INTERNET FIREWALL BASTION HOST.

Slides:



Advertisements
Presentazioni simili
Corso di Fondamenti di Informatica
Advertisements

LE RETI Modello OSI e TCP/IP LE RETI Modello OSI e TCP/IP Maura Zini.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
La riduzione dei privilegi in Windows
00 AN 1 Firewall Protezione tramite firewall.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
INTERNET FIREWALL Bastion host Laura Ricci.
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Organizzazione di una rete Windows 2003
I modelli di riferimento OSI e TCP/IP
Laurea Triennale in Infermieristica
Sistemi e Tecnologie della Comunicazione
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Secure Shell Giulia Carboni
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Gestione di Progetti Software 2 (A.A. 2004/2005) - Lezione 2 1 JAVA: obiettivi di progetto del linguaggio Nota storica: Il linguaggio JAVA (inizialmente.
Reti di Calcolatori IL LIVELLO RETE.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
Dal calcolatore al deposito di informazioni anche da condividere. Cè nessuno?
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.
Corso di Informatica per Giurisprudenza Lezione 7
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
La rete di istituto Maninder Bansal 5Bz Vital Ivo 5Bz Anno scolastico 2005/06.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Firewall Sicurezza nel Sistema Informativo della PA Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005.
Il modello di riferimento OSI
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Configurazione di una rete Windows
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
L’architettura a strati
IPSec Fabrizio Grossi.
Active Directory e Gestione Utenti di Valerio Di Bacco.
Calcolo della Subnet Mask e i protocolli SMB e NetBIOS
Indirizzi IP e Subnet mask
Internet: una panoramica
prof.ssa Giulia Quaglino
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
1: Introduction1 Stratificazione protocollare (Protocol “Layering”) Le reti sono complesse! r Molti elementi: m host m router m link fisici dalle caratteristiche.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Livello 3 Network (Rete)
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Servizi Internet Claudia Raibulet
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Reti II Stefano Leonardi
21 gennaio Sirti S.p.A. VA/PT di: 3 reti pubbliche (indirizzi selezionati)‏ 3 reti private (indirizzi selezionati)‏ 7 (6) applicazioni web.
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Sistemi e Tecnologie della Comunicazione
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
ARCHITETTURA DI RETE Protocollo: insieme di regole che governano le comunicazioni tra i nodi di una rete. La condivisione di queste regole tra tutte gli.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
VLAN Virtual LAN.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Transcript della presentazione:

INTERNET FIREWALL BASTION HOST

Argomenti trattati: -Introduzione e concetti base. -Varie configurazioni. - Software di realizzazione.

Intro: Cosa vuol dire proteggere una rete? Schermarla da una rete esterna. Impedire che utenti non autorizzati possano usufruire di dati particolari (sensitive data). Utenti legittimi usino in modo "trasparente" tali insiemi di dati e tutte le altre risorse di rete.

Intro: Definizione di Bastion Host Firewall host critico per la sicurezza di una rete. => Ben fortificato e l'accesso diretto a tale host deve essere massimamente controllato. Interfaccia tra la rete interna e quella esterna. Soggetto di attacchi dall'esterno. => Primo ed unico punto di contatto tra privato e pubblico dominio.

Intro:

Compiti del Bastion Host: Proteggere una generica sottorete filtrando i pacchetti Fornire servizi.

Fasi iniziali di progettazione: Scegliere una macchina. Scegliere il sistema operativo. Scelta dell’Hardware. Scegliere la locazione.

Aspetti Architetturali generali: Unico calcolatore della nostra rete raggiungibile da Internet Host estremamente protetto Sistema operativo sicuro (hardened o addirittura trusted) Rimozione software non necessario Rimozione compilatori Read-only file system

Aspetti Architetturali generali: Process checker Numero minimo di servizi Nessun account utente Salvataggio e controllo del log Eliminazione dei servizi non fidati

Collocazione tipica: Screened host Dopo una prima linea di difesa tra la rete esterna e quella interna. La prima linea di difesa può essere rappresentata da uno screening router opportunamente configurato secondo la politica di sicurezza scelta. Tutti i pacchetti che ottengono il permesso di accesso alla rete interna devono essere diretti verso il bastion host.

Screened host:

Screened host: Attacco della rete privata  dal filtraggio dello screening router. dai controlli effettuati dal Bastion Host.

Screened host:  Il Bastion Host usa le funzioni del livello di applicazione: Per capire se il pacchetto puo’ essere inoltrato o no, come: Eseguendo un ulteriore controllo sugli header dei pacchetti.

Screened host:

Screening Router: Ha la capacità di schermare i pacchetti dipendentemente dal tipo di protocollo, dall'indirizzo della sorgente e della destinazione e dai campi di controllo presenti nei pacchetti. Facendo un confronto con il modello di stratificazione OSI, si vede che il dispositivo lavora a livello di rete ed a livello di trasporto

Screening Router: Visto che per l'OSI i Router lavorano fino a livello di rete sono anche chiamati PACKET-FILTER GATEWAY.

Configurazione: Dual-Homed Host: Nelle reti TCP/IP il termine multi-homed host indica un host che ha più di una scheda di rete. Ogni scheda di rete è collegata ad un segmento di rete differente.

Dual-Homed Host: Attivita’ svolta: Instrada il traffico tra le varie reti effettuando la cosiddetta operazione di routing. Precisazione: Router: si indica un dispositivo che agisce fino al terzo livello di riferimento OSI (livello di rete) con la funzione di instradare i pacchetti di rete. Gateway: ha la stessa funzione però opera fino al settimo livello di riferimento OSI (livello applicativo).

Dual-Homed Host: Funzione di instradamento (routing function): Attivata Disattivata  dual-homed host effettua un vero e proprio isolamento tra i due segmenti di rete, ma puo’: -Rendere sue applicazioni condivisibili tra le due reti. -Condividere dati se le applicazioni lo consentono.

Dual-Homed Host:

Configurazione: Bastion Host e DMZ (Demilitarized Zone) Si ottiene ponendo dopo lo screening router un dual-homed host con entrambe le interfacce di rete configurate e collegate a due segmenti distinti di rete. DMZ non contiene alcun host al suo interno, può essere anche costituita fisicamente da una linea dedicata point-to-point adottando anche un protocollo a se stante che aumenti le difficoltà di penetrazione da parte di un intrusore esterno.

Bastion Host e DMZ

Bastion Host e DMZ Un host può essere collegato alla DMZ in modo promiscuo e vedere tutti i pacchetti che fluiscono attraverso tale rete. Svantaggi: Anche se le tavole di filtraggio dello screening router vengono variate da un intrusore, il bastion host non viene bypassato trovandosi in serie al router ed a monte della rete da proteggere. Vantaggi:

Bastion Host e DMZs Come si ottiene DMZs: -Ponendo due bastion host in serie con entrambe le interfacce di rete configurate -Collegate a segmenti di rete distinti, ottenendo due DMZ. - La seconda può essere utilizzata come una rete ultraprivata, la quale risulta schermata sia da intrusori esterni che da operatori interni.

Bastion Host e DMZ Un compromesso tra sicurezza e comunicabilità può essere: Ponendo sulla prima DMZ un host contenente pubbliche informazioni ma che risulta così esposto più facilmente ad attacchi esterni. Le configurazioni possibili ed adatte al particolare caso sono praticamente infinite……..

Configurazione: Macchina Vittima: Su questa macchina: Vengono fatti girare servizi difficilmente implementabili in modo sicuro o che utilizzano nuovi programmi che potrebbero contenere dei bug. Deve essere: Isolata dalla rete interna.

Macchina Vittima: Unico compito: Far girare il servizio insicuro. In tal modo, se anche un attaccante riuscisse a loggarsi su essa, i danni che potrebbe provocare rimarrebbero limitati alla victim machine ed i privilegi che avrebbe a disposizione sarebbero minimi

Configurazione: Screened Subnet: Viene creata una vera e propria rete isolata tra quella esterna e quella interna. Gli host appartenenti ad entrambe le reti possono accedervi ma non è ammesso alcun flusso diretto di dati tra la rete interna e quella esterna.

Screened Subnet (1):

Screened Subnet (2):

Screened Subnet: La rete isolata prende nome di Screened Subnet o sottorete schermanta. Spesso contiene almeno due application-level gateway (trattati successivamente) che svolgono la funzione di bastion host pur conservando l'accesso interattivo ai servizi resi condivisibili ad entrambe le reti.

Screened Subnet: L'unico punto di accesso alla sottorete e’ l'application-level gateway.  Risulta molto difficoltoso da parte di un intrusore bypassare l'intera sottorete, in quanto dovrebbe riconfigurare la stessa sottorete ed anche quella interna; tutto ciò eludendo la sorveglianza dei bastion host ………..

Configurazione: Application-Level Gateways: Sono dispositivi programmati per analizzare il traffico di rete al livello applicativo. Ogni applicazione protetta dall'application-level-gateway viene identificata da questo attraverso un codice univoco; per questo si garantisce un alto livello di sicurezza ma per ogni applicazione è necessario un codice differente.

Application-Level Gateways:

Application-Level Gateways: Si trova a colloquiare con l'application-level gateway che effettua un operazione di server. Il Client: Opera come un client inoltrando le richieste al server vero e proprio Il Server(Proxy):

Conclusioni: Per concludere questa carrellata sulle varie configurazioni è utile soffermarsi ancora una volta su di una considerazione: L’application-level gateway come il bastion host ed il dual-homed host rimangono esposti ad attacchi esterni se non propriamente protetti da uno screening router prima della connessione con la rete esterna.

Esempi Implementativi: - TCP Wrapper - TIS Gauntlet - TIS Firewall Toolkit

TCP Wrapper: E’ un software per il controllo di accesso per un sistema Unix; opera due funzioni fondamentali: -Registra le richieste per Internet effettuate tramite il file /etc/inetd.conf. - Fornisce un meccanismo di controllo di accesso ai servizi.

TCP Wrapper: l programma TCP-Wrapper è disponibile alla seguente URL: ftp://cert.sei.cnu.edu/pub/network_tools/ oppure ftp://ftp.win.tue.nl/pub/security/

TIS Gauntlet: Gauntlet è un software prodotto dalla T.I.S. (Trusted Information System) Utilizza BSD (Berkeley Software Design) Unix e viene preinstallato insieme al sistema operativo Una parte del S.O. viene riconfigurato e modificato per consentire identificazione e registrazione di alcuni dati di rete durante le connessioni.

TIS Gauntlet: La filosofia di funzionamento di Gauntlet consiste nel considerare inizialmente tutti i sistemi, a parte il Gauntlet stesso, come possibili sistemi-intruso (untrusted); Nelle configurazione è prevista ovviamente la capacità di testare un sistema e valutarne la nocività. Di conseguenza un sistema innocuo viene a far parte dei sistemi cosiddetti "trusted"

TIS Gauntlet:

TIS Firewall Toolkit: A differenza del Gauntlet che è un prodotto commerciale, il Firewall Toolkit è disponibile interamente su rete con un FTP anonimo a: FTP Server: ftp://FTP.TIS.COM. Quello che viene trasferito è un file compresso.

TIS Firewall Toolkit: La filosofia di funzionamento del TIS è modulare; partendo da una configurazione minima di sicurezza esiste la possibilità di aumentare la sicurezza aggiungendo moduli successivi. "http://www.tis.com/...." FINE……