Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Slides:



Advertisements
Presentazioni simili
Modulo 5 - posta elettronica
Advertisements

Informatica e Telecomunicazioni
Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
00 AN 1 Firewall Protezione tramite firewall.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.
INTERNET FIREWALL Bastion host Laura Ricci.
Amministratore di sistema di Educazione&Scuola
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2012 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Concetti introduttivi
Reti di Calcolatori IL LIVELLO RETE.
Test sul Cisco VPN Concentrator
Wireless Authentication
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.
Corso di Informatica per Giurisprudenza Lezione 7
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.
Modulo 1 – Reti Informatiche u.d. 4 (syllabus – 1.4.4)
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Firewall Sicurezza nel Sistema Informativo della PA Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Sistema per la gestione dei piani di assistenza domiciliare
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
L’architettura a strati
IPSec Fabrizio Grossi.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
IDUL 2013 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto ‘logico’ della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Certificati e VPN.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Livello 3 Network (Rete)
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli.
Sistemi di elaborazione dell’informazione Modulo 4 -Tecniche di programmazione distribuita Unità didattica 1 -Socket library Ernesto Damiani Lezione 1.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Servizi Internet Claudia Raibulet
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.
Sistemi e Tecnologie della Comunicazione
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Tecnologie di Sicurezza in Internet APPLICAZIONI Commonly used proxies and SSH AA Ingegneria Informatica e dell’Automazione.
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
The Unified Threat Management Security Appliance Hystrix
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Tecnologie di Sicurezza in Internet APPLICAZIONI Nozioni preliminari AA Ingegneria Informatica e dell’Automazione.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
NAT, Firewall, Proxy Processi applicativi.
Firewalling.
Transcript della presentazione:

Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA Ingegneria Informatica e dell’Automazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/2 Concetti di base CONTESTO OBIETTIVO FILTRO GATEWAY link

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/3 Scelta della policy Deny all Assumendo che tutto il traffico in ingresso e in uscita dalla rete obiettivo passi per il firewall, questo avrà due impostazioni o comportamenti di default. Tutto è vietato. Permettere il traffico di un certo tipo implica attivare qualcosa di specifico (regola o altro) per quel traffico. Elevata sicurezza. Allow all Tutto è permesso. Occorre vietare esplicitamente il traffico di un certo tipo attivando qualcosa di specifico (regola o altro) per quel traffico. Semplicità di gestione. La seconda policy si usa poco in ambiti di sicurezza, tuttavia è molto utilizzata per troubleshooting e traffic shaping.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/4 Packet Filter Il packet filter è un router con regole per filtrare il traffico che viene processato. Normalmente viene analizzato solamente l’header del pacchetto. Ruleset: Lista di regole di traffico, che specificano attributi del pacchetto e un’azione. Informazioni di Livello 2 o 3: TYPE Informazioni di Livello 3 SRCIP, DSTIP Informazioni di Livello 4, SRCPORT, DSTPORT A volte esiste anche SRCIF Una AZIONE Le regole vengono applicate sequenzialmente. Policy o regola di default: cosa fare del pacchetto se non soddisfa nessuna regola CONTESTO OBIETTIVO Packet filter

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/5 Packet Filter CONTESTO OBIETTIVO Packet filter Veloce e semplice: le regole sono applicate su ogni pacchetto senz’alcuna memoria dei pacchetti precedenti (statelessness). Non c'è memoria della provenienza (interfacce) dei pacchetti né connoscenza sulla destinazione. Mancano meccanismi di autenticazione utente. Il logging è povero (limitato alle stesse informazioni del ruleset). Ogni sistema ha la sua sintassi: regole astratte vanno tradotte nel sistema che si usa.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/6 Packet Filter CONTESTO OBIETTIVO Packet filter Quasi sempre il border router è dell’ISP e può non essere facilmente controllabile. Il ruleset diventa presto complesso, col rischio di deriva o di non essere più valido a causa di errori di configurazione. E’ opportuno quindi che il ruleset sia definito nel modo più semplice possibile e mantenuto tale, ma questo può andare contro le esigenze di utilizzo. Generalmente soggetti alle debolezze delle specifiche di TCP/IP (es. spoofing).

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/7 Packet Filter CONTESTO OBIETTIVO Packet filter L’azione di filtraggio dipende da come è fatto il router. Può esistere anche un solo filtro, associato alla logica di routing; un PF più evoluto può avere anche filtri associati alle logiche di input o di output, nelle varie combinazioni. Questo complica, e comunque modifica, il modo di definire le regole, che variano a seconda di marca e modello del router, della topologia dei collegamenti, del numero delle porte e della modalità di impiego. Struttura interna routing R filter if0if1… I filterO filter

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/8 Packet Filter CONTESTO OBIETTIVO Packet filter Le regole di un packet filter non possono risolvere appropriatamente molti casi. Non si riesce a discriminare la direzione di un colloquio senza effettuare l’analisi almeno del flag di acknowledge o dell’interfaccia di ingresso (att. allo spoofing). Vi sono sempre pacchetti senza (inizio) e con (seguito) flag ACK. Gli IP fragments non contengono i numeri di porta. Il protocollo FTP dopo la prima connessione negozia una porta per la trasmissione dei dati (anche con PASV). Altri protocolli “difficili”: H323 e T120. Non tutti sanno bene come funziona X11. Eccetera …

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/9 Packet Filter CONTESTO OBIETTIVO Packet filter Line router (il router con una interfaccia WAN per il collegamento al Provider) Boundary router (il router più esterno di proprietà) Screening router (altri usi di firewalling) Router per separare in modo blando diversi domini di sicurezza all’interno di una organizzazione Router interni vari Applicazioni dove si privilegia la velocità e la priorità del traffico rispetto alla sicurezza Applicazioni

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/10 Stateful Packet Filter CONTESTO OBIETTIVO Stateful Inspection Packet Filter Alle funzionalità di filtro già descritte per il semplice Packet Filter, aggiunge la possibilità di analizzare il singolo pacchetto nel contesto della sua comunicazione (statefulness). Introdotto da CheckPoint agli inizi degli anni ’90.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/11 Stateful Packet Filter CONTESTO OBIETTIVO Stateful Inspection Packet Filter Mantiene una tabella delle connessioni. Analizza e può filtrare il traffico ”in ingresso” non più basandosi sulla porta di destinazione (di solito >1024), ma sulla storia e lo stato di ciascuna connessione. A causa di questo la semantica delle regole del filtro cambia. Permette una gestione più sicura dei protocolli UDP e ICMP perché si può gestire la “storia” della comunicazione.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/12 Stateful Packet Filter CONTESTO OBIETTIVO Stateful Inspection Packet Filter Nella sua forma basilare, questa tecnologia aggiunge al semplice filtering una conoscenza del livello 4 dello stack OSI. La sua evoluzione permette invece di gestire informazioni anche a Livello 7 (applicazione), per esempio tramite moduli specializzati per determinati protocolli.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/13 Stateful Packet Filter CONTESTO OBIETTIVO Stateful Inspection Packet Filter Esempio di state table Source addrSource portDest addrDest portConn. state Established Established Established

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/14 Application Level Gateway CONTESTO OBIETTIVO Application Level Gateway Al contrario dei casi precedenti, un firewall di tipo application level gateway prevede che non vi sia routing tra la rete da proteggere e la rete esterna. Non è dunque possibile a un sistema situato nella rete interna aprire una comunicazione con un sistema all’esterno, né viceversa. Il passaggio dell’informazione da una rete all’altra può avvenire, ma solamente per il tramite di un software specializzato: il proxy applicativo.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/15 Application Level Gateway CONTESTO OBIETTIVO Socket in una comunicazione con PF: Socket in una comunicazione con un ALG: Int Ext Application Level Gateway Cli Srv

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/16 Application Level Gateway CONTESTO OBIETTIVO La quintessenza del proxy è di lavorare a uno specifico livello 7, anche se vi sono proxy molto semplici che ignorano completamente il contenuto applicativo ed intervengono solo per l’apertura e la chiusura delle connessioni (cfr “Circuit Level Gateway”). Anche altri livelli possono essere analizzati, per esempio per effettuare un’autenticazione basata sull’indirizzo IP. Altri meccanismi sono possibili (userid + password, hw o sw tokens, certificati digitali, ecc). Application Level Gateway

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/17 Application Level Gateway CONTESTO OBIETTIVO Un application level gateway ha alcuni vantaggi che lo caratterizzano da un packet filter. Reale separazione delle reti Sofisticati meccanismi di autenticazione Logging specifico dell’applicazione (comandi) Filtering dei contenuti Controllo e configurazione per utente Minore complessità di configurazione Application Level Gateway

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/18 Application Level Gateway CONTESTO OBIETTIVO Un application level gateway ha ovviamente anche svantaggi, fra cui: Necessità di modificare il software Necessità di modificare il comportamento Prestazioni Supporto esteso solo ad alcuni protocolli Application Level Gateway

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/19 Application Level Gateway CONTESTO OBIETTIVO Tipiche applicazioni: FTP Telnet HTTP SMTP NTP Application Level Gateway

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/20 Circuit Level Gateway CONTESTO OBIETTIVO E’ una specie di application proxy leggero, che cioè non lavora a livello 7 e trasporta i dati della connessione da dentro a fuori e viceversa. Può comunque effettuare logging, autenticazione e altre conversioni. Non essendoci alcun controllo applicativo costituiscono una sorta di tunnel attraverso il firewall in architettura ALG. Circuit Level Gateway

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/21 Circuit Level Gateway CONTESTO OBIETTIVO Circuit Level Gateway Tipiche applicazioni: Telnet HTTP NNTP Protocolli proprietari Di solito si può applicare questo tipo di proxy a tutti i casi semplici di applicazioni client-server

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/22 Altri proxy CONTESTO OBIETTIVO Altri proxy SSL-izers SOCKS proxies

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/23 Schemi Best solution ever? INTERNET LAN :-)

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/24 Schemi Semplice border filter INTERNET Boundary router LAN

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/25 Schemi Semplice border filter con DMZ e firewall INTERNET Boundary router LAN DMZ esterna Firewall

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/26 Schemi Border filter con due DMZ e due fw INTERNET Boundary router LAN DMZ esterna Firewall esterno DMZ interna Firewall interno SMTP proxy HTTP proxy Web server

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/27 Schemi Border filter con DMZ e fw multiporta INTERNET Boundary router LAN DMZ Firewall interno SMTP proxy HTTP proxy Web server

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/28 Schemi Collapsed ALG INTERNET Boundary router LAN DMZ esterna ALG firewall Ip_forward = no SMTP proxy HTTP proxy Altri application proxy

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/29 Schemi Collapsed factotum INTERNET Boundary router LAN DMZ esterna Factotum Firewall SMTP proxy HTTP proxy. … stateful packet filter, VPN gateway

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/30 Schemi Collapsed factotum con service leg INTERNET Boundary router LAN DMZ esterna Factotum Firewall SMTP proxy HTTP proxy, … stateful packet filter VPN gateway Service Leg DMZ Web, DNS, RAS, altri application proxy

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/31 Current trends E’ necessario che i firewall si evolvano per essere più proattivi, bloccare i nuovi attacchi e fornire un controllo maggiore. Le aziende dovrebbero aggiornare i loro firewall e i sistemi di Intrusion Prevention per proteggere il sito e le attività di business, perché gli attacchi divengono sempre più sofisticati. Come potrebbe essere un Next-Generation Firewall? Il primo passo sostanziale è l’integrazione fra le funzionalità di firewall tradizionale (di prima generazione) e quelle di Intrusion Prevention. Inoltre tale sistema dovrà essere in grado di governare l’implementazione e l’applicazione delle policy di sicurezza anche a fronte dei cambiamenti nel modo di lavorare (es web 2.0) e nel modo in cui gli attacchi compromettono i sistemi.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/32 Current trends In sostanza un NGFW dovrebbe: avere le caratteristiche di un firewall di prima generazione avere integrate le funzionalità di Intrusion Prevention full stack visibility and management extrafirewall intelligence directory integration wire speed

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/33 NGFW DMZ VLAN EXT VLAN MGMT VLAN MAIN VLAN(S) DIR WCF/ CACHE FW MGMT INTERNET Boundary router DMZ Firewall SMTP GW Web server In sostanza un NGFW, per avere compatibilità con firewall di prima gen. funzionalità di Intrusion Prevention full stack visibility & management extrafirewall intelligence directory integration wire speed Dovrebbe essere integrato nell’infrastruttura!

Tecnologie di Sicurezza in Internet: applicazioni – AA – B10/34 Riferimenti Firewalls and Internet Security Repelling the Wily Hacker W. R. Cheswick, S. M. Bellovin Guidelines on Firewalls and Firewall Policy NIST Special Publication J. Wack, K. Cutler, J. Pole Anatomy of a Stateful Firewall SANS Institute L. Senner Defining the Next-Generation Firewall Gartner RAS Core Research Note G , 12 oct 2009 J. Pescatore, G. Young

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.