Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.

Slides:



Advertisements
Presentazioni simili
DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.
Advertisements

Prof. Carla Fanchin – L.S. Tron
Laboratorio di Telematica
Milano Settembre 2003 ISTI/CNR IS-MANET: WP5 Stefano Chessa Tel Area.
1 Introduzione ai calcolatori Parte II Software di base.
Informatica e Telecomunicazioni
Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Il Consolidamento di Servizi Virtual Server 2005 PierGiorgio Malusardi Evangelist - IT Professional Microsoft.
Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Messaggi di errore e di controllo Alberto Polzonetti
Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Protocollo Internet Alberto Polzonetti
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
I modelli di riferimento OSI e TCP/IP
Programmazione su Reti
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Reti di Calcolatori IL LIVELLO RETE.
Reti di Calcolatori IL LIVELLO RETE.
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
Informazioni, quando l'acquisizione é intelligente! Sistemi di telemetria integrati GSM - WSN Milano, 23 aprile 2013.
Modulo 2 – U.D. 1 – Lez. 2 Ernesto Damiani – Sistemi di elaborazione dell'informazione.
Sistemi di elaborazione dellinformazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 - Gestione degli indirizzi Ernesto Damiani Lezione 4 – NAT.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Introduzione al controllo derrore. Introduzione Quando dei dati vengono scambiati tra due host, può accadere che il segnale venga alterato. Il controllo.
Modulo n – U.D. n – Lez. n Nome Cognome – titolo corso.
L’architettura a strati
IPSec Fabrizio Grossi.
Universita’ degli Studi Roma Tre
A WORLD OF TESTING IN AUTOMOTIVE
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
Configurazione IP4a-1 Configurazione IP Reti II Stefano Leonardi.
RETI INFORMATICHE.
Il DHCP (Dinamic Host Configuration Protocol) fornisce un meccanismo per assegnare dinamicamente gli indirizzi IP ed i parametri di configurazione ad un.
1: Introduction1 Stratificazione protocollare (Protocol “Layering”) Le reti sono complesse! r Molti elementi: m host m router m link fisici dalle caratteristiche.
Consuntivo corso Reti diCalcolatori Reti di Calcolatori (F1I063) Docente Luigi Vetrano Durata Ore di lezione56 di cui, ore di.
1 Luigi Vetrano Esercitazione di Reti di Calcolatori A.A
Support for Emulation of Services and Applications in Mobile Environments with Bluetooth Gruppo: Davide Bonomo Salvatore Baglieri Referente: Ing. Dario.
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 1 – Assegnazione.
Studio di una soluzione distribuita per la gestione di un centro sondaggi.
Relatore: Ing. Francesco Lo Presti Correlatore: Ing. Stefano Salsano UPMT: progetto e realizzazione di una soluzione di mobilità verticale e overlay networking.
Internetworking V anno.
Livello 3 Network (Rete)
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 6 -User Datagram Protocol Ernesto Damiani Lezione 1 – UDP.
Muse2: MUSic Everywhere with WI-FI Progetto realizzato da: Bambini Stefano Bergamini Andrea Pierangeli Diego Bologna C.d.L.S. Ingegneria Informatica.
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Reti di Calcolatori LS - Fabio Poli 15 Giugno 2006 Sviluppo di un player di Campo Minato multigiocatore con supporto di Chat MultiCast.
Reti II Stefano Leonardi
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
ARCHITETTURA DI RETE Protocollo: insieme di regole che governano le comunicazioni tra i nodi di una rete. La condivisione di queste regole tra tutte gli.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET PROTOCOL SUITE FACOLTA’ DI INGEGNERIA Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Docente: Prof. Pasquale Daponte Tutor:
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
II PROVA Svolgimento tramite protocollo ISO/OSI. I LIVELLO : LIVELLO FISICO Scelta del mezzo fisico; tenere conto degli standard IEEE Procedura di codifica.
Tecnologie di Sicurezza in Internet APPLICAZIONI Nozioni preliminari AA Ingegneria Informatica e dell’Automazione.
VLAN Virtual LAN.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Ing. L. A. Grieco DEE – Telematics Lab. 1 Internet Protocol (IP) – Telematica I – - I Facoltà di Ingegneria – CdL in Ingegneria Informatica.
Introduzione Misurare l’impatto che può avere l’aggiunta di traffico sulle prestazioni di un sistema di rete è molto utile. Nel testing di applicazioni.
Alessandro Tirel - Sezione di Trieste Storage servers & TCP Tuning Proposta di studio delle problematiche connesse alla fornitura di servizi di storage.
Slide #: 1/232 Internet - Architettura, principali protocolli e linee evolutive Nicola Blefari Melazzi Copyright © 2005 – The McGraw-Hill Companies srl.
ARP PROTOCOLLO DI RISOLUZIONE DEGLI INDIRIZZI. ARP FINE.
Transcript della presentazione:

Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra la scheda Ethernet ed il TCP/IP stack Università degli studi dell’Insubria Facoltà di Informatica 11 luglio 2007

INQUADRAMENTO DELLA RETE DEL CLIENTE INFRASTRUTTURA DI RETE IN FASE DI MIGRAZIONE DA PROTOCOLLI X.25 AD IP

VANTAGGI DELLA MIGRAZIONE DA X.25 A IP AMMODERNAMENTO TECNOLOGICO DELL’INFRASTRUTTURA DI RETE AMMODERNAMENTO TECNOLOGICO DELL’INFRASTRUTTURA DI RETE OTTIMIZZAZIONE DEI PROCESSI DI GESTIONE E MANTENIMENTO OTTIMIZZAZIONE DEI PROCESSI DI GESTIONE E MANTENIMENTO RIDUZIONE DEI COSTI RIDUZIONE DEI COSTI MAGGIORE ADERENZA AGLI STANDARD MAGGIORE ADERENZA AGLI STANDARD

PROBLEMATICHE RISCONTRATE PROPAGAZIONE DI CODICE MALIZIOSO PROPAGAZIONE DI CODICE MALIZIOSO NON OTTIMALE SEGREGAZIONE DEL TRAFFICO DI RETE NON OTTIMALE SEGREGAZIONE DEL TRAFFICO DI RETE PROBLEMI DI SICUREZZA PROVENIENTI DAI CLIENT (sui quali il ciente non è in grado di detenere un controllo dal punto di vista giurico) PROBLEMI DI SICUREZZA PROVENIENTI DAI CLIENT (sui quali il ciente non è in grado di detenere un controllo dal punto di vista giurico) NECESSITA’ DI UN SOFTWARE IN GRADO DI INSEDIARSI TRA LA SCHEDA DI RETE ED IL TCP/IP STACK, IN GRADO DI CONTROLLARE E LIMITARE IL TRAFFICO DI RETE IN OGNI SINGOLO DISPOSITIVO END-POINT

WINPKFILTER (NTKERNEL resources) SVILUPPO DI UN SOFTWARE DI PACKET FILTERING CON CONTROLLO ACCESSI A LIVELLO DI INDIRIZZAMENTO DI RETE E PORTE LOGICHE SVILUPPO DI UN SOFTWARE DI PACKET FILTERING CON CONTROLLO ACCESSI A LIVELLO DI INDIRIZZAMENTO DI RETE E PORTE LOGICHE UTILIZZO DI DEVICE DRIVER IN GRADO DI INTEGRARSI TRA IL DEVICE DRIVER ETHERNET ED IL TCP/IP STACK UTILIZZO DI DEVICE DRIVER IN GRADO DI INTEGRARSI TRA IL DEVICE DRIVER ETHERNET ED IL TCP/IP STACK ESECUZIONE A LIVELLO DI KERNEL = IMPATTO MINIMO RISORSE ESECUZIONE A LIVELLO DI KERNEL = IMPATTO MINIMO RISORSE COMPATIBILIA’ CON WIN 98 (S.O. DEI CLIENT) COMPATIBILIA’ CON WIN 98 (S.O. DEI CLIENT) API PER PROGRAMMAZIONE IN VC++ API PER PROGRAMMAZIONE IN VC++ LICENZA USD LICENZA USD 3.495

FUNZIONALITA’ Possibilità di scelta dell’interfaccia di rete da monitorare Possibilità di scelta dell’interfaccia di rete da monitorare Definizione di white-lists di indirizzi IP Definizione di white-lists di indirizzi IP Definizione di white-lists di porte TCP e UDP Definizione di white-lists di porte TCP e UDP Logging dei pacchetti e protocolli bloccati Logging dei pacchetti e protocolli bloccati Possibilità di far transitare pacchetti di protocolli di servizio atti al corretto funzionamento della rete (es. ARP) Possibilità di far transitare pacchetti di protocolli di servizio atti al corretto funzionamento della rete (es. ARP)

ETHERNET Apertura del pacchetto Ethernet ed analisi dei bit che indicano il protocollo successivo (quello contenuto nel campo “dati” del pacchetto Ethernet stesso) Apertura del pacchetto Ethernet ed analisi dei bit che indicano il protocollo successivo (quello contenuto nel campo “dati” del pacchetto Ethernet stesso)

ARP, RARP, IP ARP: risoluzione MAC address da indirizzo IP ARP: risoluzione MAC address da indirizzo IP RARP: opposto di ARP (Reverse Address Resolution Protocol) RARP: opposto di ARP (Reverse Address Resolution Protocol) IP: - header checksum IP: - header checksum - IP destinatario = IP locale - IP sorgente in white-list - procollo successivo: - TCP - TCP - UDP - UDP - ICMP - ICMP - IGMP - IGMP - casi particolari e pacchetti frammentati - casi particolari e pacchetti frammentati

TCP, UDP, DHCP, ICMP, IGMP ICMP: protocollo di servizio (ping, tracert) ICMP: protocollo di servizio (ping, tracert) IGMP: protocollo di gestione gruppi multicast IGMP: protocollo di gestione gruppi multicast Verifica IP destinatario = 224.*.*.* TCP e UDP: verifica porta sorgente e porta destinazione TCP e UDP: verifica porta sorgente e porta destinazione DHCP (su UDP porte 67 e 68): per un certo periodo di tempo il client non ha IP ( ). Accetto i pacchetti senza IP destinati all’indirizzo locale di livello datalink se sono UDP porta 68 e l’IP sorgente (server DHCP) è in white list DHCP (su UDP porte 67 e 68): per un certo periodo di tempo il client non ha IP ( ). Accetto i pacchetti senza IP destinati all’indirizzo locale di livello datalink se sono UDP porta 68 e l’IP sorgente (server DHCP) è in white list

PACKET FRAGMENTATION MTU: Maximum Transmission Unit (tipicamente Ethernet 1500 bytes) Se il pacchetto è più grande viene FRAMMENTATO Campi Header IP coinvolti: -Identificazione: indice riassemblamento datagramma -Flags: 0 riservato, 1 may fragment / don’t fragment, 2 last fragment / more fragments -Offset di frammentazione: offset di posizionamento misurato in ottetti Rappresentazione binaria 0x20B9 = Offset (13 bits): = 185 ottetti * 8 = 1480 bytes

COMPLESSITA’ SVILUPPI FUTURI Poche risorse disponibili sui client del cliente, impossibilità di utilizzare pacchetti già pronti sul mercato (già sviluppati e solo da configurare), necessità di un nuovo prodotto “custom” Poche risorse disponibili sui client del cliente, impossibilità di utilizzare pacchetti già pronti sul mercato (già sviluppati e solo da configurare), necessità di un nuovo prodotto “custom” Grande mole di traffico di rete da gestire, disposizione dei client ovunque in tutta Italia Grande mole di traffico di rete da gestire, disposizione dei client ovunque in tutta Italia Sviluppo del software in un laboratorio composto da macchine virtuali, simulazione di grandi moli di traffico mediante “traffic generators” Sviluppo del software in un laboratorio composto da macchine virtuali, simulazione di grandi moli di traffico mediante “traffic generators” Elevato numero di protocolli presenti Elevato numero di protocolli presenti Attenzione ai casi particolari (bloccare tale traffico di rete significava bloccare il funzionamento della rete stessa) Attenzione ai casi particolari (bloccare tale traffico di rete significava bloccare il funzionamento della rete stessa) Possibilità di utilizzo anche in altri sistemi operativi (es. Windows XP) mediante piccoli accorgimenti e modifiche Possibilità di utilizzo anche in altri sistemi operativi (es. Windows XP) mediante piccoli accorgimenti e modifiche Filtro di altri protocolli che verranno utilizzati in futuro sulla rete ed eventualmente di protocolli di nuova implementazione Filtro di altri protocolli che verranno utilizzati in futuro sulla rete ed eventualmente di protocolli di nuova implementazione Possibilità di scendere maggiormente in dettaglio nei controlli effettuati estendendo le verifiche ad altri campi dei pacchetti in transito Possibilità di scendere maggiormente in dettaglio nei controlli effettuati estendendo le verifiche ad altri campi dei pacchetti in transito Implementazione servizio NAT Implementazione servizio NAT Distribuzione white-lists mediante ftp su tutti i client, possibilità di gestione centralizzata e blocco immediato di indirizzi e porte Distribuzione white-lists mediante ftp su tutti i client, possibilità di gestione centralizzata e blocco immediato di indirizzi e porte

GRAZIE Stefano Nichele