Sicurezza applicata in rete

Транскрипт

1 Nota di Copyright RETI DI CALCOLATORI II Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI acoltà di Ingegneria Università degli Studi di Udine Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori prof. Pier Luca Montessoro e ing. Davide Pierattoni, Università degli Studi di Udine. Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione. Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampe) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L autore non assume alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste slide. In ogni caso questa nota di copyright e il suo richiamo in calce ad ogni slide non devono mai essere rimossi e devono essere riportati anche in utilizzi parziali Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 2 Argomenti della lezione e filtraggio del traffico Sicurezza applicata in rete Proxy e application gateway Servizi pubblici e DMZ 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 4 Extranet Aspetti di sicurezza Servizi di rete per clienti e fornitori basati su 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 6 1

2 Extranet Extranet Permette a operatori esterni di accedere alle risorse elaborative dell azienda Database interni Software amministrativi e gestionali Sistemi per e-commerce server Web, SMTP Intranet aziendale Access Router Rete dell ISP router Cliente 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 8 Extranet Per gestire i servizi extranet: server Web, SMTP Intranet aziendale Access Router Rete dell ISP router ornitore È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 10 Extranet server Web, SMTP Intranet aziendale Access Router Rete dell ISP router Collega una rete fidata a una rete considerata non sicura Combina dispositivi hardware e funzionalità software Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere Intruder 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 12 2

3 ed : obiettivi Trusted network Untrusted network Bloccare il traffico indesiderato proveniente dall esterno Lasciare passare solo i flussi fidati, strettamente necessari ai servizi aziendali Impedire eventi maligni che possono celarsi all interno dei flussi fidati 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 14 I in pratica I in pratica 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 16 : funzionalità Packet filter Analizza l header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto Blocca i pacchetti in base a regole definite a priori dall amministratore di rete È disponibile su alcuni router : funzionalità Stateful inspection Effettua un analisi dei flussi in tempo reale Intercetta violazioni dei parametri di protocollo ai vari livelli Ispeziona anche le informazioni scambiate a livello di applicazione 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 18 3

4 : esempio NAT e : esempio di funzionamento Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti Blocco dei pacchetti in base a regole definite a priori dall amministratore di rete mediante Access Control List Il filtraggio avviene in modo bidirezionale 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 20 L host (client) deve contattare un server web su Il client invia al default router un pacchetto IP avente: SIP SPort 30231/TCP DIP DPort 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 22 Il router/, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) ACL ACL table Src address Src port Dest address Dest port Rule /TCP /TCP B B = BLOCK = ORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 24 4

5 Il router/ accetta il pacchetto NAT e inoltro al destinatario Il server risponde alla richiesta di connessione del client 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 26 Il server risponde al client con un pacchetto avente: SIP SPort DIP DPort 1024/TCP Il router/, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 28 ACL ACL table Src address Src port Dest address Dest port Rule /TCP /TCP B B = BLOCK = ORWARD Il router/ applica la traduzione (NAT) e il client riceve correttamente il pacchetto 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 30 5

6 iltraggio Il client invia al default router un pacchetto IP avente: SIP SPort 30232/TCP DIP DPort Il router/, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 32 ACL ACL table Src address Src port Dest address Dest port Rule /TCP /TCP B B = BLOCK = ORWARD iltraggio Il router/ blocca il pacchetto e invia al client un pacchetto ICMP Destination Unreachable Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 34 Servizi protetti Servizi protetti Un client esterno invia una richiesta al server protetto Il pacchetto possiede: SIP SPort 3200/TCP DIP DPort 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 36 6

7 ACL ACL table Src address Src port Dest address Dest port Rule 00 /TCP /TCP B B = BLOCK = ORWARD Servizi protetti 00 Il router/ applica la traduzione (NAT) e inoltra il pacchetto al server interno Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 38 Collega due segmenti di rete a livello di applicazione Proxy e application gateway Riguarda il traffico uscente dalla rete aziendale a da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 40 Il sistema maschera l origine del collegamento iniziale I client della rete interna accedono ai servizi su soltanto attraverso il gateway Il gateway può autorizzare gli utenti in base a specifiche policy di accesso e servizi Servizi che possono essere filtrati mediante application gateway: HTTP TP Telnet Posta elettronica (SMTP, POP3/IMAP) 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 42 7

8 Policy di accesso Policy di accesso A fasce orarie IP black list: lista dei server riconosciuti come maliziosi Keyword list: elenco di termini vietati o non conformi Tipo di informazioni scambiate (file eseguibili, immagini ) Personalizzate per utente 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 44 MI SERVE Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 46 IEEE.COM E UN SITO IDATO! 802.html 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 48 8

9 MI SERVE html ECCOLO! 802.html 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 50 VIETATO! 802.html e DMZ 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 52 DMZ DMZ Zona demilitarizzata Porzione di rete a cavallo tra la rete protetta e Separa i servizi pubblicamente accessibili da servizi e dati di natura privata Servizi privati DMZ Host interni Servizi pubblici 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 54 9

10 DMZ DMZ Protected hosts Inner Outer DMZ Bastion host I servizi pubblici risiedono su server collocati nella DMZ I servizi privati e gli host della rete interna sono protetti da due I server della DMZ sono detti bastion host perché unici visibili (e attaccabili) dalla rete esterna 2010 Pier Luca Montessoro (si veda la nota a pagina 2) Pier Luca Montessoro (si veda la nota a pagina 2) 56 Sicurezza applicata in rete 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 57 10