Corso avanzato di Reti e sicurezza informatica

Похожие документы
Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sicurezza nelle reti


Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Iptables. Mauro Piccolo

Filtraggio del traffico IP in linux

Crittografia e sicurezza delle reti. Firewall

Packet Filter in LINUX (iptables)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Transparent Firewall

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Esercitazione 5 Firewall

PACKET FILTERING IPTABLES

Elementi sull uso dei firewall

Firewall e Abilitazioni porte (Port Forwarding)

Firewall: concetti di base

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

2.1 Configurare il Firewall di Windows

Sicurezza applicata in rete

Sommario. Introduzione. Creazione di un firewall su GNU/Linux con iptables.

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Firewall con IpTables

ANTISPAM PLAYNET (nuova Piattaforma) In questa piccola guida vogliamo mostrarvi come creare regole di BlackListe e Whitelist per

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Sicurezza delle reti 1

Sicurezza architetturale, firewall 11/04/2006

TCP e UDP, firewall e NAT

Firewall applicativo per la protezione di portali intranet/extranet

MDaemon GroupWare Per offrire agli utenti le funzionalità di condivisione calendario, rubrica e gli altri oggetti di OutLook

Besnate, 24 Ottobre Oltre il Firewall.

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Prof. Filippo Lanubile

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

FIREWALL Caratteristiche ed applicazioni

Guida di Pro PC Secure

Problematiche di Sicurezza in Ambiente Linux

Davide Casale, Politecnico di Torino

ISIS C.Facchinetti Sede: via Azimonti, Castellanza Modulo Gestione Qualità UNI EN ISO 9001 : 2008

Netfilter: utilizzo di iptables per

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Transmission Control Protocol

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Introduzione alle tecnologie informatiche. Strumenti mentali per il futuro

Caratteristiche di una LAN

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

MDaemon GroupWare Per offrire agli utenti le funzionalità di condivisione calendario, rubrica e gli altri oggetti di MS Outlook

Tematiche tecniche relative ai contratti di Housing/Hosting e Servizi Web-Based

Reti di Calcolatori. Corso di Informatica. Reti di Calcolatori. Reti di Calcolatori. Corso di Laurea in Conservazione e Restauro dei Beni Culturali

Servizio di Posta elettronica Certificata (PEC)

GUIDA AI PROBLEMI DI ACCESSO E VISUALIZZAZIONE

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

NEXT-GEN USG: Filtri Web

FIREWALL iptables V1.1 del 18/03/2013

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

Progettare un Firewall

Collegamento remoto vending machines by do-dots

I pacchetti: Linux. Belluno. User. Group Introduzione ai firewalls con Linux. Firestarter 1.0. Guarddog Firewall Builder 2.0.

Router(config)# access-list access-list number {permit deny} {test-conditions}

Reti di Calcolatori. una rete di calcolatori è costituita da due o più calcolatori autonomi che possono interagire tra di loro una rete permette:

Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip:

CAPITOLO 1 PANORAMICA SUI PROBLEMI DI SICUREZZA

Un firewall hardware a costo zero ALESSIO PORCACCHIA porcacchia.altervista.org porcacchia@bluebottle.

Servizio di Posta elettronica Certificata (PEC)

Office e Applicativi sw

Il sistema di I/O. Hardware di I/O Interfacce di I/O Software di I/O. Introduzione

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

Configurazione della ricerca desktop di Nepomuk. Sebastian Trüg Anne-Marie Mahfouf Traduzione della documentazione in italiano: Federico Zenith

Servizio di Posta elettronica Certificata (PEC)

Standard di comunicazione

Impostare il browser per navigare in sicurezza Opzioni di protezione

Servizio di Posta elettronica Certificata (PEC)

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

RETI INFORMATICHE Client-Server e reti paritetiche

Lezione Lab 1: Packet Filtering: Netfilter & IPTABLES

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)

Modulo 1.3 Reti e servizi

Come si può vedere, la regola è stata fatta in modo da spostare tutti i messaggi di Spam nella cartella del cestino.

Dynamic 07 -Software per la lettura ottica e data capture. G.Q.S. Srl Global Quality Service Via Bernini, 5/7 Corsico (MILANO)

Pacchettizzazione e distribuzione del software

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Lo scenario: la definizione di Internet

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

SuisseGest CLOUD ERP PER LE AZIENDE SVIZZERE

Creare connessioni cifrate con stunnel

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100)

Транскрипт:

Corso avanzato di Reti e sicurezza informatica http://www.glugto.org/ GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 1

DISCLAIMER L'insegnante e l'intera associazione GlugTo non si assumono alcuna responsabilità sull'utilizzo lecito o meno delle informazioni e dei concetti che verranno spiegati nelle seguenti lezioni GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 2

Firewalling La presenza di un filtro per le connessioni è essenziale in una rete Diversi tipi Diverse caratteristiche Diversi pro e contro GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 3

Scenario 1 Web Fw GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 4

Scenario 2 Pc Fw Web Pc Fw Pc Fw GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 5

Quali tipi? Firewall software Firewall hardware Iptables GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 6

In dettaglio... Firewall Firewall sw (personal fw) Firewall hw IDS Iptables GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 7

Firewall software E' un programma installato sulla pdl da proteggere, filtra i dati da e verso la pdl e nulla più Può essere vittima di attacco con estrema facilità GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 8

Firewall hardware Dispositivo fisico che protegge l'intera rete in quanto è collocato a monte Elevato costo Difficile upgrade e scalabilità GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 9

IDS Piattaforma all-in-one Costo molto elevato Difficile upgrade Scarsa modularità GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 10

Iptables Protegge l'intera rete Economico Non necessita di hw dedicato Scalabile Facile upgrade GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 11

E ancora... Packet filtering filtra semplicemente in base alle regole configurate, ogni pacchetto viene esaminato singolarmente Steteful packet inspection i pacchetti vengono esaminati come uno stream di dati, permette di capire che flag ha attivi, chi lo ha generato,... Content filtering abilita il filtraggio dei contenuti GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 12

Iptables Non è un applicativo ma un comando che inserisce regole nel kernel E' il kernel che filtra i pacchetti Netfilter Agisce a livello 3 della pila ISO/OSI GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 13

Come installarlo... Programmare cosa filtrare Ricompilare kernel Configurarlo GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 14

Cosa filtrare? Connessioni da esterno verso interno + Limitare connessioni da interno a esterno = Abilitare solo servizi necessari GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 15

Well known ports (0-1023) 80 www 21 ftp 20 ftpdata 22 ssh 53 DNS 443 https 25 SMTP 110 POP3 23 telnet 143 IMAP 3306 MySQL 1094 OpenVPN... GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 16

Ricompilazione... Necessaria a disabilitare tutto il superfluo (audio, accelerazione video, schede di rete non in uso) Lasciare solo l'essenziale Meno caratteristiche ovvero meno possibili falle GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 17

Consigli... Mai ricompilare sulla macchina che farà da fw Utilizzo di make -kpkg DISABILITARE MODULI Abilitare solo i protocolli che devono attraversare il firewall GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 18

Cosa ci serve... 2 o più interfacce Forward dei pacchetti tra le interfacce Echo 1 > /proc/sys/net/ipv4/ip_forward GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 19

Teoria di Iptables... Iptables ha 3 tabelle: filter (main) NAT Mangle Ogni tabella ha le sue catene GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 20

In dettaglio... Filter la tabella principale, si occupa di filtrare (accettando o rifiutando) i vari pacchetti NAT gestisce il NAT e le regole per la modifica degli indirizzi pubblici / privati Mangle è la tabella che si occupa di gestire le politiche di QOS (Quality Of Service) GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 21

Catene... Tabella filter INPUT: gestisce i pacchetti destinati al firewall OUTPUT: gestisce i pacchetti generati dal firewall FORWARD: gestisce i pacchetti che attraversano il firewall GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 22

Tabella NAT PREROUTING: gestisce i pacchetti in arrivo, usata per il NAT dell'host destinatario (DNAT) POSTROUTING: gestisce i pacchetti in uscita, utilizzata per il NAT dell'host sorgente (SNAT) FORWARD: gestisce il DNAT sui pacchetti generati localmente GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 23

Prerouting Output Postrouting Input Firewall Filter NAT Forward Forward GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 24

Come si configura? Iptables non ha una memoria + E' il kernel che va istruito + Le istruzioni si cancellano al reboot di sistema = BISOGNA SCRIVERE UNO SCRIPT GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 25

Ogni catena ha una policy di default Se nessuna regola è applicabile al pacchetto si usa la default policy La policy di default di ogni catena è ACCEPT GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 26

Le regole... Le regole sono lette in maniera sequenziale Es. Iptables opzione catena match -j destinazione Aggiungi, rimuovi ciò che cerchiamo GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 27

Operazione 1: pulizia delle tabella e delle catene -t specifica la catena -X cancella catene non standard -F esegue il flush delle catene -Z riempie di 0 le statistiche GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 28

Operazione 2: setting delle regole di default -P specifica la regola di default GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 29

Operazione 3: settaggio delle regole di input, output e forward -i specifica l'interfaccia di input -o specifica l'interfaccia di output -j specifica cosa fare del pacchetto -p specifica il protocollo -m state abilita il modulo degli stati GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 30

Operazione 4: settaggio del NAT SNAT source NAT DNAT destination NAT MASQUERADE mascheramento della connessione GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 31

Operazione 5: impostazioni di sicurezza echo "1" >/proc/sys/net/ipv4/... GNU/Linux User Group Torino Rilasciato sotto licenza CC-by-nc-sa. 32

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back