La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

INTERNET FIREWALL Bastion host Laura Ricci.

PubblicatoBiaggio Fantoni Modificato 11 anni fa

Presentazioni simili

Presentazione sul tema: "INTERNET FIREWALL Bastion host Laura Ricci."— Transcript della presentazione:

1 INTERNET FIREWALL Bastion host Laura Ricci

2 INTRODUZIONE Principi generali Varie architetture Dual-homed host
Screened subnet Victim machine

3 PRINCIPI GENERALI Un firewall e’ una barriera fra una LAN e il mondo esterno usata per aumentare la sicurezza di un sistema limitando le connessioni permesse, eseguendone un opportuno monitoraggio e permettendo un livello di autenticazione degli accessi adeguato. Con il termine bastion host si identificano tutti quei firewall host critici per la sicurezza della rete interna; tali host, effettuando la funzione di interfaccia tra la rete interna e quella esterna, devono essere ben fortificati e l’accesso diretto deve essere scrupolosamente controllato.

4 PRINCIPI GENERALI Proteggere una rete non vuol dire solamente schermarla da una rete esterna, ma anche impedire che utenti non autorizzati possano usufruire di dati particolari (sensitive data) e far si che utenti legittimi usino in modo “trasparente” tali insiemi di dati e tutte le risorse di rete.

5 PROGETTAZIONE Scegliere quale tipo di macchina usare:
Determinare il sistema operativo Determinare una configurazione hw che sia affidabile Determinare una locazione per la macchina, possibilmente su una rete preferenziale

6 SERVIZI FORNITI Il bastion host deve fornire esclusivamente i servizi di cui la rete necessita per accedere a Internet, o che vuole offrire a Internet.

7 SERVIZI FORNITI

8 NO USERS ACCOUNT (1) Tenere gli account lontani dal Bastion host
darà una maggiore sicurezza perche’: Elimina la vulnerabilita’ degli account stessi (ogni account ha una password riutilizzabile che può essere attaccata in vari modi) Riduce la stabilita’ e l’affidabilità della macchina (dovendo supportare users account)

9 NO USERS ACCOUNT (2) Riduce la vulnerabilita’ dei servizi richiesti per supportare account (supportando users account si richiede che il bastion host abiliti servizi che potrebbero essere disabilitati sul bastion host. Ogni servizio che e’ disponibile sul bastion host fornisce altri modi di attacco attraverso sw bugs o errori di configurazione)

10 COLLOCAZIONE Il bastion host si colloca, all’interno del sistema di sicurezza, dopo una prima linea di difesa tra la rete esterna e quella interna La prima linea di difesa puo’ essere rappresentata da uno screening router opportunamente configurato secondo la politica di sicurezza scelta Tutti i pacchetti che ottengono il permesso di accesso alla rete interna devono essere diretti verso il bastion host

11 COLLOCAZIONE

12 COLLOCAZIONE Un intruso che vuole entrare nella rete interna deve:
eludere le regole di filtraggio dello screening router, il quale opera a livello di rete e trasporto (terzo e quarto livello OSI) quindi eludere i controlli effettuati dal bastion host, il quale usa le funzioni del livello di applicazione per capire se il pacchetto puo’ essere inoltrato oppure no, eseguendo quindi un ulteriore controllo sugli header dei pacchetti

13 ARCHITETTURA DUAL-HOMED HOST
Un dual-homed-host denota un host che ha due distinte schede di rete collegate a segmenti di rete differenti attraverso i quali esercita la funzione di instradamento (routing function)

14 DUAL-HOMED HOST

15 DUAL-HOMED HOST Se il routing function viene disattivato il dual-homed host isola i due segmenti di rete, ma: Utenti posti su reti distinte possono usufruire di una applicazione posta sul dual-homed host stesso Se tale applicazione lo consente, le reti possono anche condividere dati. Tutto ciò accade senza che vi sia un effettivo interscambio di pacchetti tra rete esterna e interna

16 ARCHITETTURA SCREENED SUBNET
Aggiunge un livello extra di sicurezza all’architettura screened host creando una rete di perimetro (perimeter net) che isola la rete interna da Internet

17 SCREENED SUBNET Motivi:
I bastion host sono le macchine più vulnerabili della LAN, poiche’ sono le prime a subire l’attacco di un intruso. In una architettura screened host non ci sono difese tra il bastion host e la rete interna: se si riesce ad attaccare il bastion host si riesce a entrare nella rete interna.

18 SCREENED SUBNET

19 SCREENED SUBNET Due screening routers sono connessi alla rete di perimetro: Uno situato tra la perimeter net e la rete interna Un altro situato tra la perimeter net e la rete esterna

20 SCREENED SUBNET Risulta molto difficoltoso da parte di un intruso bypassare l’intera sottorete, in quanto dovrebbe riconfigurare la stessa sottorete ed anche quella interna; tutto cio’ eludendo la sorveglianza dei bastion host.

21 SCREENED SUBNET La rete isolata spesso contiene al suo interno almeno due application level gateway che svolgono la funzione di bastion host pur conservando l’accesso interattivo ai servizi resi condivisibili tra entrambe le reti.

22 APPLICATION LEVEL GATEWAY
Sono dispositivi programmati per analizzare il traffico di rete al livello applicativo. Conferiscono un ulteriore strumento per la sicurezza di rete. Ogni applicazione protetta dall’ALG viene identificata da questo attraverso un codice univoco; per questo si garantisce un alto livello di sicurezza, ma per ogni applicazione affidatagli è necessario un codice differente.

23 VICTIM MACHINE La sua funzione e’ quella di offrire un servizio sacrificabile ad un intruso che volesse accedere alla rete interna. Qualora tale servizio venisse attaccato e conseguentemente danneggiato, non ci sarebbero comunque danni alla rete interna, in quanto la macchina vittima si porrebbe come filtro, bloccandosi e non permettendo ad eventuali intrusi di raggiungere la rete interna.

24 VICTIM MACHINE La macchina vittima e’ configurata come un normale bastion host. Essendo vulnerabile a causa dei suoi servizi difficilmente implementabili in modo sicuro, essa fornisce esclusivamente il servizio minimo indispensabile al proprio funzionamento, affinche’ le perdite in caso d’intrusione siano minime.

25 BIBLIOGRAFIA Firewall
Building Internet Firewalls D.Brent Chapman and Elizabeth D.Zwicky Internet Firewalls

Scaricare ppt "INTERNET FIREWALL Bastion host Laura Ricci."

Presentazioni simili

Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.

Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
I bridge Standard IEEE 802.1D.

I bridge Standard IEEE 802.1D.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
La riduzione dei privilegi in Windows

La riduzione dei privilegi in Windows
Sviluppare applicazioni per utenti non-admin Fabio Santini Senior Developer Evangelist.

Sviluppare applicazioni per utenti non-admin Fabio Santini Senior Developer Evangelist.
00 AN 1 Firewall Protezione tramite firewall.

00 AN 1 Firewall Protezione tramite firewall.
Sistemi Operativi Menù: 1) Introduzione al sistema operativo

Sistemi Operativi Menù: 1) Introduzione al sistema operativo
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Sicurezza II Prof. Dario Catalano Autentica di Umani.

Sicurezza II Prof. Dario Catalano Autentica di Umani.
Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.

Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.
5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003 All Rights.

5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
I modelli di riferimento OSI e TCP/IP

I modelli di riferimento OSI e TCP/IP
Laurea Triennale in Infermieristica

Laurea Triennale in Infermieristica
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione

Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
Secure Shell Giulia Carboni

Secure Shell Giulia Carboni
PPPoE significa Point-to-Point Protocol over Ethernet ovvero protocollo punto a punto operante su Ethernet, una nuova alternativa per le connessioni.

PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Rete Wireless per Informatica Grafica

Rete Wireless per Informatica Grafica
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

Presentazioni simili

Annunci Google