Alcuni elementi di sicurezza sulle reti



Documenti analoghi
Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Simulazione seconda prova Sistemi e reti Marzo 2016

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Firewall e Abilitazioni porte (Port Forwarding)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Lo scenario: la definizione di Internet

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sicurezza delle reti 1

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

VPN CIRCUITI VIRTUALI

Reti di Telecomunicazione Lezione 6

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

Laboratorio di reti Relazione N 5 Gruppo 9. Vettorato Mattia Mesin Alberto

Sicurezza applicata in rete

La sicurezza nel Web

Fatti Raggiungere dal tuo Computer!!

VADEMECUM TECNICO. Per PC con sistema operativo Windows XP Windows Vista - Windows 7

La VPN con il FRITZ!Box - parte II. La VPN con il FRITZ!Box Parte II

Sicurezza architetturale, firewall 11/04/2006

Dal protocollo IP ai livelli superiori

Allegato 3 Sistema per l interscambio dei dati (SID)

RETI INFORMATICHE Client-Server e reti paritetiche

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Elementi sull uso dei firewall

Verifica scritta di Sistemi e Reti Classe 5Di

LE POSSIBILITA' DI ACCESSO DA REMOTO ALLE RETI DI CALCOLATORI

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

SEGNALIBRO NON È DEFINITO.

INFORMATICA PROGETTO ABACUS. Tema di : SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI

Creare una Rete Locale Lezione n. 1

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

VPN. Rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso (Internet)

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

IT Security 3 LA SICUREZZA IN RETE

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Prof. Filippo Lanubile

I COMPONENTI DI UNA RETE

Informatica per la comunicazione" - lezione 8 -

I livelli di Sicurezza

Reti di Telecomunicazione Lezione 8

Sicurezza a livello IP: IPsec e le reti private virtuali

Hardware delle reti LAN

FTP. Appunti a cura del prof. ing. Mario Catalano

CLOUD AWS. #cloudaws. Community - Cloud AWS su Google+ Amazon Web Services. Amazon VPC (Virtual Private Cloud)

IL SERVIZIO DI POSTA ELETTRONICA

Progettare un Firewall

06/11/

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Hardware e Software nelle Reti

Proteggiamo il PC con il Firewall di Windows Vista

Innanzitutto, esistono diversi modi per realizzare una rete o più reti messe insieme; vi illustro la mia soluzione :

Apparecchiature di Rete

3. Introduzione all'internetworking

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Modulo 8. Architetture per reti sicure Terminologia

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

List Suite 2.0. Sviluppo Software Il Telefono Sas 10/06/2010

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Gestione delle Reti di Telecomunicazioni

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Teleassistenza Siemens

2.1 Configurare il Firewall di Windows

e-government La Posta Elettronica Certificata

2 Gli elementi del sistema di Gestione dei Flussi di Utenza

Troppe Informazioni = Poca Sicurezza?

Reti di calcolatori ed indirizzi IP

Reti di Calcolatori. Il software

Descrizione funzionale

Aspetti di sicurezza in Internet e Intranet. arcipelago

FRITZ!WLAN Repeater 300E. Come estendere la copertura della rete Wi-Fi

Creare connessioni cifrate con stunnel

Crittografia e sicurezza delle reti. Firewall

La sicurezza nelle comunicazioni Internet

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

MINIGUIDA AI SERVIZI DI HOME BANKING

QoS e Traffic Shaping. QoS e Traffic Shaping

Client - Server. Client Web: il BROWSER

Sicurezza e rispetto della privacy, finalmente non in conflitto.

esales Forza Ordini per Abbigliamento

VoipExperts.it SkyStone - Introduzione

SISTEMA INFORMATIVO AGRICOLO REGIONALE AGGIORNAMENTO PROGETTO OPERATIVO PER LA REALIZZAZIONE DELLA RETE DI COMUNICAZIONE

Identità e autenticazione

Controllo web per endpoint Panoramica

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Assegnazione di indirizzi IP dinamica (DHCP) 1

Modelli di rete aziendale port forward PAT PAT NAT + PAT NAT table

Dynamic DNS e Accesso Remoto

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

gli apparati necessari per fare e ricevere telefonate e fax, dal centralino al singolo telefono alla linea telefonica.

La sicurezza delle reti

CONTROLLO DEGLI ACCESSI INTELLIGENTE PER UN FLUSSO DI PERSONE SICURO E CONFORTEVOLE. KONE Access

Transcript:

Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco ad una LAN sono molteplici. Nel corso dello studio di diverse reti abbiamo già considerato alcuni elementi di sicurezza come NAT overload e dei cenni alle ACL. Consideriamo qui una carrellata dei principali dispositivi che realizzano la sicurezza di una LAN: Firewall 1 Router aventi forte capacità di controllo sul traffico di rete che passa attraverso loro, sono spesso detti router / firewall. Il livello di controllo di tali dispositivi varia a seconda di questi livelli: packet filter il router sostanzialmente tramite ACL più o meno sofisticate riesce a regolare il flusso dei pacchetti transitanti in entrata o in uscita in vari modi ed in modo diverso sulle varie porte. Tali regole possono raggiungere una certa sofisticazione e complessità, soddisfando a molteplici requisiti stateful inspection - in questo caso il firewall non si limita solo a controllare che i pacchetti passino rispettando le regole definite nelle ACL, ma anche il loro stato, ossia se essi contengono dati coerenti con le connessioni e i processi attivi sulle macchine che comunicano e altri parametri che vanno oltre il puro smistamento meccanico dei pacchetti secondo i permessi definiti. Spesso infatti le intrusioni avvengono tramite flussi di pacchetti camuffati, o contraffatti, che quindi passano facilmente le difese delle ACL. Un inspezione costante sul flusso logico di tali pacchetti o di anomalie operative in realzione al protocollo analizzato portano alla individuazione di pacchetti che saranno immediatamente fermati dal firewall. deep inspection è il livello più alto di controllo che i firewall possono effettuare e di solito viene svolto da veri e propri firewall a livello applicativo (application layer firewall) che operano ovviamente a livello applicazione (livello 7). In questo caso le funzionalità di firewall sono svolte da un computer dotato di software specializzato, che opera come firewall o come firewall più altri servizi di sicurezza in modo combinato. I firewall si distinguono quindi anche in hardware (vale a dire basati su circuiti elettroniici hw, come quello spesso presente nei modem / router comuni a tutte connessioni ADSL) e firewall software, sicuramente più flessibili e potenti, ma per certi versi più vulnerabili, essendo possibile che la macchina firewall stessa possa essere oggetto di attacchi e quindi di alterazione delle originarie regolazioni di sicurezza. Tra i firewall software, al grande pubblico i più noti, sono i cosidetti personal firewall, ossia firewall pensati per proteggere solo la macchina sulla quale sono presenti. Tali firewall sono prodotti da molteplici ditte (Comodo, Zone Alarm, Microsoft, ). Supportati in molti casi dalla interfaccia grafica e dalle funzionalità del 1 Per approfondimenti o integrazioni si consiglia di leggere i paragrafi 8.9, 8.9.1, 8.9.2 sul Kurose-Ross saltando opportunamente le (estese) parti più complesse che trattano delle possibili regolazioni delle ACL 1

sistema operativo, sono usualmente piuttosto semplici da regolare opportunamente. In questo caso si cataloga il firewall come di tipo non perimetrale, mentre di solito i veri e propri firewall software operano su macchine con più interfacce di rete, proprio perchè posti in punti di confine e quindi sul perimetro (vale a dire sono perimetrali) della LAN da proteggere. Ovviamente anche il software di protezione in tali casi cambia e si hanno sistemi operativi e software firewall di categoria enterprise. ACL ACL (Access Control List) sono impostazioni di controllo sui pacchetti e sul traffico di rete impostate di prassi sopra un router o sopra una macchina che può fungere da router. In alcuni casi la macchina può comunque svolgere solo la funzione di firewall. Le ACL sono composte a loro volte da una serie di regole dette ACE (Access Control Entry) o regole. Un concetto simile, ma con implicazioni diverse, si trova anche nei sistemi operativi, dove si parla di ACL per definire i permessi posseduti dai vari utenti o gruppi di utenti, in relazione alle varie risorse del calcolatore o della rete sulla quale esso è presente. I firewall, come si è detto, controllano il traffico circolante sulle loro interfacce in base alle ACL in essi definite. La sintassi per esprimere le ACL è estremamente variegata e non rispetta standard noti. Pur tuttavia si possono individuare dei criteri complessivi generali: L'ACE di una ACL normalmente esprime: obbiettivo: ossia cosa fare del pacchetto inoltrare (permit, accept, allow) o scartare (deny, drop, discard) il pacchetto specifiche: le caratteristiche del pacchetto a cui và applicato il divieto o il permesso di transito, tra cui il tipo di protocollo, la/e porta/e su cui opera, da quali numeri di IP esso deve / non deve provenire interfaccia e verso: definite le regole si deve indicare su quale interfaccia le regole stesse siano da applicare e in quale verso ingresso / uscita (rispetto all'interfaccia). Se nessuna regola risulta vera al pacchetto si applica la regola di default che usualmente vieta o permette il passaggio al pacchetto in modo complessivo. Proxy server Abbiamo incontrato questo elemento nel libro di testo, proposto come server WWW proxy. In realtà essendo WWW il principale servizio di rete richiesto in genere da una LAN, è naturale che ad esso vada il primo pensiero di una implementazione proxy. Nel libro di testo si metteva inoltre in evidenza soprattutto l'aspetto, peraltro importante del miglioramento delle performance delle comunicazioni della rete locale, sgravata in parte dalla presenza della cache del proxy WWW. In realtà esiste un più importante ruolo del server WWW e dei server proxy in generale (vi sono, con concetto analogo, proxy che supportano anche per altri servizi). Infatti ruolo del proxy server è quello di garantire un maggior isolamento tra richiedenti sulla LAN e i servizi su Internet. Per svolgere queste funzioni, usualmente il proxy fa girare veri e proprie applicazioni, non risultando quindi un router o un 2

dispositivo di rete, ma un vero e proprio computer dedicato al controllo del traffico di rete, dotato di apposito software per svolgere lo scopo. Il proxy oltre al ruolo di tramite e quindi di protezione dei PC interni alla LAN avrà anche il ruolo di filtraggio e controllo dei pacchetti transitanti, tramite un firewall (software interno). La presenza di un apparato proxy permette queste funzionalità: connettività il proxy può essere opportunamente configurato per connettere fisicamente la rete interna (LAN) alla rete pubblica. Esso effettua i servizi di NAT e altre funzionalità necessarie a garantire al sicurezza. Il proxy in questo caso funziona spesso anche da firewall. caching è il ben noto aspetto già considerato e approfondito dal libro di testo Kurose-Ross 2 per i proxy WWW Permette un miglioramento delle prestazioni sulla LAN, diminuendo il carico sulla connessione tra LAN e WAN. monitoraggio un proxy può tenere traccia di tutte le operazioni che ha dovuto effettuare e quindi di tutte le richieste di comunicazione attraverso di esso (cosa che di solito gli apparati di rete hardware non fanno). controllo un proxy ha di solito capacità più flessibili di controllo; ad esempio può controllare la larghezza di banda impegnata da un certo utente, eventualmente limitandola o calcolare il traffico complessivo di un certo utente, emettendo dei warning all' amministratore nel caso esso sia considerato eccessivo o con delle anomalie. privacy il proxy maschera l'ip del client, permettendo un buon livello di privacy. In alcuni casi, tale tecnica non è applicabile e quindi vi sono flussi dati che non possono essere sottoposti a passaggio attraverso il proxy, pena il malfunzionamento delle applicazioni stesse. Ad esempio tutte le comunicazioni in streaming non sono adatte a essere mediate dal proxy server, perche' tra l'altro non basate su un sistema incentrato su richiesta / risposta. Inoltre non sono utilizzabili flussi audio / video di comunicazione tra due host uno sulla rete Internet e l'altro sulla LAN, quali quelli di skype, oppure applicazioni di file sharing, utilizzanti anch'esse delle connessioni che devono essere dirette tra i due computer comunicanti. Reverse proxy E' un tipo di server proxy che opera in modo inverso rispetto ai server proxy normali. Un reverse proxy funziona esattamente come un proxy solo in verso opposto rispetto al solito. In questa situazione quindi un host pubblico richiede un servizio di rete connettendosi all' indirizzo del proxy server, quindi il reverse proxy crea una nuova connessione con l'host (usualmente server) che stà dietro esso. Il reverse proxy quindi invece di ricevere contatti dall'interno della LAN, viene contatto dall'esterno di essa, andando a consultare i server interni. Viene quindi considerato soprattutto per LAN o parti di LAN aventi 2 Kurose-Ross paragrafo 2.2.5 Caching web - Pag. 99 e seguenti 3

funzionalità server, ossia di erogazione di servizi on line. Come per i server proxy comuni, esistono delle caratteristiche tipiche e dei vantaggi: un reverse proxy può distribuire facilmente il carico delle richieste che lo raggiungono sui vari server un reverse proxy permette di diminuire il carico sui server in quanto può fornire le risposte direttamente tramite la sua cache. Permette di proteggere i server che operano dietro esso, grazie al disaccoppiamento realizzato VPN Virtual private Network - Permette di connettere due reti LAN, attraverso una rete pubblica non sicura, in modo sicuro. E' molto utilizzata in svariati scenari e ambiti, data anche la ormai vasta diffusione di sistemi crittografici nel software odierno. Vi sono molte tipologie e varianti di applicazione di questa tecnica. Con trusted VPN si intendono quelle connessioni i cui circuiti sono in qualche modo certificati sicuri da un ISP o comunque un ente capace di garantire il loro livello di sicurezza intrinseco. Si tratta quindi di connessioni dedicate che prevedono un accordo tra il richiedente e l'ente o società che certifica la sicurezza del collegamento. Sono spesso implementate come connessioni punto punto su rete telefonica. Nel tempo, dato il grande diffondersi di Internet e la praticità di comunicare sfruttando la sua rete, si è diffuso un altro tipo di VPN dette secured VPN. In tali connessioni non si ha alcuna garanzia riguardo al mezzo sottostante di trasporto (costituito da Internet stessa), ma si riesce comunque a far comunicare in modo sicuro due entità comunicanti, questo grazie alla crittografia. In alcuni casi tale tipo di VPN è realizzata come un collegamento sicuro tra il router della LAN A con il router della LAN B di destinazione, ossia la VPN si estende da router a router, interessando proprio il tratto pubblico della rete, ossia ciò che chiamiamo Internet. Dato il tipo di settaggi da operare sui router, si tende a preferire questo tipo di soluzione nel caso di connessioni permanenti (non occasionali o temporanee) sicure tra due LAN. Si parla in questo caso di connessione VPN da sito a sito. Viceversa è possibile optare per connessioni VPN più flessibili e sporadiche (dette talora VPN di accesso remoto) che sfruttano l'interazione tra due PC permettendone la connessione sicura. Entrambe queste soluzioni comunque si basano sul concetto del tunneling, ossia di isolare il traffico della VPN dal resto del traffico Internet, incapsulando i pacchetti originari in altri pacchetti, eventualmente di un altro protocollo. Lo scopo è fare in modo che il protocollo incapsulato possa sfruttare le proprietà del protocollo incapsulante 3. Ciò ovviamente può essere realizzato solo in modo virtuale, nel caso delle VPN, vale a dire crittando e rendendo riconoscibili solo al destinatario, i dati inviati su Internet. Solo il computer ricevente potrà essere in grado di utilizzare effettivamente tali dati. Si utilizza spesso in questi casi il protocollo IPsec che opera a livello 3 si prefigge di ottenere connessioni sicure su reti IP. La capacità di fornire sicurezza viene fornita direttamente a livello di rete, e l'uso di questo protocollo risulta trasparente a 3 Ciò avviene già normalmente nelle reti. Si pensi ai pacchetti IP a livello 3, che sono di norma incapsulati in pacchetti MAC a livello 2 sulle LAN. 4

livello delle applicazioni, che non devono essere quindi modificate. I client e server che vogliono instaurare una connessione sicura devono ovviamente essere in grado di gestire IPsec. Il computer collegato tramite VPN avrà quindi accesso alla LAN. Le caratteristiche generali richieste a connessioni di questo tipo sono riassumibili come: autenticazione capacità quindi di individuare lo specifico richiedente della connessione sicura confidenzialità ossia la capacità di mantenere riservati i contenuti che transitano sulla VPN stessa integrità la capacità di non permettere l'alterazione dei contenuti transitanti sulla VPN Esempi di protocolli sicuri di livello 7 Non sempre vi è la necessità o disponibilità di ottenere un collegamento VPN vero e proprio. Esistono protocolli che proteggono il passaggio di informazioni anche se non è disponibile una sottostante VPN 4. Usualmente in questo caso ci si avvale di applicazioni che sono in grado di utilizzare varianti sicure dei normali protocolli di rete a livello 7 (e quindi non più 3 come IPsec). Ad questo livello quindi troviamo la protezione fornita da protocolli come SSH (secure shell), che viene solitamente utilizzato per effettuare connessioni sicure tra software che implementano funzionalità di telnet (operazioni su console remota a carattere, vale a dire terminale remoto) sicure. Un ulteriore protocollo utilizzato in questa categoria di programmi e RDP (Remote Desktop Protocol) che permette di operare una connessione remota al desktop di una macchina. Si tratta di un protocollo Microsoft ed è utilizzato per implementare le funzionalità di desktop remoto. Ovviamente si desidera che tali funzionalità siano svolte in modo sicuro e privato e che quindi nessuno possa interferire nelle operazioni stesse sulla macchina remota. Un altro protocollo spesso utilizzato è HTTPS, che viene attivato quando è necessaria una connessione sicura tra client e server Web. In questo modo il transito di password, comunicazioni riservate informazioni (numeri di carte di credito, password bancarie e altro) sono protette. Tutti questi protocolli, necessitano di applicazioni ad hoc che gestiscano i relativi protocolli citati (ad es. un browser base che non sia in grado di utilizzare HTTPS non potrà instaurare connessioni sicure di questo tipo). 4 D'altronde non è possibile immaginare di instaurare una connessione VPN con qualunque sito con cui si voglia effettuare un collegamento di dati sicuro. 5

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back