Esercitazione 5 Firewall



Похожие документы
Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sicurezza nelle reti

Packet Filter in LINUX (iptables)


Iptables. Mauro Piccolo

Filtraggio del traffico IP in linux

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Corso avanzato di Reti e sicurezza informatica

Crittografia e sicurezza delle reti. Firewall

Firewall: concetti di base

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Esercitazione 2 Certificati

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

PACKET FILTERING IPTABLES

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese

! S/Key! Descrizione esercitazione! Alcuni sistemi S/Key-aware. " Windows " Linux. ! Inizializzazione del sistema. " S = prepare(passphrase, seed)

Transparent Firewall

Il web server Apache Lezione n. 3. Introduzione

Access Control List (I parte)

Guida all impostazione. Eureka Web

Installazione di GFI Network Server Monitor

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Installazione del software Fiery per Windows e Macintosh

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Come si può vedere, la regola è stata fatta in modo da spostare tutti i messaggi di Spam nella cartella del cestino.

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Sicurezza applicata in rete

Ordine delle regole (1)

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it >

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

Instradamento IP A.A. 2005/2006. Walter Cerroni. IP: instradamento dei datagrammi. Routing : scelta del percorso su cui inviare i dati

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Il Web Server e il protocollo HTTP

capitolo 8 LA CHECKLIST PER LA VALUTV ALUTAZIONEAZIONE TECNOLOGICA

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)

TCP e UDP, firewall e NAT

Protocolli applicativi: FTP

Introduzione. Installare EMAS Logo Generator

Appendice 1 : configurazione di alcuni Client di Posta (P.Restelli) Rho, Luglio 07, 2006 CORSI ON-LINE. La nuova Posta Elettronica IMAP del C.S.B.N.O.

GUIDA ALLA CONFIGURAZIONE E ALL UTILIZZO

Creare un sito Multilingua con Joomla 1.6

Besnate, 24 Ottobre Oltre il Firewall.

BACKUP APPLIANCE. User guide Rev 1.0

Esercitazione 02. Angelo Di Iorio

Guida alla registrazione on-line di un DataLogger

GovPay 2.0. Manuale Installazione

Manuale Utente MyFastPage

Esempio quesiti d esame per il laboratorio del corso. Reti di Comunicazione ed Internet Mod 2, Prof. G. A. Maier

Gestione Quota. Orazio Battaglia

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

MySTAR Istruzioni portale clienti STAR Italia rev. 0

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Studi di Settore. Nota Operativa 22/4/2013

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Multicast e IGMP. Pietro Nicoletti

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori

Archiviare messaggi di posta elettronica senza avere un proprio mail server

University of Modena and Reggio Emilia. Laboratorio di Comunicazioni Multimediali WIRESHARK. Daniela Saladino

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

Lezione n.9 LPR- Informatica Applicata

Manuale NetSupport v Liceo G. Cotta Marco Bolzon

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

La posta elettronica (mail)

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Configuration Managment Configurare EC2 su AWS. Tutorial. Configuration Managment. Configurare il servizio EC2 su AWS. Pagina 1

2015 PERIODO D IMPOSTA

Introduzione allo sniffing

Direzione Centrale per le Politiche dell Immigrazione e dell Asilo

Guida rapida all uso di Moodle per gli studenti

Z3 B1 Message Addon Invio Massivo Documenti via e Fax per SAP Business One

Software di interfacciamento sistemi gestionali Manuale di installazione, configurazione ed utilizzo

Manuale per la configurazione di AziendaSoft in rete

AVCP Generatore di XML

ARP (Address Resolution Protocol)

ALBO PRETORIO WEB MANUALE DELLA PROCEDURA SOMMARIO. Uso del manuale. Informazioni generali. Interfaccia grafica. Guida di riferimento

Reti di Telecomunicazione Lezione 8

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

Zoo 5. Robert McNeel & Associates Seattle Barcelona Miami Seoul Taipei Tokyo

Il database management system Access

POSTECERT POST CERTIFICATA GUIDA ALL USO DELLA WEBMAIL

ARP e instradamento IP

Dal protocollo IP ai livelli superiori

Manuale per la configurazione di un account di PEC in Mozilla.

SOMMARIO... 3 INTRODUZIONE...

Configurazione posta su ios

Транскрипт:

Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA 2 Packet Filtering [ ICMP ] Esercitazione Descrizione generale Il packet filtering è una tecnica per implementare firewall Un firewall di questo tipo filtra i pacchetti sulla base di regole applicate all header del pacchetto E possibile bloccare o far passare pacchetti verificando gli indirizzi IP dell host sorgente o destinazione, il protocollo, le dimensioni dei pacchetti, le porte utilizzate L esercitazione richiede di filtrare pacchetti ICMP destinati a specifici indirizzi IP ICMP è un protocollo di servizio e diagnostica incapsulato nel protocollo IP Le applicazioni ping e traceroute usano ICMP Lo studente usa sulla propria macchina virtuale un firewall packet filtering e un packet sniffer per monitorare la rete Riceve una coppia di indirizzi IP di macchine del dipartimento (che chiameremo A e B) Configura il firewall per far passare le richieste ICMP alla macchina A e bloccare quelle destinate alla macchina B Esegue due richieste ICMP alle due macchine e verifica che il firewall funzioni Inserisce nel report i log del firewall e del packet sniffer

Passo 1: configurare il Laboratorio Virtuale Cosa installa il pacchetto Il pacchetto da installare il pacchetto 8009-babaoglu-sicurezza-firewall nella vostra home; Una volta installato il pacchetto occorre: Decomprimere l archivio esercitazione5.zip disponibile o nella directory /usr/share/unibo oppure nella root del file system; Spostarsi nella cartella Esercitazione5 appena decompressa Lanciare l installer $>./install.sh Il pacchetto 8009-babaoglu-sicurezza-firewall installa Netfilter Wireshark (a fine presentazione trovate i link a queste risorse per documentazione) Passo 2: recupero indirizzi IP Passo 3: configurazione del firewall http://localhost/esercitazione5/index.php Compilare la form Indirizzo email e password del dominio studio.unibo.it (per l invio della mail) Nome, cognome, matricola (10 cifre) In risposta si riceve una mail di conferma con Subject: [Laboratorio Sicurezza: Esercitazione 5]: Mail di conferma per Cognome Nome Matricola I dati inseriti Una coppia di indirizzi IP del cluster CS Mail inviata in copia anche al tutor Lo studente configura il firewall per filtrare le richieste ICMP destinate agli indirizzi IP ricevuti via mail. In particolare: permette le richieste all host A blocca le richieste all host B

Netfilter: introduzione Netfilter: tabelle Nei sistemi Linux è possibile utilizzare il framework netfilter In particolare, è possibile utilizzare l utility iptables, che permette di manipolare le regole applicate dal kernel ai pacchetti N.B.: il comando iptables richiede privilegi di root Il kernel gestisce delle tabelle (tables) raw, mangle, nat, e filter Ogni tabella consiste di catene (chains), predefinite ed eventualmente definite dall utente Una catena è una sequenza di regole (rules). Una regola specifica delle condizioni di match ed un target se un pacchetto soddisfa una regola, allora viene eseguito il target altrimenti si passa a valutare la regola successiva nella catena se nessuna regola della catena viene soddisfatta allora viene applicata una regola di default, detta policy Netfilter: RAW table La tabella RAW è usata esclusivamente per selezionare i pacchetti che devono essere gestiti dal sistema di tracking della connessione Le sue chain sono PREROUTING OUTPUT Netfilter: MANGLE table Le chain della tabella mangle sono usate principalmente per modificare alcuni campi negli header dei pacchetti Le chain sono TOS (Type of Service): usato per settare delle policy su come inoltrare un pacchetto nella rete TTL (Time to Live): il tempo di vita del pacchetti MARK: usato per settare dei contrassegni speciali nel pacchetto SECMARK: usato per settare contrassegni di sicurezza nei singoli pacchetti CONSECMARK: usato per copiare i campi SECMARK nei o dai singoli pacchetti in modo da estenderli a tutta la connessione

Netfilter: NAT table Netfilter: FILTER table La tabella nat è usata per le traduzioni dell indirizzo di rete (Network Address Translation - NAT) sui pacchetti Le chain NAT sono DNAT: usato per cambiare l indirizzo del destinatario del pacchetto SNAT: usato per cambiare l indirizzo del mittente del pacchetto La sicurezza è gestita dalla tabella FILTER, che permette di implementare un firewall Le regole di packet filtering sono implementate in questa tabella La tabella filter ha tre catene predefinite INPUT, per i pacchetti destinati all host FORWARD, per i pacchetti che devono instradati verso altri host OUTPUT, per i pacchetti generati localmente Netfilter: connection tracking workflow Netfilter: command synopsis di iptables Command synopsis iptables [-t table] {-A -C -D -I} chain rule-specification La selezione della tabella [-t table] è opzionale, se non fornita equivale ad indicare la tabella FILTER I parametri {-A -C -D -I} servono ad indicare se si vuole aggiungere (-A), verificare l esistenza (-C), cancellare (-D) o inserire (-I) una regola nella chain Le chain sono quelle viste nelle slide precedenti. Per questa esercitazione occorre usare solo le chain della tabella FILTER I parametri in rule-specification descrivono il comportamento della regola

Netfilter: esempi con iptables Aggiungere una regola per accettare tutte le connessioni sulla chain in uscita $> sudo iptables -A OUTPUT -j ACCEPT Aggiungere una regola per bloccare tutte le connessioni sulla chain in entrata $> sudo iptables -A INPUT -j REJECT Aggiungere una regola per bloccare il forward all host XXX $> sudo iptables -A INPUT -j FORWARD -d XXX Avere il quadro completo delle chain della tabella FILTER $> sudo iptables L Impostare i log di sistema (visibili in /var/log/syslog) sulla chain di output $> sudo iptables -A OUTPUT -j LOG --log-level 7 Passo 4: configurazione ed attivazione del packet sniffer Wireshark (1) Wireshark è un analizzatore di rete (packet sniffer): largamente utilizzato (probabilmente il più diffuso) multipiattaforma (Windows, Linux, Mac OS, Solaris, FreeBSD) multi-protocollo (circa 100 protocolli supportati) più di 8000 filtri di visualizzazione (diversi dai filtri del firewall!) L esercitazione richiede di monitorare il traffico di rete dopo aver configurato Wireshark per: visualizzare il timestamp delle richieste/risposte filtrare le richieste ICMP (opzionale) Passo 4: configurazione ed attivazione del packet sniffer Wireshark (2) icmp Passo 5: Esecuzione e filtro delle richieste ICMP I comandi ping e tracert usano il protocollo ICMP per spedire messaggi di diagnostica Lo studente esegue uno tra questi comandi su entrambi gli indirizzi IP ricevuti via mail. Il firewall fa passare una richiesta e blocca l altra: ping 130.136.1.110 PING 130.136.1.110 (130.136.1.110) 56(84) bytes of data. 64 bytes from 130.136.1.110: icmp_seq=1 ttl=63 time=0.614 ms 64 bytes from 130.136.1.110: icmp_seq=2 ttl=63 time=0.713 ms ping 130.136.4.145 PING 130.136.4.145 (130.136.4.145) 56(84) bytes of data. Destination host unreachable.

Esercitazione Cosa inserire nel report Un esempio di consegna Uno screenshot di Wireshark che riporta il traffico di rete relativo alle due richieste: meglio se è applicato il filtro icmp in fase di visualizzazione dovrebbe essere visualizzata solo la richiesta permessa dal firewall I log del firewall che riportano sia la richiesta bloccata che quella eseguita con successo Le regole di configurazione del firewall Screenshot e log devono includere i timestamp Destinazione IP da bloccare: 130.136.5.34 Destinazione IP da far passare: 130.136.4.145 http://www.wireshark.org/ http://www.netfilter.org/ Riferimenti Questa è l ultima esercitazione Il report deve essere spedito entro il all indirizzo mail 10 Gennaio 2016, ore 23:59 labsicurezza@cs.unibo.it Seguite le regole di consegna spiegate nella prima lezione Un consiglio: non consegnate il report troppo a ridosso della deadline. Le esercitazioni si possono completare con molto anticipo da oggi! I risultati dei report saranno pubblicati, prima dell esame orale, sul sito del corso

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back