Sicurezza applicata in rete

(1)

RETI DI CALCOLATORI II

Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI

Facoltà di Ingegneria Università degli Studi di Udine

© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 2 Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori prof. Pier Luca Montessoro e ing. Davide Pierattoni, Università degli Studi di Udine.

Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione.

Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampe) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori.

L’informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L’autore non assume alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione).

In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slide.

In ogni caso questa nota di copyright e il suo richiamo in calce ad ogni slide non devono mai essere rimossi e devono essere riportati anche in utilizzi parziali.

Nota di Copyright

Sicurezza applicata in rete

Sicurezza applicata Sicurezza applicata

in rete in rete

Argomenti della lezione Argomenti della lezione

Î Firewall e filtraggio del traffico

Î Proxy e application gateway Î Proxy e application gateway Î Servizi pubblici e DMZ Î Servizi pubblici e DMZ

Aspetti di sicurezza Aspetti di sicurezza

Extranet Extranet

Servizi di rete per clienti e

fornitori basati su Internet

Servizi di rete per clienti e

fornitori basati su Internet

(2)

Extranet Extranet

Î Database interni ÎDatabase interni

Î Software amministrativi e gestionali ÎSoftware amministrativi e gestionali Î Sistemi per e-commerce …

ÎSistemi per e-commerce …

Permette a operatori esterni di accedere alle risorse

elaborative dell’azienda

Permette a operatori esterni di accedere alle risorse

elaborative dell’azienda

Extranet Extranet

Access Router Access Access Router Router

Intranet aziendaleIntranet Intranet aziendale aziendale server

Web, SMTP…

server server Web, Web, SMTP SMTP……

Rete dell’ISP Rete Retedell’dell’ISPISP

Internet Internet Internet router router

Cliente Cliente Cliente

Extranet Extranet

Web, SMTP…

server server Web, Web, SMTPSMTP……

Rete dell’ISP ReteRetedelldell’’ISPISP

Fornitore Fornitore Fornitore

È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet

È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet

Per gestire i servizi extranet:

Extranet Extranet

Web, SMTP…

server server Web, Web, SMTP SMTP……

Rete dell’ISP Rete Retedelldell’’ISPISP

Firewall Firewall

Î Combina dispositivi hardware e funzionalità software

Î

Combina dispositivi hardware e funzionalità software

Î Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere

Î

Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere

Î Collega una rete fidata a una rete considerata non sicura

Î

Collega una rete fidata a una

rete considerata non sicura

(3)

Internet ed intranet Internet ed intranet

intranet intranet intranet

Internet Internet Internet

firewall firewall firewall Trusted network

Trusted

Trustednetworknetwork

Untrusted network Untrusted

Untrustednetworknetwork

Firewall: obiettivi Firewall: obiettivi

Î Bloccare il traffico indesiderato proveniente dall’esterno

Î

Bloccare il traffico indesiderato proveniente dall’esterno

Î Lasciare passare solo i flussi

fidati, strettamente necessari

ai servizi aziendali

Î

Lasciare passare solo i flussi

fidati, strettamente necessari

ai servizi aziendali

Î Impedire eventi maligni che possono celarsi all’interno dei flussi fidati

Î

Impedire eventi maligni che possono celarsi all’interno dei flussi fidati

I firewall in pratica…

firewall firewall firewall intranet

intranet intranet

I firewall in pratica…

firewall firewall firewall intranet

Packet filter Packet filter

Î Analizza l’header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto

ÎAnalizza l’header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto

Firewall: funzionalità Firewall: funzionalità

Î Blocca i pacchetti in base a regole definite a priori dall’amministratore di rete

ÎBlocca i pacchetti in base a regole definite a priori dall’amministratore di rete

Î È disponibile su alcuni router ÎÈ disponibile su alcuni router

Stateful inspection Stateful inspection

Î Effettua un’analisi dei flussi in tempo reale

ÎEffettua un’analisi dei flussi in tempo reale

Firewall: funzionalità Firewall: funzionalità

Î Intercetta violazioni dei parametri di protocollo ai vari livelli

ÎIntercetta violazioni dei parametri di protocollo ai vari livelli

Î Ispeziona anche le informazioni scambiate a livello di applicazione ÎIspeziona anche le informazioni

scambiate a livello di applicazione

(4)

Firewall: esempio di funzionamento Firewall: esempio di funzionamento

NAT e firewall NAT e firewall

Î Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti ÎSpesso i router integrano NAT e

funzioni di filtraggio dei pacchetti

Firewall: esempio Firewall: esempio

Î Blocco dei pacchetti in base a regole definite a priori dall’amministratore di rete mediante Access Control List ÎBlocco dei pacchetti in base a regole

definite a priori dall’amministratore di rete mediante Access Control List Î Il filtraggio avviene in modo

bidirezionale

ÎIl filtraggio avviene in modo bidirezionale

LL’’hosthost192.168.1.1 (client) 192.168.1.1 (client) deve

devecontattarecontattareun server un server web

web susuInternetInternet

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

Firewall Firewall

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet Il client

Il client inviainviaal default router al default router un pacchettoun pacchettoIP IP aventeavente::

SIP 192.168.1.1

SIP 192.168.1.1 SPortSPort30231/TCP30231/TCP DIP 62.41.244.2

DIP 62.41.244.2 DPortDPort80/TCP80/TCP

Firewall Firewall

Il router/firewall, prima Il router/firewall, prima didi inoltrarlo

inoltrarlo, , consultaconsultala tabellala tabella delle

delleACL (Access Control List)ACL (Access Control List)

Firewall Firewall

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

B = BLOCK B = BLOCK F = FORWARD F = FORWARD

ACL table ACL table

Rule Rule FF FF BB Dest address

Dest address 62.41.244.2 62.41.244.2

AnyAny AnyAny

Dest port Dest port 80/TCP 80/TCP Any/TCP Any/TCP

AnyAny Src address

Src address AnyAny AnyAny 62.41.244.2 62.41.244.2

Src port Src port Any/TCP Any/TCP

AnyAny 80/TCP 80/TCP

ACL ACL

(5)

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet Il router/firewall Il router/firewall accettaaccetta il

ilpacchettopacchettoÎÎNAT e inoltroNAT e inoltro al

al destinatariodestinatario

Firewall Firewall

Il server

Il server risponderispondeallaalla richiesta

richiestadidiconnessioneconnessione del client

del client

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

Firewall Firewall

Il server

Il server risponderispondeal client al client con un

con un pacchettopacchettoavente:avente: SIP 62.41.244.2

Firewall Firewall

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

Il router/firewall, prima Il router/firewall, prima didi inoltrarlo

inoltrarlo, , consultaconsultala la tabellatabella delle

Firewall Firewall

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

B = BLOCK B = BLOCK

F = FORWARD F = FORWARD

Rule Rule FF FF BB Dest address

Dest address 62.41.244.2 62.41.244.2

AnyAny AnyAny

AnyAny 80/TCP 80/TCP

ACL ACL

Il router/firewall Il router/firewall applicaapplica

la traduzionela traduzione(NAT) e (NAT) e ililclient client riceve

ricevecorrettamentecorrettamenteililpacchettopacchetto

62.41.244.2 62.41.244.2

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

Firewall

(6)

Il client

Il client inviainviaal default router unal default router un pacchetto

pacchettoIP aventeIP avente:: SIP 192.168.1.1

Firewall Firewall

212.15.15.26 212.15.15.26

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

Il router/firewall, prima di Il router/firewall, prima di inoltrarlo

inoltrarlo, , consultaconsultala tabellala tabella delle

Filtraggio Filtraggio

212.15.15.26 212.15.15.26

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

RuleRule FF FF BB Dest address

Dest address 62.41.244.2 62.41.244.2

AnyAny Any Any

Any Any Src address

Src port Src port Any/TCP Any/TCP Any Any 80/TCP 80/TCP

ACL ACL

Internet Internet firewall

firewall

firewall

192.168.1.1 192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet Il router/firewall

Il router/firewall bloccabloccailil pacchetto

pacchettoe inviae inviaal client un al client un pacchetto

pacchettoICMP Destination ICMP Destination Unreachable

Unreachable

Filtraggio Filtraggio

Un client

Un client esternoesternoinviainviaunauna richiesta

richiestaal server al server protettoprotetto

212.14.15.26 212.14.15.26

Internet Internet firewall

firewall

firewall

192.168.1.100 192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

Servizi protetti Servizi protetti

Il

Il pacchettopacchettopossiedepossiede:: SIP 212.14.15.26

Servizi protetti Servizi protetti

212.14.15.26 212.14.15.26

Internet Internet firewall

firewall

firewall

192.168.1.100 192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

(7)

RuleRule FF FF BB Dest address

Dest address 158.109.1.253 158.109.1.253

Any Any AnyAny

AnyAny 80/TCP 80/TCP

ACL ACL

Il router/firewall Il router/firewall applicaapplica la traduzionela traduzione(NAT) e (NAT) e inoltrainoltra ililpacchettopacchettoal server internoal server interno

212.14.15.26 212.14.15.26

Internet Internet firewall

firewall

firewall

192.168.1.100 192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253 158.109.1.253

intranet

intranet

Servizi protetti Servizi protetti

Proxy e application gateway

Î Riguarda il traffico uscente dalla rete aziendale

Î

Riguarda il traffico uscente dalla rete aziendale

Î Fa da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni

Î

Fa da intermediario (o

proxy)

al flusso di dati tra i client interni e i server esterni Application gateway Application gateway

Î Collega due segmenti di rete a livello di applicazione

Î

Collega due segmenti di rete a livello di applicazione

Application gateway Application gateway

Î Il sistema maschera l’origine del collegamento iniziale

Î

Il sistema maschera l’origine

del collegamento iniziale Î I client della rete interna

accedono ai servizi su Internet soltanto attraverso il gateway

Î

I client della rete interna

accedono ai servizi su Internet soltanto attraverso il gateway Î Il gateway può autorizzare

gli utenti in base a specifiche policy di accesso

Î

Il gateway può autorizzare gli utenti in base a specifiche policy di accesso

Application gateway e servizi Application gateway e servizi

Î HTTP ÎHTTP Î FTP ÎFTP Î Telnet ÎTelnet

Servizi che possono essere filtrati mediante application gateway:

Î Posta elettronica (SMTP, POP3/IMAP) ÎPosta elettronica

(SMTP, POP3/IMAP) ÎÎ ……

(8)

Policy di accesso Policy di accesso

Î IP black list: lista dei server riconosciuti come maliziosi

Î

IP black list: lista dei server

riconosciuti come maliziosi Î A fasce orarie

Î

A fasce orarie

Î Keyword list: elenco di termini vietati o non conformi

Î

Keyword list: elenco di termini vietati o non conformi

Policy di accesso Policy di accesso

Î Tipo di informazioni scambiate (file eseguibili, immagini…)

Î

Tipo di informazioni scambiate

(file eseguibili, immagini…) Î Personalizzate per utente

Î

Personalizzate per utente

Application gateway Application gateway

proxy.azienda.net proxy.azienda.net proxy.azienda.net

www.ieee.com www.ieee.com intranet

Application gateway Application gateway

Internet Internet Internet MI SERVE

WWW.IEEE.COM/802.HTML

Application gateway Application gateway

Internet Internet Internet IEEE.COM

E’ UN SITO FIDATO!

Application gateway Application gateway

802.html 802.html

(9)

Application gateway Application gateway

802.html

802.html ECCOLO!

Application gateway Application gateway

Internet Internet Internet MI SERVE

WWW.CASINOONLINE.COM

802.html 802.html

Application gateway Application gateway

802.html 802.html VIETATO!

Firewall e DMZ Firewall e DMZ

Î Porzione di rete a cavallo tra la rete protetta e Internet

Î

Porzione di rete a cavallo tra la rete protetta e Internet

Î Separa i servizi pubblicamente accessibili da servizi e dati di natura privata

Î

Separa i servizi pubblicamente accessibili da servizi e dati di natura privata

Î Zona demilitarizzata

Î

Zona demilitarizzata

DMZ DMZ DMZ DMZ

DMZDMZ DMZ

Servizi pubblici Servizi

Servizipubblicipubblici Servizi privati Servizi Serviziprivatiprivati

Host interni Host Host interniinterni

(10)

DMZDMZ DMZ

DMZ DMZ

Bastion host Bastion host Bastion host Protected hosts Protected hosts Protected hosts

Outer firewall Outer firewall Outer firewall Inner firewall

Inner firewall Inner firewall

Î I servizi privati e gli host della rete interna sono protetti da due firewall

Î

I servizi privati e gli host della rete interna sono protetti da due firewall

Î I server della DMZ sono detti bastion host perché unici visibili (e attaccabili) dalla rete esterna

Î

I server della DMZ sono detti

bastion host