Difesa perimetrale di una rete

Похожие документы
FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Filtraggio del traffico IP in linux

Crittografia e sicurezza delle reti. Firewall

Sicurezza applicata in rete

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

PACKET FILTERING IPTABLES

Packet Filter in LINUX (iptables)

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

Proteggere la rete: I FIREWALL


maurizio pizzonia sicurezza dei sistemi informatici e delle reti. esercizi su sicurezza delle reti

La sicurezza delle reti

Sicurezza architetturale, firewall 11/04/2006

IP forwarding Firewall e NAT

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Filtraggio del traffico di rete

Modulo 8. Architetture per reti sicure Terminologia

Firewalls. Outline. Ing. Davide Ariu

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Organizzazione della rete

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it

Lo strato di trasporto Firewall e NAT

Prof. Filippo Lanubile

Che cos è un firewall? Firewall e IDS/IPS

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Reti di calcolatori. Lezione del 25 giugno 2004

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Petra Internet Firewall Corso di Formazione

Sicurezza nelle reti

Firewall: concetti di base

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

Analizziamo quindi in dettaglio il packet filtering

Sicurezza delle reti 1

Il firewall Packet filtering statico in architetture avanzate

Besnate, 24 Ottobre Oltre il Firewall.

Architetture e strumenti per la sicurezza informatica

Netfilter: utilizzo di iptables per

Sicurezza dei calcolatori e delle reti

Iptables. Mauro Piccolo

I firewall. I firewall

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio

Criticità dei servizi di telecomunicazione nella convergenza voce/dati. Colloquia sulla infrastrutture critiche AIIC Univ. Roma Tre, 27 Febbraio 2008

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

TCP/IP: summary. Lorenzo Cavallaro, Andrea Lanzi

Firewall Intrusion Detection System

TCP/IP. Principali caratteristiche

Il Mondo delle Intranet


FIREWALL Caratteristiche ed applicazioni

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino ( ) 1

Transparent Firewall

Tunneling, reti private e NAT

Dal protocollo IP ai livelli superiori

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Sicurezza dei sistemi e delle reti 1

Lezione Lab 1: Packet Filtering: Netfilter & IPTABLES

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

Firewall. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno.

ACCESS CONTROL LIST. ACCESS CONTROL LIST standard

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

sicurezza delle reti (metodi crittografici esclusi) maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Reti locali e architetture firewall

Firewall. Pacchetti. Filtraggio di pacchetti: Regole. Filtraggio di pacchetti

Proteggere la rete I FIREWALL (seconda parte)

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Firewall con IpTables

Uso di ACL per la protezione di una rete

Introduzione. Che cos'è un Firewall? Tipi di Firewall. Perché usarlo? Ci occuperemo di: Application Proxy Firewall (o "Application Gateway )

Internet Protocol Versione 4: aspetti generali

CARATTERISTICHE DELLE CRYPTO BOX

PROGRAMMAZIONE MODULARE Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

Livello Trasporto Protocolli TCP e UDP

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

Транскрипт:

Muro tagliafuoco per: Evitare accessi indesiderati Controllare traffico di dati in uscita Tagliare i flussi di I/O generati da malware Filtrare i segmenti di una VLAN azione Tipi di firewall: Ingress firewall (incoming packets) Egress firewall (outgoing packets) numero host Network firewall (fra LAN e Internet) Personal firewall (software su host) livello operatività Reverse proxy server Filtri pacchetto (rete/trasporto) Sistema a progettazione Livello logico (applicazione) Il firewall è l unico punto esposto Solo traffico autorizzato attraversa il muro Sistema sicuro 1

Policy: politica di filtraggio pacchetti comune a tutta la rete Non appplicabile a personal firewall per costi e/o manutenzione Network firewall Circuit gateway: TCP stream o UDP datagram Packet filter su headers (no payload) Server proxy: gateway dati a livello applicazione Solo incoming, non ha azione su outbound (per proprietà NAT) NAT firewall: interviene dopo modifica dell header del pacchetto da parte del NAT 2

Packet filtering routing (ispezione pacchetto a livello rete/trasporto) Indagine su: IP mittente/destinatario MAC sorgente/destinazione Numero di porta Protocollo Azioni: accept/allow transito pacchetto accettato deny/reject transito pacchetto rifiutato con avviso ad host sorgente discard/drop transito pacchetto rifiutato senza avviso per evitare impegno della banda 3

ACL (Access Control List) Regole DETTAGLIATE imponibili su router a livello 3/4, operanti su intestazioni pacchetto, si dividono in open security policy e closed security policy. Implementabili sul router o tramite iptables.rules su server linux All open per default elenco divieti in ACL All closed per default elenco permessi in ACL #iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT #iptables -A INPUT -p tcp -s 10.0.8.25 --dport 22 -j ACCEPT #iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP 4

Tramite le ACL si effettua il PACKET FILTERING Tecniche di contrasto a specifici attacchi tramite packet filtering Source IP (Spoofing): scartare pacchetti con source IP interno ma provenienti dall esterno Source routing: scartare pacchetti con presenza di source route nel campo option Vantaggi del packet filtering Trasparenza per l utente Velocità di controllo Immediatezza di difesa su tutta una rete con una sola regola Configurazioni solo su gateway e non su client Visibilità del solo gateway come host di rete (es.nat) Svantaggi del packet filtering Filtro solo a basso livello No servizi aggiuntivi (url, web content, autenticazione, etc.) Scarso log per controllo Vulnerabilità per tutti i casi di spoofing!= Source IP Testing complesso Piccoli frammenti: scartare pacchetti TCP con fragment-offset=1 se non frame finali e <400B 5

NO end x inattività Difesa perimetrale di una rete Statefull firewalling Filtraggio non sul singolo pacchetto ma sull intera connessione. Una volta che viene stabilita una connessione CERTA (non bloccata da alcuna regola) si memorizzano le caratteristiche della connessione su una tabella di stato che registra: ID univoco della sessione Indirizzi IP sorgente/destinazione Keep Alive Interfacce di rete Stato della connessione (handshaking, established, closing) Raccolta informazioni in corso Vantaggi Rapporto prestazioni/sicurezza Protezione IP Spoofing e Hijacking Tutte le caratteristiche del packet filtering Connessione autenticata e stabilita Connessione in fase di chiusura e cancellazione Svantaggi Solo TCP (connection oriented) Scarso log per diagnostica Mancanza servizi aggiuntivi (come P.F.) Testing e configurazione complessa 6

Application proxy Software eseguito sul gateway che si frappone fra il client ed il server. lavorando a livello APPLICAZIONE risolve molti dei problemi del packet filtering (come l assenza di servizi aggiuntivi). Per ogni applicazione un proxy differente, es. http:80 http:8080 con eventuali reindirizzamenti nell applicativo client Svantaggi del proxy Invasivo per l utenza N applicazioni N proxy Intenso impegno CPU Vantaggi del proxy Completezza dei controlli Dettaglio del log No direct connection c/s Supporto connessioni multiple Configurazione user friendly Autenticazione Filtraggio contenuti Web cache Soluzione ottimale per la sicurezza di rete Proxy + Firewall (almeno 1, esterno) 7

Sezione di rete separata dalla rete interna, usata per server esposti alla rete pubblica non verificati sulla rete interna. Normalmente la DMZ ha un indirizzo statico sul quale veicolare tutte le richieste esterne di connessione. DMZ (DeMilitarized Zone) Configurazione DMZ fra 2 firewall (best defense) Configurazione DMZ come ramo di firewall 8

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back