Tecnologie di Sicurezza in Internet APPLICAZIONI Commonly used proxies and SSH AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Slides:



Advertisements
Presentazioni simili
Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.
Advertisements

Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Java Enterprise Edition (JEE)
4-1 Il Livello di Rete Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
I modelli di riferimento OSI e TCP/IP
La rete in dettaglio: rete esterna (edge): applicazioni e host
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
Come programmare servizi di rete?
Sistemi e Tecnologie della Comunicazione
Secure Shell Giulia Carboni
Programmazione su Reti
Architettura Three Tier
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
Modello del sistema di posta Elettronica
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
Architettura del World Wide Web
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
SSL (Secure Socket Layer)
Il protocollo ftp.
EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Modello di riferimento OSI AICA © 2005.
Workshop CNAF – Bologna 8 Luglio 2011 FARO Accesso Web a risorse e servizi remoti in ambiente Grid/Cloud A. Rocchi, C. Sciò, G. Bracco, S. Migliori, F.
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Test sul Cisco VPN Concentrator
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.
Corso di Informatica per Giurisprudenza Lezione 7
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Guida IIS 6 A cura di Nicola Del Re.
MODELLI DI RIFERIMENTO
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
UNIVERSITA’ DEGLI STUDI DI PERUGIA
Il modello di riferimento OSI
Configurazione di una rete Windows
L’architettura a strati
IPSec Fabrizio Grossi.
Distributed System ( )7 TCP/IP four-layer model.
FTP File Transfer Protocol
Attivazione protocollo SSL al sistema di posta elettronica
Questo modello può essere utilizzato come file iniziale per la presentazione di materiale didattico per la formazione in gruppo. Sezioni Fare clic con.
Attivazione protocollo SSL al sistema di posta elettronica Secure Sockets Layer (SSL) è un protocollo crittografico che permette una comunicazione sicura.
Creato da Riccardo Nuzzone
1 Storia di Internet Internet non è un’invenzione degli anni ’90….. Nata dagli studi di un’agenzia detta ARPA (Advanced Research Projects Agency) Internet.
Comunicazione nelle reti – protocolli
Modulo n – U.D. n – Lez. n Nome Cognome – titolo corso.
Certificati e VPN.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Sistemi di elaborazione dell’informazione Modulo 4 -Tecniche di programmazione distribuita Unità didattica 1 -Socket library Ernesto Damiani Lezione 1.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Servizi Internet Claudia Raibulet
SSH - Secure SHell1 Ssh (Secure Shell) Permette di: 1 - connettersi ad un altro sistema sulla rete. 2 - eseguire comandi su un sistema remoto. 3 - muovere.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA Ingegneria Informatica e dell’Automazione.
Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.
Sistemi e Tecnologie della Comunicazione
Stages Estivi 9-20 Giugno 2008 Davide Carosini ( E.Fermi-Roma ) Gian Marco Merici ( G.Ferraris-Roma ) Massimo Rosselli ( G.Lattanzio-Roma ) Federico Ruggieri.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Tecnologie di Sicurezza in Internet APPLICAZIONI Nozioni preliminari AA Ingegneria Informatica e dell’Automazione.
Transcript della presentazione:

Tecnologie di Sicurezza in Internet APPLICAZIONI Commonly used proxies and SSH AA Ingegneria Informatica e dell’Automazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/2 FWTK The Firewall Toolkit Trusted Information Systems sviluppò FWTK per conto del DARPA e lo rese disponibile liberamente nell'ottobre 1993 in formato sorgente E' composto di un insieme di diversi programmi e di opportuni criteri di configurazione che permettono di costruire firewall applicativi Nella sua filosofia progettuale il toolkit prevede l'opportunità di verificare la sicurezza dell'intero sistema o di qualunque suo componente

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/3 FWTK In particolare anche se si trova un difetto nella realizzazione di un componente, questo non deve compromettere l'intero sistema i servizi devono essere realizzati con il minimo possibile di funzionalità e complessità il codice sorgente deve essere sufficientemente semplice da permettere un'accurata e rapida ispezione devono esistere metodologie che permettono di verificare il corretto funzionamento di un firewall

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/4 FWTK I componenti principali di FWTK sono netacl(ip auth) authd(auth daemon) smap+smapd(mail relay) ftp-gw(ftp gateway) telnet-gw(gateway for telnet) plug-gw(generic TCP circuit gateway)

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/5 Delegate Delegate è un software monolitico dotato di molteplici funzioni (è proxy applicativo e di circuito, è gateway capace anche di tunneling, converte fra diversi protocolli, converte i dati, fa caching, ecc.) scritto con criteri di versatilità più che di sicurezza esempio forse unico di "coltellino svizzero" per firewall di tipo Application Level Gateway disponibile per varie piattaforme

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/6 Delegate I protocolli gestiti da Delegate sono molteplici HTTP, FTP, SMTP, NNTP, POP, IMAP, LDAP TCP, UDP Socks, SSL, SSH User defined filters Capace di funzionare da gateway tra molti protocolli e controllare gli accessi con varie forme di autorizzazione locali ed esterne Può essere eseguito in una chroot() jail

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/7 FTP proxy Un FTP proxy si comporta come FTP server per i sistemi all'interno del firewall e come FTP client per i sistemi di destinazione C= S= (rnd port) Call > listen on port 21 User username > < enter password PASS > < guest login OK C crea rnd port P=11* PORT 1,2,3,4,11, > < port OK < open port 11* local port 20 STOR file > < conn. Established (file contents) > < transfer done C= S= Call > listen on port 21 User username > < enter password PASS > < guest login OK PASV > S crea rnd port P=11* < PASSIVE 5,6,7,8,11,22 (rnd port) open port 11* > listen on port 11* STOR file > < conn. Established (file contents) > < transfer done normalepassivo

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/8 FTP proxy Con ftp-gw (il proxy FTP di FWTK) l'utente deve cambiare i comandi nel seguente modo ftp proxy Connected to FTP Proxy 220 Name: 331-(connected to remoteftpserver) Password: password 230-Login OK ftp> Come misure di sicurezza, ftp-gw è eseguito senza privilegi di root e in una directory chrooted

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/9 FTP proxy Con Delegate è possibile usare anche una sintassi alternativa ftp proxy Connected to Delegate FTP Proxy 220 Name: username Password: password 230-Login OK ftp> cd //remoteftpsite[/path] Connected to remoteftpsite FTP Server ftp>

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/10 FTP proxy Un qualunque HTTP proxy supporta anche URL di tipo FTP ftp://ftp.remote.site/path/to/file Come per altri schemi di URL, è prevista (anche se sconsigliata) dalla RFC 2396 una sintassi che permette di passare informazioni sull'utente direttamente sull'URL

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/11 Installazioni Packet Filter Il proxy FTP, per la complessità del protocollo, non è adatto all'installazione in bastion host su una DMZ Application Level Gateway Il proxy FTP si installa di solito nell'Application Level Gateway stesso Ridondanze Si possono utilizzare link multipli e DNS round-robin per distribuire gli accessi su ALG differenti

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/12 TCP e UDP proxy Sono proxy di circuito, dove il software non entra nei dettagli del livello applicativo, ma si limita a effettuare autorizzazione e logging sulla base dei livelli inferiori (indirizzi IP e porte) Quando la politica di sicurezza adottata impedisce l'uso di routing tra le reti (che sono cioè separate da firewall puramente Application Level Gateway), si adottano questi proxy di circuito in una molteplicità di casi (NNTP, POP, IMAP, ecc.) Il Firewall Toolkit (FWTK) non supporta proxy di circuito per UDP

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/13 TCP e UDP proxy FWTK fornisce plug-gw, configurabile con un parametro che specifica la porta su cui mettersi in ascolto; in /etc/netperm-table sono specificati, per ciascun plug-gw, un'ACL, un indirizzo e una porta di destinazione Delegate è configurabile con i parametri -Pport SERVER=tcprelay://destination:dport Vi sono anche altri modi di creare proxy di circuito

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/14 Internet NETwork Daemons inetd Internet Network Daemon originale delle distribuzioni BSD tcp_wrappers Sviluppato da W. Venema, aggiunge autenticazione IP e logging a inetd xinetd Versione evoluta di inetd, capace anche di forwarding di una connessione Molti proxy possono funzionare come demoni, ma anche come servizi sotto il controllo di [x]inetd

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/15 SSL wrappers Un SSL wrapper è un circuit proxy "evoluto", capace di incapsulare il circuito in una connessione SSL e viceversa per fornire supporto SSL a protocolli qualunque o applicazioni non capaci di fornirlo in coppia permettono di creare circuiti protetti fra sistemi comunicanti su reti pubbliche per aggiungere autenticazione e confidenzialità alle applicazioni delegate SSL listener SSL client non-SSL client SSL connector SSL server non-SSL server

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/16 SSL wrappers Esempio di circuito protetto con due SSL wrapper delegate non-SSL client SSL connector non-SSL server SSL listener delegate Rete pubblica

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/17 Stunnel Delegate diventa un wrapper SSL richiamando un programma esterno sslway come filtro; Stunnel è invece un wrapper SSL specializzato, disponibile per Unix e Windows e costruito sulle librerie crittografiche di OpenSSL … [tn5250-as400]# Esempio 1 accept = :10023# ind. esterno connect = :23# AS/400 … [local-imap]# Esempio 2 accept = imaps# ind. esterno exec = /usr/sbin/imapd Esempi di utilizzo per accesso da remoto a servizi interni configurazioni punto-punto configurazioni hub

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/18 SSH SSH (secure sh) è nato per rimpiazzare i servizi telnet, rsh e rlogin La parte server del sistema è il demone sshd, cui si connettono i client ssh (o altre realizzazioni) e scp (secure cp); vi sono anche altre utility per effettuare file transfer, per la gestione delle chiavi e per semplifica l'uso dell'intera suite La versione non commerciale più diffusa è OpenSSH, realizzata dal team di sviluppo di OpenBSD e ora completamente libera da vincoli legati alla licenza d'uso o a brevetti sugli algoritmi crittografici; esistono versioni anche per Windows (es. putty), e Java (es. MindTerm)

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/19 OpenSSH Autenticazione OpenSSH fornisce differenti meccanismi di autenticazione password (anche one-time) host based + RSA chiavi pubbliche RSA e DSA Kerberos Confidenzialità Protocolli crittografici liberi da brevetti Triple-DES Blowfish

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/20 OpenSSH SSH2 protocol Vi sono tre componenti il protocollo SSH2 Transport layer: negozia gli algoritmi crittografici, realizza lo scambio delle chiavi e l'autenticazione tra i sistemi; fornisce quindi un collegamento con crittografia e compressione User authentication layer: usando il canale fornito dal Transport layer, permette di autenticare l'utente con diversi meccanismi Connection layer: permette la creazione e il multiplexing di molteplici canali di comunicazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/21 OpenSSH Caratteristiche Gestione automatica del protocollo X11 Port forwarding Authentication agent Agent forwarding Interoperabilità SFTP client e server Compressione dei dati

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/22 OpenSSH Esempio d'uso XVNC + VNC client Sistema remoto R: unix Sistema locale L: qualunque Dopo avere effettuato il login con SSH al sistema remoto si esegue su R il server Xvnc, che non apre un display fisico, ma agisce come display proxy: è un server X per i programmi X lanciati da R, è invece un server VNC per il client VNC lanciato su L, con il quale si controlla la sessione grafica remota

Tecnologie di Sicurezza in Internet: applicazioni – AA – C50/23 Riferimenti Firewall Toolkit website Delegate website Stunnel website OpenSSH website SSH Techniques William Stearns