Petra Internet Firewall Corso di Formazione

Documenti analoghi
Sicurezza applicata in rete

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

La sicurezza delle reti

Sicurezza nelle reti

Petra Firewall 2.8. Guida Utente

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Petra Firewall 3.1. Guida Utente

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza architetturale, firewall 11/04/2006

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Corso di recupero di sistemi Lezione 8

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Firewall e Abilitazioni porte (Port Forwarding)

Elementi sull uso dei firewall

Firewall applicativo per la protezione di portali intranet/extranet

SCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI. Fabrizio Cassoni Content Security Manager

Prof. Filippo Lanubile

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it

Gestione degli indirizzi

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

Corso avanzato di Reti e sicurezza informatica

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Guida all impostazione. Eureka Web

Sicurezza delle reti 1

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

2.1 Configurare il Firewall di Windows

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

Connessione di reti private ad Internet. Fulvio Risso

Access Control List (I parte)

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip:

Gestione degli indirizzi

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Dal protocollo IP ai livelli superiori

MyFRITZ!, Dynamic DNS e Accesso Remoto

Crittografia e sicurezza delle reti. Firewall

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

CLOUD AWS. #cloudaws. Community - Cloud AWS su Google+ Amazon Web Services. Amazon VPC (Virtual Private Cloud)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

NEXT-GEN USG: Filtri Web

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

NAS 224 Accesso remoto Configurazione manuale

Reti di Telecomunicazione Lezione 8

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

ALICE AMMINISTRAZIONE UTENTI WEB

Reti di Comunicazione e Internet

Il Web Server e il protocollo HTTP

Iptables. Mauro Piccolo

NEXT-GEN USG: Filtri Web

Lo scenario: la definizione di Internet

Indirizzamento privato e NAT

Simulazione seconda prova Sistemi e reti Marzo 2016

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Apparecchiature di Rete


azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Sicurezza a livello IP: IPsec e le reti private virtuali

Software Servizi Web UOGA

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Un firewall hardware a costo zero ALESSIO PORCACCHIA porcacchia.altervista.org porcacchia@bluebottle.

Prof. Mario Cannataro Ing. Giuseppe Pirrò

I pacchetti: Linux. Belluno. User. Group Introduzione ai firewalls con Linux. Firestarter 1.0. Guarddog Firewall Builder 2.0.

Inizializzazione degli Host. BOOTP e DHCP

Modulo 8. Architetture per reti sicure Terminologia

TeamPortal. Servizi integrati con ambienti Gestionali

Infrastrutture e Protocolli per Internet Laboratorio 5

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Modem Fibra (ONT) ALU I-240W-Q. Manuale Utente

Packet Filter in LINUX (iptables)

Linux e software libero nella P.A.: l'esperienza dell'i.z.s.a.m.

Reti di Calcolatori

Progettare un Firewall

Modulo Antivirus per Petra 3.3. Guida Utente

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

ADVANCED INNOVATIONS GUIDA ALLE IMPOSTAZIONI DEI DYNDNS INTEGRATI

ARP (Address Resolution Protocol)

Aspetti di sicurezza in Internet e Intranet. arcipelago

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 14 Settembre 2005, ore 9.00

TeamPortal. Servizi integrati con ambienti Gestionali

Filtraggio del traffico IP in linux

PROF. Filippo CAPUANI. Accesso Remoto

ANTISPAM PLAYNET (nuova Piattaforma) In questa piccola guida vogliamo mostrarvi come creare regole di BlackListe e Whitelist per

1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Dipartimento di Scienze Applicate

Esercitazione 5 Firewall

Tecnologie Informatiche. security. Rete Aziendale Sicura

Guida alla registrazione on-line di un DataLogger

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

RADIUS - ACCESSO DA TELNET E DA CONSOLE

Reti di Telecomunicazione Lezione 6

Protocolli applicativi: FTP

Transcript:

Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter, Proxies, Antispoofing Controllo del traffico La soluzione Petra Internet Firewall (Pif) Scenari di utilizzo di Pif e loro configurazione (Interfaccia Amministratore) Manutenzione ordinaria di Pif (Interfaccia Operatore): Controllo degli eventi di sicurezza L Intrusion Detection System (IDS) Personalizzazione degli scenari: Come creare nuovi filtri o modificare quelli predefiniti Uso avanzato delle opzioni proxy Aspetti di configurazione del routing Route statiche Masquerade e Forwarding in alternativa ai proxy

INTRODUZIONE AI FIREWALL nozioni fondamentali chiavi di lettura degli scenari Cos è un firewall un firewall è un sistema che ha lo scopo di controllare il traffico fra due o più reti: permettendo solo quello autorizzato dalla politica di sicurezza; rilevando e segnalando eventuali tentativi di violazione della politica di sicurezza; svolgendo eventualmente funzioni aggiuntive di auditing e accounting.

Perché installare un firewall per permettere l accesso ai sistemi o servizi di una rete protetta: agli utenti autorizzati ai sistemi autorizzati per permettere agli utenti e sistemi di una rete protetta di accedere ai sistemi e servizi di una rete non protetta: solo se il rischio è accettabile registrando le attività 5 Un tipico scenario Server di di Progetto (extranet) Separazione Separazione fra fra servizi, servizi, sistemi sistemi e e reti reti con con diversi diversi requisiti requisiti di di sicurezza sicurezza Rete Privata (intranet) FIREWALL Internet Servizi Pubblici (web,ftp,..) (dmz)

Vantaggi centralizzazione della politica di sicurezza; single point of failure; gestione con personale competente; sistema specializzato. 7 Svantaggi difficoltà con protocolli non banali; gestione complessa: configurazione verifica analisi dei log costi.

Cosa un firewall non può fare You can t solve social problems with software - M. J. Ranum 9 Firewall: concetti fondamentali nat, masquerade, antispoofing controllo del traffico, packet filter routing, forwarding, proxy

NAT non è un meccanismo di sicurezza (anche se c è qualche vantaggio): NAT statico: 1 IP interno <=> 1 IP esterno NAT dinamico: pool di indirizzi esterni Masquerade: 1 indirizzo esterno non c è controllo del traffico sui singoli indirizzi; senza specifiche ACL si accede comunque agli indirizzi interni; 11 Masquerade (un nat particolare) è il NAT in cui è disponibile un unico indirizzo pubblico; non è utilizzabile per i server.

Protezione dall IP spoofing vogliamo evitare che: possano essere inseriti pacchetti falsificati nella nostra rete; la nostra rete possa essere usata per inviare pacchetti falsificati. 13 Antispoofing si associano reti a interfacce; si scartano tutti i pacchetti provenienti da un interfaccia che hanno un indirizzo mittente non appartenente ad una rete raggiungibile da quella interfaccia (default gateway + route statiche).

Antispoofing: un esempio Internet Rete Privata eth1:192.168.1.1 FIREWALL eth0:192.168.2.1 Router (default gateway) 192.168.1.0 192.168.5.0 192.168.2.2 212 131 4 16 192 168 1 25 212 131 4 16 192 168 1 25 192 168 5 47 192 168 5 47 15 Controllo del traffico i n t e r n e t Traffico consentito Tutto il traffico Traffico consentito Proxy Traffico consentito r e t e l o c a l e

Router (forwarding) Traffico in uscita Traffico in entrata router Tutto il traffico 17 Packet Filter (forwarding) Traffico bloccato Traffico in entrata Traffico bloccato Traffico in uscita Packet filter (screening router) Traffico consentito

Proxy (no forwarding) Proxy Traffico bloccato Traffico in entrata redirezione Filtri in ingresso redirezione Traffico bloccato Traffico in uscita Proxy Filtri in uscita Traffico consentito Proxy Traffico consentito 19 Parametri di filtraggio header IP: mittente; destinatario; protocollo; header TCP/UDP: porta mittente; porta destinataria; flag TCP (SYN, ACK).

Azioni possibili accettare il pacchetto (ACCEPT); scartare il pacchetto (DENY, non avvisa il mittente); rifiutare il pacchetto (REJECT, avvisa il mittente, es. ICMP port unreachable); nat; log; default deny/default permit; filtri dinamici. 21 I proxy Connesione client/proxy Proxy Connesione proxy/server Client Server ricevono la connessione dal client; aprono una nuova connessione verso il server; il traffico TCP/IP non passa direttamente da client a server.

Vantaggi dei proxy Il traffico non passa direttamente fra client e server: non sono possibili attacchi basati su TCP/IP; è immediato realizzare meccanismi per ispezionare i dati (meno banale capire cosa cercare); permettono di aggiungere meccanismi di autenticazione centralizzati (purché compatibili con il protocollo). 23 Svantaggi dei proxy difficoltà nella gestione dei livelli bassi dello stack: ping, traceroute richiedono un proxy specifico per ogni protocollo non gestibile da un proxy generico: ftp, corba, h323 (videoconferenza); prestazioni.

Proxy generici (Circuit Level Gateways) non sono realizzati per la gestione di uno specifico protocollo; passano da un lato all altro del proxy i dati TCP/UDP; evitano gli attacchi dei livelli bassi dello stack; permettono di gestire i protocolli che non fanno contrattazione dinamica di porte. 25 Proxy specifici (Application Level Gateways) sono realizzati per la gestione di uno specifico protocollo; gestiscono meccanismi di contrattazione di porte; esaminano i dati trasmessi alla ricerca di attacchi o traffico non autorizzato (content inspection). In pratica però la maggior parte si limita alla correttezza del protocollo; permettono un autenticazione compatibile con il protocollo.

Proxy trasparenti l uso di proxy richiede che la connessione avvenga tra client e proxy; Problema: non tutti i protocolli supportano l uso di proxy; Soluzione: mediante un proxy trasparente il client crede di comunicare con il server e la comunicazione viene intercettata dal proxy. 27 Proxy trasparenti (1) Proxy Client TCP/IP Server le informazioni sul server (indirizzo e protocollo) sono prese direttamente dai pacchetti IP; sono invisibili al client: possono essere usati con client generici; richiedono la risoluzione DNS da parte dei client.

La soluzione Petra Petra Internet Firewall (Pif) integra in un unico prodotto software tutti gli strumenti per la gestione di un firewall in ambiente Linux; offre un'interfaccia di gestione user-friendly estremamente flessibile; la soluzione software garantisce flessibilità nella scelta dell'hardware (dimensionamento, numero e tipo di interfacce di rete,...).

Presence) Internet Connessione Dedicata Proxy Module VPN Module Petra Firewall Routing Module Proxy Module VPN Module News Module Petra Internet Presence Client Lettura e Spedizione Email Richieste Web 31 Scenari di utilizzo Una panoramica degli scenari più comuni di applicazione di Pif

Architettura scenario 1 Il fireawall deve permettere ai client della rete locale di accedere ai servizi DNS e Mail presso il Provider Gli unici servizi locali sono il DHCP e il Proxy (opzionale) 33 Architettura scenario 2 Il Provider fornisce unicamente il servizio di DNS secondario Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere ai client della rete privata di accedere ai servizi della DMZ Servizi per la Rete Privata

Architettura scenario 3 Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere lo scambio di informazioni tra i server Mail e DNS della Rete Privata e DMZ. 35 Configurazione di Pif Interfaccia Amministratore

Default di configurazione Dopo l installazione: i dati di rete sono quelli forniti in fase di installazione (vedi tabelle della Guida Utente); il dominio è settato a example.com; i servizi DNS e Mail sono configurati come name server primario e mailserver primario; tutti i servizi, ad eccezione del Web, sono in stato DOWN; non sono registrati utenti (i login root e petra sono predefiniti); non sono registrati host nel DNS (solo il sistema stesso); non è attivo alcun tipo di routing. 37 Passi di configurazione registrare il prodotto; configurare il firewall secondo lo scenario: Routing Servizi Filtri (configurazione predefinita o manuale) abilitare il logging (opzionale); attivare il servizio ACL.

Interfaccia di Amministrazione Avvio->Programmi->Link.it-> Avvio->Programmi->Link.it-> Petra Petra WinClient WinClient 39 Registrazione del prodotto Dati dell organizzazione del cliente

Configurazione scenario 1 Configurazione del routing Configurazione dei servizi Configurazione delle access list Architettura scenario 1 Il fireawall deve permettere ai client della rete locale di accedere ai servizi DNS e Mail presso il Provider Gli unici servizi locali sono il DHCP e il Proxy (opzionale)

Configurazione del routing Eth0: interfaccia verso la rete privata (creata automaticamente coi dati forniti in fase di installazione) Il Proxy Arp è disabilitato Il Forwarding è disabilitato Eth1: Interfaccia verso la rete pubblica (da aggiungere) Nessuna route statica Il masquerade non è attivo 43 Configurazione (e verifica) dei dati di rete L indirizzo del router esterno La netmask della rete interna L indirizzo del firewall sulla rete interna

Configurazione del dominio Inserire il nome del dominio registrato presso il NIC Indirizzo del server DNS del Provider 45 Configurazione hosts Inserire il nome dell host che identifica l interfaccia verso la Rete Pubblica

Configurazione dei servizi del Firewall assicurarsi che siano in stato DOWN i servizi Web, Mail e DNS; configurare e attivare il servizio DHCP; indicare il nome del mailserver presso il Provider nel campo Local Relay del pannello Services:Mail:Server 47 Configurazione del Firewall Range di porte utilizzate dal sistema per i proxy Settare la Default Policy a DENY Abilitare i report Indirizzo a cui spedire i report Load della configurazione PrivateNet Pagina dei report protetta da password

Configurazione del Firewall (1) Sostituire coi valori opportuni gli indirizzi degli oggetti: ispnameserverobj ispmailserverobj privatenetobj 49 Configurazione del Firewall (2) Attivare il servizio ATTENZIONE: questo blocca tutto il traffico non autorizzato

Configurazione scenario 2 Architettura scenario 2 Il Provider fornisce unicamente il servizio di DNS secondario Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere ai client della rete privata di accedere ai servizi della DMZ Servizi per la Rete Privata

Configurazione del routing Eth2: Interfaccia verso la DMZ (da aggiungere) 53 Configurazione hosts Inserire il nome dell host che identifica línterfaccia verso la DMZ

Configurazione dei servizi del Firewall assicurarsi che siano in stato DOWN i servizi, Mail e DNS; configurare e attivare il servizio DHCP; indicare l indirizzo mailserver della DMZ nei campi Local Relay e Outgoing Relay del pannello Services:Mail:Server. 55 Configurazione dei servizi della DMZ DNS Server: configurarlo come Name Server Primario del dominio; utilizzare l opzione Forwarder Only, indicando come forwarders gli indirizzi corrispondenti ai Name Server secondari del Provider

Configurazione dei servizi della DMZ (1) Mail Server: configurarlo come Mail Server del dominio; se sono attive funzionalità AntiRelay assicurarsi che solo i client della Rete Privata siano abilitati ad utilizzare il servizio SMTP. 57 Configurazione del Firewall Load della configurazione DmzNet1

Configurazione del Firewall (1) Sostituire coi valori opportuni gli indirizzi degli oggetti: privatenetobj dmznetobj ispnameserver01obj ispnameserver02obj dnspubserver webpubserver ftppubserver mailpubserver dnssecserverobj 59 Configurazione scenario 3

Architettura scenario 3 Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere lo scambio di informazioni tra i server Mail e DNS della Rete Privata e DMZ. 61 Configurazione dei servizi del Firewall assicurarsi che siano in stato DOWN i servizi, Mail, DNS e DHCP; indicare l indirizzo del mailserver nella Rete Privata nel campo Local Relay del pannello Services:Mail:Server. indicare l indirizzo del mailserver nella Rete Pubblica nel campo Outging Relay del pannello Services:Mail:Server.

Configurazione dei servizi della DMZ DNS Server: configurarlo come Name Server Primario del dominio; utilizzare l opzione Forwarder Only, indicando come forwarders gli indirizzi corrispondenti ai Name Server secondari del Provider 63 Configurazione dei servizi della DMZ (1) Mail Server: configurarlo come Mail Server del dominio; indicare come Local Relay l indirizzo del mailserver sulla Rete Privata (redirezione della posta locale); se sono attive funzionalità AntiRelay assicurarsi che solo il Mail Server della Rete Privata sia abilitato ad utilizzare il servizio SMTP.

Configurazione dei servizi della Rete Privata DNS Server: configurarlo come Name Server Primario del dominio registrando solo gli host della Rete Privata e l host corrispondente al Web Server in DMZ; utilizzare l opzione Forwarder Only, indicando come unico forwarder l indirizzo del Name Server Pubblico (rete DMZ) 65 Configurazione dei servizi della Rete Privata (1) Mail Server: configurarlo come Mail Server del dominio; indicare come Outgoing Relay l indirizzo del Mail Server Pubblico (rete DMZ)

Configurazione del Firewall Load della configurazione DmzNet2 67 Configurazione del Firewall (1) Sostituire coi valori opportuni gli indirizzi degli oggetti: privatenetobj dmznetobj ispnameserver01obj ispnameserver02obj dnspubserver webpubserver ftppubserver mailpubserver dnssecserverobj dnsprivserver mailprivserver proxyprivserver

Moduli opzionali nel caso sia prevista l attivazione sul Firewall dei moduli Proxy o Vpn occorre: configurare e attivare il relativo servizio ; attivare opportuni filtri già presenti nelle configurazioni predefinite (vedi Guida Utente Firewall) 69 Manutenzione ordinaria di Pif Interfaccia Operatore

Attivazione servizio Web Attivare il servizio Web Nessun modulo addizionale aggiuntivo. Sono attivi solo i moduli strettamente necessari per l Interfaccia Operatore 71 Autenticazione https://ip-firewall:444 http://ip-firewall:81 http://ip-firewall:81 Se il server WEB è configurato con l opzione https=on ATTENZIONE: Per rendere disponibile questa url è necessario attivare il servizio web

Accesso ai servizi Le sezioni Users e Access Control compaiono solo se il modulo Proxy è installato 73 Reports: Security Events https://ip-firewall:444/petra/monitor/fw http://ip-firewall:81/petra/monitor/fw http://ip-firewall:81/petra/monitor/fw I report vengono generati con periodi definiti dal valore del campo Rotation Frequency del pannello Logs. Ogni 6 ore inoltre vine spedito via e-mail un report. Viene loggato tutto il traffico NON CONSENTITO. Sono disponibili visualizzazioni con diversi livelli di dettaglio

Security Events (dettagli) 75 IDS - Report

IDS Report (dettagli) 77 IDS Report (dettagli)

Personalizzazione degli scenari Alcune regole fondamentali per creare e modificare i filtri in Petra Firewall Connessioni dal Firewall FIREWALL Host A Abilitazione del servizio S dal Firewall all host A: Creare l oggetto A con l IP dell host A Creare un filtro F con i seguenti valori: Source: firewall Destination: A Service: S Action: Accept L oggetto A creato al passo precedente Tradotto dal sistema con l indirizzo associato all interfaccia del firewall che raggiunge A

Esempio (connessione dal firewall) Il firewall può collegarsi via https al servizio di Update della Link, fornito dal server indicato dall oggetto linkrepository 81 Connessioni al Firewall FIREWALL Host A Abilitazione del servizio S dall host A al Firewall: Creare l oggetto A con l IP dell host A Creare un filtro F con i seguenti valori: Source: A Destination: firewall Service: S Action: Accept

Esempio (connessione al firewall) Gli host appartenenti a questo gruppo sono autorizzati a collegarsi al Firewall mediante l Interfaccia di Amministrazione (servizio petra) 83 Connessioni attraverso il Firewall (dalla Rete Privata verso Internet) Host A FIREWALL Host B Abilitazione del servizio S dall host A (interno, ip privato) all host B (esterno, ip pubblico): Creare gli oggetti A e B con i rispettivi IP; Creare un filtro F con i seguenti valori: Source: A Destination: B Service: S Action: Proxy Type: Transparent, Generic Il forwarding è disabilitato quindi è necessario usare un proxy La destinazione è ricavata dalla richiesta di A. Se il servizio lo consente. Altrimenti utilizzare un proxy specifico, ad esempio FTP

Esempio (rete privata -> Internet) Da qualsiasi Host della rete Privata (l'oggetto PrivateNet) Verso qualsiasi Host Internet (l'oggetto allnets) Il servizio abilitato è il l'oggetto WebService: - http - https Gli host della Rete Privata sono autorizzati ad untilizzare il servizio Web su Internet L indirizzo del mittente viene mascherato (per le risposte) 85 Connessioni attraverso il Firewall (da Internet verso la DMZ) Host A FIREWALL Abilitazione del servizio S dall host B (esterno, IP pubblico) all host A (interno, IP privato): Creare gli oggetti A e B con i rispettivi IP; Creare un filtro F con i seguenti valori: Source: B Destination: firewall Service: S Action: Proxy Type: Redirect, Generic Destination Object: A Host B La destinazione non può essere A perché l indirizzo di A è privato e B non lo conosce. il traffico deve essere rediretto verso A

Esempio (Dmz (ip privati) <- Internet) Da qualsiasi Host Internet (l'oggetto allnets) La porta non è definita, quindi è quella standard del servizio (80 e 443) Verso l'indirizzo pubblico (l'oggetto Firewall) Il servizio abilitato è il l'oggetto WebService: - http - https La destinazione reale (indirizzo privato) Le richieste per il servizio Web provenienti da Internet sono accettate e redirette al Web server pubblico in DMZ 87 Ulteriori configurazioni Uso avanzato delle opzioni proxy

Esempio (Dmz (ip pubblici) <- Internet) Trasparente perché la destinazione ha un IP pubblico Verso qualsiasi Host della rete Dmz (l'oggetto dmznet) Il servizio abilitato è il l'oggetto WebService: - http - https Le richieste per il servizio Web provenienti da Internet sono accettate e redirette ai Web server con IP pubblico in DMZ L indirizzo del mittente viene mantenuto (altrimenti tutti gli accessi verrebbero registrati come provenienti dal firewall) 89 Esempio (proxy specifico) Il servizio ftp necessita un proxy specifico

Esempio (redirezione su porta specifica) Supponiamo che il Web Server in DMZ sia un Petra Internet Presence; Supponiamo inoltre che: si voglia gestire il firewall via Interfaccia Petra anche da host esterni (su Internet) si voglia gestire server in DMZ via Interfaccia Petra anche da host esterni (su Internet) si abbia un solo indirizzo pubblico Problema: come distinguere i server Petra? Soluzione: si usa un proxy con redirezione su porta specifica 91 Esempio (redirezione su porta specifica) Il nuovo servizio è analogo al servizio petra predefinito ma utilizza la porta 2049 anziché la 2048 (default)

Esempio (redirezione su porta specifica) Redirezione sulla porta 2048 (default di petra server) La destinazione è firewall, come nel filtro petraclients (accesso all interfaccia petra sul firewall) Utilizza la porta 2049 anziché la 2048 (default) 93 Connessione del petra client su porta non standard Interfaccia di Amministrazione sul firewall Interfaccia di Amministrazione sul server in DMZ (ip privato)

Esempio (proxy esterno) Il proxy äscolta sulla porta 8080. È compito del proxy (non gestito da petra) redirigere il traffico al web server (in dmz) Vantaggi: - prestazioni: uso della cache - sicurezza: meccanismi di squid per il controllo delle url 95 Configurazione del routing Route statiche Alternativa ai proxy: masquerade e forwarding

Route statiche Internet net: 192.168.1.0 eth1: ip pubblico eth0: 192.168.1.1 Petra Firewall 192.168.1.10 linea dedicata Client net:192.168.2.0 Route statica per la rete 192.168.2.0. Il gateway è 192.168.1.10 97 Route statiche (configurazione)

Alternative ai proxy: masquerade e forwarding I proxy hanno un costo in termini di prestazioni Se l hardware non è sufficiente a soddisfare le richieste via proxy si può, in alternativa, utilizzare (anche temporanemente) il forwarding o il masquerare 99 Masquerade Internet net: 192.168.1.0 eth1: ip pubblico eth0: 192.168.1.1 Petra Firewall Modifica del filtro di abiltazione del servzio Uso intenso del servizio web Client Attivazione del masquerade per accesso diretto al servizio web

(configurazione interfaccia privata) Forwarding abilitato Traffico mascherato dallínterfaccia pubblica eth1 101 Masquerade (configurazione interfaccia pubblica) Forwarding abilitato

(modifica del filtro) Action=masquerade 103 Forwarding Internet Numerose richieste verso il Web server in DMZ DMZ con IP pubblici eth1: ip pubblico eth2: ip pubblico Petra Firewall Web Server Attivazione del forwarding su eth1 e eth2 Modifica del filtro di abiltazione del servzio

(configurazione interfacce) Forwarding abilitato Identica configurazione per eth0 Masquerade non attivo 105 Forwarding (modifica al filtro) Action=accept

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back