Firewalling.

Slides:



Advertisements
Presentazioni simili
Prof. Carla Fanchin – L.S. Tron
Advertisements

Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.
Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Italo Losero S tray B ytes strane cose succedono nelle reti....
Organizzazione di una rete Windows 2003
Il firewall di Linux: IPTables 19 Settembre 2005.
Cosè Internet E una rete che consente la comunicazione tra computer di diverso tipo dislocati in qualsiasi località del mondo.
NETWORK SECURITY Studente: Fiorella Colacillo matr Corso di Sicurezza e Privacy A.A. 2007/2008 Docente: Stefano Bistarelli Corso di Laurea Specialistica.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Intrusion Detection System
Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari
La Rete Configurazione di base della rete Configurazione di base della rete File system distribuiti File system distribuiti La sicurezza della rete La.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Corso di Laurea in Ingegneria Gestionale
Reti di calcolatori Una premessa: i sistemi di comunicazione Le reti di calcolatori Internet.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
Realizzato da Roberto Savino 3-1 Il livello di trasporto r Dobbiamo assumere di avere a che fare con un canale di comunicazione molto particolare 1. Inaffidabile.
SmoothWall : il front end grafico di iptables
La rete di istituto Maninder Bansal 5Bz Vital Ivo 5Bz Anno scolastico 2005/06.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu.
Corso di Laurea in Conservazione e Restauro dei Beni Culturali
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
Distributed System ( )7 TCP/IP four-layer model.
Creato da Riccardo Nuzzone
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
Livello di trasporto Protocolli TCP e UDP.
STAGE INVERNALE 2005 GESTIONE DI SISTEMI DI SICUREZZA INFORMATICA. A CURA DI: MARIO MASCIARELLI STUDENTI: DAMIANO PITOLLI FABIO NARDELLA.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Claudio Telmon - Internet -1 © Claudio Telmon I firewall.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 5 – Configurazione.
Reti II Stefano Leonardi
Controllo di flusso TCP. Elementi base del flusso TCP (1) Comunicazione punto-punto Un mittente, un destinatario. Flusso di byte affidabile Flusso suddiviso.
Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA Ingegneria Informatica e dell’Automazione.
1 Sistemi e Tecnologie della Comunicazione Lezione 23: transport layer: TCP e UDP.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
Silvia Pasqualotto e Giulia Nanino
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
The Unified Threat Management Security Appliance Hystrix
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
II PROVA Svolgimento tramite protocollo ISO/OSI. I LIVELLO : LIVELLO FISICO Scelta del mezzo fisico; tenere conto degli standard IEEE Procedura di codifica.
Livello 7: Applicazione. Protocolli più importanti HTTP = Hyper Text Transfer Protocol HTTPS = Hyper Text Transfer Protocol over Secure Socket Layer DNS.
Tecnologie di Sicurezza in Internet APPLICAZIONI Firewall management AA Ingegneria Informatica e dell’Automazione.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
I dispositivi di rete. La Scheda Di Rete La scheda di rete, o LAN adapter è un circuito stampato che collega il cavo per il collegamento internet al PC.
Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;
A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.
IPTABLES Un Firewall Linux Telematica A.A Claudio Bizzarri – Franco Pirri.
FIREWALL: una difesa sicura
Virtual Private Networks
Il firewall: una barriera per la
NAT, Firewall, Proxy Processi applicativi.
Vulnerability Assessment
TCP/IP.
Rete e comunicazione Appunti.
TCP/IP. Sommario  Introduzione al TCP/IP  Indirizzi IP  Subnet Mask  Frame IP  Meccanismi di comunicazione tra reti diverse  Classi di indirizzi.
Reti di comunicazione Appunti.
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Organizzazione di una rete Windows 2000
Concetti introduttivi
Corso base per Operatori di Protezione Civile
IT SECURITY Sicurezza in rete
Transcript della presentazione:

Firewalling

Firewalling

A che serve un firewall? Rendere accessibili dall’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete di usare determinate applicazioni Proteggersi dagli attacchi DoS e DDoS Evitare che i server (o i client) interni provochino attacchi a terzi Minimizzare i danni se perdete il controllo di un server Evitare l’effetto ‘domino’

A cosa NON serve Una volta all’interno di un dominio di collisione Tutti i dati possono essere falsificati Tutto si può ‘sniffare’ Tutto si può ‘spoofare’ E’ facile creare un attacco man-in-the-middle (hijacking) udp non è sicuro (e tcp anche) dns non è sicuro, smtp non è sicuro   Problemi di sicurezza e autenticazione I firewall non vi difendono dai cavalli di troia e non garantiscono l’autenticità e sicurezza della trasmissione I firewall non vi difendono da attacchi di ingegneria sociale e attacchi “fisici” alla rete.

Tipi di firewall Stateless: filtrano pacchetto per pacchetto Stateful: conservano memoria del traffico precedente (connessioni, ecc.) e ne fanno uso per decidere il destino di un pacchetto IPTABLES è stateful

Tipica configurazione con firewall Mondo esterno LAN (REDAREA) 10.1.0.0/30 eth0 eth2 eth1 10.1.2.0/24 DMZ 10.1.1.0/24

Esigenze tipiche aziendali DNS, Mail, HTTP, Proxy server in DMZ Accessibili dall’esterno Server e pc aziendali in LAN (REDAREA) Possono aprire connessioni verso l’esterno, ma non viceversa

Funzionamento di IPTables Code (dette anche ‘catene’) Ogni catena ha un insieme di regole che dicono quali pacchetti possono transitare in avanti

Definizione delle policy Impostare la policy di default: iptables –P catena politica iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP politica=DROP, REJECT, ACCEPT Vedere il contenuto delle catene: IPTABLES -L

iptables –N nomecatena Prime catene Come creare una nuova catena: iptables –N nomecatena iptables -N landmz #dalla scheda di rete eth0 alla scheda di rete eth1 iptables -N laninet #dalla scheda di rete eth0 alla scheda di rete eth2 iptables -N dmzinet #dalla scheda di rete eth1 alla scheda di rete eth2 iptables -N dmzlan #dalla scheda di rete eth1 alla scheda di rete eth0 iptables -N inetdmz #dalla scheda di rete eth2 alla scheda di rete eth1 iptables -N inetlan #dalla scheda di rete eth2 alla scheda di rete eth0

iptables –A nomecatena condizioni –j decisione Prime catene Aggiungere una nuova regola iptables –A nomecatena condizioni –j decisione decisione=un nome di catena, oppure DROP, REJECT, ACCEPT iptables -A FORWARD -i eth1 -o eth2 -j landmz iptables -A FORWARD -i eth1 -o eth0 -j laninet iptables -A FORWARD -i eth2 -o eth0 -j dmzinet iptables -A FORWARD -i eth2 -o eth1 -j dmzlan iptables -A FORWARD -i eth0 -o eth2 -j inetdmz iptables -A FORWARD -i eth0 -o eth1 -j inetlan

Dalla LAN alla DMZ Tipi di condizione -i nomescheda -o nomescheda -s subnet o indirizzo mittente -d subnet o indirizzo destinatario --dport porta destinazione --sport porta sorgente -p protocollo ! nega la condizione altre... iptables -A landmz ! -s 10.1.1.0/24 -j DROP iptables -A landmz ! -d 10.1.2.0/24 -j DROP iptables -A landmz -p tcp -d server.web --dport http -j ACCEPT iptables -A landmz -p tcp -d server.smtp --dport smtp -j ACCEPT iptables -A landmz -p tcp -d server.pop3 --dport pop3 -j ACCEPT iptables -A landmz -p tcp -d server.proxy --dport webcache –j ACCEPT iptables -A landmz -p tcp -d server.dns --dport domain -j ACCEPT iptables -A landmz -p udp -d server.dns --dport domain -j ACCEPT

Dalla DMZ alla LAN Regole stateful opzione –m state --state [ESTABLISHED,RELATED,NEW,INVALID] Regole non stateful opzioni per controllare i flag --syn se il segmento ha i flag SYN=1, ACK=0, RST=0 --tcp-flags FLAG_da_Controllare FLAG_a_1 Esempio --tcp-flags SYN,ACK ACK vero per segmenti con SYN=0,ACK=1 (RST, URG, PSH possono valere qualsiasi cosa) iptables -A dmzlan ! -s 10.1.2.0/24 -j DROP iptables -A dmzlan ! -d 10.1.1.0/24 -j DROP iptables -A dmzlan -m state --state ESTABLISHED,RELATED -j ACCEPT oppure iptables -A dmzlan –p tcp ! -–syn -j ACCEPT iptables -A dmzlan –p tcp –tcp-flags ! SYN,ACK,RST SYN -j ACCEPT iptables -A dmzlan -p tcp -j REJECT --reject-with tcp-reset

Dalla LAN ad Internet Da Internet alla LAN iptables -A laninet -s ! 10.1.1.0/24 -j DROP iptables -A laninet -p tcp --dport ftp -j ACCEPT iptables -A laninet -p tcp --dport http -j ACCEPT iptables -A laninet -p tcp --dport https -j ACCEPT iptables -A laninet -m state ESTABLISHED,RELATED -j ACCEPT iptables -A laninet -p tcp -j REJECT --reject-with tcp-reset Da Internet alla LAN iptables -A inetlan –d ! 10.1.1.0/24 -j DROP iptables -A inetlan –s 10.1.2.0/24 -j DROP iptables -A inetlan –s 10.1.1.0/24 -j DROP iptables -A inetlan -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A inetlan -p tcp -j REJECT --reject-with tcp-reset

DMZ<->Internet Da Internet alla DMZ iptables -A inetdmz -s 10.1.1.0/24 -j DROP iptables -A inetdmz -s 10.1.2.0/24 -j DROP iptables -A inetdmz -p tcp -d nostro.server.web --dport http -j ACCEPT iptables -A inetdmz -p tcp -d nostro.server.smtp --dport smtp -j ACCEPT iptables -A inetdmz -p tcp -d nostro.dns --dport domain -j ACCEPT iptables -A inetdmz -p udp -d nostro.dns --dport domain -j ACCEPT iptables -A inetdmz -p tcp -d nostro.ftpserver --dport ftp -j ACCEPT iptables -A inetdmz -m state --state ESTABLISHED,RELATED –j ACCEPT iptables -A inetdmz -p tcp -j REJECT --reject-with tcp-reset Da DMZ a Internet iptables -A dmzinet -s ! 10.1.2.0/24 -j DROP iptables -A dmzinet -p tcp -s nostro.server.smtp --dport smtp -j ACCEPT iptables -A dmzinet -p udp -s nostro.server.dns --dport domain -j ACCEPT iptables -A dmzinet -p tcp -s nostro.server.dns --dport domain -j ACCEPT iptables -A dmzinet -p tcp -s nostro.server.proxy --dport http -j ACCEPT iptables -A dmzinet -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A dmzinet -p tcp -j REJECT --reject-with tcp-reset

Traffico da e per il Firewall Modulo limit Per limitare il numero di connessioni nel tempo. Si può usare anche per limitare i problemi di SYN flood. Opzioni per ICMP --icmp-type tipo, dove tipo può essere echo-request, echo-reply, network-unreachable, ecc... iptables -A INPUT -m limit --limit 10/min -p tcp --syn --dport ssh -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

Mascheratura (NAT) Si fa uso delle catene PREROUTING e POSTROUTING iptables -t nat -A PREROUTING -p tcp -i eth0 --dport http -j DNAT --to nostro.proxy.server iptables -t nat -A POSTROUTING -o eth2 -s 192.168.200.0/24 -j SNAT --to 123.45.68.1

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2025 SlidePlayer.it Inc. All rights reserved.