A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
00 AN 1 Firewall Protezione tramite firewall.
Corso aggiornamento ASUR10
Sistemi Operativi Menù: 1) Introduzione al sistema operativo
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
INTERNET FIREWALL Bastion host Laura Ricci.
1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.
Le reti informatiche!! Le reti di telecomunicazioni hanno permesso una maggior diffusione delle informazioni che possono essere trasmesse e ricevute.
Organizzazione di una rete Windows 2003
La rete in dettaglio: rete esterna (edge): applicazioni e host
Laurea Triennale in Infermieristica
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2012 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Concetti introduttivi
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
©Apogeo 2004 Gestione di una piccola rete locale.
Agenti Mobili Intelligenti e Sicurezza Informatica
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Firewall Sicurezza nel Sistema Informativo della PA Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005.
Architettura di storage ad alta affidabilita e bilanciamento di carico per volumi centrali e di esperimento A.Brunengo, M.Corosu INFN Sezione di Genova.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione 1.5 Sicurezza.
EM 09 INTERNET … UN PO DI STORIA. EM 09 Nasce per garantire comunicazioni efficienti … Tra le sedi delle forze armate americane Tra le sedi delle forze.
Corso di Laurea in Conservazione e Restauro dei Beni Culturali
L’architettura a strati
Claudio Telmon - Strumenti di difesa -1 © Claudio Telmon, 1999 Le tecnologie per la difesa Claudio Telmon Claudio Telmon.
Creato da Riccardo Nuzzone
Nemesi Creazione e pubblicazione di una rivista online tramite l’utilizzo di Java Message Service.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Capitolo 8 La gestione di rete
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
IDUL 2013 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto ‘logico’ della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Reti di computer Condivisione di risorse e
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
INTRODUZIONE A INTERNET
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Servizi Internet Claudia Raibulet
Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
Cloud SIA V anno.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Transcript della presentazione:

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa Un Internet firewall, in particolare, è un sistema realizzato con lo scopo di proteggere la rete interna di unorganizzazione (che nel seguito indicheremo anche con il termine Intranet) da Internet

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall: cosa sono Concettualmente, un Internet firewall è unentità, in particolare lunica entità, interposta tra Internet e una rete aziendale il cui accesso da e verso Internet si vuole disciplinare, tipicamente per limitare lesposizione alle intrusioni informatiche che la rete aziendale potrebbe subire da parte di utenti di Internet

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall: come sono Fisicamente, le configurazioni dei firewall variano in funzione degli scopi per cui sono impiegati, senza perdere in generalità possiamo affermare che un firewall è una combinazione di componenti hardware (router e host) tra loro opportunamente collegate, e di opportune componenti software

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Firewall: caratteristiche generali Tutto il traffico che entra ed esce da una rete intranet deve passare attraverso il firewall Solo il traffico autorizzato potrà entrare/uscire dalla rete Il firewall deve essere il più possibile immune da attacchi

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi I filtri Sui Servizi Vengono definiti i tipi di servizi che possono essere acceduti da e verso Internet Sulla direzione Determina la direzione verso cui il traffico generato da certi servizi è ammissibile

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi I filtri User control Controlla laccesso ad un servizio verificando lutente che vi sta accedendo Behavior control Controlla come vengono usati certi servizi

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Tipi di firewall Packet filtering Application-level Gateway Circuit-level Gateway

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet filtering

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet filtering Nella sua versione più semplice il packet filtering consente di abilitare/disabilitare il trasferimento di pacchetti (e quindi di dati) tra due reti basandosi su: Lindirizzo IP del mittente; Lindirizzo IP del destinatario; I servizi (o protocolli) usati per trasferire i dati (questi servizi possono essere ad esempio: FTP, HTTP, SMNP, ecc. ecc.).

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet Filtering Opera sulle informazioni presenti nellheader di un pacchetto IP o su sequenze molto brevi di pacchetti, tralasciando il contenuto dello stesso; Ad esempio, non è possibile sopprimere, con questa versione di packet filtering, un pacchetto perché contiene insulti

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Packet filtering Vantaggi: Semplice Trasparente agli utenti Opera ad alta velocità Svantaggi: Difficoltà di configurazione Meccanismi di autenticazione

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Application level gateway

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Application level gateway Chiamato anche proxy server Svolge le funzioni di relay tra traffico a livello applicazione, si interpone tra i client ed il server di unapplicazione Intercetta tutti i messaggi che dai client sono diretti a più server e viceversa e si fa carico personalmente dellinoltro degli stessi Ricevute le risposte dal server provvede a sua volta ad inoltrarle al mittente originario

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Application level gateway Vantaggi Consente controlli più sofisticati del packet filtering Più mirate le operazioni di logging Svantaggi Più lento del packet filtering

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Circuit level gateway Esistono due tipologie di proxy: I proxy dedicati che sono in grado di operare con un unico protocollo o servizio (esiste quindi un FTP-proxy, un HTTP- proxy, un sendmail-proxy, ecc.) I proxy generici che sono in grado di operare con più protocolli contemporaneamente denominati circuit level proxy

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Circuit Level Proxy

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Circuit level Proxy Il grosso vantaggio dei circuit-level proxy è che un unico programma è in grado di gestire più protocolli il loro svantaggio è che proprio per la loro genericità non sono in grado di offrire funzionalità molto distanti da quelle di un packet filter avanzato

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Proxy Affinché un proxy possa funzionare è necessario che le applicazioni di riferimento, siano scritte tenendo conto della sua presenza Sono oggi disponibili proxy per la maggior parte dei servizi di rete

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Bastion host Sono i sistemi dellorganizzazione più esposti agli attacchi informatici Per ridurre i rischi di attacco, si sono diffuse alcune pratiche, che consentono di rendere i bastion host meno vulnerabili il bastion host serve come piattaforma per un application-level o circuit-level gateway

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni del Firewal Screened subnet firewall, il firewall è composto da: Due router che fanno packet filtering Uno o più bastion host Lobiettivo è quello di creare una sottorete isolata dalla rete da proteggere

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Screened Subnet Screened-subnet firewall, rete demilitarizzata

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni del Firewall Fisicamente, tale architettura può essere realizzata anche con un singolo host, che sia in grado di ospitare almeno tre schede di rete, e possa applicare su ciascuna di esse un insieme differente di regole di packet filtering In questo caso larchitettura di firewall collassa in un singolo host denominato appunto firewall

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni dei firewall La rete demilitarizzata è il vero elemento distintivo di questa architettura di firewall Disaccoppiamento fisico tra la rete interna in cui sono mantenuti tutti i servizi critici per lazienda e la rete demilitarizzata su cui vengono installati i servizi di rete pubblici

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Configurazioni dei firewall Questo firewall non consente ad un intrusore che riesca ad accedere ad uno dei bastion host, di: avere accesso diretto alla rete interna che è protetta da un ulteriore livello di screening router poter intercettare il traffico della rete interna che potrebbe contenere informazioni sensibili

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Router esterno Il router esterno deve proteggere la rete interna e la rete perimetrale da Internet, in particolare il router esterno deve preoccuparsi di proteggere i bastion host e il router interno. Deve provvedere a bloccare tutto il traffico sospetto proveniente da Internet e diretto ai bastion host o alla rete interna

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Router interno Lo scopo di questo router è di proteggere la rete interna da Internet ma anche dalla rete demilitarizzata. Il router interno deve consentire il traffico, dalla rete interna verso Internet, di tutti quei servizi che si è deciso di rendere fruibili agli utenti della rete interna. La lista di questi servizi può comprendere HTTP, FTP, Telnet o meglio SSH

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS Nella terminologia corrente per intrusion detection system si intende un insieme di componenti hw e sw dedicate a rilevare, automaticamente ed in tempo reale, il verificarsi di unintrusione in un sistema o in una rete

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS Un IDS è costituito da una serie di sensori di rete o agenti e da un analizzatore centrale, ognuno di essi risiede su un host dedicato I sensori di rete vengono installati su determinate porzioni di rete, solitamente quelle su cui sono presenti i sistemi più critici I dati raccolti vengono inviati allanalizzatore che verifica o meno la presenza di traffico sospetto in tal caso attiva una serie di procedure di allarme

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS INTERNET INTRANET firewall IDS

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi IDS Per la realizzazione di questi strumenti si fa ricorso a due strategie di base: Anomaly detection Misuse detection

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Anomaly detection Login frequency by day and time Frequency of login at different locations Time since last login Password failures at login Execution frequency Execution denials Read, write, create, delete frequency Failure count for read, write, create and delete

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Misuse Detection I caratteri distintivi di attacchi noti (signatures) vengono memorizzati in appositi database di attacchi alla ricezione di ogni pacchetto lanalizzatore confronta lo stesso o la sequenza a cui appartiene con le signature memorizzate nel proprio database quando trova delle coincidenze attiva una serie di allarmi

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Misuse detection Un intrusion detection system può erroneamente riconoscere una sequenza di pacchetti innocua come maligna e quindi provvedere ad attivare un falso allarme In questo caso si dice che lintrusion detection system ha commesso un errore di tipo falso positivo (false positive)