Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.

Slides:



Advertisements
Presentazioni simili
Prof. Carla Fanchin – L.S. Tron
Advertisements

1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì
Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.
Elaborazione del Book Informatico
RETI INFORMATICHE Una panoramica su Internet WS_FTP
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Italo Losero S tray B ytes strane cose succedono nelle reti....
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Le reti informatiche Una rete può essere definita come un insieme di nodi, dislocati in posizioni differenti, collegati tra loro medianti mezzi trasmissivi,che.
Organizzazione di una rete Windows 2003
La rete in dettaglio: rete esterna (edge): applicazioni e host
Il firewall di Linux: IPTables 19 Settembre 2005.
Cosè Internet E una rete che consente la comunicazione tra computer di diverso tipo dislocati in qualsiasi località del mondo.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Architettura del World Wide Web
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Intrusion Detection System
La Rete Configurazione di base della rete Configurazione di base della rete File system distribuiti File system distribuiti La sicurezza della rete La.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Corso di Laurea in Ingegneria Gestionale
Reti di calcolatori Una premessa: i sistemi di comunicazione Le reti di calcolatori Internet.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
Corso di Informatica per Giurisprudenza Lezione 7
©Apogeo 2004 Gestione di una piccola rete locale.
Realizzato da Roberto Savino 3-1 Il livello di trasporto r Dobbiamo assumere di avere a che fare con un canale di comunicazione molto particolare 1. Inaffidabile.
SmoothWall : il front end grafico di iptables
La rete di istituto Maninder Bansal 5Bz Vital Ivo 5Bz Anno scolastico 2005/06.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu.
Le reti di calcolatori ©Apogeo 2004.
Corso di Laurea in Conservazione e Restauro dei Beni Culturali
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
IPSec Fabrizio Grossi.
Internet: una panoramica
Attivazione protocollo SSL al sistema di posta elettronica
Attivazione protocollo SSL al sistema di posta elettronica Secure Sockets Layer (SSL) è un protocollo crittografico che permette una comunicazione sicura.
Creato da Riccardo Nuzzone
Livello di trasporto Protocolli TCP e UDP.
1 Storia di Internet Internet non è un’invenzione degli anni ’90….. Nata dagli studi di un’agenzia detta ARPA (Advanced Research Projects Agency) Internet.
STAGE INVERNALE 2005 GESTIONE DI SISTEMI DI SICUREZZA INFORMATICA. A CURA DI: MARIO MASCIARELLI STUDENTI: DAMIANO PITOLLI FABIO NARDELLA.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Claudio Telmon - Internet -1 © Claudio Telmon I firewall.
Sicurezza informatica
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Servizi Internet Claudia Raibulet
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 5 – Configurazione.
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Reti II Stefano Leonardi
Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA Ingegneria Informatica e dell’Automazione.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
Silvia Pasqualotto e Giulia Nanino
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
I NTERNET Rete interconnessa che permette il collegamento tra due host eterogenei, appartenenti a reti differenti separati anche da grande distanze. Internet.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
The Unified Threat Management Security Appliance Hystrix
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
II PROVA Svolgimento tramite protocollo ISO/OSI. I LIVELLO : LIVELLO FISICO Scelta del mezzo fisico; tenere conto degli standard IEEE Procedura di codifica.
IPTABLES Un Firewall Linux Telematica A.A Claudio Bizzarri – Franco Pirri.
NAT, Firewall, Proxy Processi applicativi.
Firewalling.
Transcript della presentazione:

Firewalling

A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete di usare determinate applicazioni Proteggersi dagli attacchi DoS e DDoS Evitare che i server (o i client) interni provochino attacchi a terzi Minimizzare i danni se perdete il controllo di un server –Evitare l’effetto ‘domino’

A cosa NON serve Una volta all’interno di un dominio di collisione –Tutti i dati possono essere falsificati –Tutto si può ‘sniffare’ –Tutto si può ‘spoofare’ –E’ facile creare un attacco man-in-the-middle (hijacking) –udp non è sicuro (e tcp anche) –dns non è sicuro, smtp non è sicuro   –Problemi di sicurezza e autenticazione I firewall non vi difendono dai cavalli di troia e non garantiscono l’autenticità e sicurezza della trasmissione I firewall non vi difendono da attacchi di ingegneria sociale e attacchi “fisici” alla rete.

Tipi di firewall Stateless: filtrano pacchetto per pacchetto Stateful: conservano memoria del traffico precedente (connessioni, ecc.) e ne fanno uso per decidere il destino di un pacchetto –IPTABLES è stateful

Tipica configurazione con firewall DMZ LAN (REDAREA) Mondo esterno / / /24 eth0 eth1 eth2

Esigenze tipiche aziendali DNS, Mail, HTTP, Proxy server in DMZ –Accessibili dall’esterno Server e pc aziendali in LAN (REDAREA) –Possono aprire connessioni verso l’esterno, ma non viceversa

Funzionamento di IPTables Code (dette anche ‘catene’) Ogni catena ha un insieme di regole che dicono quali pacchetti possono transitare in avanti

Definizione delle policy Impostare la policy di default: iptables –P catena politica iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP politica=DROP, REJECT, ACCEPT Vedere il contenuto delle catene: IPTABLES -L

Prime catene Come creare una nuova catena: iptables –N nomecatena iptables -N landmz #dalla scheda di rete eth0 alla scheda di rete eth1 iptables -N laninet #dalla scheda di rete eth0 alla scheda di rete eth2 iptables -N dmzinet #dalla scheda di rete eth1 alla scheda di rete eth2 iptables -N dmzlan #dalla scheda di rete eth1 alla scheda di rete eth0 iptables -N inetdmz #dalla scheda di rete eth2 alla scheda di rete eth1 iptables -N inetlan #dalla scheda di rete eth2 alla scheda di rete eth0

Prime catene Aggiungere una nuova regola iptables –A nomecatena condizioni –j decisione decisione= un nome di catena, oppure DROP, REJECT, ACCEPT iptables -A FORWARD -i eth1 -o eth2 -j landmz iptables -A FORWARD -i eth1 -o eth0 -j laninet iptables -A FORWARD -i eth2 -o eth0 -j dmzinet iptables -A FORWARD -i eth2 -o eth1 -j dmzlan iptables -A FORWARD -i eth0 -o eth2 -j inetdmz iptables -A FORWARD -i eth0 -o eth1 -j inetlan

Dalla LAN alla DMZ Tipi di condizione -i nomescheda -o nomescheda -s subnet o indirizzo mittente -d subnet o indirizzo destinatario --dport porta destinazione --sport porta sorgente -p protocollo ! nega la condizione altre... iptables -A landmz -s ! /24 -j DROP iptables -A landmz -d ! /24 -j DROP iptables -A landmz -p tcp -d server.web --dport www -j ACCEPT iptables -A landmz -p tcp -d server.smtp --dport smtp -j ACCEPT iptables -A landmz -p tcp -d server.pop3 --dport pop3 -j ACCEPT iptables -A landmz -p tcp -d server.proxy --dport webcache –j ACCEPT iptables -A landmz -p tcp -d dns --dport domain -j ACCEPT iptables -A landmz -p udp -d dns --dport domain -j ACCEPT

Dalla DMZ alla LAN Regole stateful opzione –m state --state [ESTABLISHED,RELATED,NEW,INVALID] Regole non stateful opzioni per controllare i flag --syn se il segmento ha i flag SYN=1, ACK=0, RST=0 --tcp-flags FLAG_da_Controllare FLAG_a_1 Esempio --tcp-flags SYN,ACK ACK vero per segmenti con SYN=0,ACK=1 (RST, URG, PSH possono valere qualsiasi cosa) iptables -A dmzlan -s ! /24 -j DROP iptables -A dmzlan -d ! /24 -j DROP iptables -A dmzlan -m state --state ESTABLISHED,RELATED -j ACCEPT oppure iptables -A dmzlan –p tcp ! -–syn -j ACCEPT oppure iptables -A dmzlan –p tcp –tcp-flags ! SYN,ACK,RST SYN -j ACCEPT iptables -A dmzlan -p tcp -j REJECT --reject-with tcp-reset

Dalla LAN ad Internet Il traffico HTTP non è previsto. iptables -A laninet -s ! /24 -j DROP iptables -A laninet -p tcp --dport ftp -j ACCEPT iptables -A laninet -m state ESTABLISHED,RELATED -j ACCEPT iptables -A laninet -p tcp --dport http -j ACCEPT iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset Da Internet alla LAN iptables -A inetlan –d ! /24 -j DROP iptables -A inetlan –s /24 -j DROP iptables -A inetlan –s /24 -j DROP iptables -A inetlan -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A inetlan -p tcp -j REJECT --reject-with tcp-reset

DMZ Internet Da Internet alla DMZ iptables -A inetdmz -s /24 -j DROP iptables -A inetdmz -s /24 -j DROP iptables -A inetdmz -p tcp -d nostro.server.web --dport www -j ACCEPT iptables -A inetdmz -p tcp -d nostro.server.smtp --dport smtp -j ACCEPT iptables -A inetdmz -p tcp -d nostro.dns --dport domain -j ACCEPT iptables -A inetdmz -p udp -d nostro.dns --dport domain -j ACCEPT iptables -A inetdmz -p tcp -d nostro.ftpserver --dport ftp -j ACCEPT iptables -A inetdmz -m state --state ESTABLISHED,RELATED –j ACCEPT iptables -A inetdmz -p tcp -j REJECT --reject-with tcp-reset Da DMZ a Internet iptables -A dmzinet -s ! /24 -j DROP iptables -A dmzinet -p tcp -s nostro.server.smtp --dport smtp -j ACCEPT iptables -A dmzinet -p udp -s nostro.server.dns --dport domain -j ACCEPT iptables -A dmzinet -p tcp -s nostro.server.dns --dport domain -j ACCEPT iptables -A dmzinet -p tcp -s nostro.server.proxy --dport www -j ACCEPT iptables -A dmzinet -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A dmzinet -p tcp -j REJECT --reject-with tcp-reset

Traffico da e per il Firewall Modulo limit Per limitare il numero di connessioni nel tempo. Si può usare anche per limitare i problemi di SYN flood. Opzioni per ICMP --icmp-type tipo, dove tipo può essere echo-request, echo-reply, network- unreachable, ecc... iptables -A INPUT -m limit --limit 10/min -p tcp --syn -- dport ssh -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Mascheratura (NAT) Si fa uso delle catene PREROUTING e POSTROUTING iptables -t nat -A PREROUTING -p tcp -i eth0 --dport www -j DNAT --to nostro.proxy.server iptables -t nat -A POSTROUTING -o eth2 -s /24 -j SNAT --to

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.