Progettare un Firewall



Documenti analoghi
Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Indirizzamento privato e NAT

Siamo così arrivati all aritmetica modulare, ma anche a individuare alcuni aspetti di come funziona l aritmetica del calcolatore come vedremo.

Reti di Telecomunicazione Lezione 8

Prof. Filippo Lanubile

Dal protocollo IP ai livelli superiori

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Crittografia e sicurezza delle reti. Firewall

NAT NAT NAT NAT NAT NAT. Internet. Internet. router. router. intranet. intranet. Internet. Internet. router. router. intranet. intranet.

Elementi sull uso dei firewall

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

Lo scenario: la definizione di Internet

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Proteggiamo il PC con il Firewall di Windows Vista

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

Reti di Telecomunicazione Lezione 6

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

Innanzitutto, esistono diversi modi per realizzare una rete o più reti messe insieme; vi illustro la mia soluzione :

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico

IDS: Intrusion detection systems

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Reti diverse: la soluzione nativa

Prof. Mario Cannataro Ing. Giuseppe Pirrò

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

Lezione 1 Introduzione

Linux User Group Cremona CORSO RETI

Sicurezza delle reti 1

La sicurezza delle reti

Zeroshell: VPN Lan-to-Lan. Il sistema operativo multifunzionale. creato da

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Firewall e Abilitazioni porte (Port Forwarding)

Laboratorio di reti Relazione N 5 Gruppo 9. Vettorato Mattia Mesin Alberto

Internetworking TCP/IP: esercizi

INFORMATICA PROGETTO ABACUS. Tema di : SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI

J+... J+3 J+2 J+1 K+1 K+2 K+3 K+...

Informatica per la comunicazione" - lezione 8 -

Apparecchiature di Rete

COMPLESSO SCOLASTICO INTERNAZIONALE GIOVANNI PAOLO II. Pianificazione di reti IP (subnetting)

Registratori di Cassa

Sicurezza applicata in rete

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

Reti diverse: la soluzione nativa

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Protezione della propria rete

Software per Helpdesk

Protocolli di Comunicazione

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Zoo 5. Robert McNeel & Associates Seattle Barcelona Miami Seoul Taipei Tokyo

Filtraggio del traffico IP in linux

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

3. Introduzione all'internetworking

INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP

Indirizzi IP. Indirizzi IP

Il protocollo BitTorrent

Calcolatrice IP Online

Elementi di Informatica e Programmazione

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Contesto: Peer to Peer

SCENARIO. Personas ALICE Lucchin / BENITO Condemi de Felice. All rights reserved.

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

Informatica per la comunicazione" - lezione 9 -

Reti di calcolatori ed indirizzi IP

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Guida Compilazione Piani di Studio on-line

Realizzazione di una chat su protocollo HTTP

Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip:

lo PERSONALIZZARE LA FINESTRA DI WORD 2000

Applicazioni web centrati sui dati (Data-centric web applications)

Topologia delle reti. Rete Multipoint: ogni nodo è connesso agli altri tramite nodi intermedi (rete gerarchica).

Siti web centrati sui dati (Data-centric web applications)

Cos è. Protocollo TCP/IP e indirizzi IP. Cos è. Cos è

Guida di Pro PC Secure

Firewall applicativo per la protezione di portali intranet/extranet

Intranet. Indirizzamento. Indirizzi Privati. Livello di Applicazione in Internet 9. Intranet ed interconnessione con Internet

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

Reti e Internet: introduzione

A intervalli regolari ogni router manda la sua tabella a tutti i vicini, e riceve quelle dei vicini.

ING SW. Progetto di Ingegneria del Software. e-travel. Requisiti Utente. Specifiche Funzionali del Sistema

Fatti Raggiungere dal tuo Computer!!

Digital Persona Client/Server

Routing Dinamico EIGRP con Manual Summarization e Default Route 16/12/2014 Autore Roberto Bandiera

CERTIFICAZIONE ISO 14001

Sicurezza nelle reti

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Transcript:

Progettare un Firewall Danilo Demarchi danilo@cuneo.linux.it GLUG Cuneo Corso Sicurezza 2006 Concetti introduttivi Come pensare un Firewall Argomenti trattati I Gli strumenti del Firewall Gli strumenti per costruire un Firewall Il Filtro dei pacchetti Il Proxy Conclusione Riferimenti e conclusione

Cosa è un Firewall 1 Serve a proteggere una sezione di rete rispetto ad un altra 2 Tipicamente separa la rete interna da quella esterna (Internet) 3 Un Firewall ha quindi solitamente almeno 2 schede di rete 4 È un filtro dei pacchetti TCP/IP che si interpone tra le reti che sono da esso interconnesse Cosa significa introdurre un filtro 1 Deve tenere conto delle poche informazioni che i paccheti portano con sè considerando i possibili tentativi di contraffazione 2 Diventa difficile poter dire: voglio escludere il traffico del servizio X 3 Si escludono quindi i pacchetti che dovrebbero servire a quel tipo di servizio o che servono alla sua instaurazione 4 In generale, meno compiti si attribuiscono a un filtro, meglio si riesce a controllare la situazione 5 Questo significa negare per definizione!!!

Esempio: il flag SYN - I 1 L instaurarsi di una connessione TCP avviene attraverso fasi differenti, in cui vengono usati degli indicatori all interno dei pacchetti per attribuire loro un significato speciale 2 Quando un pacchetto contiene il bit SYN attivo, si tratta di un tentativo di iniziare una nuova connessione 3 L individuazione del pacchetto SYN è importante per capire chi sia colui che inizia a fare qualcosa Esempio: il flag SYN - II 1 Se una connessione TCP avviene tra il nodo A con la porta 1083 e il nodo B con la porta 80, non vuol dire che si tratti di una connessione iniziata da A 2 Non è detto anche che si tratti dell utilizzo di un servizio HTTP 3 È utile individuare i pacchetti SYN in modo da poter intervenire sulle comunicazioni in base al verso che hanno

Come pensare un Firewall L approccio 1 Chiudere tutti gli accessi 2 Aprire ciò che è necessario: Stabilire cosa Trovare il giusto compromesso tra cosa LASCIAR fare e cosa è obbligatorio DOVER fare 3 Non è per nulla semplice lasciar lavorare e chiudere le possibilità di attacchi 4 Spesso si introducono complicazioni agli utenti 5 Valutare gli aspetti legali, soprattutto legati alla Privacy: per saper cosa e come chiudere occorre monitorare! 6... e molte altre cose: monitoraggio, sistemi di allarme, aggiornamento costante... Gli strumenti per costruire un Firewall Gli strumenti del mestiere 1 Filtro di pacchetti 2 Proxy: qualcuno che deleghiamo per noi 3 NAT (Network Address Translation): trasformiamo gli IP interni 4 PAT (Port Address Translation): giriamo l accesso a certe porte TCP/IP

Il Filtro dei pacchetti Il filtro di pacchetti: livelli cui si applica 1 Il filtro di pacchetto può intervenire al terzo o al massimo al quarto livello del modello ISO-OSI 2 È in grado di identificare e filtrare i pacchetti in base agli indirizzi IP, alle porte utilizzate e a poche altre informazioni Il Filtro dei pacchetti Il filtro di pacchetti: la struttura di principio 1 Si può intervenire in tre punti differenti 1 nel transito dei pacchetti da un interfaccia a un altra 2 nei pacchetti in arrivo attraverso una data interfaccia 3 nei pacchetti in uscita 2 La distinzione è importante perchè i risultati pratici che si ottengono possono essere molto diversi a seconda del punto in cui si inserisce il filtro

Il Filtro dei pacchetti Il filtro di pacchetti: cosa si può fare 1 I pacchetti intercettati possono essere trattati in modi differenti: possono essere lasciati passare possono essere bloccati possono essere bloccati, inviando all origine un messaggio di rifiuto attraverso un pacchetto ICMP possono essere semplicemente tenuti sotto controllo (contabilizzati) Il Proxy Cosa è il Server Proxy 1 Rappresenta una sorta di intermediario che si occupa di intrattenere le connessioni per conto di qualcun altro nella rete interna 2 È come se un utente aprisse una connessione TELNET verso il proxy, utilizzando da lì un programma cliente adatto per il tipo di collegamento che intende realizzare al di fuori della sua rete interna 3 Dal momento che il proxy ha un ruolo attivo nelle connessioni, può tenere un registro delle azioni compiute e identificare l utente che lo utilizza 4 Si possono proxare diversi servizi, non solo la navigazione

La NAT 1 Sta per Network Address Translation, descritta nell RFC 1631 2 Il Firewall interviene sui pacchetti, allo scopo di sostituire gli indirizzi IP interni con (solitamente) gli IP pubblici 3 Dà la possibilità di utilizzare dinamicamente gli indirizzi IP riservati alle reti private, permettendo ugualmente a tali reti di accedere all esterno, pur non essendo questi univoci a livello globale e gestiti dai router di frontiera Classi di indirizzi privati 1 Classi di indirizzi privati sono: 10.0.0.0 / 255.0.0.0 (10.x.y.z) 172.16.0.0 / 255.255.0.0 (172.16.x.y) 192.168.0.0 / 255.255.0.0 (192.168.x.y)

La PAT 1 Sta per Port Address Translation, descritta sempre nell RFC 1631 2 Il Firewall interviene sui pacchetti, allo scopo di sostituire le porte TCP e UDP 3 Permette di nattare più IP interni su di uno stesso IP, solitamete quello pubblico PAT per ridirezione di porte 1 Serve per dirigere le connessioni originate dall esterno e dirette a porte determinate 2 Posso ridirigere sistematicamente le connessioni provenienti dall esterno, dirette alla porta 80, verso il nodo locale 192.168.1.1 alla stessa porta 80, dal momento che questo offre un servizio HTTP.

Riferimenti e conclusione Riferimenti Daniele Giacomini, Appunti di informatica libera http://appunti.linux.it/a2.htm

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back