.edu/in-notes/rfc2644.txt iii iv v Politiche di filtering dei router delle sedi CNR 16
Elementi sull uso dei firewall
Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall
DettagliUniversità degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls
Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione
DettagliFirewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall
Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può
DettagliAntonio Cianfrani. Extended Access Control List (ACL)
Antonio Cianfrani Extended Access Control List (ACL) Extended ACL (1/4) Le ACL Extended sono molto spesso usate più delle standard perché offrono un controllo decisamente maggiore Le ACL Extended controllano
DettagliAccess Control List (I parte)
- Laboratorio di Servizi di Telecomunicazioni Access Control List (I parte) Indice Cosa sono le ACL? Interfacce Inbound & Outbound Wildcard mask Configurare una ACL standard ACL extended Named ACL Posizionamento
DettagliSicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall
I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della
DettagliProf. Filippo Lanubile
Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)
DettagliRouter(config)# access-list access-list number {permit deny} {test-conditions}
1. Definire la ACL con il seguente comando: Router(config)# access-list access-list number {permit deny} {test-conditions} Dalla versione 11.2 del Cisco IOS si può utilizzare un nome al posto del numero
DettagliProgettare un Firewall
Progettare un Firewall Danilo Demarchi danilo@cuneo.linux.it GLUG Cuneo Corso Sicurezza 2006 Concetti introduttivi Come pensare un Firewall Argomenti trattati I Gli strumenti del Firewall Gli strumenti
DettagliACCESS LIST. Pietro Nicoletti www.studioreti.it
ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright
DettagliAspetti di sicurezza in Internet e Intranet. arcipelago
Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi
DettagliFIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata
FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete
DettagliSicurezza applicata in rete
Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei
DettagliGuida di Pro PC Secure
1) SOMMARIO 2) ISTRUZIONI DI BASE 3) CONFIGURAZIONE 4) INFORMAZIONI AGGIUNTIVE 1) SOMMARIO Guida di Pro PC Secure Pro PC Secure è un programma che si occupa della protezione dagli attacchi provenienti
DettagliReti di Calcolatori 18-06-2013
1. Applicazioni di rete [3 pts] Si descrivano, relativamente al sistema DNS: Compito di Reti di Calcolatori 18-06-2013 a) i motivi per i quali viene usato; b) l architettura generale; c) le modalità di
DettagliSicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11
1 Mattia Lezione VIII: Sicurezza perimetrale Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi
DettagliNelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento
I protocolli del livello di applicazione Porte Nelle reti di calcolatori, le porte (traduzione impropria del termine port inglese, che in realtà significa porto) sono lo strumento utilizzato per permettere
DettagliDal protocollo IP ai livelli superiori
Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono
DettagliReti di Telecomunicazione Lezione 8
Reti di Telecomunicazione Lezione 8 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Livello di trasporto Programma della lezione relazione tra lo strato di trasporto e lo strato
DettagliSviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali
1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Introduzione In questa mini-guida illustreremo come realizzare un collegamento tramite VPN(Virtual Private Network) tra due FRITZ!Box, in modo da mettere in comunicazioni
DettagliProteggiamo il PC con il Firewall di Windows Vista
Proteggiamo il PC con il Firewall di Windows Vista Il momento in cui un computer è più a rischio e soggetto ad attacchi informatici, è quando è connesso a internet. Per proteggere il nostro PC ed evitare
DettagliMODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it
MODELLO CLIENT/SERVER Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it POSSIBILI STRUTTURE DEL SISTEMA INFORMATIVO La struttura di un sistema informativo
DettagliServizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti
20120300 INDICE 1. Introduzione... 3 2. Consultazione... 4 2.1 Consultazione Server Fidati... 4 2.2 Consultazione Servizi Client... 5 2.3 Consultazione Stato richieste... 5 3. Amministrazione... 6 3.1
DettagliAnalizziamo quindi in dettaglio il packet filtering
Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica
DettagliUna minaccia dovuta all uso dell SNMP su WLAN
Una minaccia dovuta all uso dell SNMP su WLAN Gianluigi Me, gianluigi@wi-fiforum.com Traduzione a cura di Paolo Spagnoletti Introduzione Gli attacchi al protocollo WEP compromettono la confidenzialità
Dettagli2.1 Configurare il Firewall di Windows
.1 Configurare il Firewall di Windows LIBRERIA WEB Due o più computer possono scambiare dati, informazioni o servizi di tipo diverso utilizzando una connessione. Quindi, spesso, ad una connessione fisica
DettagliFirewall, Proxy e VPN. L' accesso sicuro da e verso Internet
L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico
DettagliFirewall e Abilitazioni porte (Port Forwarding)
Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi
DettagliLe caselle di Posta Certificata attivate da Aruba Pec Spa hanno le seguenti caratteristiche:
1 di 6 05/01/2011 10.51 Supporto Tecnico Quali sono le caratteristiche di una casella di posta certificata? Come ricevere e consultare messaggi indirizzati alle caselle di posta certificata? Come posso
DettagliA intervalli regolari ogni router manda la sua tabella a tutti i vicini, e riceve quelle dei vicini.
Algoritmi di routing dinamici (pag.89) UdA2_L5 Nelle moderne reti si usano algoritmi dinamici, che si adattano automaticamente ai cambiamenti della rete. Questi algoritmi non sono eseguiti solo all'avvio
DettagliINTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.
Laurea in INFORMATICA INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 Dynamic Host Configuration Protocol fausto.marcantoni@unicam.it Prima di iniziare... Gli indirizzi IP privati possono essere
DettagliRETI DI COMPUTER Reti Geografiche. (Sez. 9.8)
RETI DI COMPUTER Reti Geografiche (Sez. 9.8) Riepilogo Reti lez precedente reti locali o LAN (Local Area Network): connette fisicamente apparecchiature su brevi distanze Una LAN è solitamente interna a
DettagliCon accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.
Tecnologie informatiche ACCESSO REMOTO CON WINDOWS Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica. Un esempio di tale servizio
DettagliSicurezza nelle reti
Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2
DettagliManuale per la configurazione di AziendaSoft in rete
Manuale per la configurazione di AziendaSoft in rete Data del manuale: 7/5/2013 Aggiornamento del manuale: 2.0 del 10/2/2014 Immagini tratte da Windows 7 Versione di AziendaSoft 7 Sommario 1. Premessa...
DettagliMac Application Manager 1.3 (SOLO PER TIGER)
Mac Application Manager 1.3 (SOLO PER TIGER) MacApplicationManager ha lo scopo di raccogliere in maniera centralizzata le informazioni piu salienti dei nostri Mac in rete e di associare a ciascun Mac i
DettagliSicurezza architetturale, firewall 11/04/2006
Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio
DettagliSicurezza delle reti 1
delle delle 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo
DettagliVADEMECUM TECNICO. Per PC con sistema operativo Windows XP Windows Vista - Windows 7
VADEMECUM TECNICO Per PC con sistema operativo Windows XP Windows Vista - Windows 7 1) per poter operare in Server Farm bisogna installare dal cd predisposizione ambiente server farm i due file: setup.exe
DettagliDistribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"
Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite" I dispositivi utilizzati si occupano di redistribuire la connettività nelle camere o in altri spazi prestabiliti
DettagliFIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway
FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione
DettagliStampe in rete Implementazione corretta
NETWORK PRINT SERVERS Articolo Stampe in rete Implementazione corretta Created: June 3, 2005 Last updated: June 3, 2005 Rev:.0 INDICE INTRODUZIONE 3 INFRASTRUTTURA DELLE STAMPE IN RETE 3. Stampa peer-to-peer
Dettagli2 Cent tips Router sicuri uso di uno sniffer
2 Cent tips Router sicuri uso di uno sniffer V Workshop GARR Roma 24-26 Nov 2003 Claudio Allocchio - GARR La Sicurezza? Ma ormai dovreste sapere già tutto o quasi http://www.garr.it/ws4/cecchini.pdf http://www.cert.garr.it/incontri/fi/
DettagliLA GESTIONE DELLE VISITE CLIENTI VIA WEB
LA GESTIONE DELLE VISITE CLIENTI VIA WEB L applicazione realizzata ha lo scopo di consentire agli agenti l inserimento via web dei dati relativi alle visite effettuate alla clientela. I requisiti informatici
DettagliCONTENT MANAGEMENT SY STEM
CONTENT MANAGEMENT SY STEM I NDI CE I NTRODUZI ONE Accesso al CMS 1) CONTENUTI 1.1 I nserimento, modifica e cancellazione dei contenuti 1.2 Sezioni, categorie e sottocategorie 2) UTENTI 3) UP LOAD FILES
DettagliReti di Telecomunicazione Lezione 6
Reti di Telecomunicazione Lezione 6 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Lo strato di applicazione protocolli Programma della lezione Applicazioni di rete client - server
DettagliIl Web Server e il protocollo HTTP
Corso PHP Parte 2 Il Web Server e il protocollo HTTP E un programma sempre attivo che ascolta su una porta le richieste HTTP. All arrivo di una richiesta la esegue e restituisce il risultato al browser,
DettagliConfigurazione client di posta elettronica per il nuovo servizio email. Parametri per la Configurazione dei client di posta elettronica
Configurazione client di posta elettronica per il nuovo servizio email Questa guida si prefigge lo scopo di aiutare gli utenti a configurare i propri client di posta elettronica. Sono elencati passi da
Dettagli3. Introduzione all'internetworking
3. Introduzione all'internetworking Abbiamo visto i dettagli di due reti di comunicazione: ma ce ne sono decine di tipo diverso! Occorre poter far comunicare calcolatori che si trovano su reti di tecnologia
DettagliCos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente
Cos'è una vlan Da Wikipedia: Una LAN virtuale, comunemente detta VLAN, è un gruppo di host che comunicano tra di loro come se fossero collegati allo stesso cablaggio, a prescindere dalla loro posizione
DettagliFirewall applicativo per la protezione di portali intranet/extranet
Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)
DettagliMANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA
MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA Fornitore: Publisys Prodotto: Intranet Provincia di Potenza http://www.provincia.potenza.it/intranet Indice 1. Introduzione... 3 2. I servizi dell Intranet...
DettagliObiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative
Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica
DettagliManuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise
Manuale Amministratore Legalmail Enterprise Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise Pagina 2 di 16 Manuale Amministratore Legalmail Enterprise Introduzione a Legalmail Enterprise...3
DettagliReti di Telecomunicazione Lezione 7
Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione
DettagliSistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano
Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano Sistemi di Antivirus CEFRIEL Politecnico di Milano Antivirus I sistemi di antivirus sono dei software che
DettagliStart > Pannello di controllo > Prestazioni e manutenzione > Sistema Oppure clic destro / Proprietà sull icona Risorse del computer su Desktop
Installare e configurare una piccola rete locale (LAN) Usando i Protocolli TCP / IP (INTRANET) 1 Dopo aver installato la scheda di rete (seguendo le normali procedure di Aggiunta nuovo hardware), bisogna
Dettagli2 Configurazione lato Router
(Virtual Private Network), è un collegamento a livello 3 (Network) stabilito ed effettuato tra due o più reti LAN attraverso una rete pubblica che non deve essere necessariamente Internet. La particolarità
DettagliLaboratorio di reti Relazione N 5 Gruppo 9. Vettorato Mattia Mesin Alberto
Laboratorio di reti Relazione N 5 Gruppo 9 Vettorato Mattia Mesin Alberto Virtual LAN Che cosa è una VLAN? Il termine Virtual LAN indica una serie di tecniche atte a separare un dominio di broadcast, di
DettagliConsiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica
Consiglio regionale della Toscana Regole per il corretto funzionamento della posta elettronica A cura dell Ufficio Informatica Maggio 2006 Indice 1. Regole di utilizzo della posta elettronica... 3 2. Controllo
Dettagli1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale
1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale Per poter accedere alla propria casella mail di Posta Elettronica Certificata è possibile utilizzare, oltre all'interfaccia
DettagliCrittografia e sicurezza delle reti. Firewall
Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni
DettagliIndirizzamento privato e NAT
Indirizzamento privato e NAT Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei
DettagliLa VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II
La VPN con il FRITZ!Box Parte II 1 Introduzione In questa mini-guida mostreremo com è possibile creare un collegamento su Internet tramite VPN(Virtual Private Network) tra il FRITZ!Box di casa o dell ufficio
Dettagli1) GESTIONE DELLE POSTAZIONI REMOTE
IMPORTAZIONE ESPORTAZIONE DATI VIA FTP Per FTP ( FILE TRANSFER PROTOCOL) si intende il protocollo di internet che permette di trasferire documenti di qualsiasi tipo tra siti differenti. Per l utilizzo
DettagliProtezione della propria rete
Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione
DettagliBanca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste
Banca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste versione 2.1 24/09/2015 aggiornamenti: 23-set-2015; 24-set-2015 Autore: Francesco Brunetta (http://www.francescobrunetta.it/)
DettagliMan-in-the-middle su reti LAN
Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle
DettagliL amministratore di dominio
L amministratore di dominio Netbuilder consente ai suoi clienti di gestire autonomamente le caselle del proprio dominio nel rispetto dei vincoli contrattuali. Ciò è reso possibile dall esistenza di un
DettagliFatti Raggiungere dal tuo Computer!!
Fatti Raggiungere dal tuo Computer!! Presentazione PcBridge è il modo rivoluzionario di accedere al proprio computer in qualsiasi momento e da qualsiasi luogo. Inserendo la penna usb OUT, Pcbridge permette
DettagliModulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress
Copyright Andrea Giavara wppratico.com Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress 1. Il pannello amministrativo 2. I dati importanti 3. Creare il database - Cpanel - Plesk
DettagliIl livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP
Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto
DettagliSicurezza e rispetto della privacy, finalmente non in conflitto.
Aylook e Privacy pag. 1 di 7 aylook, il primo sistema di videoregistrazione ibrida Privacy Compliant in grado di ottemperare alle richieste in materia di rispetto della privacy e dei diritti dei lavoratori.
DettagliFigura 1 Le Icone dei file di Excel con e senza macro.
18 Le macro Le macro rappresentano una soluzione interessante per automatizzare e velocizzare l esecuzione di operazioni ripetitive. Le macro, di fatto, sono porzioni di codice VBA (Visual Basic for Applications)
DettagliManuale Terminal Manager 2.0
Manuale Terminal Manager 2.0 CREAZIONE / MODIFICA / CANCELLAZIONE TERMINALI Tramite il pulsante NUOVO possiamo aggiungere un terminale alla lista del nostro impianto. Comparirà una finestra che permette
DettagliCreare una Rete Locale Lezione n. 1
Le Reti Locali Introduzione Le Reti Locali indicate anche come LAN (Local Area Network), sono il punto d appoggio su cui si fonda la collaborazione nel lavoro in qualunque realtà, sia essa un azienda,
DettagliNOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0
Prodotto Inaz Download Manager Release 1.3.0 Tipo release COMPLETA RIEPILOGO ARGOMENTI 1. Introduzione... 2 2. Architettura... 3 3. Configurazione... 4 3.1 Parametri di connessione a Internet... 4 3.2
DettagliLo scenario: la definizione di Internet
1 Lo scenario: la definizione di Internet INTERNET E UN INSIEME DI RETI DI COMPUTER INTERCONNESSE TRA LORO SIA FISICAMENTE (LINEE DI COMUNICAZIONE) SIA LOGICAMENTE (PROTOCOLLI DI COMUNICAZIONE SPECIALIZZATI)
DettagliATTIVAZIONE SCHEDE ETHERNET PER STAMPANTI SATO SERIE ENHANCED
ATTIVAZIONE SCHEDE ETHERNET PER STAMPANTI SATO SERIE ENHANCED Il collegamento normale delle schede Ethernet è eseguito installando la scheda e collegando la macchina al sistema. Di norma una rete Ethernet
DettagliINDIRIZZI IP AUTORIZZATI
INDIRIZZI IP AUTORIZZATI Brand Item Legrand 573992, 03565 MH200, MH200N BTicino F453, F453AV, F452, F452V www.myopen-legrandgroup.com 1 Document History Version Date Author 1.0.0 01/10/2010 My Open Staff
DettagliINDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP
INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP Un indirizzo IP è composto da 32 bit. Generalmente, per convenienza, è presentato in decimale: 4 ottetti (bytes) separati da un punto. Ogni rete fisica
DettagliFTP. Appunti a cura del prof. ing. Mario Catalano
FTP Appunti a cura del prof. ing. Mario Catalano Il protocollo FTP 1/2 Attraverso il protocollo FTP (File Transfer Protocol) è possibile trasferire uno o più files di qualsiasi tipo tra due macchine Tale
DettagliDOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO
Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Networking NAT 1 Sommario L indirizzamento privato e pubblico I meccanismi di address
DettagliSimulazione seconda prova Sistemi e reti Marzo 2016
Ipotesi progettuali Studio medico situato in un appartamento senza reti pre-esistenti con possibilità di cablaggio a muro in canalina. Le dimensioni in gioco possono far prevedere cavi non troppo lunghi
DettagliConfigurazione client di posta elettronica per il nuovo servizio email. Parametri per la Configurazione dei client di posta elettronica
Configurazione client di posta elettronica per il nuovo servizio email Questa guida si prefigge lo scopo di aiutare gli utenti a configurare i propri client di posta elettronica. Sono elencati passi da
DettagliAltro esempio di HTML
HTML (Hyper Text Markup Language) Linguaggio per descrivere una pagina di ipertesto Specifica come dovra apparire quando sara visualizzata, quali collegamenti contiene e dove portano Comando in HTML: riguarda
DettagliUDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing
a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it
DettagliNetwork Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale
Network Monitoring & Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale Nicholas Pocher Poker SpA - Settimo Torinese, Novembre 2013 1 Indice Il Network Monitoring:
DettagliPOLICY COOKIE Gentile visitatore,
POLICY COOKIE Gentile visitatore, GGS S.r.l. quale titolare del trattamento dei dati, desidera fornirle alcune informazioni sui cookies gestiti accedendo all indirizzo www.noly.it nel rispetto della Direttiva
DettagliIdentità e autenticazione
Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,
DettagliINTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO
INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32
DettagliDeterminare la grandezza della sottorete
Determinare la grandezza della sottorete Ogni rete IP possiede due indirizzi non assegnabili direttamente agli host l indirizzo della rete a cui appartiene e l'indirizzo di broadcast. Quando si creano
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliTECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI
TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI Confronto tra ISO-OSI e TCP/IP, con approfondimento di quest ultimo e del livello di trasporto in cui agiscono i SOCKET. TCP/IP
DettagliTitolare del trattamento dei dati innanzi descritto è tsnpalombara.it
Decreto Legislativo 196/2003 Codice in materia di protezione dei dati personali COOKIE POLICY La presente informativa è resa anche ai sensi dell art. 13 del D.Lgs 196/03 Codice in materia di protezione
DettagliMANUALE UTENTE Fiscali Free
MANUALE UTENTE Fiscali Free Le informazioni contenute in questa pubblicazione sono soggette a modifiche da parte della ComputerNetRimini. Il software descritto in questa pubblicazione viene rilasciato
DettagliExcel. A cura di Luigi Labonia. e-mail: luigi.lab@libero.it
Excel A cura di Luigi Labonia e-mail: luigi.lab@libero.it Introduzione Un foglio elettronico è un applicazione comunemente usata per bilanci, previsioni ed altri compiti tipici del campo amministrativo
DettagliMyFRITZ!, Dynamic DNS e Accesso Remoto
MyFRITZ!, Dynamic DNS e Accesso Remoto 1 Introduzione In questa mini-guida illustreremo come accedere da Internet al vostro FRITZ!Box in ufficio o a casa, quando siete in mobilità o vi trovate in luogo
Dettagli