FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

Cos’è la posta elettronica
Corso di Fondamenti di Informatica
Modulo 5 - posta elettronica
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
RETI INFORMATICHE Una panoramica su Internet WS_FTP
INTERNET: RISCHI E PERICOLI
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.
INTERNET FIREWALL Bastion host Laura Ricci.
Connessione con MySQL.
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
IL NOSTRO LABORATORIO. Di INFORMATICA..
Laurea Triennale in Infermieristica
Cosè Internet E una rete che consente la comunicazione tra computer di diverso tipo dislocati in qualsiasi località del mondo.
Architettura del World Wide Web
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Struttura dei sistemi operativi (panoramica)
Il protocollo ftp.
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
Corso di Informatica per Giurisprudenza Lezione 7
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
I servizi telematici dell’Agenzia
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
Modulo 7 – reti informatiche u.d. 1 (syllabus – )
Usare la posta elettronica con il browser web
Guida IIS 6 A cura di Nicola Del Re.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Cos’è Internet Una rete globale di reti basata sul protocollo TCP/IP.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Firewall Sicurezza nel Sistema Informativo della PA Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Reti Insieme di computer e di altri dispositivi che comunicano tra loro per condividere i dati, le applicazioni e lhardware Modulo 1.
Amministrazione della rete: web server Apache
EM 09 INTERNET … UN PO DI STORIA. EM 09 Nasce per garantire comunicazioni efficienti … Tra le sedi delle forze armate americane Tra le sedi delle forze.
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
L’architettura a strati
IPSec Fabrizio Grossi.
Internet: una panoramica
Diventa blogger Analisi degli obiettivi Piattaforma Wordpress Francesca Sanzo -
Creato da Riccardo Nuzzone
1 Storia di Internet Internet non è un’invenzione degli anni ’90….. Nata dagli studi di un’agenzia detta ARPA (Advanced Research Projects Agency) Internet.
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 4 -Protocolli del Web Ernesto Damiani Lezione 1 – World Wide.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
INTRODUZIONE A INTERNET
Servizi Internet Claudia Raibulet
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
UNITA’ 04 Uso Sicuro del Web.
Sicurezza e attacchi informatici
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Tecnologie di Sicurezza in Internet APPLICAZIONI Commonly used proxies and SSH AA Ingegneria Informatica e dell’Automazione.
Come affrontare la sicurezza Internet quando l’utente è uno studente o un figlio Sergio Venturino School Day Milano, 19 ottobre 2010.
Le basi di dati.
Prof. Paolo Antonucci.  Cookie: piccolo file di testo che restituisce al web server informazioni sulla macchina alla quale inviare la pagina web  Web.
I NTERNET Rete interconnessa che permette il collegamento tra due host eterogenei, appartenenti a reti differenti separati anche da grande distanze. Internet.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET PROTOCOL SUITE FACOLTA’ DI INGEGNERIA Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Docente: Prof. Pasquale Daponte Tutor:
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris

Che cosa vedremo Definizione dei proxy –Proxy application level –Proxy circuit level Software per firewall con proxy –TIS Firewall Toolkit –SOCKS –Confronto tra i due pacchetti Proxy con funzionalità di caching Anonimia nel WWW –Anonymizer

Perché realizzare un PROXY Gli utenti di una rete locale non interagiscono direttamente con lesterno Fa da tramite tra una rete interna e una esterna garantendo una certa sicurezza Esso valuta le richieste di un client e decide quali far passare e quali rifiutare

Distinguiamo tra: Proxy level application Proxy level circuit Un po di terminologia

PROXY level application Lindirizzo che un server esterno riceve è quello del proxy Abbiamo una netta distinzione tra rete interna e rete esterna I firewall di questo livello operano sui protocolli di livello applicazione –HTTP –FTP –SMTP –Altri

PROXY level application PROXY level application (continua) I più diffusi server proxy sono: –TIS (UNIX) –SOCKS (UNIX) –SQUID (nei sistemi LINUX) Sicurezza maggiore rispetto ai firewall di rete Velocità minore rispetto ai firewall di rete

PROXY circuit level Si occupa solamente di creare il circuito di comunicazione tra client e server senza che le applicazioni lo sappiano Esamina ogni tipo di collegamento in modo che segua una sessione di collegamento TCP giusta (handshake) Mantiene una tabella dei collegamenti che usa per far passare dati da una sorgente ad una destinazione Terminata la connessione la entry nella tabella viene rimossa e la connessione chiusa

PROXY circuit level (continua) In sintesi: Il proxy riceve un pacchetto Lo processa Controlla in base ai dati contenuti se il pacchetto ha unentry nella tabella In caso affermativo viene instradato

PROXY circuit level (continua) Vantaggi: Maggiore velocità Maggiore protezione verso le macchine della rete interna Supporta unampia varietà di protocolli di livello applicazione senza avere client che supportino la collaborazione con il proxy Non bisogna gestire tanti server quanti sono i protocolli da filtrare

PROXY circuit level (continua) Svantaggi: Difficile collaudo delle regole Scarse proprietà di controllo degli eventi sulla verifica dei pacchetti Non hanno altre funzionalità incorporate –Es. gestione della cache

Accesso al WEB mediante un proxy I firewall che consentono laccesso alla rete mediante un proxy (detto anche gateway di applicazione) sono sistemi che risiedono sul computer del gateway. Con questo sistema: si possono eseguire filtraggi selettivi in base al tipo di richiesta può anche richiedere lautenticazione dellutente quando cerca di importare o sportare dati

Accesso al WEB mediante un proxy (continua) Vediamo adesso il funzionamento di questo sistema:

Accesso al WEB mediante un proxy (continua) Inoltre: possono proteggere i sistemi allinterno del firewall filtrando in modo selettivo i caratteri progettati in modo pericoloso per una determinata applicazione »Es. filtrare motivi di carattere come ; che potrebbero danneggiare uno script della shell che contiene system

Accesso al WEB mediante un proxy (continua) Vantaggi: Consente un filtraggio molto selettivo Non si ha connessione diretta tra host interni ed esterni ma solo attraverso il sw del proxy Riduce il carico del lavoro per rendere sicura la rete interna che viene resa praticamente invisibile dallesterno Permette di eseguire servizi di auditing (controllo delle connessioni)

Accesso al WEB mediante un proxy (continua) Svantaggi: Ogni applicazione richiede uno specifico proxy Il sw del proxy può essere molto complesso e accadere che contenga errori non rilevati che possono mettere a repentaglio il funzionamento del firewall

Software per Firewall Se si vuole impostare un proxy server sarà necessario uno dei seguenti pacchetti: SOCKS TIS Firewall Toolkit (FWTK)

SOCKS E un application proxy con il quale e` possibile stabilire un canale sicuro tra due computers, in un ambiente Client-Server Controlla l'accesso basandosi su informazioni come indirizzo IP, numero di porta di sorgente e di destinazione

SOCKS (continua) E composto da due componenti: SOCKS CLIENT LIBRARY SOCKS SERVER

SOCKS (continua) Come si presenta:

SOCKS (continua) Come funziona: Unapplicazione client fa una richiesta di comunicazione ad un server Il socks apre per conto del client un proprio canale di comunicazione con il server Stabilito tale circuito proxy, il socks ritrasmetterà i dati tra client e server

SOCKS (continua) Può eseguire varie funzioni come: Autenticazione Negoziazione del livello di sicurezza Autorizzazione

SOCKS (continua) In sintesi abbiamo 4 operazioni di base: Richiesta di connessione Stabilire circuiti proxy Ritrasmissione dei dati Autenticazioni –Introdotta in Socks5 e si basa su di una fase di negoziazione tra proxy e client Due metodi di autenticazione: –Username/Password Autentication (RFC 1927) –Kerberos Autentication (RFC 1762)

TIS Firewall Toolkit La filosofia di funzionamento del TIS è modulare –Partendo da una configurazione minima di sicurezza esiste la possibilità di aumentare la sicurezza aggiungendo moduli successivi Fornisce un programma per ogni utility che intenda utilizzare il firewall

TIS Firewall Toolkit (continua) ftp stream tcp nowait root /usr/local/etc/netacl ftpd. ftp-gw steram tcp nowait root /usr/local/etc/ftp-gw ftp- gw Telnet stream tcp nowait root /usr/local/etc/tn-gw tn- gw tn-admin stream tcp nowait /usr/local/etc/netacl telnetd smtp stram tcp nowait root /urs/local/etc/smap smap Vediamo adesso un esempio del file di configurazione inetd.conf

SOCKS versus TIS Strategie differenti: SOCKS ha un solo programma che copre tutte le transazioni con Internet TIS fornisce un programma per ogni utility che intenda utilizzare il firewall SOCKS è più semplice da impostare, più facile da compilare e consente una maggiore flessibilità TIS è più sicuro se si vogliono regolamentare gli utenti allinterno della rete protetta

SOCKS versus TIS (continua) Facciamo un esempio: Accesso al WWW e Telnet Con SOCKS: Si imposta un file di conf e un demone Attraverso il file e il demone sono abilitati sia Telnet che WWW, come ogni altro servizio che non è stato disabilitato Con TIS: Si imposta un demone per WWW e uno per Telnet Altri accessi sono proibiti se non impostati esplicitamente

Altro utilizzo del Proxy Può ridurre il traffico sulle linee internazionali attraverso un caching locale delle pagine WEB più visitate L'utente che si avvale di questo servizio, rivolge le sue richieste al Proxy, il quale gli procura i documenti prendendoli dal sito ove questi risiedono e conservandone una copia in locale La successiva richiesta della stessa pagina comportera' il prelevamento del file direttamente dalla cache del Server con immenso guadagno di velocita' ( la pagina Web non dovrà più essere recuperata dal Server di origine)

Altro utilizzo del Proxy (continua) Il contenuto della cache aumenta in modo automatico in seguito alle richieste di pagine Web effettuate dagli utenti Viene rinfrescato e aggiornato mediante automatici collegamenti del Proxy ai Siti memorizzati Il Proxy diventa piu' efficiente quanto piu' è piena la cache –in pratica, piu' utilizzate il Proxy, maggiori sono i benefici in ordine di velocita'

Anonimia nel World Wide Web Limportanza dellanonimia nel web browsing è in crescita Sempre più web server tengono traccia di utenti mentre questi navigano di sito in sito Il corrente stato della tecnologia World Wide Web fornisce ampie opportunità ai siti WEB di collezionare info personali su di un utente E una minaccia alla privacy –Lutente fornisce info personali: rispondendo a delle indagini acquistando con carte di credito inoltrando …

Anonimia nel World Wide Web (continua) Un esempio:

Anonimia nel World Wide Web (continua) Una possibile soluzione alla mancanza di anonimia in Internet è lutilizzo di un particolare proxy Esempio di normale server proxy

Anonymizer Costituito da un server proxy che agisce come tramite tra gli utenti e il sito che desiderano visitare Gli utenti si connettono ad Anonymizer il quale a differenza di un normale server proxy fornisce un insieme di accorgimenti: –Elimina le info di identificazione degli utenti –Filtra i cookies –…–… Rende il web browsing privato in assenza di origliamento o analisi del traffico sulla rete

Anonymizer (continua) Questo sistema fornisce un buon livello di data anonymity Opera in maniera simile ai r er con la differenza che è più affidabile –I r er mantengono una tabella permanente di associazioni tra reali e fittizi, per garantire le reply

Anonymizer (continua) Vantaggi Lindirizzo IP viene occultato Gli HTTP header modificati I cookies filtrati –Non ha modo di associare lidentità dellutente alle sue richieste successive

Anonymizer (continua) Unico svantaggio Come i r er è vulnerabile allattacco di un nemico esterno che è in grado di osservare le richieste entranti e quelle uscenti dal proxy e di correlarle (analisi del traffico)

Siti interessanti (info sui Proxy) (sito di TIS) (sito di SOCKS) (lista di proxies anonimi) (analizzatore) (sito di Steve Gibson)