Sicurezza applicata in rete
Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei protocolli applicativi Multimedialità in rete Tecnologie per le reti future
Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei protocolli applicativi Multimedialità in rete Tecnologie per le reti future
Argomenti della lezione Firewall e filtraggio del traffico Proxy e application gateway Servizi pubblici e DMZ
Aspetti di sicurezza
Extranet Servizi di rete per clienti e fornitori basati su Internet
Extranet Permette a operatori esterni di accedere alle risorse elaborative dell azienda Database interni Software amministrativi e gestionali Sistemi per e-commerce
Extranet Intranet aziendale server Web, SMTP Access Router router Rete dell ISP Cliente Internet
Extranet Intranet aziendale server Web, SMTP Access Router router Fornitore Rete dell ISP Internet
Per gestire i servizi extranet: È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale
Extranet Intranet aziendale server Web, SMTP Access Router router Rete dell ISP Intruder Internet
Firewall Collega una rete fidata a una rete considerata non sicura Combina dispositivi hardware e funzionalità software Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere
Internet ed intranet Internet Untrusted network intranet firewall Trusted network
Firewall: obiettivi Bloccare il traffico indesiderato proveniente dall esterno Lasciare passare solo i flussi fidati, strettamente necessari ai servizi aziendali Impedire eventi maligni che possono celarsi all interno dei flussi fidati
I firewall in pratica Internet intranet firewall
I firewall in pratica Internet intranet firewall
Firewall: funzionalità Packet filter Analizza l header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto Blocca i pacchetti in base a regole definite a priori dall amministratore di rete È disponibile su alcuni router
Firewall: funzionalità Stateful inspection Effettua un analisi dei flussi in tempo reale Intercetta violazioni dei parametri di protocollo ai vari livelli Ispeziona anche le informazioni scambiate a livello di applicazione
Firewall: esempio di funzionamento
Firewall: esempio NAT e firewall Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti Blocco dei pacchetti in base a regole definite a priori dall amministratore di rete mediante Access Control List Il filtraggio avviene in modo bidirezionale
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 L host 192.168.1.1 (client) deve contattare un server web su Internet 62.41.244.2
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il client invia al default router un pacchetto IP avente: SIP 192.168.1.1 SPort 30231/TCP DIP 62.41.244.2 DPort 80/TCP 62.41.244.2
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) 62.41.244.2
ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 62.41.244.2 80/TCP F 62.41.244.2 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall accetta il pacchetto NAT e inoltro al destinatario 62.41.244.2
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il server risponde alla richiesta di connessione del client 62.41.244.2
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il server risponde al client con un pacchetto avente: SIP 62.41.244.2 SPort 80/TCP DIP 158.109.1.253 DPort 1024/TCP 62.41.244.2
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) 62.41.244.2
ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 62.41.244.2 80/TCP F 62.41.244.2 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall applica la traduzione (NAT) e il client riceve correttamente il pacchetto 62.41.244.2
Firewall 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il client invia al default router un pacchetto IP avente: SIP 192.168.1.1 SPort 30232/TCP DIP 212.15.15.26 DPort 80/TCP 212.15.15.26
Filtraggio 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall, prima di inoltrarlo, consulta la tabella delle ACL (Access Control List) 212.15.15.26
ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 62.41.244.2 80/TCP F 62.41.244.2 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD
Filtraggio 192.168.1.1 192.168.1.254 firewall Internet intranet 158.109.1.253 Il router/firewall blocca il pacchetto e invia al client un pacchetto ICMP Destination Unreachable 212.15.15.26
Servizi protetti 192.168.1.100 192.168.1.254 firewall Internet intranet 158.109.1.253 212.14.15.26 Un client esterno invia una richiesta al server protetto
Servizi protetti 192.168.1.100 192.168.1.254 firewall Internet intranet 158.109.1.253 212.14.15.26 Il pacchetto possiede: SIP 212.14.15.26 SPort 3200/TCP DIP 158.109.1.253 DPort 80/TCP
ACL ACL table Src address Src port Dest address Dest port Rule Any Any/TCP 158.109.1.253 80/TCP F 192.168.1.100 80/TCP Any Any/TCP F Any Any Any Any B B = BLOCK F = FORWARD
Servizi protetti 192.168.1.100 192.168.1.254 firewall Internet intranet 158.109.1.253 212.14.15.26 Il router/firewall applica la traduzione (NAT) e inoltra il pacchetto al server interno
Proxy e application gateway
Application gateway Collega due segmenti di rete a livello di applicazione Riguarda il traffico uscente dalla rete aziendale Fa da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni
Application gateway Il sistema maschera l origine del collegamento iniziale I client della rete interna accedono ai servizi su Internet soltanto attraverso il gateway Il gateway può autorizzare gli utenti in base a specifiche policy di accesso
Application gateway e servizi Servizi che possono essere filtrati mediante application gateway: HTTP FTP Telnet Posta elettronica (SMTP, POP3/IMAP)
Policy di accesso A fasce orarie IP black list: lista dei server riconosciuti come maliziosi Keyword list: elenco di termini vietati o non conformi
Policy di accesso Tipo di informazioni scambiate (file eseguibili, immagini ) Personalizzate per utente
Application gateway Internet intranet www.ieee.com proxy.azienda.net.net
MI SERVE WWW.IEEE.COM/802.HTML Application gateway Internet intranet www.ieee.com proxy.azienda.net.net
Application gateway IEEE.COM E UN SITO FIDATO! Internet intranet www.ieee.com proxy.azienda.net.net
Application gateway Internet intranet www.ieee.com 802.html proxy.azienda.net.net
Application gateway Internet 802.html intranet ECCOLO! www.ieee.com proxy.azienda.net.net
Application gateway MI SERVE Internet WWW.CASINOONLINE.COM intranet www.ieee.com 802.html proxy.azienda.net.net
Application gateway VIETATO! intranet Internet www.ieee.com 802.html proxy.azienda.net.net
Firewall e DMZ
DMZ Zona demilitarizzata Porzione di rete a cavallo tra la rete protetta e Internet Separa i servizi pubblicamente accessibili da servizi e dati di natura privata
DMZ Servizi privati intranet Internet Host interni DMZ Servizi pubblici
DMZ Protected hosts intranet Inner firewall DMZ Internet Outer firewall Bastion host
DMZ I servizi pubblici risiedono su server collocati nella DMZ I servizi privati e gli host della rete interna sono protetti da due firewall I server della DMZ sono detti bastion host perché unici visibili (e attaccabili) dalla rete esterna
Sicurezza applicata in rete