Tecnologie di Sicurezza in Internet APPLICAZIONI Firewall management AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Slides:



Advertisements
Presentazioni simili
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Advertisements

ISA Server 2004 Configurazione di Accessi via VPN
Il firewall di Linux: IPTables 19 Settembre 2005.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Intrusion Detection System
Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
SmoothWall : il front end grafico di iptables
Servizi di Rete e Unix Stage estivo 2005 Laboratorio Nazionale Frascati Roberto Reale (ITIS CANNIZZARO, Colleferro) Francesco Ronchi (ITIS E. Fermi, Roma)
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 5 – Configurazione.
Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA Ingegneria Informatica e dell’Automazione.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
The Unified Threat Management Security Appliance Hystrix
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Panoramica su Koozali SME Server Distribuzione Linux open source, stabile, sicura e versatile rivolta alle Piccole e Medie imprese (Novembrer 2015 v1.2)
PRIN NAPOLI Enzo Capone, Gianpaolo Carlino, Alessandra Doria, Rosario Esposito, Leonardo Merola, Silvio Pardi, Arturo Sanchez Pineda.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
FlowLineXL Flowline XL e' il sistema integrato per la gestione del recruitment tramite web per enti e societa' di selezione Fornito in modalita' ASP (application.
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.
La sicurezza dei sistemi informatici Sistemi di Autenticazione e Directory Giuseppe Guerrasio “Sapere dove.
HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO
Facile da usare Un'interfaccia amministrativa completamente rinnovata, iniziare con Drupal è più facile!
Smart HMS: Smart Health Management System
Virtual Private Networks
Configurazione Router IR794- IG601
NAT, Firewall, Proxy Processi applicativi.
Vulnerability Assessment
Lato Server - OMNIS Web Web Services.
Conformità agli standard ufficiali
WPC069 Il deployment automatizzato di Windows 10
FlowLine Flowline e' il sistema integrato per la gestione del recruitment aziendale tramite web. Fornito in modalita' ASP (application service provider)
FlowLineXL Flowline XL e' il sistema integrato per la gestione del recruitment tramite web per enti e societa' di selezione Fornito in modalita' ASP (application.
La piattaforma di servizi unificati
Analysis framework of distributed thread and malware data-sources
Sicurezza e Grid Computing
Metriche SE monitoring G.Donvito G.Cuscela INFN Bari
Introduzione alle griglie computazionali
Giordano Scuderi Unico SRL - Messina,
Job Application Monitoring (JAM)
* Il Sistema Operativo GNU/Linux * Sistema Operativo e Applicazioni
Quick Tip Tutorial Come accedere alle statistiche di EBSCOhost e di EBSCO Discovery Service attraverso EBSCOadmin help.ebsco.com.
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
PROGRAMMAZIONE BASH – ISTRUZIONE IF
Web e Content Filtering
analizzatore di protocollo
SUBNETTING E SUPERNETTING
Corso di Ingegneria del Web A A Domenico Rosaci 1
Progetto di integrazione Enterprises Networks Data Centers
Organizzazione di una rete Windows 2000
Funzionalita’ VoIP di base in Lync Server 2010
Smart City.
ADO Per gestire i database con tecnologia ASP si utilizzano strumenti ADO (ActiveX Data Objects): un'architettura che fornisce oggetti.
Firewalling.
Introduzione alla nuova versione di PowerPoint
Le reti informatiche di Roberto Minotti 17/01/2019.
Le reti informatiche di Roberto Minotti 15/02/2019.
Il giornalista del futuro
Introduzione alla nuova versione di PowerPoint
389 Directory Server Dael Maselli.
Sistema di archiviazione e consultazione schede bibliografiche on-line
Il Livello di Trasporto
Sistemi di supporto.
A semantic recommender system based on social user profiling
A cura di: Alessandro Hinna
Transcript della presentazione:

Tecnologie di Sicurezza in Internet APPLICAZIONI Firewall management AA Ingegneria Informatica e dell’Automazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/2 The fine point Un configuratore è uno strumento che permette la programmazione del firewall a un livello di astrazione superiore alle regole del motore decisionale e introduce meccanismi di controllo che garantiscono maggiore sicurezza evitando errori di programmazione. Si riportano brevi esempi di configuratori per Netfilter (Shorewall e FWBuilder) e CISCO ASA (CISCO ASDM e Security Manager).

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/3 The fine point I configuratori sono estremamente utili per effettuare una corretta gestione di singoli dispositivi, soprattutto quando la gestione è affidata a “più mani” Sono però indispensabili quando occorre gestire una rete complessa di dispositivi. Un configuratore che consente la gestione di una rete di firewall e dell’intera VPN diventa quindi una stazione di configurazione e gestione centralizzata di fondamentale importanza, consentendo a più amministratori di collaborare all’evoluzione della configurazione della rete nel rispetto delle policy di sicurezza definite nell’ambito dell’Organizzazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/4 Netfilter, ovvero iptables E’ lo stateful packet filter del kernel 2.4 e sito di riferimento iptables-tutorial.frozentux.net tutorial E’ un framework integrato nel kernel e capace di caricare plug-in che realizzano specifiche funzionalità di filtering, di tracciatura delle connessioni, statistiche, ecc.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/5 Netfilter, architettura Chains (liste di regole): sono gli agganci (hooks) PREROUTING, POSTROUTING, INPUT, OUTPUT, FORWARD, user defined Tables (categorie di liste): funzionalità mangle, nat, filter Matches: trigger per le regole generici, specifici Targets: azioni da eseguire in caso di match ACCEPT, DROP, REJECT, QUEUE, RETURN, DNAT, SNAT, MARK, MASQUERADE, TOS, TTL, LOG, ULOG

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/6 Netfilter configurators La command line di Netfilter è un po’ come l'assembler; per motivi pratici (velocità) e di sicurezza (meno errori) conviene usare strumenti di più alto livello. I front-end, basandosi su astrazioni caratteristiche di ciascuno, permettono di esprimere le regole di netfilter in modi grafici o testuali; un’azione di apply provvederà alla loro compilazione in comandi iptables che verranno quindi eseguiti, attivando così le regole. Shorewall FwBuilder

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/7 Shorewall Non è un daemon Astrazione di stateful packet filter con estensioni Interfacce illimitate Zone (più if/zona e più zone/if) Connessioni: tra coppie di zone Azioni (ACCEPT, DROP, REJECT, …) Routing, NAT, blacklists Supporto per VPN Supporto per TC e accounting

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/8 Shorewall Zone Shorewall vede la rete in cui opera come un insieme di zone. Vi è sempre un’implicita zona fw, che è il firewall stesso. Le altre zone si dichiarano in /etc/shorewall/zones. Esempio: internalla rete interna dmzla DMZ externall'intera Internet

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/9 Shorewall Interfacce Shorewall ha bisogno di sapere a quali interfacce sono connesse le zone. Le interfacce si dichiarano in /etc/shorewall/interfaces. # zonaintfbroadcastoptions internaleth0detect dmzeth1detect externaleth2detectnorfc1918

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/10 Shorewall Policy e rules Le regole che dichiarano quale traffico permettere o negare sono espresse in termini di zone. Le regole di default si configurano in /etc/shorewall/policy #/etc/shorewall/policy #SOURCE DEST POLICYLOG LEVEL LIMIT:BURST internal external ACCEPT external ALLDROPinfo ALL ALL DROP

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/11 Shorewall Policy e rules Le eccezioni alle policy sono in /etc/shorewall/rules Per default è ammesso il traffico fw-fw #/etc/shorewall/rules #ACTIONSOURCEDESTPROTODESTSOURCE … #PORTPORT ACCEPT ext dmz: tcp www ACCEPText: dmz: tcp 53 ACCEPTintdmz: udp 53 ACCEPTfwextall

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/12 FWBuilder Interfaccia utente grafica Policy compiler per vari firewall (iptables, PF, PIX) Astrazione: oggetti di rete, regole Manutenzione degli oggetti di rete Manutenzione delle regole Associazione regole a oggetti --> compilazione -- > deployment

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/13 FWBuilder FWBuilder tree: Obiects Hosts Networks Addesses Address ranges Groups Firewall itself

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/14 FWBuilder FWBuilder tree: Firewalls Interfaces Operating System

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/15 FWBuilder FWBuilder tree: Services IP ICMP TCP UDP Custom

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/16 FWBuilder FWBuilder tree: Policy == Ruleset Esistono tre ruleset: Access policy NAT policy Routing policy

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/17 FWBuilder FWBuilder tree: Actions ACCEPT DENY REJECT

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/18 FWBuilder Una regola ha i seguenti campi (con esempi di valori): Source: Firewall, net , … Destination: Any, Servers on DMZ, … Service: Any, DNS, HTTP, … Interface: Outside, all, … Direction: Incoming, Both, … Action: Accept, Deny, Reject, … Vi sono anche campi che consentono di creare relazioni delle regole con l’orario e azioni complesse come marcature di pacchetti o branch ad altro ruleset

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/19 CISCO ASDM PIX e ASA Il firewall CISCO PIX è stato reingegnerizzato dando vita di recente alla famiglia di prodotti ASA (Adaptive Security Appliance). Questi dispositivi possono essere controllati e configurati agendo su un’interfaccia locale, l’ASDM (Adaptive Security Device Manager). Fornisce: Rapid Configuration (wizards, common policies, sw upgrades, online help) Diagnostics (packet tracer, log-policy correlation, packet capture) Monitoring (realtime graphics and tabulated security metrics; incident and trend analysis)

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/20 CISCO Security Manager Al contrario dell’ASDM, utile per gestire un singolo dispositivo, CSM consente l’amministrazione centralizzata di una rete di dispositivi, permettendo la definizione e il deployment delle regole da un unico punto e da diversi operatori. Oltre alle funzionalità “ovvie” fornite già dall’ASDM, il CSM offre: Standardizzazione: si possono distribuire automaticamente le policy standard ai nuovi firewall Scalabilità: si usano gli stessi meccanismi di gestione con pochi dispositivi o con centinaia Organizzazione: si possono definire workflow di gestione identificando i ruoli di “operator”, “approver”, “deployer” Auditing: un cruscotto centrale che visualizza lo stato di tutti i firewall gestiti e tutte le operazioni di change effettuate VPN: è particolarmente efficace nella configurazione e gestione di una VPN anche complessa (configurazioni site-to- site, full mesh, hub’n’spoke, ecc)

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/21 CISCO Security Manager Esempio di gestione delegata con CSM: L’amministratore centrale definisce un’elenco di policy generiche ammesse dappertutto Tutti gli amministratori di rete di un’organizzazione possono applicare le policy definite centralmente ai dispositivi di loro competenza Localmente gli amministratori possono anche creare nuove policy; un qualunque gruppo di nuove regole specifiche forma una specifica activity, soggetta ad approvazione da parte dell’amministratore centrale Per le policy generiche pubbliche e, dopo l’approvazione, per le activity create localmente viene creato un deployment job la cui esecuzione può essere immediata o schedulata

Tecnologie di Sicurezza in Internet: applicazioni – AA – B30/22 Riferimenti Cisco PIX/ASA documentation: CISCO Adaptive Security Device Manager documentation Cisco PIX/ASA documentation: CISCO Security Manager documentation

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.