NAT, Firewall, Proxy Processi applicativi.

Slides:



Advertisements
Presentazioni simili
Prof. Carla Fanchin – L.S. Tron
Advertisements

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.
Modulo 2 – U.D. 1 – Lez. 2 Ernesto Damiani – Sistemi di elaborazione dell'informazione.
Sistemi di elaborazione dellinformazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 - Gestione degli indirizzi Ernesto Damiani Lezione 4 – NAT.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
TCP/IP.
Indirizzi IP e Subnet mask
Livello 3 Network (Rete)
Sistemi di elaborazione dell’informazione Modulo 2 - Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 3 –
Reti II Stefano Leonardi
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
- Token bucket - Addressing Exercises on. Si condideri il meccanismo di controllo del traffico in ingresso con token bucket il rate di generazione dei.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
II PROVA Svolgimento tramite protocollo ISO/OSI. I LIVELLO : LIVELLO FISICO Scelta del mezzo fisico; tenere conto degli standard IEEE Procedura di codifica.
Ing. L. A. Grieco DEE – Telematics Lab. 1 Internet Protocol (IP) – Telematica I – - I Facoltà di Ingegneria – CdL in Ingegneria Informatica.
INFORMATICA CORSO DI INFORMATICA DI BASE ANNO ACCADEMICO 2015/2016 DOCENTE: SARRANTONIO ARTURO.
ARP PROTOCOLLO DI RISOLUZIONE DEGLI INDIRIZZI. ARP FINE.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
I dispositivi di rete. La Scheda Di Rete La scheda di rete, o LAN adapter è un circuito stampato che collega il cavo per il collegamento internet al PC.
UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico
Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
Fondazione dell' Ordine degli Ingegneri della Provincia di Milano Fernando Fernandez - 14 Marzo 2006 VPN: Reti Private Virtuali VPN RETI PRIVATE VIRTUALI:
A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.
Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.
Alma Mater Studiorum - Università di Bologna Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Scienze dell’Informazione Supporto al multihoming.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Trusted Computing: Ecco il tuo Futuro Antonio Angelotti.
Protocolli per la sicurezza. Le tre AAA Ai livelli più bassi del protocollo ISO/OSI i meccanismi di sicurezza garantiscono le tre AAA Autenticazione Autorità.
I socket.
Gestione rete e nodi E.P..
FIREWALL: una difesa sicura
HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO
Virtual Private Networks
Il firewall: una barriera per la
Tia Network S.r.l..
Vulnerability Assessment
Reti di comunicazione Appunti.
TCP/IP.
FireWall A cura di:IVX A.Volta-Napoli Marco Calì Dario Minutolo
Reti di comunicazione Appunti.
TCP/IP. Sommario  Introduzione al TCP/IP  Indirizzi IP  Subnet Mask  Frame IP  Meccanismi di comunicazione tra reti diverse  Classi di indirizzi.
La configurazione dei sistemi in rete
IPv6.
Reti di comunicazione Appunti.
Amministrazione dei servizi di stampa
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
modulo 6 Prof. Salvatore Rosta
analizzatore di protocollo
SUBNETTING E SUPERNETTING
Organizzazione di una rete Windows 2000
INTERNET «IL MONDO DI OGGI»
Classificazione delle reti per tecnica di commutazione
COME PROTEGGERSI Ing. Massimiliano Zuffi
Concetti introduttivi
Firewalling.
Esercitazioni corso di RETI
Le reti informatiche di Roberto Minotti 17/01/2019.
Le reti informatiche di Roberto Minotti 15/02/2019.
Corso base per Operatori di Protezione Civile
Il Livello di Trasporto
IT SECURITY Sicurezza in rete
Transcript della presentazione:

NAT, Firewall, Proxy Processi applicativi

NAT Network Address Traslation Tecnica che trasforma gli indirizzi IP privati degli host di una rete LAN in indirizzi IP pubblici del router Questo metodo permette il risparmio di indirizzi IP e la sicurezza della rete LAN

NAT Ad ogni host privato è associata una porta Una volta che il pacchetto viene inviato dal router, ha come indirizzo mittente, quello del router sulla rete pubblica che è univoco e, come porta quella dell’host privato. L’host remoto, riceve il pacchetto e, lo invia di nuovo al router associandogli la porta dell’host nella rete privata. Il numero di porta è quello che garantisce la corretta destinazione del pacchetto all’interno della rete LAN

NAT internet NB:il router viene visto con due indirizzi IP differenti 192.168.3.9 13.94.35.15 192.168.3.9 500000 80 82.10.70.9 13.94.35.15 500000 80 192.168.3.9 13.94.35.15 500000 80 82.10.70.9 13.94.35.15 500000 80 192.168.3.1 82.10.70.9 NB:il router viene visto con due indirizzi IP differenti Nella rete privata, viene visto con indirizzo 192.68.3.1 Nella rete pubblica viene visto con l’indirizzo dinamico 81.10.70.9 Non si invece trasparenza dell’host interno ma solo della porta

NAT I router devono avere delle grandi tabelle di routing dove associano ad ogni host una porta La Nat garantisce una certa sicurezza agli attacchi esterni verso un host ben definito

Firewall Tecnica per il controllo di pacchetti in entrata ed in uscita da una rete LAN Il firewall è un software che può essere installato sui singoli host della rete LAN oppure su un apparato router Nel caso in cui il firewall è installato sul singolo host, si parla di firewall privato Se il firewall è installato su un apparato router si parla di firewall perimetrale In generale, un router fa da interfaccia tra la rete pubblica e quella privata, tra una zona con dati sensibili detta trust ed una zona meno sicura detta demilitarizzata

Firewall

Firewall

Livello di controllo Packet filter- Controlla il traffico a livello dell’indirizzo IP; indispensabile per bloccare o permettere il traffico tra subnet e/o reti interene Stateful inspection- Valuta la qualità delle connessioni TCP attraverso il controllo dell’header Deep inspection – analizza il traffico dei pacchetti , analizza il coerretto uso dei protocolli e ne ispeziona il contenuto. In base ad una tabella del router, si possono intercettare le firme dei virus o delle intrusioni più significative. Questo processo però è presente su apparati dedicati o con firewall su host dedicati

ACL Access Control List: lista di permessi È impiegato nei sistemi operativi e nelle reti; la lista dei permessi è formulata secondo dei criteri detti ACE Per ogni permesso esiste un ACE Access control Entry L’Ace di un ACL esprime: obiettivo- cosa fare di un pacchetto, se scartarlo o inoltrarlo Interfaccia verso- su quale interfaccia inoltrare un pacchetto e se inviarlo o riceverlo Specifiche- le caratteristiche di un pacchetto come indirizzo del mittente e del destinatario, il numero di porta, il protocollo

Esempio: firewall perimetrale su un firewall/router Vengono elencate di seguito le ACL in modo che una subnet non sia raggiungibile da internet con porta TCP 80 (protocollo HTTP) e, in un’altra subnet un host solo sia raggiungibile Interfaccia IN Interfaccia OUT IP source IP dest Protocollo Source port Dest port Azione S0 eth0 - . deny eth1 192.168.1.34 TCP 80 permit

Sicurezza firewall L’apparato dellarete che si interfaccia alla rete pubblica, quella insicura, è detto bastion host Le macchine che si interfacciano alla rete pubblica devono essere dotate di particolari dispositivi per respingere i tentativi di intrusione Si può tentare tramite l’IP spoofing, tecnica che tenta di accedere ai servizi di una rete simulando una identità dei pacchetti diversa da quella reale Il DoS Denial of Service è una attività intrusiva che mette in difficoltà la rete sottoponendola a stress eccessivo. Ciò può avvenire attraverso l’IP smurfing che invia una certa quantità di pacchetti con ip modificato e indirizzo di destinazione con broadcast diretto. Ciò può bloccare la rete perché i pacchetti vengono inviati a tutti gli host. Questi risponderanno tutti alle richieste inviando pacchetti Echo Reply

Proxy Il proxy è un servizio riservato agli amministratori di rete; viene avviato su una piattaforma hardware La piattaforma hardware per il servizio proxy deve essere ad alta prestazione Il proxy fornisce permessi di accesso Il firewall su un proxy controlla le consuete attività dei pacchetti e delle connessioni ma, approfondisce anche il controllo sul contenuto dei pacchetti Il servizio proxy si comporta come una NAT; i client privati, per accedere al servizio pubblico devono avere dei particolari permessi Gli host privati accedono quindi alla rete pubblica solo attraverso il proxy che controlla il tipo di protocollo di accesso del livello 7 e la porta Il proxy colloquia con il pubblico al posto dell’host privato

Sicurezza proxy Un server proxy riceve la richiesta di servizio; tale richiesta può essere attivata solo in seguito ad un processo di identificazione L’autenticazione avviene solo in base a database operanti sul sistema di rete Il proxy offre anche un sistema di logging, traccia temporale degli accessi e, li memorizza