Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoFredo Fiorini Modificato 11 anni fa
1
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13
2
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa Un Internet firewall, in particolare, è un sistema realizzato con lo scopo di proteggere la rete interna di unorganizzazione (che nel seguito indicheremo anche con il termine Intranet) da Internet
3
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall: cosa sono Concettualmente, un Internet firewall è unentità, in particolare lunica entità, interposta tra Internet e una rete aziendale il cui accesso da e verso Internet si vuole disciplinare, tipicamente per limitare lesposizione alle intrusioni informatiche che la rete aziendale potrebbe subire da parte di utenti di Internet
4
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall: come sono Fisicamente, le configurazioni dei firewall variano in funzione degli scopi per cui sono impiegati, senza perdere in generalità possiamo affermare che un firewall è una combinazione di componenti hardware (router e host) tra loro opportunamente collegate, e di opportune componenti software
5
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall: caratteristiche generali Tutto il traffico che entra ed esce da una rete intranet deve passare attraverso il firewall Solo il traffico autorizzato potrà entrare/uscire dalla rete Il firewall deve essere il più possibile immune da attacchi
6
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi I filtri Sui Servizi Vengono definiti i tipi di servizi che possono essere acceduti da e verso Internet Sulla direzione Determina la direzione verso cui il traffico generato da certi servizi è ammissibile
7
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi I filtri User control Controlla laccesso ad un servizio verificando lutente che vi sta accedendo Behavior control Controlla come vengono usati certi servizi
8
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Tipi di firewall Packet filtering Application-level Gateway Circuit-level Gateway
9
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet filtering
10
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet filtering Nella sua versione più semplice il packet filtering consente di abilitare/disabilitare il trasferimento di pacchetti (e quindi di dati) tra due reti basandosi su: Lindirizzo IP del mittente; Lindirizzo IP del destinatario; I servizi (o protocolli) usati per trasferire i dati (questi servizi possono essere ad esempio: FTP, HTTP, SMNP, ecc. ecc.).
11
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet Filtering Opera sulle informazioni presenti nellheader di un pacchetto IP o su sequenze molto brevi di pacchetti, tralasciando il contenuto dello stesso; Ad esempio, non è possibile sopprimere, con questa versione di packet filtering, un pacchetto perché contiene insulti
12
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet filtering Vantaggi: Semplice Trasparente agli utenti Opera ad alta velocità Svantaggi: Difficoltà di configurazione Meccanismi di autenticazione
13
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Application level gateway
14
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Application level gateway Chiamato anche proxy server Svolge le funzioni di relay tra traffico a livello applicazione, si interpone tra i client ed il server di unapplicazione Intercetta tutti i messaggi che dai client sono diretti a più server e viceversa e si fa carico personalmente dellinoltro degli stessi Ricevute le risposte dal server provvede a sua volta ad inoltrarle al mittente originario
15
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Application level gateway Vantaggi Consente controlli più sofisticati del packet filtering Più mirate le operazioni di logging Svantaggi Più lento del packet filtering
16
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Circuit level gateway Esistono due tipologie di proxy: I proxy dedicati che sono in grado di operare con un unico protocollo o servizio (esiste quindi un FTP-proxy, un HTTP- proxy, un sendmail-proxy, ecc.) I proxy generici che sono in grado di operare con più protocolli contemporaneamente denominati circuit level proxy
17
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Circuit Level Proxy
18
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Circuit level Proxy Il grosso vantaggio dei circuit-level proxy è che un unico programma è in grado di gestire più protocolli il loro svantaggio è che proprio per la loro genericità non sono in grado di offrire funzionalità molto distanti da quelle di un packet filter avanzato
19
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Proxy Affinché un proxy possa funzionare è necessario che le applicazioni di riferimento, siano scritte tenendo conto della sua presenza Sono oggi disponibili proxy per la maggior parte dei servizi di rete
20
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Bastion host Sono i sistemi dellorganizzazione più esposti agli attacchi informatici Per ridurre i rischi di attacco, si sono diffuse alcune pratiche, che consentono di rendere i bastion host meno vulnerabili il bastion host serve come piattaforma per un application-level o circuit-level gateway
21
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni del Firewal Screened subnet firewall, il firewall è composto da: Due router che fanno packet filtering Uno o più bastion host Lobiettivo è quello di creare una sottorete isolata dalla rete da proteggere
22
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Screened Subnet Screened-subnet firewall, rete demilitarizzata
23
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni del Firewall Fisicamente, tale architettura può essere realizzata anche con un singolo host, che sia in grado di ospitare almeno tre schede di rete, e possa applicare su ciascuna di esse un insieme differente di regole di packet filtering In questo caso larchitettura di firewall collassa in un singolo host denominato appunto firewall
24
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni dei firewall La rete demilitarizzata è il vero elemento distintivo di questa architettura di firewall Disaccoppiamento fisico tra la rete interna in cui sono mantenuti tutti i servizi critici per lazienda e la rete demilitarizzata su cui vengono installati i servizi di rete pubblici
25
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni dei firewall Questo firewall non consente ad un intrusore che riesca ad accedere ad uno dei bastion host, di: avere accesso diretto alla rete interna che è protetta da un ulteriore livello di screening router poter intercettare il traffico della rete interna che potrebbe contenere informazioni sensibili
26
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Router esterno Il router esterno deve proteggere la rete interna e la rete perimetrale da Internet, in particolare il router esterno deve preoccuparsi di proteggere i bastion host e il router interno. Deve provvedere a bloccare tutto il traffico sospetto proveniente da Internet e diretto ai bastion host o alla rete interna
27
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Router interno Lo scopo di questo router è di proteggere la rete interna da Internet ma anche dalla rete demilitarizzata. Il router interno deve consentire il traffico, dalla rete interna verso Internet, di tutti quei servizi che si è deciso di rendere fruibili agli utenti della rete interna. La lista di questi servizi può comprendere HTTP, FTP, Telnet o meglio SSH
28
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS Nella terminologia corrente per intrusion detection system si intende un insieme di componenti hw e sw dedicate a rilevare, automaticamente ed in tempo reale, il verificarsi di unintrusione in un sistema o in una rete
29
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS Un IDS è costituito da una serie di sensori di rete o agenti e da un analizzatore centrale, ognuno di essi risiede su un host dedicato I sensori di rete vengono installati su determinate porzioni di rete, solitamente quelle su cui sono presenti i sistemi più critici I dati raccolti vengono inviati allanalizzatore che verifica o meno la presenza di traffico sospetto in tal caso attiva una serie di procedure di allarme
30
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS INTERNET INTRANET firewall IDS
31
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS
32
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS
33
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS Per la realizzazione di questi strumenti si fa ricorso a due strategie di base: Anomaly detection Misuse detection
34
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Anomaly detection Login frequency by day and time Frequency of login at different locations Time since last login Password failures at login Execution frequency Execution denials Read, write, create, delete frequency Failure count for read, write, create and delete
35
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Misuse Detection I caratteri distintivi di attacchi noti (signatures) vengono memorizzati in appositi database di attacchi alla ricezione di ogni pacchetto lanalizzatore confronta lo stesso o la sequenza a cui appartiene con le signature memorizzate nel proprio database quando trova delle coincidenze attiva una serie di allarmi
36
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Misuse detection Un intrusion detection system può erroneamente riconoscere una sequenza di pacchetti innocua come maligna e quindi provvedere ad attivare un falso allarme In questo caso si dice che lintrusion detection system ha commesso un errore di tipo falso positivo (false positive)
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.