in rete

(1)

Sicurezza applicata in rete

Sicurezza applicata Sicurezza applicata

in rete

(2)

Contenuti del corso Contenuti del corso

Æ La progettazione delle reti Æ La progettazione delle reti

Æ Il routing nelle reti IP Æ Il routing nelle reti IP

Æ Il collegamento agli Internet Service Provider e problematiche di sicurezza

Æ Analisi di traffico e dei protocolli applicativi

Æ Multimedialità in rete Æ Multimedialità in rete

Æ Tecnologie per le reti future

(3)

Contenuti del corso Contenuti del corso

Æ La progettazione delle reti Æ La progettazione delle reti

Æ Il routing nelle reti IP Æ Il routing nelle reti IP

Æ Il collegamento agli Internet Service Provider e problematiche di sicurezza

Æ Analisi di traffico e dei protocolli applicativi

Æ Multimedialità in rete Æ Multimedialità in rete

Æ Tecnologie per le reti future

(4)

Argomenti della lezione Argomenti della lezione

Î Firewall e filtraggio del traffico

Î Proxy e application gateway Î Proxy e application gateway

Î Servizi pubblici e DMZ

(5)

Aspetti di sicurezza

(6)

Extranet Extranet

Servizi di rete per clienti e

fornitori basati su Internet

Servizi di rete per clienti e

fornitori basati su Internet

(7)

Extranet Extranet

Î Database interni Î Database interni

Î Software amministrativi e gestionali Î Software amministrativi e gestionali

Î Sistemi per e-commerce … Î Sistemi per e-commerce …

Permette a operatori esterni di accedere alle risorse

elaborative dell’azienda

Permette a operatori esterni di accedere alle risorse

elaborative dell’azienda

(8)

Extranet Extranet

Access Router Access Access Router Router

Intranet aziendaleIntranetIntranet aziendale aziendale server

Web, SMTP…

server server Web, Web, SMTP…

SMTP…

Rete dell’ISP Rete dell’ISP Rete dell’ISP

Internet Internet Internet router

router

Cliente Cliente Cliente

(9)

Extranet Extranet

Web, SMTP…

SMTP…

router

Fornitore Fornitore Fornitore

(10)

Per gestire i servizi extranet:

È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale

È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet

È necessaria una connessione

a banda larga sempre attiva fra

la LAN aziendale e Internet

(11)

Extranet Extranet

Web, SMTP…

SMTP…

router

Intruder Intruder Intruder

(12)

Firewall Firewall

Î Collega una rete fidata a una rete considerata non sicura

Combina dispositivi hardware e funzionalità software

Combina dispositivi hardware Î Î

e funzionalità software

Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere

Î Î

(13)

Internet ed intranet Internet ed intranet

intranet intranet intranet

Internet Internet Internet

firewall firewall firewall

Trusted network Trusted

Trusted networknetwork

Untrusted network Untrusted

Untrusted networknetwork

(14)

Firewall: obiettivi Firewall: obiettivi

Bloccare il traffico indesiderato proveniente dall’esterno Bloccare il traffico indesiderato proveniente dall’esterno

Î Î

Lasciare passare solo i flussi fidati, strettamente necessari ai servizi aziendali

Î Î

Impedire eventi maligni che possono celarsi all’interno

dei flussi fidati

Impedire eventi maligni che possono celarsi all’interno

dei flussi fidati

Î Î

(15)

I firewall in pratica…

Internet Internet Internet

firewall firewall firewall intranet

intranet

(16)

I firewall in pratica…

Internet Internet Internet

firewall firewall firewall intranet

intranet

(17)

Firewall: funzionalità Firewall: funzionalità

Packet filter Packet filter

Î Analizza l’header di livello 3 (IP)

e di livello 4 (TCP/UDP) di ciascun pacchetto

Î Analizza l’header di livello 3 (IP)

e di livello 4 (TCP/UDP) di ciascun pacchetto

Î Blocca i pacchetti in base a regole definite a priori dall’amministratore di rete

Î È disponibile su alcuni router

(18)

Firewall: funzionalità Firewall: funzionalità

Stateful inspection Stateful inspection

Î Effettua un’analisi dei flussi in tempo reale

Î Intercetta violazioni dei parametri di protocollo ai vari livelli

Î Ispeziona anche le informazioni

scambiate a livello di applicazione Î Ispeziona anche le informazioni

scambiate a livello di applicazione

(19)

Firewall: esempio di funzionamento Firewall: esempio

di funzionamento

(20)

Firewall: esempio Firewall: esempio

NAT e firewall NAT e firewall

Î Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti Î Spesso i router integrano NAT e

funzioni di filtraggio dei pacchetti

Î Blocco dei pacchetti in base a regole definite a priori dall’amministratore di rete mediante Access Control List Î Blocco dei pacchetti in base a regole

definite a priori dall’amministratore di rete mediante Access Control List Î Il filtraggio avviene in modo

bidirezionale

Î Il filtraggio avviene in modo

bidirezionale

(21)

L’host

L’host 192.168.1.1 (client)192.168.1.1 (client) deve contattare

deve contattare un server un server webweb susu InternetInternet

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Firewall

(22)

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Il client

Il client inviainvia al default router al default router unun pacchettopacchetto IPIP avente:avente:

SIP 192.168.1.1

SIP 192.168.1.1 SPortSPort 30231/TCP30231/TCP DIP 62.41.244.2

DIP 62.41.244.2 DPortDPort 80/TCP80/TCP

Firewall

(23)

Il router/firewall, prima

Il router/firewall, prima di di inoltrarlo

inoltrarlo,, consultaconsulta lala tabella tabella delle

delle ACL (Access Control List)ACL (Access Control List)

Firewall Firewall

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

(24)

ACL ACL

ACL table ACL table

RuleRule

FF FF BB

Dest address Dest address

62.41.244.2 62.41.244.2

AnyAny AnyAny

Dest port Dest port

80/TCP 80/TCP Any/TCP Any/TCP

AnyAny

Src address Src address

62.41.244.2 62.41.244.2

Src port Src port

Any/TCP Any/TCP

AnyAny 80/TCP 80/TCP

B = BLOCK B = BLOCK

F = FORWARD F = FORWARD

(25)

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Il router/firewall

Il router/firewall accetta accetta il pacchetto

il pacchetto ÎÎ NAT eNAT e inoltroinoltro alal destinatariodestinatario

Firewall

(26)

Il server

Il server risponde alla risponde alla richiesta di connessione richiesta di connessione

del client del client

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Firewall

(27)

Il server

Il server risponderisponde al client al client con un

con un pacchetto aventepacchetto avente:: SIP 62.41.244.2

Firewall Firewall

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

(28)

Firewall Firewall

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

(29)

ACL ACL

RuleRule

FF FF BB

62.41.244.2 62.41.244.2

AnyAny

62.41.244.2 62.41.244.2

AnyAny 80/TCP 80/TCP

(30)

Il router/firewall applicaapplica

lala traduzionetraduzione (NAT) e(NAT) e ilil clientclient

riceve correttamente il pacchetto riceve correttamente il pacchetto

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Firewall

(31)

Il client

Il client inviainvia al default router unal default router un pacchetto

pacchetto IPIP aventeavente:: SIP 192.168.1.1

Firewall Firewall

212.15.15.26 212.15.15.26

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

(32)

Filtraggio Filtraggio

212.15.15.26 212.15.15.26

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

(33)

ACL ACL

RuleRule

FF FF BB

62.41.244.2 62.41.244.2

AnyAny

62.41.244.2 62.41.244.2

AnyAny 80/TCP 80/TCP

(34)

212.15.15.26 212.15.15.26

Internet Internet firewall

firewall firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Il router/firewall blocca il blocca il pacchetto

pacchetto ee inviainvia al client unal client un pacchetto

pacchetto ICMP Destination ICMP Destination Unreachable

Unreachable

Filtraggio

(35)

212.14.15.26 212.14.15.26

Internet Internet firewall

firewall firewall

192.168.1.100 192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Servizi protetti Servizi protetti

Un client

Un client esterno invia una esterno invia una richiesta

richiesta al serveral server protettoprotetto

(36)

Servizi protetti Servizi protetti

212.14.15.26 212.14.15.26

Internet Internet firewall

firewall firewall

192.168.1.100 192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

IlIl pacchetto possiede:pacchetto possiede: SIP 212.14.15.26

(37)

ACL ACL

RuleRule

FF FF BB

158.109.1.253 158.109.1.253

AnyAny

192.168.1.100 192.168.1.100

AnyAny 80/TCP 80/TCP

(38)

Il router/firewall applicaapplica

lala traduzionetraduzione (NAT) e(NAT) e inoltra inoltra il pacchetto

il pacchetto al serveral server internointerno

212.14.15.26 212.14.15.26

Internet Internet firewall

firewall firewall

192.168.1.100 192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet intranet

Servizi protetti

(39)

Proxy e application gateway

Proxy e application

gateway

(40)

Application gateway Application gateway

Î Collega due segmenti di rete a livello di applicazione

Riguarda il traffico uscente dalla rete aziendale Riguarda il traffico uscente dalla rete aziendale

Î Î

Fa da intermediario (o proxy) al flusso di dati tra i client

interni e i server esterni

Fa da intermediario (o proxy) al flusso di dati tra i client

interni e i server esterni

Î Î

(41)

Application gateway Application gateway

Il sistema maschera l’origine del collegamento iniziale Il sistema maschera l’origine del collegamento iniziale

Î Î

I client della rete interna

accedono ai servizi su Internet soltanto attraverso il gateway

I client della rete interna

accedono ai servizi su Internet soltanto attraverso il gateway Î Î

Il gateway può autorizzare gli utenti in base a specifiche policy di accesso

Î Î

(42)

Application gateway e servizi Application gateway e servizi

Î HTTP Î HTTP

Î FTP Î FTP

Î Telnet Î Telnet

Servizi che possono essere filtrati mediante application gateway:

Î Posta elettronica

(SMTP, POP3/IMAP) Î Posta elettronica

(SMTP, POP3/IMAP)

Î Î … …

(43)

Policy di accesso Policy di accesso

A fasce orarie A fasce orarie Î Î

IP black list: lista dei server riconosciuti come maliziosi IP black list: lista dei server riconosciuti come maliziosi Î Î

Keyword list: elenco di termini vietati o non conformi

Î Î

(44)

Policy di accesso Policy di accesso

Tipo di informazioni scambiate (file eseguibili, immagini…)

Î Î

Personalizzate per utente

Î Î

(45)

Application gateway Application gateway

proxy.azienda.net proxy.

proxy.aziendaazienda.net.net

www.ieee.com www.ieee.com

intranet intranet intranet

Internet

(46)

Application gateway Application gateway

intranet intranet intranet

Internet Internet Internet

MI SERVE

WWW.IEEE.COM/802.HTML

(47)

Application gateway Application gateway

intranet intranet intranet

Internet Internet Internet IEEE.COM

E’ UN SITO FIDATO!

(48)

Application gateway Application gateway

intranet intranet intranet

Internet Internet Internet

802.html

(49)

Application gateway Application gateway

intranet intranet intranet

Internet Internet Internet

802.html

802.html ECCOLO!

(50)

Application gateway Application gateway

intranet intranet intranet

Internet Internet Internet

MI SERVE

WWW.CASINOONLINE.COM

802.html

(51)

intranet intranet intranet

Internet Internet Internet

Application gateway Application gateway

802.html 802.html

VIETATO!

(52)

Firewall e DMZ

(53)

DMZ DMZ

Î Zona demilitarizzata Î Zona demilitarizzata

Î Porzione di rete a cavallo tra la rete protetta e Internet

Separa i servizi pubblicamente accessibili da servizi e dati di natura privata

Î Î

(54)

DMZ DMZ

intranet intranet intranet

DMZDMZ DMZ

Internet Internet Internet

Servizi pubblici Servizi pubblici Servizi pubblici Servizi privati

Servizi privati Servizi privati

Host interni HostHost interniinterni

(55)

intranet intranet intranet

DMZDMZ DMZ

Internet Internet Internet

DMZ DMZ

Bastion host Bastion host Bastion host Protected hosts

Protected hosts Protected hosts

Outer firewall Outer firewall Outer firewall Inner firewall

Inner firewall Inner firewall

(56)