Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso



Documenti analoghi
Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Internetworking TCP/IP: esercizi

La sicurezza delle reti

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Sicurezza applicata in rete

Crittografia e sicurezza delle reti. Firewall

Gestione degli indirizzi

Indirizzamento privato e NAT

Progettare un Firewall

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Gestione degli indirizzi

Elementi sull uso dei firewall

Packet Filter in LINUX (iptables)

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Gestione delle Reti di Telecomunicazioni

DA SA Type Data (IP, ARP, etc.) Padding FCS

Reti di Telecomunicazione Lezione 8

Connessione di reti private ad Internet. Fulvio Risso

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 14 Settembre 2005, ore 9.00

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11

ARP e instradamento IP

Configurazione Rete in LINUX

Reti di Telecomunicazioni LB Introduzione al corso

9 Febbraio 2015 Modulo 2

StarShell. IPSec. StarShell

Instradamento IP A.A. 2005/2006. Walter Cerroni. IP: instradamento dei datagrammi. Routing : scelta del percorso su cui inviare i dati

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

Simulazione seconda prova Sistemi e reti Marzo 2016

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Prof. Filippo Lanubile

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Internet e protocollo TCP/IP

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Venerdì 18 Febbraio 2005, ore 9.30

Introduzione allo sniffing

Contesto: Peer to Peer

NAT NAT NAT NAT NAT NAT. Internet. Internet. router. router. intranet. intranet. Internet. Internet. router. router. intranet. intranet.

PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30

Firewall e Abilitazioni porte (Port Forwarding)

Esercizi Reti di TLC Parte II LAN. Esercizio 5.2. Esercizio 5.1. Luca Veltri

Programmazione modulare

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori (a.a. 2010/11)

Modulo 8. Architetture per reti sicure Terminologia

Sicurezza architetturale, firewall 11/04/2006

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Filtraggio del traffico IP in linux

Reti di calcolatori. Lezione del 25 giugno 2004

L Inoltro e l Instradamento

Reti di Calcolatori

Router(config)# access-list access-list number {permit deny} {test-conditions}

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Martedì 15 Novembre 2005

SWITCH. 100 Mb/s (UTP cat. 5E) Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

Cognome e nome:...matricola:...

Stratificazione protocollare (Protocol Layering )

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Cognome Nome Matricola Tempo a disposizione per lo svolgimento: 1 ora e 20 min Avvertenza: Si usi lo spazio dopo ogni quesito per lo svolgimento.

ARP/RARP. Problema della Risoluzione dell Indirizzo. Corrispondenza statica e dinamica. Scenari

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Dal protocollo IP ai livelli superiori

LAN Sniffing con Ettercap

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

Installazione di una rete privata virtuale (VPN) con Windows 2000

Reti private virtuali (VPN) con tecnologia IPsec

Reti di Calcolatori:

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

Ordine delle regole (1)

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Zeroshell: VPN Lan-to-Lan. Il sistema operativo multifunzionale. creato da

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Livello di Rete. Gaia Maselli

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Reti di Telecomunicazione Lezione 6

Apparecchiature di Rete

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay abinsula. October 25, 2014

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)

Rete Internet Prova in Itinere Mercoledì 23 Aprile 2008

Sicurezza a livello IP: IPsec e le reti private virtuali

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Martedì 22 Febbraio 2005, ore 15.00

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

ACCESS LIST. Pietro Nicoletti

Introduzione alla rete Internet

GLI APPARATI PER L INTERCONNESSIONE DI RETI LOCALI 1. Il Repeater 2. L Hub 2. Il Bridge 4. Lo Switch 4. Router 6

Antonio Cianfrani. Extended Access Control List (ACL)

Esercizi Reti di TLC A Parte II. Indirizzamento IP. Esercizio 9.1. Esercizio 9.2. Luca Veltri

Introduzione (parte I)

Reti diverse: la soluzione nativa

Man-in-the-middle su reti LAN

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Protocolli applicativi: FTP

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Procedura configurazione Voip GNR Trunk Olimontel Asterisk PBX

Aspetti di sicurezza in Internet e Intranet. arcipelago

La sicurezza nelle reti di calcolatori

Transcript:

Università degli Studi di Parma - Facoltà di Ingegneria Corso di Sicurezza nelle reti a.a. 2009/2010 Soluzioni dei quesiti sulla seconda parte del corso 1) Si consideri lo schema di rete rappresentato in figura in cui due sottoreti aziendali sono interconnesse tra loro in VPN tramite rete IP pubblica attraverso IPSec. Nell ipotesi che la VPN sia instaurata tra i router R1 e R2 utilizzando ESP e AH (con AH che protegge anche il contenuto di ESP), e che si utilizzino i meccanismi di incapsulamento con minor overhead tra quelli possibili (transport/tunnel), si chiede di: i) indicare lo schema dei pacchetti che transitano nel tratto di rete esterna inviati da a ; ii) per ogni eventuale header IP di tali pacchetti specificare l indirizzo di sorgente (SA) e di destinazione (DA); come indirizzo usare il nome del nodo. R1 R2 Rete 1 Rete 2 encrypted new IP-H AH ESP-H IP-H data ESP-T SA=R1 DA=R2 SA= DA= 2) Si consideri uno scenario tipo road-warrior in cui un nodo si collega tramite IPSec alla sua rete aziendale e comunichi in modo sicuro con un nodo interno, come rappresentato in figura. Nell ipotesi che si colleghi alla sua rete tramite il router R1 in IPSec/ESP, che protegga la sua comunicazione con il nodo tramite IPSec/ESP, e che si utilizzino i meccanismi di incapsulamento con minor overhead tra quelli possibili, si chiede di: iii) indicare lo schema dei pacchetti che transitano nel tratto di rete esterna inviati da a ; iv) per ogni eventuale header IP di tali pacchetti specificare l indirizzo di sorgente (SA) e di destinazione (DA). R1 Rete aziendale encrypted 2 encrypted 1 new IP-H ESP 2 -H IP-H ESP 1 -H data ESP 1 -T ESP 2 -T SA= DA=R1 SA= DA=

3) Nel seguente schema di rete IP su Ethernet quali nodi possono ascoltare (eavesdropping) il traffico scambiato tra e? Quali nodi possono effettuare un attacco diretto di tipo Man In The Middle (MITM)? Hub1 Switch1 Hub2 Router1 H3 H4 H5 H6 Nodi in grado di effettuare eavesdropping (tramite network sniffing): H3, H5, R1 Nodi in grado di effettuare MITM: R1 4) Nel seguente schema di rete indicare una possibile sequenza di messaggi di un attacco di ARP spoofing (indicato anche come ARP poisoning) da parte del nodo C (attaccante) verso il nodo A (vittima), dove B è il nodo spoofato. Se ipa, maca, ipb, macb, ipc, macc sono rispettivamente gli indirizzi IP e MAC dei tre nodi, indicare le tabelle ARP di A e C dopo l attacco. A B C switch ARP table A ipb macc (1) ARP request (who has ipb?) (1) (2) (4) (1) (3) ARP response (macb has ipb) (3) (2) ARP response (macc has ipb) (4) ARP response (macc has ipb) 5) Nel seguente schema di rete indicare una possibile sequenza di messaggi di un attacco di ICMP spoofing di tipo ICMP redirect da parte del nodo C (attaccante) che tenta di fare un Man In The Middle tra A (vittima) e B. Si consideri il caso in cui A e B si vogliano scambiare i seguenti 4 pacchetti IP: pkt1:a B, :B A, :A B, pkt4:b A, e l attacco avvenga sull invio del primo pacchetto (pkt1). A C Router B pkt1 ICMP redirect (dest B next hop C) pkt1

6) si consideri il seguente schema di rete in cui un nodo NAT che interconnette una rete interna, a cui è attaccato l host (ip_addr=a1), ad una rete eterna a cui sono collegati i nodi (ip_addr=a2) e H3 (ip_addr=a3). Rete Interna NAT Rete Esterna H3 Se il nodo invia il seguente datagramma UDP al nodo : pkt1=a1:p1 A2:p2, e se tale datagramma viene modificato dal NAT in pkt1 :A10:p10 A2:p2, quali dei seguenti pacchetti inviati da e H3 a arriveranno effettivamente ad nell ipotesi che il NAT sia di tipo restricted cone NAT? =A2:p2 A1:p1 =A2:p4 A1:p1 pkt4=a3:p3 A1:p1 pkt5=a2:p2 A10:p10 pkt6=a2:p4 A10:p10 pkt7=a3:p3 A10:p10 Sì Sì 7) Si consideri il seguente schema di rete e si supponga che all indirizzo 100.5.5.2 sia presente un server web HTTP (porta TCP 80) e un server di posta elettronica SMTP (porta TCP 25); si chiede di configurare la tabella di filtering del router R1 in modo che: i) sia possibile accedere dall esterno al server web interno (100.5.5.2), ii) iii) da tutti in nodi della rete interna sia possible accedere a qualsiasi server web esterno (limitatamente alla porta TCP 80), sia possibile la comunicazione tra il server SMTP interno de eventuali server SMTP esterni in entrambi i versi (client interno server esterno porta TCP 25, e server interno porta TCP 25 client esterno) 100.5.5.2 PF-R1 100.5.5.0/24 ppp0 in_int out_int s_addr d_addr Proto s_port d_port altro / ppp0 * 100.5.5.2 TCP * 80 NEW ppp0 100.5.5.0/24 * TCP * 80 NEW ppp0 * 100.5.5.2 TCP * 25 NEW ppp0 100.5.5.2 * TCP * 25 NEW

Oppure, considerando separatamente le regole anti-spoofing legate alle interfacce: ppp0 100.5.5.0/24 * * * * * * * * 100.5.5.2 TCP * 80 NEW * * 100.5.5.0/24 * TCP * 80 NEW * * * 100.5.5.2 TCP * 25 NEW * * 100.5.5.2 * TCP * 25 NEW Oppure, senza mantenimento dello stato e utilizzando info sui flag TCP: ppp0 * 100.5.5.2 TCP * 80 * ppp0 100.5.5.2 * TCP 80 * ppp0 100.5.5.0/24 * TCP * 80 * ppp0 * 100.5.5.0/24 TCP 80 * ppp0 * 100.5.5.2 TCP * 25 * ppp0 100.5.5.2 * TCP 25 * ppp0 100.5.5.2 * TCP * 25 * ppp0 * 100.5.5.2 TCP 25 * 8) Si consideri il seguente schema di rete aziendale composta da una rete interna e da una DMZ separate dal screening router R1 e collegate alla rete esterna (pubblica) tramite il screening router R2. Si chiede di configurare la tabella di filtraggio (ACL) di R2 in modo che: a) sia possibile instaurare comunicazioni a livello applicativo client-server (con qualsiasi protocollo di trasporto) da qualsiasi nodo della DMZ verso qualsiasi nodo della rete esterna; b) sia bloccata qualsiasi comunicazione client/server da rete esterna a DMZ; c) sia bloccata qualsiasi comunicazione tra rete interna e rete esterna; d) sia possibile instaurare connessioni TCP da rete esterna al nodo 200.0.0.5, porta 80 (HTTP). PF-R1 200.0.0.5 PF-R2 200.0.1.0/24 eth1 200.0.0.0/24 eth1 in_int out_int s_addr d_addr Proto s_port d_port altro / eth1 200.0.0.0/24 * * * * NEW eth1 * 200.0.0.5 TCP * 80 NEW

9) Considerando lo schema di rete dell esercizio precedente si configuri la tabella di filtraggio (ACL) di R1 in modo che: e) sia possibile instaurare comunicazioni a livello applicativo client-server (con qualsiasi protocollo di trasporto) da qualsiasi nodo della rete interna (200.0.1.0/24) verso la DMZ; f) sia bloccata qualsiasi comunicazione client/server da rete DMZ alla rete interna; g) sia bloccata qualsiasi comunicazione tra rete interna e rete esterna. in_int out_int s_addr d_addr Proto s_port d_port altro / eth1 200.0.1.0/24 200.0.0.0/24 * * * NEW

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back