Firewall Sicurezza nel Sistema Informativo della PA Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005.

Slides:



Advertisements
Presentazioni simili
Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
Advertisements

Gestione della memoria centrale
Modulo 5 - posta elettronica
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
La riduzione dei privilegi in Windows
00 AN 1 Firewall Protezione tramite firewall.
INTERNET: RISCHI E PERICOLI
Sistemi Operativi Menù: 1) Introduzione al sistema operativo
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.
INTERNET FIREWALL Bastion host Laura Ricci.
COME INSTALLARE UNA NIC a cura dei Proff. Mario Catalano - SISTEMI
RETI INFORMATICHE.
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
IL NOSTRO LABORATORIO. Di INFORMATICA..
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Sistema Operativo Preparazione e prima fase di installazione del sistema Reperite tutti i driver più aggiornati per il vostro hardware scaricandoli da.
Il Software: Obiettivi Programmare direttamente la macchina hardware è molto difficile: lutente dovrebbe conoscere lorganizzazione fisica del computer.
Posta elettronica ( ) chiocciola" comunemente letta at Identificativo dellutente Identificativo del computer centrale sul quale risiede.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Qualche esempio di tableaux
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
TCP_Wrapper Le richieste per un determinato servizio (ad. es. telnet, ftp, rsh, etc.) vengono soddisfatte soltanto se lindirizzo IP del richiedente rientra.
1 THE INTERNET: una rete di reti La storia in breve Le regole della comunicazione.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.
Restituzione questionario
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Scrivere per il web Consigli pratici per lo sviluppo di contenuti, a cura di Aliacom.it.
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
Guida IIS 6 A cura di Nicola Del Re.
Introduzione a Linux... Un sistema operativo LIBERO ! L'uso...
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Backup and Migrate, Captcha ReCaptcha e Spamicide Docente: Simone Zambenedetti. Moduli per la Sicurezza.
BIOINFO3 - Lezione 361 RICERCA DI SIMILARITA TRA SEQUENZE Un altro problema comunissimo in bioinformatica è quello della ricerca di similarità tra sequenze.
Programma di Informatica Classi Prime
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
Universita’ degli Studi Roma Tre
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Creato da Riccardo Nuzzone
1 COSA SERVE PER COLLEGARSI? - UNA SCHEDA DI RETE La scheda di rete è il componente che collega il nostro computer con la rete locale (LAN). Il collegamento.
Il 10 febbraio 2015 si è svolta la 12esima edizione del SAFER INTERNET DAY giornata europea dedicata alla sicurezza in rete di noi ragazzi.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
Certificati e VPN.
Progettazione e realizzazione di un’applicazione J2EE Parte 2.
Istituto Tecnico Industriale Don Orione Fano
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
Sicurezza e attacchi informatici
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
I sistemi operativi Funzioni principali e caratteristiche.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
Laboratorio di Architettura Degli Elaboratori1 PSPICE – simulazione di circuiti combinatorii Decodificatore e Multiplexer.
Dal problema al programma – ciclo di sviluppo del software La scrittura del programma è solo una delle fasi del processo di sviluppo di un'applicazione.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Triggers and actions L’inizializzazione di un trigger permette di avviare delle azioni automatiche a partire da eventi significativi. Possibili azioni.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Firewall Sicurezza nel Sistema Informativo della PA Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio

Introduzione Non ci interesseremo solo di come installare un firewall ma anche di come migliorare la sicurezza del nostro sistema ed eventualmente dei consigli su come Improvare :-) ossia migliorare la sicurezza del proprio sito e creare ( nel nostro piccolo ) una vera e propria "ETICA DELLA SICUREZZA DIGITALE" cosa che in Italia in questo periodo manca e mancherà per un bel po' di tempo.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Che cosa è un firewall Noi intenderemo un firewall come una collezione di componenti che si collocano in mezzo a 2 reti (e noi assumeremo Internet e la una piccola rete) che possiedono le seguenti proprietà A) Tutto il traffico di dati entrante ed uscente dalla rete interna viceversa deve passare attraverso il firewall. B) Solo il traffico autorizzato puo' passare impunemente attraverso il firewall C) Il firewall e' immune ( o almeno si spera ) alle penetrazioni illegali Noi intenderemo un firewall come una collezione di componenti che si collocano in mezzo a 2 reti (e noi assumeremo Internet e la una piccola rete) che possiedono le seguenti proprietà A) Tutto il traffico di dati entrante ed uscente dalla rete interna viceversa deve passare attraverso il firewall. B) Solo il traffico autorizzato puo' passare impunemente attraverso il firewall C) Il firewall e' immune ( o almeno si spera ) alle penetrazioni illegali

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Che cosa è un firewall 2 Non male vero? Ora passiamo ad analizzare i vari svantaggi e vantaggi ad usare una macchina ( e quindi investimenti ) configurata come firewall. Una ottima ragione per montare dei firewalls e' che dedicare e concentrarsi su una macchina sola e interessarsi in buona parte della SUA sicurezza è molto meglio che seguire tutta la sicurezza di una rete intera, magari costituita da computers di marche differenti.....quindi dedicare una macchina SOLO a questo scopo e' ben piu' vantaggioso che usarne una general purpose e dirsi SONO TRANQUILLO. Tutta la mia attenzione dopo sarà dedicata a curarmi della mia rete e non della sua " sicurezza". La seconda ( che è anche lo scopo di questo testo e' che comunque una persona che si occupa di firewall DEVE AVERE una coscienza di sicurezza, cosa che alcuni sistemisti molto spesso non hanno.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Filosofia dei firewall Siamo quindi ben piu' precisi lo schema di un firewall e' il seguente : | | | | | | | | | | GATEWAY | | | || | | | | | Rete Filtro Filtro Rete Interna Esterna Filtro : blocca le trasmissioni di certe classi di dati Gateway: macchina/e che provvede ai servizi per compensare l'effetto del filtro Siamo quindi ben piu' precisi lo schema di un firewall e' il seguente : | | | | | | | | | | GATEWAY | | | || | | | | | Rete Filtro Filtro Rete Interna Esterna Filtro : blocca le trasmissioni di certe classi di dati Gateway: macchina/e che provvede ai servizi per compensare l'effetto del filtro

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Ingegneria di un firewall e zona demilitarizzata Generalmente si dice che la zona protetta o rete interna si chiama ZONA DEMILITARIZZATA (nota che un gateway possono essere piu' macchine e quindi essere divise in esterne od interne, le esterne sono detti BASTIONI). Anche il piazzamento di questi firewalls e' una cosa molto importante, e' facile dire da un mondo interno ad uno esterno, ma in grosse aziende e' utile tante volte ISOLARE I DOMINI in termini di sicurezza e quindi di MODULARIZZARE a livello ingegneristico la rete individuando le varie aree di impiego. Le ragioni di questo fatto sono che gli impiegati stessi possono essere abilitati o meno a certi dati. Noi potremo quindi vedere i nostri firewalls come grossi DIODI o DIGHE che isolano i dati come più lo preferiamo. Generalmente si dice che la zona protetta o rete interna si chiama ZONA DEMILITARIZZATA (nota che un gateway possono essere piu' macchine e quindi essere divise in esterne od interne, le esterne sono detti BASTIONI). Anche il piazzamento di questi firewalls e' una cosa molto importante, e' facile dire da un mondo interno ad uno esterno, ma in grosse aziende e' utile tante volte ISOLARE I DOMINI in termini di sicurezza e quindi di MODULARIZZARE a livello ingegneristico la rete individuando le varie aree di impiego. Le ragioni di questo fatto sono che gli impiegati stessi possono essere abilitati o meno a certi dati. Noi potremo quindi vedere i nostri firewalls come grossi DIODI o DIGHE che isolano i dati come più lo preferiamo.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Suddivisioni di un firewall Andiamo con le prime classificazioni: Un firewall e' suddiviso come Andiamo con le prime classificazioni: Un firewall e' suddiviso come

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Packet filtering Poco costoso e facile da reperire e' semplicemente il NOSTRO ROUTER e il suo software.....(NB le aziende pubbliche dovrebbero averne uno). Il nostro installatore dovrà quindi per esempio avere una lista dei siti autorizzati o meno, ma non solo:...saremo in grado di definire se dal sito pippo.pluto.it vogliamo ricevere soltanto mail. Configurare un Packet Filtering è una operazione che richiede 3 passi 1) prendere DECISIONI su cio' e non cio' che e' permesso. 2) definire tipi ammessi di dati in termini di operazioni logiche 3) Riscrivere queste regole nel proprio sistema. Poco costoso e facile da reperire e' semplicemente il NOSTRO ROUTER e il suo software.....(NB le aziende pubbliche dovrebbero averne uno). Il nostro installatore dovrà quindi per esempio avere una lista dei siti autorizzati o meno, ma non solo:...saremo in grado di definire se dal sito pippo.pluto.it vogliamo ricevere soltanto mail. Configurare un Packet Filtering è una operazione che richiede 3 passi 1) prendere DECISIONI su cio' e non cio' che e' permesso. 2) definire tipi ammessi di dati in termini di operazioni logiche 3) Riscrivere queste regole nel proprio sistema.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Esempio di Packet filtering esempio....porta 25 SENDMAIL dalla rete a SOLO il tuo Gateway Azione NostroHost porta lorohost porta commento block - - CATTIVI - Non li vogliamo allow Nostro-gw connessione al SMTP Pacchetti non esplicitamente espressi da una regola precedente sono bloccati automaticamente ( KOOL!!!!! :-) ) esempio....porta 25 SENDMAIL dalla rete a SOLO il tuo Gateway Azione NostroHost porta lorohost porta commento block - - CATTIVI - Non li vogliamo allow Nostro-gw connessione al SMTP Pacchetti non esplicitamente espressi da una regola precedente sono bloccati automaticamente ( KOOL!!!!! :-) )

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio La regola La filosofia di base e' questa : QUELLO CHE NON E' ESPRESSO NON E' PERMESSO. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ La filosofia di base e' questa : QUELLO CHE NON E' ESPRESSO NON E' PERMESSO. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio La regola ancora meglio sarebbe permettere chiamate uscenti alla porta 25 action source port dest port flags commento allow Noi collegamento noi-loro SMTP allow ACK loro risposta ancora meglio sarebbe permettere chiamate uscenti alla porta 25 action source port dest port flags commento allow Noi collegamento noi-loro SMTP allow ACK loro risposta

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio La regola Supponiamo l'FTP action source port dest port flags commento allow noi per uscire allow ack per risposta allow >1024 traffico non FTP Supponiamo l'FTP action source port dest port flags commento allow noi per uscire allow ack per risposta allow >1024 traffico non FTP

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Filtrare sessioni X11 Supponiamo ora di filtrare sessioni X11 Dovremo sapere tutti che per x abbiamo bisogno di un server al quale x11 si connette via TCP, e che inoltre certe applicazioni devono poter essere pilotate dall' esterno. In questo caso consigliamo di bloccare tutte le chiamate in ingresso sulle porte almeno (dipende dal numero di utenti ). Supponiamo ora di filtrare sessioni X11 Dovremo sapere tutti che per x abbiamo bisogno di un server al quale x11 si connette via TCP, e che inoltre certe applicazioni devono poter essere pilotate dall' esterno. In questo caso consigliamo di bloccare tutte le chiamate in ingresso sulle porte almeno (dipende dal numero di utenti ).

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Application level gateways Usato in unione agli altri 2 come protezione aggiuntiva minimale per esempio nel caso dell' X11 visto sopra..... Svantaggio / Vantaggio e' che e' molto generale e che quindi se noi useremo programmi molto particolari non serve a molto. E' come se avesse gia' un DB di liste come le precedenti a seconda di ciò che ho lanciato nel mio sistema. Usato in unione agli altri 2 come protezione aggiuntiva minimale per esempio nel caso dell' X11 visto sopra..... Svantaggio / Vantaggio e' che e' molto generale e che quindi se noi useremo programmi molto particolari non serve a molto. E' come se avesse gia' un DB di liste come le precedenti a seconda di ciò che ho lanciato nel mio sistema.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Circuit level gateways (Il migliore per chiamate in uscita) controlla solamente connessioni TCP. Il chiamante chiama una porta del gateway con TCP che lo connette con qualche cosa all' infuori della rete. Durante la connessione il GW registra tutte le azioni commesse dal malcapitato ( caso mia univ.). Funziona come se fosse un filo. La connessione può essere automatica e espressa direttamente dall' utente (In questo caso il GW si chiama PROXY). Non e' necessario loggare tutto cio ' che esce...ma basterebbe gia'il numero di bytes e la destinazione per una ottima loggatura. Greppando su un utente o su siti si scopre che cosa ha combinato il CONTROLLATO.:-) Naturalmente potremo dire il tempo di connessione ( cosa che da noi non fanno) e una lista di utenti abilitati all' accesso dall' esterno. (Il migliore per chiamate in uscita) controlla solamente connessioni TCP. Il chiamante chiama una porta del gateway con TCP che lo connette con qualche cosa all' infuori della rete. Durante la connessione il GW registra tutte le azioni commesse dal malcapitato ( caso mia univ.). Funziona come se fosse un filo. La connessione può essere automatica e espressa direttamente dall' utente (In questo caso il GW si chiama PROXY). Non e' necessario loggare tutto cio ' che esce...ma basterebbe gia'il numero di bytes e la destinazione per una ottima loggatura. Greppando su un utente o su siti si scopre che cosa ha combinato il CONTROLLATO.:-) Naturalmente potremo dire il tempo di connessione ( cosa che da noi non fanno) e una lista di utenti abilitati all' accesso dall' esterno.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Cosa non possono fare i firewall Anche loro hanno delle limitazioni...come tutti gli apparati del resto. Per esempio sono completamente indifesi agli attacchi su porta alta come può essere il peeking....ma se il GW rifiuta connesioni X11 siamo a posto. Anche una corretta manutenzione del nostro gateway e' importante....se non badiamo alla sicurezza dei nostri programmi tipo Sendmail Telnetd etc etc non montiamoci un firewall...e' un aiuto ma non e' la soluzione; e' un programma anch'esso come tutti gli altri e quindi può essere fallato come tutti gli altri. Comunque per un attacco medio della stragrande maggioranza degli hacker e' piu' che sufficiente.....

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio COSTRUIRE UN APPLICATION LEVEL GATEWAY 5) ed ora quel che tutti aspettavano COSTRUIRE UN APPLICATION LEVEL GATEWAY Tratteremo l'analisi di costruzione di un Application level gateway con sicurezza ad alto livello. Nota che il seguente viene usato dall' At & T. Considereremo basilari : 1) Un computer unix (LINUX RULEZZ) :-) 2) Routers 3) Software tools descritti 4) Demoni di network trovabili su Internet...( solo versioni recenti) La costruzione descritta necessita adattamenti per il proprio computer. 5) ed ora quel che tutti aspettavano COSTRUIRE UN APPLICATION LEVEL GATEWAY Tratteremo l'analisi di costruzione di un Application level gateway con sicurezza ad alto livello. Nota che il seguente viene usato dall' At & T. Considereremo basilari : 1) Un computer unix (LINUX RULEZZ) :-) 2) Routers 3) Software tools descritti 4) Demoni di network trovabili su Internet...( solo versioni recenti) La costruzione descritta necessita adattamenti per il proprio computer.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Assunzioni Assumeremo che : -Gli utenti si sappiano tenere i dati di sistema tipo passwd e altro per loro conto senza spedirli in giro per il mondo -Le password non saranno troppo semplici -Gli hacker che ci attaccano sono hacker " normali "... non dei geni !. -I dati interni siano di media importanza. Abbiamo 3 sottotipi corrispondenti a 3 livelli di sicurezza crescenti : Assumeremo che : -Gli utenti si sappiano tenere i dati di sistema tipo passwd e altro per loro conto senza spedirli in giro per il mondo -Le password non saranno troppo semplici -Gli hacker che ci attaccano sono hacker " normali "... non dei geni !. -I dati interni siano di media importanza. Abbiamo 3 sottotipi corrispondenti a 3 livelli di sicurezza crescenti :

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Software utili Dunque.... un hacker trova la maggior parte delle sue info su internet....bene anche noi andremo a prendere le nostre proprio la'. TCP WRAPPER ftp.win.tue.nl /pub/security/tcp_wrapper SECURELIB ( addon per SunOs per eliminazione inetd) eecs.nwu.edu /pub/securelib.tar TIS FIREWALL TOOLKIT ftp.tis.com /pub/firewalls/toolkit PROXY X11 crl.dec.com /pub/DEC/xforward.tar.Z IDENTD DAEMON ftp.uu.net /networking/ident SWATCH ( associazione azioni con logfiles) sierra.stanford.edu /pub/sources/swatch.tar.Z SCREEND ( converte il nostro sistema in un filtratore di pacchetti) gatekeeper.dec.com /pub/DEC/screend/screend.tar.Z TRIPWIRE (controllo pacchetti alterati) ftp.cs.purdue.edu /pub/spaf/COAST/Tripwire Dunque.... un hacker trova la maggior parte delle sue info su internet....bene anche noi andremo a prendere le nostre proprio la'. TCP WRAPPER ftp.win.tue.nl /pub/security/tcp_wrapper SECURELIB ( addon per SunOs per eliminazione inetd) eecs.nwu.edu /pub/securelib.tar TIS FIREWALL TOOLKIT ftp.tis.com /pub/firewalls/toolkit PROXY X11 crl.dec.com /pub/DEC/xforward.tar.Z IDENTD DAEMON ftp.uu.net /networking/ident SWATCH ( associazione azioni con logfiles) sierra.stanford.edu /pub/sources/swatch.tar.Z SCREEND ( converte il nostro sistema in un filtratore di pacchetti) gatekeeper.dec.com /pub/DEC/screend/screend.tar.Z TRIPWIRE (controllo pacchetti alterati) ftp.cs.purdue.edu /pub/spaf/COAST/Tripwire

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio COSTRUIRE UN APPLICATION LEVEL GATEWAY Inside GW Router INTERNET (A) -Inside----GW-Inside----Privatenet----GW-Outside--Router--INTERNET (B) -GW-Inside-----Inside-----Router------GW-Outside--Router--INTERNET (C) (choke) Inside GW Router INTERNET (A) -Inside----GW-Inside----Privatenet----GW-Outside--Router--INTERNET (B) -GW-Inside-----Inside-----Router------GW-Outside--Router--INTERNET (C) (choke)