RETI DI CALCOLATORI II

Похожие документы
Sicurezza applicata in rete

Sicurezza applicata in rete

Codifica dei numeri interi positivi e negativi

Cenni sull architettura protocollare TCP/IP

Codifica dei segnali audio

IL CABLAGGIO STRUTTURATO DI CATEGORIA 6

Introduzione alla programmazione strutturata

Scrivere il software. Scrivere il software. Interprete. Compilatore e linker. Fondamenti di Informatica

FONDAMENTI DI INFORMATICA. Prof. PIER LUCA MONTESSORO. Facoltà di Ingegneria Università degli Studi di Udine. Compressione audio

Input/output in C e in C++

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Metro VLAN Switch e standard 802.1ad

Internet and Intranet Access

Linguaggio C Struct e union

Tecniche di compressione senza perdita

NAT e PAT. Prof. Pier Luca Montessoro

Esercizi di Addressing. Fulvio Risso Guido Marchetto

HDLC e PPP. Silvano GAI

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

Firewall schema concettuale Principali livelli coinvolti

Progettazione delle dorsali in fibra ottica

Interconnessione di reti IP

Prof. Filippo Lanubile

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Progettazione di reti locali con switch di livello 3

Транскрипт:

RETI DI CALCOLATORI II Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI Facoltà di Ingegneria Università degli Studi di Udine 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 1

Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori prof. Pier Luca Montessoro e ing. Davide Pierattoni, Università degli Studi di Udine. Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione. Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampe) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L autore non assume alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste slide. In ogni caso questa nota di copyright e il suo richiamo in calce ad ogni slide non devono mai essere rimossi e devono essere riportati anche in utilizzi parziali. 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 2

Sicurezza applicata in rete 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 3

Argomenti della lezione Firewall e filtraggio del traffico Proxy e application gateway Servizi pubblici e DMZ 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 4

Aspetti di sicurezza 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 5

Extranet Servizi di rete per clienti e fornitori basati su Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 6

Extranet Permette a operatori esterni di accedere alle risorse elaborative dell azienda Database interni Software amministrativi e gestionali Sistemi per e-commerce 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 7

Extranet Intranet aziendale server Web, SMTP Access Router router Rete dell ISP Cliente Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 8

Extranet Intranet aziendale server Web, SMTP Access Router router Fornitore Rete dell ISP Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 9

Per gestire i servizi extranet: È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 10

Extranet Intranet aziendale server Web, SMTP Access Router router Rete dell ISP Intruder Internet 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 11

Firewall Collega una rete fidata a una rete considerata non sicura Combina dispositivi hardware e funzionalità software Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 12

Internet ed intranet Internet Untrusted network intranet firewall Trusted network 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 13

Firewall: obiettivi Bloccare il traffico indesiderato proveniente dall esterno Lasciare passare solo i flussi fidati, strettamente necessari ai servizi aziendali Impedire eventi maligni che possono celarsi all interno dei flussi fidati 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 14

I firewall in pratica Internet intranet firewall 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 15

I firewall in pratica Internet intranet firewall 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 16

Firewall: funzionalità Packet filter Analizza l header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto Blocca i pacchetti in base a regole definite a priori dall amministratore di rete È disponibile su alcuni router 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 17

Firewall: funzionalità Stateful inspection Effettua un analisi dei flussi in tempo reale Intercetta violazioni dei parametri di protocollo ai vari livelli Ispeziona anche le informazioni scambiate a livello di applicazione 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 18

Firewall: esempio di funzionamento 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 19

Firewall: esempio NAT e firewall Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti Blocco dei pacchetti in base a regole definite a priori dall amministratore di rete mediante Access Control List Il filtraggio avviene in modo bidirezionale 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 20

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 L host 192.168.1.1 (client) deve contattare un server web su Internet 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 21

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il client invia al default router un pacchetto IP avente: SIP 192.168.1.1 SPort 30231/TCP DIP 62.41.244.2 DPort 80/TCP 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 22

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 23

ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 62.41.244.2 80/TCP F 62.41.244.2 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 24

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall accetta il pacchetto NAT e inoltro al destinatario 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 25

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il server risponde alla richiesta di connessione del client 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 26

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il server risponde al client con un pacchetto avente: SIP 62.41.244.2 SPort 80/TCP DIP 158.109.1.253 DPort 1024/TCP 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 27

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 28

ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 62.41.244.2 80/TCP F 62.41.244.2 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 29

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall applica la traduzione (NAT) e il client riceve correttamente il pacchetto 62.41.244.2 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 30

Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il client invia al default router un pacchetto IP avente: SIP 192.168.1.1 SPort 30232/TCP DIP 212.15.15.26 DPort 80/TCP 212.15.15.26 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 31

Filtraggio 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) 212.15.15.26 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 32

ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 62.41.244.2 80/TCP F 62.41.244.2 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 33

Filtraggio 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall blocca il pacchetto e invia al client un pacchetto ICMP Destination Unreachable 212.15.15.26 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 34

Servizi protetti 192.168.1.100 192.168.1.254 firewall Internet intranet 158.109.1.253 212.14.15.26 Un client esterno invia una richiesta al server protetto 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 35

Servizi protetti 192.168.1.100 192.168.1.254 firewall Internet intranet 158.109.1.253 212.14.15.26 Il pacchetto possiede: SIP 212.14.15.26 SPort 3200/TCP DIP 158.109.1.253 DPort 80/TCP 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 36

ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 158.109.1.253 80/TCP F 192.168.1.100 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 37

Servizi protetti 192.168.1.100 192.168.1.254 firewall Internet intranet 158.109.1.253 212.14.15.26 Il router/firewall applica la traduzione (NAT) e inoltra il pacchetto al server interno 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 38

Proxy e application gateway 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 39

Application gateway Collega due segmenti di rete a livello di applicazione Riguarda il traffico uscente dalla rete aziendale Fa da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 40

Application gateway Il sistema maschera l origine del collegamento iniziale I client della rete interna accedono ai servizi su Internet soltanto attraverso il gateway Il gateway può autorizzare gli utenti in base a specifiche policy di accesso 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 41

Application gateway e servizi Servizi che possono essere filtrati mediante application gateway: HTTP FTP Telnet Posta elettronica (SMTP, POP3/IMAP) 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 42

Policy di accesso A fasce orarie IP black list: lista dei server riconosciuti come maliziosi Keyword list: elenco di termini vietati o non conformi 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 43

Policy di accesso Tipo di informazioni scambiate (file eseguibili, immagini ) Personalizzate per utente 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 44

Application gateway Internet intranet www.ieee.com proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 45

MI SERVE WWW.IEEE.COM/802.HTML Application gateway Internet intranet www.ieee.com proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 46

Application gateway IEEE.COM E UN SITO FIDATO! Internet intranet www.ieee.com proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 47

Application gateway Internet intranet www.ieee.com 802.html proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 48

Application gateway Internet 802.html intranet ECCOLO! www.ieee.com proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 49

Application gateway MI SERVE Internet WWW.CASINOONLINE.COM intranet www.ieee.com 802.html proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 50

Application gateway VIETATO! intranet Internet www.ieee.com 802.html proxy.azienda.net 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 51

Firewall e DMZ 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 52

DMZ Zona demilitarizzata Porzione di rete a cavallo tra la rete protetta e Internet Separa i servizi pubblicamente accessibili da servizi e dati di natura privata 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 53

DMZ Servizi privati intranet Internet Host interni DMZ Servizi pubblici 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 54

DMZ Protected hosts intranet Inner firewall DMZ Internet Outer firewall Bastion host 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 55

DMZ I servizi pubblici risiedono su server collocati nella DMZ I servizi privati e gli host della rete interna sono protetti da due firewall I server della DMZ sono detti bastion host perché unici visibili (e attaccabili) dalla rete esterna 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 56

Sicurezza applicata in rete 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 57

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back