Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.

Slides:



Advertisements
Presentazioni simili
Prof. Carla Fanchin – L.S. Tron
Advertisements

00 AN 1 Firewall Protezione tramite firewall.
INTERNET FIREWALL Bastion host Laura Ricci.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
I modelli di riferimento OSI e TCP/IP
Come programmare servizi di rete?
Sistemi e Tecnologie della Comunicazione
La rete del futuro nellautonomia scolastica Sezione propedeutica I fondamentali e concetti di TCP/IP.
Secure Shell Giulia Carboni
Programmazione su Reti
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Reti di Calcolatori IL LIVELLO RETE.
Concetti introduttivi
Reti di Calcolatori IL LIVELLO RETE.
INTERNET FIREWALL BASTION HOST.
FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.
Corso di Informatica per Giurisprudenza Lezione 7
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Modulo 2 – U.D. 1 – Lez. 2 Ernesto Damiani – Sistemi di elaborazione dell'informazione.
Sistemi di elaborazione dellinformazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 - Gestione degli indirizzi Ernesto Damiani Lezione 4 – NAT.
U N INFRASTRUTTURA DI SUPPORTO PER SERVIZI DI FILE HOSTING Matteo Corvaro Matricola Corso di Reti di Calcolatori LS – Prof. A. Corradi A.A.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Il modello di riferimento OSI
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
EM 09 INTERNET … UN PO DI STORIA. EM 09 Nasce per garantire comunicazioni efficienti … Tra le sedi delle forze armate americane Tra le sedi delle forze.
Informatica Lezione 9 Scienze e tecniche psicologiche dello sviluppo e dell'educazione (laurea triennale) Anno accademico:
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
L’architettura a strati
IPSec Fabrizio Grossi.
Capitolo 8 La gestione di rete
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
1: Introduction1 Stratificazione protocollare (Protocol “Layering”) Le reti sono complesse! r Molti elementi: m host m router m link fisici dalle caratteristiche.
Reti di computer Condivisione di risorse e
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Livello 3 Network (Rete)
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 3 – Instradamento statico Ernesto Damiani Università degli Studi di Milano – SSRI.
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Sistemi di elaborazione dell’informazione Modulo 2 - Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 3 –
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Servizi Internet Claudia Raibulet
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Reti II Stefano Leonardi
Cenni sulla sicurezza delle Reti
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 3 -Instradamento statico Ernesto Damiani Lezione 2 – ICMP.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA Ingegneria Informatica e dell’Automazione.
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.
Il centro stella puo’ essere realizzato con : Lavora solo a livello fisico (layer 1) : ripete esattamente su tutte le proprie porte il segnale arrivato.
Sistemi e Tecnologie della Comunicazione
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET PROTOCOL SUITE FACOLTA’ DI INGEGNERIA Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Docente: Prof. Pasquale Daponte Tutor:
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
Sezione propedeutica I fondamentali e concetti di TCP/IP.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
NAT, Firewall, Proxy Processi applicativi.
Transcript della presentazione:

Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros

Indice degli Argomenti Introduzione ai Firewall Breve Introduzione al Packet filtering Proxying - Circuit Relay - Application Gateway Architetture di un Firewall

- Introduzione ai Firewall - Come proteggere una Rete Per proteggere una rete da attacchi esterni sono possibili i seguenti approcci : No Security: e il piu semplice approccio possibile; non si effettua nessun controllo Security Through Obscurity: non si conosce lesistenza della rete e soprattutto il suo contenuto Host Security: si cerca di garantire la sicurezza di ogni host che fa parte della rete Network Security: si controllano gli accessi ai vari host e servizi della rete piuttosto che garantire la sicurezza del singolo host N.B. : NESSUNO di questi modelli risolve completamente i problemi di sicurezza della rete.

- Introduzione ai Firewall - Cosa e un Internet Firewall Il Firewall e una efficace implementazione del modello Network Security.Esso fa in modo che i pericoli provenienti da Internet non possano diffondersi allinterno di una rete privata. Le sue principali funzioni sono: Restringere laccesso alla rete in un punto attentamente controllato Impedire che eventuali intrusi arrivino vicini alle altre difese della propria rete Restringere luscita al mondo esterno in un punto attentamente controllato

- Introduzione ai Firewall - Cosa puo fare Controlla tutto il traffico in entrata e in uscita dalla propria rete locale Implementa la politica di sicurezza della rete, abilitando soltanto opportuni servizi scelti in base ad preciso insieme di regole Registra in modo efficiente le attivita su Internet Mantiene separate le varie sezioni della propria rete, facendo in modo che eventuali problemi di una singola sezione non si diffondano allintera rete

- Introduzione ai Firewall - Cosa non puo fare Il Firewall non puo controllare direttamente quelli che sono gia allinterno della rete Controllare il traffico che non lo attraversa direttamente Non puo garantire nessun tipo di sicurezza contro le minacce sconosciute Non protegge dai virus

- Introduzione ai Firewall - Tecnologie utilizzate nei Firewall FUNZIONI SVOLTE : POSIZIONE : Packet Filtering - Screening Router router interni o esterni - Host Based Packet Filter bastion host Proxying - Circuit Relay bastion host - Application Gateway bastion host Questa classificazione e fatta in base alle funzioni svolte e alla posizione in cui viene implementato il Firewall stesso, su un router o su di un bastion host

- Introduzione al Packet Filtering - Il Packet Filtering Il Packet Filtering e un meccanismo frequentemente utilizzato nella costruzione di un Firewall.Analizza i pacchetti in transito fra le reti decidendo quali lasciar passare e quali fermare.Le tecniche di Packet Filtering si basano su precise regole che sono state stabilite nella politica di sicurezza della rete. Il software che implementa il Packet Filtering e in grado di esaminare lheader di ciascun pacchetto non appena questo transita per passare da una rete allaltra. Internet Rete Protetta Screening Router o Host-based Packet Filter aa b cc

- Introduzione al Packet Filtering - Regole Provenienza dei pacchetti Informazioni contenute nellIP header tipo di protocollo indirizzo IP mittente indirizzo IP destinatario Informazioni contenute nel TCP header porta TCP mittente porta TCP destinatario TCP flags ( per esempio ACK ) Informazioni contenute nellUDP header porta UDP mittente porta UDP destinatario

- Introduzione al Packet Filtering - Packet Filtering e Pila OSI Il Packet Filtering e spesso una buona prima linea di difesa nella architettura di un Firewall. I dispositivi e il software che realizzano il PF servono per controllare attentamente laccesso ad una rete. Il PF lavora ai livelli piu bassi della pila TCP/IP ( Transport e Network) Application Hardware Session Transport Network Data Link Presentation Ip,Icmp Tcp,Udp Packet Filtering

- Introduzione al Packet Filtering - Metodo di Lavoro Le regole tradotte nella sintassi specifica dello Screening Router o dellHost-Based Packet Filter funzionano nel seguente modo : 1.Le regole del PF sono espresse come una tabella di condizioni e azioni applicate in un ordine specifico 2.Ricevuto un pacchetto vengono esaminati i campi contenuti negli header IP,TCP e UDP 3.I pacchetti vengono confontati con ciascuna delle regole decidendo poi di instradare o bloccare un pacchetto 4.Se un pacchetto soddisfa tutte le condizioni di una riga della tabella delle regole, allora lazione specificata in quella riga (accettare o negare) viene eseguita

- Introduzione al Packet Filtering - Schema generale Host sulla Rete Protetta Soddisfa la Regola ? Accettare O Rifiutare ? no si Host in Internet Prossima regola pacchetto ricevuto rifiutare accettare

- Proxying - Il Proxying Con il Proxying si ha limpressione che gli host della rete siano direttamente connessi allesterno. In realta sono gli host che hanno laccesso fisico allesterno che agiscono da procuratori per tutte le altre macchine. Un proxy server viene quindi installato su un Dual-Homed host o su di un Bastion Host.. Il proxy seguendo regole di filtering decide quali richieste lasciar passare e quali rifiutare. Per lutente, parlare con il proxy e come parlare con il server reale. E molto importante lutilizzo del proxying anche per le funzioni di CACHING Server reale Client Dual – Homed Bastion Host Proxy Server InternetRete Protetta

- Proxying - Meccanismi del Proxying Il Proxy e essenzialmente costituito da software che agisce a livello di servizi Internet. I due meccanismi fondamentali che gestiscono il proxying sono : Circuit Relay Un unico proxy server si incarica di controllare le varie applicazioni di rete Application Gateway Un proxy server separato deve essere creato per ciascuna applicazione di rete Con il proxy otteniamo quello che non avevamo con il PF: - Politiche di sicurezza piu dettagliate e migliori meccanismi di Auditing - Semplicita nellimplementare le regole - Facilita nel verificare la correttezza delle regole

- Proxying - Proxying e Pila OSI Il proxying puo quindi lavorare sia al livello Transport sia al livello Application della pila OSI. Application Hardware Session Transport Network Data Link Presentation Ip,Icmp Tcp,Udp Circuit Telnet,Ftp,Http relay Application Gateway

- Circuit Relay - Circuit Relay Molto simile al packet filtering per i suoi criteri di decisione; determina se lasciar passare o meno un pacchetto basandosi sulle informazioni contenute nel suo header Rispetto al packet filtering crea un nuovo pacchetto con un altro header.In questo modo leventuale risposta del server sara indirizzata al Proxy Tale meccanismo impedisce ad un qualsiasi utente di far sapere dove si trova allinterno della rete e protegge gli esterni che non vogliono far conoscere allutente la loro posizione

- Circuit Relay - Componenti di un Circuit Relay Consiste di : Client modificati : inoltrano le richieste di collegamento a Internet a server dedicati posti su di un Bastion Host Un proxy server generico, che inoltra le richieste agli host su Internet e risponde ai client N.B.: E possibile permettere connessioni solo ad host autorizzati e solo a certe destinazioni su Internet.Il Cr copia semplicemente i pacchetti da un sistema ad un altro,cambia lindirizzo IP in quello del circuit relay server e effettua alcuni controlli di sicurezza sulla provenienza e sulla destinazione delle connessioni. Il fatto di dover installare su ogni client un software opportuno e cosa talvolta onerosa e spesso causa di errori

- Circuit Relay - Funzionamento del Circuit Relay 1.Un utente richiede un servizio applicativo da un client modificato su un host interno 2.Si tenta di inviare la richiesta direttamente allapplication server su Internet 3.Il client si accorge che non e raggiungibile quindi si connette con il Circuit Relay 4.Il CR riceve il pacchetto dal client 5.Il CR controlla le caratteristiche del pacchetto seguendo le regole nel file sockfd.conf 6.Il CR o blocca il pacchetto o si connette con lhost di destinazione 7.Lhost di destinazione risponde al CR con un pacchetto che riceve lo stesso trattamento del precedente

- Circuit relay - Schema di funzionamento Bastion Host Circuit Relay Application Server Client modificato InternetRete Protetta richiesta risposta

- Application Gateway - Application Gateway Risponde al client come un server reale per una determinata applicazione, in realta le richieste vengono inoltrate al server reale Non ci sono Client modificati Puo essere configurato per servire solo client autorizzati e limitare il loro accesso a certi comandi e a certe destinazioni Lavora al livello Application della pila OSI Agisce per una specifica applicazione E piu costoso ed ha un sensibile impatto sulle prestazioni del sistema Offre in compenso caratteristiche di sicurezza piu evolute direttamente implementate nel livello Application

- Application Gateway - Funzionamento di un Application Gateway 1.Un utente richiede un servizio Internet 2.Il client si connette allApplication Gateway sul Bastion Host 3.Identificazione del client attraverso indirizzo e il protocollo IP o attraverso unautenticazione manuale ( password ) 4.Il client sceglie lhost di destinazione 5.Attraverso le regole di autorizzazione, lApplication Gateway decide se accettare o rifiutare laccesso al servizio richiesto 6.LApplication Gateway si connette al server reale usando il protocollo applicativo appropriato 7.Il client manda un comando attraverso lApplication Gateway 8.LApplication Gateway registra il comando, controlla le regole ed accetta o rifiuta loperazione

- Application Gateway - Schema di funzionamento Server su Internet Hardware Transport Network Data Link Hardware Transport Network Data Link Application Gateway Application Client

- Architetture - Architetture di un Firewall Border Router Dual – Homed Bastion Host Screened Host Screened Subnet Architetture ibride - Screened Subnet con Bastion Host multipli - Dual – Homed Bastion Host con DMZ - Screened Subnet con Backbone interno

- Architetture - Border Router Internet Screening Router Host A Host B Rete Protetta E uno dei piu semplici esempi di implementazione del Packet Filtering

- Architetture - Dual – Homed Bastion Host Internet Rete Protetta Dual – Homed Bastion Host Il Firewall consiste in un Bastion Host con due interfacce di rete. Indirizzo IP diverso su ciascuna interfaccia. Linstradamento e disabilitato sul Dual – Homed Bastion host cosi i pacchetti IP non sono direttamente instradati da una rete allaltra.

- Architetture - Screened Host Internet Screening Router Host B Host A Bastion Host Rete Protetta In questo caso il Bastion host supporta una singola interfaccia di Rete. Lo screening router permette agli host esterni di comunicare solo con il Bastion host. Questo supporta tipicamente i proxy services.

- Architetture - Screened Subnet Internet Screening Router Esterno Host A Host B Bastion Host Screening Router Interno DMZ Rete Protetta DMZ = Perimeter Network. Architettura che cerca di Schermare la rete protetta da Attacchi che arrivano Al Bastion Host

- Architetture Ibride - Screened Subnet con Bastion Host multipli Internet Screening Router Esterno Host A Host B Bastion Host ftp server Screening Router Interno DMZ Bastion Host www server Bastion Host Proxy servers Rete Protetta Possibilita di utilizzare macchine vittima

- Architetture Ibride - Dual – Homed Bastion Host con DMZ Internet Screening Router Esterno Host A Host B Bastion Host ftp server DMZ Bastion Host www server Rete Protetta Dual – Homed Bastion Host Proxy Servers

- Architetture Ibride - Screened Subnet con Backbone interno Internet Screening Router Esterno Screening Router Interno Bastion Host Screening Router Screening Router Rete Protetta Sotto Rete A Sotto Rete B DMZBackbone interno Il Backbone interno impedisce che un intruso gia arrivato al Bastion host possa controllare il traffico interno che passa attraverso la DMZ. Utile anche contro IP spoofing

- Conclusioni - Conclusioni Esistono vari tipi di architetture di un Firewall I Firewall si basano su tecnologie in continua evoluzione I futuri Firewall saranno sempre piu potenti e trasparenti La sua realizzazione dipende dalla politica di sicurezza adottata e soprattutto dal Budget disponibile Il problema del traffico interno e ancora notevole - i dati in ingresso attraverso un Firewall possono contenere virus o comunque compromettere la sicurezza degli host interni in vari modi - molti Firewall non riescono a proteggere da attachi ben mirati ( problema a volte risolvibile con lutilizzo di macchine vittima )