Corso MIUR C2 Modulo 8. Firewall. Ing. Giampaolo Mancini Ing. Fabio De Vito

Documenti analoghi
Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

IP forwarding Firewall e NAT

Reti di Calcolatori 1

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Esercitazione 5 Firewall

Lo strato di trasporto Firewall e NAT

NAT e PAT. Prof. Pier Luca Montessoro

Difesa perimetrale di una rete


IP forwarding Firewall e NAT

ICMP ARP RARP DHCP -NAT

Crittografia e sicurezza delle reti. Firewall

ISIS R. D'Aronco A.S 2016/2017 Terza Verifica Scritta del Primo Periodo Classe: 5B ITI-INF Data: 17 Dicembre 2016 Materia: SISTEMI E RETI.

IPTABLES. Un Introduzione

Firewall schema concettuale Principali livelli coinvolti

(parte 2) DHCP e NAT

Esercitazione 05. Prima di iniziare. Packet Filtering [ ICMP ] Sommario. Angelo Di Iorio (Paolo Marinelli)

Configurazione delle interfacce di rete

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio

Installazione e Configurazione del servizio DHCP. Orazio Battaglia

Telecomunicazioni (Ing. Gest., canale M-Z) Esercizi per gruppi di lavoro - 4 ARQ e livello di rete

Antonio Cianfrani. Dynamic Host Configuration Protocol (DHCP)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. esercizi su sicurezza delle reti

4b. Esercizi sul livello di Rete Inoltro in IP

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Reti (introduzione) Internet in breve: insieme di reti locali (LAN) interconnesse da router. 2 tipi di LAN

Sicurezza dei sistemi e delle reti 1

Configurare Comodo Internet Security 5.0 per emule AdunanzA

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Implementazione di una LAN

Impostare il firewall per LAN e DMZ

Reti e Sicurezza Informatica Esercitazione 5

Introduzione al NATTING

Internet Control Message Protocol (ICMP)

Reti. insieme di computer (host) interconnessi. Token evita conflitti di trasmissione Rete più o meno affidabile

Proteggere la rete I FIREWALL (seconda parte)

Wikipedia, testo disponibile nel rispetto dei termini della GNU Free Documentation License. Università di Verona, Facoltà di Scienze MM.FF.NN.

ISTITUTO TECNICO INDUSTRIALE M. FARADAY Programmazione didattica

Filtraggio del traffico IP in linux

Strato di rete (parte 2) Autoconfigurazione Protocollo DHCP

Lo strato di Trasporto

17. Indirizzamento Multicast (IGMP)


RETI DI CALCOLATORI. Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI. Facoltà di Ingegneria Università degli Studi di Udine

Appello 13 Febbraio Tempo complessivo a disposizione per lo svolgimento: 2h Usare lo spazio dopo ogni Esercizio/Quesito per la risposta.

adunanza.net Comodo Internet Security Premium 5.0 Passaggio 1 1 di 28 24/05/ :53

Iptables. Mauro Piccolo

Le Reti Informatiche

Progettare un Firewall

Esercitazione. Prima di chiedere hai usato il comando man? sovente 1 settimana di esperimenti possono risparmiare 1 ora di lettura

Esercizi di Addressing. Fulvio Risso Guido Marchetto

DOMANDA 1: Qual è il più piccolo blocco di indirizzi che servirebbe a questa rete? Rete1P R4 H

Iniziamo aprendo Comodo Internet Security (doppio clic sull icona nella barra delle applicazioni).

Prof. Filippo Lanubile

Advanced IPv4 Access List

Network Address Translation

Sicurezza delle reti. Monga. Sicurezza perimetrale. Tipologie di. Stateless filtering Stateful filtering Deep packet inspection

RETI DI CALCOLATORI II

Seconda Prova in itinere Esempio

ACCESS CONTROL LIST. ACCESS CONTROL LIST standard

Prova 2-8 Luglio 2016

Manuale applicativo. Interfaccia KNX-IP EK-BB1-TP. Interfaccia KNX-IP Router EK-BC1-TP

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

Lezione n.8 LPR- Informatica Applicata

Nota di Copyright RETI DI CALCOLATORI. Lezione 28: indice degli argomenti. Lezione 28. Il collegamento agli Internet Service Provider

Corso di Laurea in Informatica Esame di Reti Prof. Panzieri frame con source address uguale a MAC_UNI X X X X X

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Nota Tecnica UBIQUITY 7 TN0023. Il documento descrive le novità introdotte con la versione 7 della piattaforma software ASEM Ubiquity.

Sicurezza dei sistemi e delle reti 1

Network Address Translation

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori (a.a. 2010/11)

L Inoltro e l Instradamento

Sicurezza nelle reti

Reti di calcolatori. Lezione del 17 giugno 2004

Appello Esempio d esame. Es1 (6 pt) Es2 (6 pt) Es3 (6 pt) Ques (9 pt) Lab (6pt)

Internet Protocol Cenni introduttivi

Indirizzamento privato e NAT

Sicurezza delle reti 1

Seconda Prova in itinere Esempio

Laboratorio di Reti di Comunicazione ed Internet Mod. 2

02/10/2015 SISTEMI E RETI. Router Cisco. Parte 2 - IOS. A cura dell Ing. Claudio Traini. router. sottoreti. terminali

GUIDA ALLA CONFIGURAZIONE DEL SERVIZIO LAN PUBBLICA (IP PUBBLICI AGGIUNTIVI) SU ROUTER FRITZ!BOX 6890

Configurazione firewall Cisco ASA5505

YABC - ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

CONFIGURAZIONE ROUTER

Parte II: Reti di calcolatori Lezione 15

Packet Filter in LINUX (iptables)

Ripresa concetti di networking. Orazio Battaglia

Avvertenza: Si usi lo spazio dopo ogni quesito per lo svolgimento. Includere fogli aggiuntivi solo se strettamente necessario.

NAT: Network Address Translation

Livello rete. Piano di controllo. Introduzione: Piano dei dati e piano di controllo Architettura di un router IP: Internet Protocol

PACKET FILTERING IPTABLES

Lezione n.3 LIVELLO TRASPORTO

Instradamento. Fondamenti di Informatica

Transcript:

Corso MIUR C2 Modulo 8 Firewall Ing. Giampaolo Mancini Ing. Fabio De Vito

11/02/04 15.15.03 Sommario Concetto di firewalling Funzionalità di un firewall Filtro sui pacchetti in ingresso Filtro sui pacchetti in uscita Filtro sui pacchetti in transito Traduzione di pacchetti (NAT) Redirezione di indirizzi (PAT)

11/02/04 15.15.03 Firewalling Il firewall è un insieme di regole che gestiscono il comportamento di una macchina rispetto ai pacchetti che transitano sulle sue interfacce Generalmente per firewall si intende il blocco in ingresso dei pacchetti indesiderati o ritenuti dannosi In realtà il firewall è un filtro che permette di gestire in modo differenziato i pacchetti

11/02/04 15.15.03 Firewalling I firewall possono contenere regole molto generali o molto complesse Si può filtrare basandosi su dati molto dettagliati Indirizzi sorgente/destinazione Indirizzi singoli o intere reti Porte sorgente/destinazione Singoli o elenco di porte Indirizzo MAC Solo per i pacchetti in ingresso

11/02/04 15.15.03 Firewalling Protocollo di trasporto TCP, UDP, ICMP, frammenti Nel caso di TCP si possono discriminare i vari flag nell'header (SYN, ACK, etc) Nel caso di ICMP si possono specificare i diversi tipi di messaggi Nel caso di pacchetti frammentati, solo per il primo può essere determinato il tipo di protocollo Interfaccia di ricezione/trasmissione del pacchetto Ethernet, PPP, etc

11/02/04 15.15.03 Firewalling Si può decidere cosa fare del pacchetto Accettare (accept) Rifiutare (reject) e rispondere con un messaggio di errore Scartare (drop) e non dare segnalazione Tenere traccia del pacchetto (log) Mascherare l'indirizzo sorgente del pacchetto (nat) Redirigere un pacchetto in ingresso verso una macchina con indirizzo privato (pat)

11/02/04 15.15.03 Firewalling pck F pck ICMP F drop reject pck F pck F pck accept forward pck F pck' NAT/PAT

11/02/04 15.15.03 Firewalling I firewall devono essere posizionati in modo da essere presenti su tutti i punti di accesso ad un host o a una sottorete In generale è preferibile avere un unico punto di accesso, in modo da poter meglio controllare il traffico È possibile ridondare la protezione includendo, oltre che il firewall sul punto di accesso alla rete, anche un firewall per ogni singola macchina

11/02/04 15.15.03 Firewall: filtro La funzionalità di filtro consente di controllare i pacchetti che attraversano il nodo Destinati al nodo, generati dal nodo o solo in transito Combinando opportunamente le regole, si possono ottenere comportamenti molto complessi e si possono abilitare servizi specifici per ogni singola macchina

11/02/04 15.15.03 Firewall: filtro Bisogna porre particolare attenzione nella configurazione dei filtri Bloccare indiscriminatamente la ricezione o il transito di un servizio può compromettere il buon funzionamento di una rete Esempio: blocco del transito dei pacchetti UDP Si rischia di bloccare le richieste DNS a server esterni Soluzione: aprire esclusivamente la porta 53 o inserire un server DNS sulla stessa macchina che ospita il firewall

11/02/04 15.15.03 Firewall: filtro Esempio: blocco dei pacchetti icmp Non vengono inviate risposte in caso di mancato accesso e le applicazioni che tentano di attraversare il firewall rimangono in attesa fino allo scadere dei timeout, senza sapere il perchè La macchina non risponde alle richieste di ping e di traceroute Più sicurezza ma la macchina non risponde neanche all'amministratore di rete

11/02/04 15.15.03 Filtro: ingresso I filtri in ingresso riguardano tutti i pacchetti in arrivo sulle interfacce della macchina Questi filtri sono solitamente utilizzati per: Bloccare pacchetti indesiderati Esempio: connessione a porte non autorizzate Limitare il traffico in ingresso Esempio: limitare il numero di ping ai quali rispondere in un dato tempo, evitare la scansione delle porte

11/02/04 15.15.03 Filtro: ingresso Impedire l'accesso all'amministrazione remota della macchina che ospita il firewall da determinate macchine

11/02/04 15.15.03 Filtro: uscita Il filtro in uscita opera sui pacchetti generati dalla macchina che ospita il firewall Questo tipo di filtro si occupa di: Bloccare l'uscita di pacchetti dalla macchina Esempio: impedire che la macchina effettui connessioni su determinate porte o richieste di ping o traceroute Limitare il traffico Esempio: evitare che la macchina generi port scanning

11/02/04 15.15.04 Filtro: inoltro Consente di creare delle regole che gestiscono i pacchetti in transito attraverso il nodo Si usa per macchine che facciano da punto di accesso ad una rete Consente di: Isolare intere reti Esempio: bloccando tutto il traffico in ingresso su una interfaccia

11/02/04 15.15.04 Filtro: inoltro Bloccare comunicazioni TCP se iniziate da determinate macchine Esempio: solo le macchine di una rete possono accedere ai servizi di un server Limitare il traffico di un certo tipo in transito attraverso il nodo Esempio: evitare che le macchine a valle generino traffico di tipo UDP Attenzione alla gestione del DNS

11/02/04 15.15.04 Filtro: inoltro Naturalmente, assicurarsi che il nodo di transito abbia il forwarding dei pacchetti IP attivato Se esistono più di due interfacce, occorre particolare attenzione nella scrittura delle regole di inoltro Possono essere necessarie regole differenziate per ogni coppia <interfaccia di ingresso, interfaccia di uscita> e per diversi servizi

11/02/04 15.15.04 Gestione delle regole Le regole vengono lette nell'ordine in cui sono scritte Non appena si trova il match per il pacchetto, non si scende oltre nella catena Per questo è necessario seguire alcuni criteri di base nella stesura delle regole

11/02/04 15.15.04 Gestione delle regole Sono possibili due approcci: Tipo router: Lascia passare tutto il traffico che non viene bloccato esplicitamente Tipo macchina: Blocca tutto il traffico che non è stato abilitato nelle regole Approccio più conservativo, tipico delle macchine server (ad esempio è inutile aprire tutte le porte su un web server)

11/02/04 15.15.04 Gestione delle regole Un buon approccio (dal punto di vista della sicurezza) è iniziare con le regole che prevedono il rifiuto del pacchetto In questo caso, se dovesse verificarsi un conflitto fra due regole, una che lascia passare il traffico e l'altra che lo blocca, il servizio non funziona ma si diminuisce l'esposizione al rischio (il pacchetto viene scartato)

11/02/04 15.15.04 Gestione delle regole Esempio: Blocca i pacchetti UDP Consenti l'accesso alla porta 23 Fai passare i pacchetti UDP In questo caso i pacchetti UDP vengono scartati Se si fossero invertite le regole 1 e 3 i pacchetti sarebbero passati indisturbati

11/02/04 15.15.04 Gestione delle regole È sempre meglio iniziare dalle regole più dettagliate In questo modo si evita che il pacchetto soddisfi più regole e che la meno generale mascheri la più dettagliata Esempio: Regola 1 -> bloccare tutto il traffico ICMP Regola 2 -> limitare il numero di risposte a ping In questo caso la seconda regola è inutile, perchè i pacchetti ping sono pacchetti ICMP

11/02/04 15.15.04 Gestione delle regole In questo caso la macchina non risponderà mai ai ping Esempio: Regola 1 -> limitare il numero di risposte a ping Regola 2 -> bloccare tutto il traffico ICMP In questo caso la macchina risponderà in modo limitato ai ping e bloccherà tutto il resto del traffico ICMP in arrivo/transito

11/02/04 15.15.04 Gestione delle regole Tenere sempre conto delle caratteristiche dei vari servizi (protocolli, porte, etc) Esempi: Chiudere il passaggio a tutto il traffico UDP blocca il funzionamento del DNS Bloccare tutti i pacchetti ICMP rende difficoltosa la diagnostica -> meglio chiuderne solo alcuni e limitare gli altri

11/02/04 15.15.04 Gestione delle regole Per le connessioni TCP, è meglio bloccare solo il pacchetto SYN e non tutti i pacchetti; il risultato è identico perchè in entrambi i casi la connessione non parte, ma in questo modo si evita di chiudere connessioni già aperte al momento della modifica della regola Se si sta lavorando in ssh alla modifica di un firewall remoto, chiudere improvvisamente il passaggio a tutti i pacchetti TCP non consente ulteriori modifiche in quanto si blocca anche la sessione attraverso la quale stiamo lavorando...

11/02/04 15.15.04 Gestione delle regole Esiste la possibilità di tenere un log del passaggio di determinati pacchetti In generale è utile salvare le informazioni su un pacchetto prima di scartarlo, in modo da poter tentare di capire chi lo ha generato Da utilizzare per esempio per i pacchetti ICMP

11/02/04 15.15.04 Firewall: NAT/PAT Tramite un firewall opportunamente configurato è possibile ottenere i servizi NAT (network address translation) Serve a mascherare alla rete esterna gli indirizzi della rete interna che hanno generato il pacchetto Si usa sempre per dare l'accesso ad internet a macchine con indirizzamento privato Dal punto di vista della rete, è come se tutto il traffico aggregato fosse generato dal nodo che contiene il NAT

11/02/04 15.15.04 Firewall: NAT/PAT PAT (port address translation) Serve a redirigere il traffico che giunge al firewall dalla rete esterna verso una determinata macchina all'interno della rete privata Ad esempio: una connessione arriva alla macchina che contiene il firewall, sulla porta 80; il firewall gira tale richiesta ad una macchina interna alla rete su una determinata porta Se non si usasse questo meccanismo, la macchina con indirizzo privato non sarebbe raggiungibile dall'esterno

11/02/04 15.15.04 Firewall: NAT/PAT Richiedendo l'attraversamento del nodo, è necessario che l'inoltro dei pacchetti sia abilitato e le tabelle di routing correttamente istruite Le operazioni di NAT/PAT si svolgono NAT: dopo il routing PAT: prima del routing

11/02/04 15.15.04 NAT Il NAT funziona sostituendo, all'interno del nodo che contiene il firewall, l'indirizzo sorgente Può essere effettuato dopo l'instradamento (postrouting) in quanto tale operazione richiede la sola conoscenza della destinazione Funziona mascherando alla rete esterna l'indirizzamento della rete privata Solo la macchina che fa da NAT è direttamente visibile dalla rete mondiale

11/02/04 15.15.04 NAT Per l'accesso dall'esterno ad una macchina posizionata a valle di un NAT, è necessario accedere prima all'unica macchina visibile da internet, in quento questo calcolatore è l'unico che riesce a vedere sia la rete mondiale che quella privata; da qui è possibile poi accedere alle risorse interne Perdendo di generalità, si possono utilizzare i servizi di PAT

11/02/04 15.15.04 NAT From: 192.168.0.33 To: 130.192.12.44 192.168.0.33 From: 130.192.5.11 To: 130.192.86.103 130.192.5.11 NAT 192.168.0.1 S From: 130.192.5.11 To: 130.192.12.44 192.168.1.1 S From: 192.168.1.7 To: 130.192.86.103 192.168.1.7

11/02/04 15.15.04 PAT Il PAT funziona in modo duale al NAT Consente di raggiungere un server interno alla rete con indirizzamento privato L'operazione di cambio della destinzione deve essere fatta appena il pacchetto raggiunge il nodo che contiene il PAT Infatti, è necessario modificare la destinazione e poi scegliere l'interfaccia di uscita (prerouting)

11/02/04 15.15.04 PAT To: 130.192.5.11:80 130.192.5.11 PAT 192.168.0.1 192.168.1.1 S To: 192.168.1.7:80 S Server web 192.168.1.7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back