Firewall. Corso di Sicurezza su Reti Lezione del 15 Dicembre Pacchetti. Filtraggio di pacchetti

Documenti analoghi
Firewall. Pacchetti. Filtraggio di pacchetti: Regole. Filtraggio di pacchetti

Firewall. Che cosa proteggere? Pacchetti. Filtraggio di pacchetti: Regole. Filtraggio di pacchetti. Filtraggio di pacchetti: perché?

Firewall. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno.

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Proteggere la rete I FIREWALL (seconda parte)

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Prof. Filippo Lanubile

La sicurezza delle reti

INDICE INTRODUZIONE E SCOPO DEL DOCUMENTO ORGANIZZAZIONE DEL DOCUMENTO. Introduzione e scopo del documento SICUREZZA... 8

Mariarosaria Napolitano. Architettura TCP/IP. Corso di: Laboratorio di tecnologie informatiche e telematiche

Sicurezza delle reti 1

Elementi sull uso dei firewall

Sicurezza applicata in rete

Le Reti Informatiche

Sicurezza architetturale, firewall 11/04/2006

Reti di Calcolatori Servizi di Rete Laboratorio di Didattica in Rete

Autore: Bandiera Roberto 2016


Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

MODELLI ISO/OSI e TCP/IP

Organizzazione della rete

Antonio Cianfrani. Standard Access Control List (ACL)

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

Sicurezza dei calcolatori e delle reti

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Aspetti di sicurezza in Internet e Intranet. arcipelago

Il firewall Packet filtering statico in architetture avanzate

Introduzione alla rete Internet

Autore: Bandiera Roberto 2016

Corso di Laurea in Scienze e Tecnologie Chimiche corso di Informatica Generale

Programma del corso. Introduzione Rappresentazione delle Informazioni Calcolo proposizionale Architettura del calcolatore Reti di calcolatori

Disciplina: Sistemi e reti Classe: 5A Informatica A.S. 2015/16 Docente: Barbara Zannol ITP: Alessandro Solazzo

Modulo 8. Architetture per reti sicure Terminologia

ACCESS CONTROL LIST. ACCESS CONTROL LIST standard

Guida Tecnica. Configurazione del Router ZyXEL P-660H-D1 per la visione da remoto di alcuni DVR Brahms, anche con IP dinamico.

Manuale Utente Impostazione router Tele-assistenza

Strato di rete (parte 2) Autoconfigurazione Protocollo DHCP

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

- Dispensa VI - RETI DI CALCOLATORI

Sommario. Che cos è un firewall? Introduzione ai firewall. A cosa serve un firewall? Servizi e regole

Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Reti di Calcolatori ed Internet. Reti di Calcolatori ed Internet. Reti di Calcolatori. Reti di Calcolatori. Architettura dei Servizi di Rete

Lo scenario: la definizione di Internet

Politecnico di Milano Scuola di Ingegneria Industriale e dell Informazione. Modelli Funzionali

Router. E altri elementi di una rete LAN

Realizzazione di una rete dati IT

Packet Tracer: simulatore di RETE. (Router.pkt)

Proteggere la rete: I FIREWALL

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall

Universita di Milano - Polo di Crema Novembre Session Hijacking. Marco Cremonini 1. Marco Cremonini - Corso Integrativo Network Security 1

Xesar. Messa in funzione Scheda di rete

Petra Internet Firewall Corso di Formazione

FIREWALL Caratteristiche ed applicazioni

Un firewall realizzato con una ACL e un Proxy gateway.

Internet (- working). Le basi.

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

Tecnologia dell Informazione

Architetture e strumenti per la sicurezza informatica

Analizziamo quindi in dettaglio il packet filtering

CONNESSIONE DI UN PC ALLA RETE INTERNET

Reti di Calcolatori ed Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Sommario Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo TCP/IP Configurazione statica e dinamica del TCP/IP

INFORMATION TECNOLOGY. a cura di Alessandro Padovani

Autenticazione ed integrità dei dati Firewall

Corso MIUR C2 Modulo 8. Firewall. Ing. Giampaolo Mancini Ing. Fabio De Vito

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Crittografia e sicurezza delle reti. Firewall

PIANO DI LAVORO ANNO SCOLASTICO I.T.S.O.S C. E. GADDA Sede di Langhirano MATERIA DI INSEGNAMENTO: SISTEMI E RETI PROF.

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Firewall Intrusion Detection System

ISO- OSI e architetture Client-Server

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

Appello Esempio d esame. Es1 (6 pt) Es2 (6 pt) Es3 (6 pt) Ques (9 pt) Lab (6pt)

Connessione ad Internet

La sicurezza delle Reti: aspetti tecnici e legislativi Napoli, 16 maggio 2007 Aula Magna Facoltà di Ingegneria

Le reti e Internet. Struttura e protocolli

Sicurezza. Ing. Daniele Tarchi. Telematica nei Sistemi di Trasporto - L10 1. Sicurezza: cosa si intende

Reti. insieme di computer (host) interconnessi. Token evita conflitti di trasmissione Rete più o meno affidabile

Fac-simile TVI Informatica Facoltà di Economia Università degli studi di Bergamo

7.4 Controllo di errore e ritrasmissione

I firewall. I firewall

Reti di Calcolatori 1

La rete è una componente fondamentale della

Principi di Sicurezza nelle Reti di Telecomunicazioni

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o "Application Gateway )

Reti di Telecomunicazione Lezione 21

Firewall-Proxy Clanius Appliance Extreme [v1.0]

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

SERVIZIO DI ACCESSO ALLA RETE CSI-RUPAR TRAMITE VPN SSL

S O M M A R I O. 1 Come una rete migliorerà la vostra vita 1

Programmazione modulare

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Connessione di reti private ad Internet. Fulvio Risso

Transcript:

Firewall Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Pacchetti I messaggi sono divisi in pacchetti I pacchetti sono trasmessi in modo indipendente 1 Filtraggio di pacchetti Un filtro di pacchetti esamina l'intestazione dei pacchetti in transito e ne decide il destino 2 1

Filtraggio di pacchetti: Regole Una regola stabilisce il comportamento del filtro dei pacchetti in base all intestazione del pacchetto ricevuto 3 Filtraggio di pacchetti: perché? CONTROLLO SICUREZZA VIGILANZA 4 Che cosa proteggere? Dati Segretezza Integrità Disponibilità Risorse Reputazione 5 2

Denial of Service Attacchi nega l uso delle proprie risorse Intrusioni da social engineering al semplice indovinare password Rubare informazioni intercettazioni, sniffer 6 Incidenti ed Ignoranza 55% degli incidenti è causato da utenti senza esperienza che cercavano di fare cose che non dovevano fare Richard Power, Current and Future Danger: A CSI Primer on Computer Crime and Information Warfare, San Francisco, CA: Computer Security Institute, 1995 7 Firewall 8 3

Firewall 9 Firewall Dispositivi hardware o software che permettono di proteggere e filtrare traffico da e verso una rete 10 Firewall: cosa non può fare? Proteggere da attacchi dall interno Proteggere da collegamenti diretti Proteggere da virus 11 4

Firewall: cosa non può fare? Non controlla i file infetti da virus controlla solo indirizzi sorgente e destinazione e numeri di porta Bisognerebbe riconoscere un pacchetto come parte di un programma e riconoscere che nel programma c è un virus 12 Modalità di funzionamento Un firewall può operare in due modalità diametralmente opposte: Tutto ciò che non è specificatamente permesso è negato Tutto ciò che non è specificatamente negato è permesso 13 Modalità di funzionamento Tutto ciò che non è specificatamente permesso è negato Il firewall blocca tutto il traffico e ciascun servizio deve essere implementato caso per caso Lo svantaggio: si limita il numero di scelte disponibili all'utente 14 5

Modalità di funzionamento Tutto ciò che non è specificatamente negato è permesso Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso Lo svantaggio: l amministratore di rete ha difficoltà sempre maggiore nell assicurare la sicurezza man mano che la rete cresce 15 Componenti di un Firewall Un firewall tipico è composto da uno o più dei seguenti componenti: Packet-Filtering router filtra il traffico dei pacchetti mediante screening router Gateway a livello di applicazione (o Proxy Server) filtra le richieste in base alle informazioni fornite ai protocolli applicativi Gateway a livello di trasporto 16 Packet-Filtering Definisce una zona di rischio che include tutti gli host direttamente accessibili attraverso la rete e che supportano il protocollo TCP/IP 17 6

Packet-Filtering E un mezzo per diminuire il livello di rischio Scherma i pacchetti a seconda di: tipo di protocollo indirizzo della sorgente e della destinazione campi di controllo presenti nei pacchetti 18 Packet Filtering 172.16.51.50 classe C 192.168.10.0 19 Packet Filtering Alcuni esempi: blocca tutte le connessioni verso la rete interna eccetto quelle SMTP in entrata blocca tutte le connessioni da alcuni sistemi blocca i servizi r (rlogin, rsh, rcp, ) Non va bene: Utente A può fare telnet dall esterno, gli altri no E possibile trasferire questi file ma non gli altri 20 7

Screening Router configurazione Stabilire una politica di controllo degli accessi Specificare in termini logici il tipo di pacchetti permessi o negati Scrivere una lista di regole Spesso descritte mediante tabelle logiche 21 Screening Router configurazione Esempio permettere esclusivamente connessioni di tipo telnet dall interno verso l esterno e nient altro 22 Router CISCO Nei router CISCO, ACL (Access Control List) associate alle interfacce del router Composte di righe che descrivono le regole di accesso Ciascuna riga descrive l identificativo della ACL l azione da eseguire il tipo di protocollo la sorgente la destinazione la porta o l intervallo di porte destinazione il bit di acknowledgement ACK 23 8

Router CISCO Esempio: Permettere solo telnet in uscita Una ACL associata all interfaccia esterna (serial 0) per selezionare il traffico uscente Una ACL associata all interfaccia interna (ethernet 0) per selezionare il traffico entrante 24 Packet Filtering Largamente diffuso in molti prodotti di routing hardware e software Alcuni tools per packet filtering (disponibili per ftp): screend macchine BSD-based UNIX Drawbridge PC con MS-DOS e 2 schede Ethernet o 2 schede FDDI KarlBridge PC con 2 schede Ethernet 25 Packet Filtering: svantaggi Non interviene al livello dell applicazione Mancano meccanismi di auditing e di avvertimento di attacchi 26 9

Servizi Proxy Offerti dai firewall per inviare le richieste di servizio provenienti da Internet verso la rete interna e viceversa Anche detti application gateway Elaborano richieste per servizi remoti e le inoltrano in accordo con le regole di accesso stabilite per i servizi Mantengono un singolo punto di transito da e verso Internet pur fornendo un collegamento apparente con tutti gli host della rete 27 Servizi Proxy Se una richiesta di servizio proviene dalla rete interna, il proxy server dà al client l illusione di trattare con il server reale richiesto al server l illusione di trattare con un client che gira sull application gateway 28 Servizi Proxy 29 10

Proxy Server vs Screening Router Gli screening router filtrano il traffico solo in base alle informazioni dei protocolli di trasporto e di rete FTP: accettare o proibire il traffico I proxy server filtrano il traffico anche in base al protocollo applicativo FTP: consentire Export, ma non Import Le regole di filtraggio sono più facili da configurare in un proxy server 30 Proxy Server: svantaggi Non tutti i servizi si basano su protocolli per i quali è possibile realizzare un proxy server Attualmente sono disponibili solo i proxy server dei servizi più comuni HTTP, FTP, telnet 31 Bastion host Macchine collegate direttamente con Internet Forniscono servizi all esterno e fanno da tramite con la rete interna Sono quelle sulle quali è necessario concentrare maggiori attenzioni nella gestione della sicurezza Possono svolgere una o più funzioni: Screening router Application gateway 32 11

Bastion host Internet Firewall Marcus Ranum "Bastions overlook critical areas of defense, usually having stronger walls, room for extra troops, and the occasional useful tub of boiling hot oil for discouraging attackers." 33 Bastion host Internet Gestisce tutti i servizi per i quali non si ritiene sufficiente la protezione mediante packet filtering telnet, FTP, DNS, SMTP E opportuno che sul bastion host non siano installate applicazioni non utilizzate 34 Bastion host E esposto ad attacchi esterni Non dovrebbe accedere a servizi di rete che prevedono la condivisione di informazioni critiche servizi vulnerabili sulle macchine interne L unico utente registrato su esso dovrebbe essere l amministratore di sistema La presenza di altri utenti lo renderebbe oggetto di attacchi di tipo password guessing Gli utenti potrebbero rendere il sistema più vulnerabile in maniera involontaria 35 12

Gateway a Livello di Trasporto Ripete semplicemente le connessioni TCP senza elaborare o filtrare alcun pacchetto in più 36 Firewall: Principali Architetture Combinando le varie componenti otteniamo tre architetture principali: Dual-Homed Host Screened Host Screened Subnet 37 Dual-Homed Host Calcolatore con almeno due interfacce di rete Può agire come un router tra le due reti alle quali sono collegate le interfacce Può essere utilizzata come: firewall (è anche il bastion host) se posta tra una rete privata ed Internet packet filtering application gateway 38 13

Dual-Homed Host Ha buone caratteristiche di sicurezza Ha scarsa flessibilità Svantaggi: gli unici servizi disponibili sono quelli per cui esiste un proxy server sull application gateway 39 Screened Host L elemento principale è uno screening router Il bastion host svolge funzioni di application gateway ha una sola interfaccia di rete Router per separare la rete interna dall esterna Solo il bastion host può aprire connessioni con la rete esterna I sistemi esterni possono connettersi solo con il bastion host 40 Screened Host 41 14

Screened Subnet Due router che creano una rete perimetrale su cui si trovano i bastion host che forniscono i servizi Il router esterno filtra il traffico tra Internet e la rete perimetrale Il router interno protegge la rete privata da Internet e della rete perimetrale 42 Screened Subnet Rete interna screening router firewall screening router internet 43 Cryptography and Network Security by W. Stallings (2005) cap. 20 Tesina di Sicurezza su reti Firewall 44 15

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back