Un firewall realizzato con una ACL e un Proxy gateway.

Похожие документы

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Elementi sull uso dei firewall

Sicurezza applicata in rete

ACCESS LIST. Pietro Nicoletti

Firewall. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno.

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

CONFIGURARE IL DISPOSITIVO DI TELEASSISTENZA

GARR-Parma: Direttive per la sicurezza dei servizi di rete. Roberto Alfieri I INFN Security WorkShop Firenze, 19 e 20 Settembre 2000

PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico

Sicurezza delle reti 1

CONNESSIONE DI UN PC ALLA RETE INTERNET

La sicurezza delle reti

Indice. Indice V. Introduzione... XI

Sicurezza architetturale, firewall 11/04/2006

Prof. Filippo Lanubile

UNIVERSITA' DEGLI STUDI DI PARMA NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE SOMMARIO

LAVORI D UFFICIO, GRAFICA E INFORMATICA TECNICO HARDWARE

Sicurezza dei calcolatori e delle reti

Firewall e Abilitazioni porte (Port Forwarding)

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Network Troubleshooting

Reti di computer. L12 - Comunicazione e archiviazione digitale A.A Sommario

MultiWAN SWITCH GATEWAY

Dal protocollo IP ai livelli superiori

Informatica Corso AVANZATO. Internet: teoria e funzionamento

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Reti di Calcolatori. una rete di calcolatori è costituita da due o più calcolatori autonomi che possono interagire tra di loro una rete permette:

Tecnologie di Sviluppo per il Web

Introduzione all uso di Internet. Ing. Alfredo Garro

Reti di calcolatori. Reti di calcolatori

Programmazione modulare

Lezione 8 Il networking. Mauro Piccolo piccolo@di.unito.it

PROGRAMMAZIONE MODULARE Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Schema di una Rete

Reti Locali. Lezione tenuta presso l Istituto I.I.S.S. Egidio Lanoce Maglie, 26 Ottobre 2011 Prof Antonio Cazzato

Firewall schema concettuale Principali livelli coinvolti

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

La fine del packet radio??

Router(config)# access-list access-list number {permit deny} {test-conditions}

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

La rete è una componente fondamentale della

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti di Calcolatori. Corso di Informatica. Reti di Calcolatori. Reti di Calcolatori. Corso di Laurea in Conservazione e Restauro dei Beni Culturali

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Livello di Rete. Gaia Maselli

< Torna ai Corsi di Informatica

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30

TOPOLOGIA di una rete

Petra Internet Firewall Corso di Formazione

Conoscere la terminologia di base attraverso la presentazione delle principali componenti hardware di un computer.

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Obiettivi. Al termine del webinar sarete in grado di:

1. BENVENUTI CARATTERISTICHE

Indice. Indice V INTRODUZIONE... XIII PARTE PRIMA... 1

Indice. Prefazione XIII

Connessione di reti private ad Internet. Fulvio Risso

SYSTEM MANUAL SM_0042 ESEMPI INTEGRAZIONE PRODOTTI. Invio di con ETG30xx su INTERNET (provider: club.interfree.

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

RETI DI CALCOLATORI II

GLI INDIRIZZI I.P. Prof.ssa D'Angelo - Ti presento le reti -

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Reti Informatiche. dott. Andrea Mazzini

Reti di Telecomunicazioni LB Introduzione al corso

Configurazione Rete in LINUX

Introduzione alla rete Internet

Antonio Cianfrani. Extended Access Control List (ACL)

Sicurezza in Internet

Servizio BEST Video. Guida di Installazione

Mobile Authentication

Risorsa N Nel 09/2003: Corso di amministratore di rete in qualità di Docente

Corso Amministratore di Sistema Linux Programma

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Firewall. Pacchetti. Filtraggio di pacchetti: Regole. Filtraggio di pacchetti

GUIDA ALLA Rel. 4.2 SOMMARIO. 5) Aggiornamento Configurazione Mail Preesistente Pag.

Modulo 1.3 Reti e servizi

Lo scenario: la definizione di Internet

Introduzione (parte I)

CRITTOGRAFIA SSL POSTA ELETTRONICA

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1

PROGRAMMA CORSO SISTEMISTA INFORMATICO

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma

Petra Firewall 2.8. Guida Utente

Aspetti tecnici Progetto «Scuole in Internet» (SAI)

Introduzione alla rete Internet

Транскрипт:

Un firewall realizzato con una ACL e un Proxy gateway. Roberto Alfieri - INFN Parma 6HFRQGR,QFRQWURGL*$55%/DVLFXUH]]DLQ5HWH 1DSROL*HQQDLR 1

SOMMARIO: Gli obiettivi Il progetto L Access Control List La temporizzazione dell ACL I proxy telnet e ftp Conclusioni 2

OBIETTIVI: Protezione della rete Criteri non eccessivamente restrittivi Massima trasparenza per l utente della LAN Software pubblico dominio Senza hardware aggiuntivo 3

IL PROGETTO: Collaborazione con il CCE dell Univ. Di Parma. Utilizzo delle principali tipologie di firewall: Packet screeneng e Proxy Gateway. Il packet screening, realizzato con ACL sul router Cisco, permette l accesso ai proxy o direttamente ai servizi. I proxy, realizzati con FWTK, regolamentano l accesso ai servizi piu critici (es. telnet e ftp). ACL temporizzate per avere maggiore sicurezza quando la rete non e presidiata (notte e festivi). 4

Deny Permit Permit Internet Screening router Proxy Server Permit Client RETE PROTETTA 5

IL CONTESTO: INFN Parma 3 reti di classi C : INFN, Dip. Fisica, Didattica (priv.) Circa 500 nodi IP 1 Linea Frame Relay 2 Mbyte INFN-GARRB 1 Router Cisco 4000 1 Peering in Ethernet con l Universita 6

Garr-b 352;< Garr-b logger $&/ $&/ router router INFN Hub Univ. UniPR switch server server switch switch /DQ,1)1'LS)LVLFD 7

REGOLE PRINCIPALI DEL FILTRO: Nessuna restrizione sulle connessioni TCP uscenti Telnet e ftp permessi solo verso il proxy-gateway SSH e ICMP senza restrizioni SMTP POP3 IMAP HTTP FTP ( ) solo verso i server interni Domain (53/tcp, tutte/udp) verso server DNS X11 non passa (incapsulato in ssh o proxy-telnet) FTP download: abilitazione tcp>1023 o Pasv e Proxy Tutto il resto non passa 8

ACL (1/3): &RPXQLFD]LRQHWUDHYHQWXDOL/$1LQWHUQHQHFHVVDULR LQFDVRGL$&/VXOODLQWHUIDFFLDLQWHUQDODWR/$1 DFFHVVOLVW SHUPLWLS QHWDQ\ DFFHVVOLVW SHUPLWLS QHWDQ\ DELOLWD]LRQHFRQQHVVLRQL WFS VWDELOLWHGDOOLQWHUQR DFFHVVOLVW SHUPLWWFSDQ\DQ\HVWDEOLVKHG FRQWLQXD 9

ACL (2/3): DFFHVVOLVW SHUPLWWFSDQ\DQ\HTVVK DFFHVVOLVW SHUPLWWFSDQ\DQ\HTIWSGDWD DFFHVVOLVW SHUPLWLFPSDQ\DQ\ DFFHVVOLVW SHUPLWWFSDQ\KRVW ZHEVHUYHU HTZZZ DFFHVVOLVW SHUPLWWFSDQ\KRVW VPWSVHUYHU HTVPWS DFFHVVOLVW SHUPLWWFSDQ\KRVW PDLOVHUYHU HT SRS DFFHVVOLVW SHUPLWWFSDQ\KRVW PDLOVHUYHU HTLPDS DFFHVVOLVW SHUPLWWFSDQ\KRVW WHOQHWJZ HTWHOQHW DFFHVVOLVW SHUPLWWFSDQ\KRVW IWSJZ HTIWS DFFHVVOLVW SHUPLWWFSDQ\KRVW GQVVHUYHU HTGRPDLQ DFFHVVOLVW SHUPLWXGSDQ\KRVW GQVVHUYHU FRQWLQXD 10

ACL (3/3): DELOLWD]LRQHFRQ ORJJLQJGHOOHSRUWHDOWHSHU IWS LQDOWHUQDWLYDDO SUR[\IWSH3$69 9LHQHLQROWUHEORFFDWDODFRQQHVVLRQH;HQWUDQWH DFFHVVOLVW GHQ\WFSDQ\DQ\UDQJH DFFHVVOLVW SHUPLWWFSDQ\DQ\JW ORJ (YHQWXDOLDELOLWD]LRQLORFDOL WXWWRLOUHVWRQRQSDVVD DFFHVVOLVW GHQ\LSDQ\DQ\ORJ 11

LA TEMPORIZZAZIONE DELL ACL: ACL permissiva o inesistente durante le ore lavorative (LAN presidiata) ACL restrittiva durante la notte e i fine settimana (LAN non presidiata) Script enable/disable via CRON 12

LA TEMPORIZZAZIONE DELL ACL: CONFIGURAZIONE DEL ROUTER KRVW DELOLWDWRDODQFLDUHORVFULSW DFFHVVOLVW SHUPLW FURQVHUYHU DELOLWD]LRQHVXOWHUPLQDOHYLUWXDOHQXPHUR OLQHYW\ DFFHVVFODVV LQ DFFHVVFODVV RXW ORJLQORFDO URWDU\ 13

LA TEMPORIZZAZONE DEL ACL: LO SCRIPT IN CRON HFKRXVHUQDPH[[[VOHHS HFKR SDVVZRUG\\\VOHHS HFKRHQDVOHHS HFKRXVHUQDPH[[[VOHHS HFKR SDVVZRUG\\\VOHHS HFKR WHUPLQDOPRQLWRUVOHHS HFKRFRQILJXUH WHUPLQDOVOHHS HFKRLQWHWK]]]VOHHS HFKRLSDFFHVVJURXS RXW6OHHS HFKR QR LSDFFHVVJURXS RXW HFKRH[LW _WHOQHWURXWHUQDPH 14

FireWall ToolKit (FWTK): Fwtk 2.1 (www.fwtk.org) Red Hat 6.1, Ppro200, 64MB Proxy telnet, rlogin, X, ftp, smtp, http Logging Autenticazione (password, S/key,..) 15

/etc/inetd.conf IWSVWUHDPWFSQRZDLWURRW XVUORFDOHWFIWSJZIWSJZ WHOQHWVWUHDPWFSQRZDLWURRW XVUORFDOHWFWQJZWQJZ DXWKVUYVWUHDPWFSQRZDLWURRW XVUORFDOHWFDXWKVUYDXWKVUY /etc/services DXWKVUY WFS 16

/usr/local/etc/netperm-table (esempio): IWSJZ ZHOFRPHPVJ XVUORFDOHWFIWSZHOFRPHW[W IWSJZ SHUPLWKRVWV WQJZ DXWKVHUYHUORFDOKRVW WQJZ ZHOFRPHPVJ XVUORFDOHWFWQZHOFRPHW[W WQJZ [IRUZDUGHU XVUORFDOHWF[JZ WQJZ SHUPLWKRVWV LQIQLW [RN WQJZ SHUPLWKRVWV DXWK DXWKVUY KRVWV DXWKVUYGDWDEDVHXVUORFDOHWFIZDXWKGE DXWKVUY SHUPLWKRVWVORFDOKRVW [JZ SHUPLWKRVWV 17

Esempio di connessione al tn-gw:! 7HOQHWWQJZSULQIQLW 8VHUQDPH8VHU 3DVVZRUG 'LSDUWLPHQWRGL)LVLFDGL3DUPD,1)13DUPD %HQYHQXWLDO WHOQHWJDWHZD\WQJZSULQIQLW 3HUXWLOL]]DUH ;ZLQGRZ[ FOLHQWQDPH 3HUFRQQHWWHUVLDGXQ KRVWF KRVWQDPH WQJZ!FDUFKLPHGHSULQIQLW 18

CONCLUSIONI: Un filtro temporizzato e attivo dal marzo 1998 Da aprile 1999 e attivo un filtro (non temporizzato) con proxy Il carico sulla CPU del Cisco e trascurabile Alcune richieste di utenti (all inizio) per aperture verso PC con ftp o web server 19