© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 1
RETI DI CALCOLATORI II
Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI
Facoltà di Ingegneria Università degli Studi di Udine
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 2 Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori prof. Pier Luca Montessoro e ing. Davide Pierattoni, Università degli Studi di Udine.
Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione.
Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampe) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori.
L’informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L’autore non assume alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slide.
In ogni caso questa nota di copyright e il suo richiamo in calce ad ogni slide non devono mai essere rimossi e devono essere riportati anche in utilizzi parziali.
Nota di Copyright
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 3
Sicurezza applicata in rete
Sicurezza applicata Sicurezza applicata
in rete in rete
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 4
Argomenti della lezione Argomenti della lezione
Î Firewall e filtraggio del traffico
Î Firewall e filtraggio del traffico
Î Proxy e application gateway Î Proxy e application gateway Î Servizi pubblici e DMZ Î Servizi pubblici e DMZ
Aspetti di sicurezza Aspetti di sicurezza
Extranet Extranet
Servizi di rete per clienti e
fornitori basati su Internet
Servizi di rete per clienti e
fornitori basati su Internet
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 7
Extranet Extranet
Î Database interni ÎDatabase interni
Î Software amministrativi e gestionali ÎSoftware amministrativi e gestionali Î Sistemi per e-commerce …
ÎSistemi per e-commerce …
Permette a operatori esterni di accedere alle risorse
elaborative dell’azienda
Permette a operatori esterni di accedere alle risorse
elaborative dell’azienda
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 8
Extranet Extranet
Access Router Access Access Router Router
Intranet aziendaleIntranet Intranet aziendale aziendale server
Web, SMTP…
server server Web, Web, SMTP SMTP……
Rete dell’ISP Rete Retedell’dell’ISPISP
Internet Internet Internet router router
Cliente Cliente Cliente
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 9
Extranet Extranet
Access Router Access Access Router Router
Intranet aziendaleIntranet Intranet aziendale aziendale server
Web, SMTP…
server server Web, Web, SMTPSMTP……
Rete dell’ISP ReteRetedelldell’’ISPISP
Internet Internet Internet router router
Fornitore Fornitore Fornitore
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 10
È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet
È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet
Per gestire i servizi extranet:
Per gestire i servizi extranet:
Extranet Extranet
Access Router Access Access Router Router
Intranet aziendaleIntranet Intranet aziendale aziendale server
Web, SMTP…
server server Web, Web, SMTP SMTP……
Rete dell’ISP Rete Retedelldell’’ISPISP
Internet Internet Internet router router
Firewall Firewall
Î Combina dispositivi hardware e funzionalità software
Î
Combina dispositivi hardware e funzionalità software
Î Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere
Î
Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere
Î Collega una rete fidata a una rete considerata non sicura
ÎCollega una rete fidata a una
rete considerata non sicura
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 13
Internet ed intranet Internet ed intranet
intranet intranet intranet
Internet Internet Internet
firewall firewall firewall Trusted network
Trusted
Trustednetworknetwork
Untrusted network Untrusted
Untrustednetworknetwork
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 14
Firewall: obiettivi Firewall: obiettivi
Î Bloccare il traffico indesiderato proveniente dall’esterno
Î
Bloccare il traffico indesiderato proveniente dall’esterno
Î Lasciare passare solo i flussi
fidati, strettamente necessariai servizi aziendali
Î
Lasciare passare solo i flussi
fidati, strettamente necessariai servizi aziendali
Î Impedire eventi maligni che possono celarsi all’interno dei flussi fidati
Î
Impedire eventi maligni che possono celarsi all’interno dei flussi fidati
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 15
I firewall in pratica…
I firewall in pratica…
Internet Internet Internet
firewall firewall firewall intranet
intranet intranet
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 16
I firewall in pratica…
I firewall in pratica…
Internet Internet Internet
firewall firewall firewall intranet
intranet intranet
Packet filter Packet filter
Î Analizza l’header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto
ÎAnalizza l’header di livello 3 (IP) e di livello 4 (TCP/UDP) di ciascun pacchetto
Firewall: funzionalità Firewall: funzionalità
Î Blocca i pacchetti in base a regole definite a priori dall’amministratore di rete
ÎBlocca i pacchetti in base a regole definite a priori dall’amministratore di rete
Î È disponibile su alcuni router ÎÈ disponibile su alcuni router
Stateful inspection Stateful inspection
Î Effettua un’analisi dei flussi in tempo reale
ÎEffettua un’analisi dei flussi in tempo reale
Firewall: funzionalità Firewall: funzionalità
Î Intercetta violazioni dei parametri di protocollo ai vari livelli
ÎIntercetta violazioni dei parametri di protocollo ai vari livelli
Î Ispeziona anche le informazioni scambiate a livello di applicazione ÎIspeziona anche le informazioni
scambiate a livello di applicazione
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 19
Firewall: esempio di funzionamento Firewall: esempio di funzionamento
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 20
NAT e firewall NAT e firewall
Î Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti ÎSpesso i router integrano NAT e
funzioni di filtraggio dei pacchetti
Firewall: esempio Firewall: esempio
Î Blocco dei pacchetti in base a regole definite a priori dall’amministratore di rete mediante Access Control List ÎBlocco dei pacchetti in base a regole
definite a priori dall’amministratore di rete mediante Access Control List Î Il filtraggio avviene in modo
bidirezionale
ÎIl filtraggio avviene in modo bidirezionale
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 21
LL’’hosthost192.168.1.1 (client) 192.168.1.1 (client) deve
devecontattarecontattareun server un server web
web susuInternetInternet
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranetFirewall Firewall
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 22 62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet Il clientIl client inviainviaal default router al default router un pacchettoun pacchettoIP IP aventeavente::
SIP 192.168.1.1
SIP 192.168.1.1 SPortSPort30231/TCP30231/TCP DIP 62.41.244.2
DIP 62.41.244.2 DPortDPort80/TCP80/TCP
Firewall Firewall
Il router/firewall, prima Il router/firewall, prima didi inoltrarlo
inoltrarlo, , consultaconsultala tabellala tabella delle
delleACL (Access Control List)ACL (Access Control List)
Firewall Firewall
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranetB = BLOCK B = BLOCK F = FORWARD F = FORWARD
ACL table ACL table
Rule Rule FF FF BB Dest address
Dest address 62.41.244.2 62.41.244.2
AnyAny AnyAny
Dest port Dest port 80/TCP 80/TCP Any/TCP Any/TCP
AnyAny Src address
Src address AnyAny AnyAny 62.41.244.2 62.41.244.2
Src port Src port Any/TCP Any/TCP
AnyAny 80/TCP 80/TCP
ACL ACL
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 25 62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet Il router/firewall Il router/firewall accettaaccetta ililpacchettopacchettoÎÎNAT e inoltroNAT e inoltro al
al destinatariodestinatario
Firewall Firewall
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 26
Il server
Il server risponderispondeallaalla richiesta
richiestadidiconnessioneconnessione del client
del client
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranetFirewall Firewall
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 27
Il server
Il server risponderispondeal client al client con un
con un pacchettopacchettoavente:avente: SIP 62.41.244.2
SIP 62.41.244.2 SPortSPort80/TCP80/TCP DIP 158.109.1.253
DIP 158.109.1.253 DPortDPort1024/TCP1024/TCP
Firewall Firewall
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 28
Il router/firewall, prima Il router/firewall, prima didi inoltrarlo
inoltrarlo, , consultaconsultala la tabellatabella delle
delleACL (Access Control List)ACL (Access Control List)
Firewall Firewall
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranetB = BLOCK B = BLOCK
F = FORWARD F = FORWARD
ACL table ACL table
Rule Rule FF FF BB Dest address
Dest address 62.41.244.2 62.41.244.2
AnyAny AnyAny
Dest port Dest port 80/TCP 80/TCP Any/TCP Any/TCP
AnyAny Src address
Src address AnyAny AnyAny 62.41.244.2 62.41.244.2
Src port Src port Any/TCP Any/TCP
AnyAny 80/TCP 80/TCP
ACL ACL
Il router/firewall Il router/firewall applicaapplica
la traduzionela traduzione(NAT) e (NAT) e ililclient client riceve
ricevecorrettamentecorrettamenteililpacchettopacchetto
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranetFirewall
Firewall
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 31
Il client
Il client inviainviaal default router unal default router un pacchetto
pacchettoIP aventeIP avente:: SIP 192.168.1.1
SIP 192.168.1.1 SPortSPort30232/TCP30232/TCP DIP 212.15.15.26
DIP 212.15.15.26 DPortDPort80/TCP80/TCP
Firewall Firewall
212.15.15.26 212.15.15.26
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 32
Il router/firewall, prima di Il router/firewall, prima di inoltrarlo
inoltrarlo, , consultaconsultala tabellala tabella delle
delleACL (Access Control List)ACL (Access Control List)
Filtraggio Filtraggio
212.15.15.26 212.15.15.26
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 33
B = BLOCK B = BLOCK
F = FORWARD F = FORWARD
ACL table ACL table
RuleRule FF FF BB Dest address
Dest address 62.41.244.2 62.41.244.2
AnyAny Any Any
Dest port Dest port 80/TCP 80/TCP Any/TCP Any/TCP
Any Any Src address
Src address AnyAny AnyAny 62.41.244.2 62.41.244.2
Src port Src port Any/TCP Any/TCP Any Any 80/TCP 80/TCP
ACL ACL
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 34 212.15.15.26 212.15.15.26
Internet Internet firewall
firewall
firewall192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet Il router/firewallIl router/firewall bloccabloccailil pacchetto
pacchettoe inviae inviaal client un al client un pacchetto
pacchettoICMP Destination ICMP Destination Unreachable
Unreachable
Filtraggio Filtraggio
Un client
Un client esternoesternoinviainviaunauna richiesta
richiestaal server al server protettoprotetto
212.14.15.26 212.14.15.26
Internet Internet firewall
firewall
firewall192.168.1.100 192.168.1.100 192.168.1.100
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranetServizi protetti Servizi protetti
Il
Il pacchettopacchettopossiedepossiede:: SIP 212.14.15.26
SIP 212.14.15.26 SPortSPort3200/TCP3200/TCP DIP 158.109.1.253
DIP 158.109.1.253 DPortDPort80/TCP80/TCP
Servizi protetti Servizi protetti
212.14.15.26 212.14.15.26
Internet Internet firewall
firewall
firewall192.168.1.100 192.168.1.100 192.168.1.100
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 37
B = BLOCK B = BLOCK
F = FORWARD F = FORWARD
ACL table ACL table
RuleRule FF FF BB Dest address
Dest address 158.109.1.253 158.109.1.253
Any Any AnyAny
Dest port Dest port 80/TCP 80/TCP Any/TCP Any/TCP
AnyAny Src address
Src address AnyAny AnyAny 192.168.1.100 192.168.1.100
Src port Src port Any/TCP Any/TCP
AnyAny 80/TCP 80/TCP
ACL ACL
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 38
Il router/firewall Il router/firewall applicaapplica la traduzionela traduzione(NAT) e (NAT) e inoltrainoltra ililpacchettopacchettoal server internoal server interno
212.14.15.26 212.14.15.26
Internet Internet firewall
firewall
firewall192.168.1.100 192.168.1.100 192.168.1.100
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranetServizi protetti Servizi protetti
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 39
Proxy e application gateway
Proxy e application gateway
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 40
Î Riguarda il traffico uscente dalla rete aziendale
Î
Riguarda il traffico uscente dalla rete aziendale
Î Fa da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni
ÎFa da intermediario (o
proxy)al flusso di dati tra i client interni e i server esterni Application gateway Application gateway
Î Collega due segmenti di rete a livello di applicazione
Î
Collega due segmenti di rete a livello di applicazione
Application gateway Application gateway
Î Il sistema maschera l’origine del collegamento iniziale
ÎIl sistema maschera l’origine
del collegamento iniziale Î I client della rete interna
accedono ai servizi su Internet soltanto attraverso il gateway
ÎI client della rete interna
accedono ai servizi su Internet soltanto attraverso il gateway Î Il gateway può autorizzare
gli utenti in base a specifiche policy di accesso
Î
Il gateway può autorizzare gli utenti in base a specifiche policy di accesso
Application gateway e servizi Application gateway e servizi
Î HTTP ÎHTTP Î FTP ÎFTP Î Telnet ÎTelnet
Servizi che possono essere filtrati mediante application gateway:
Servizi che possono essere filtrati mediante application gateway:
Î Posta elettronica (SMTP, POP3/IMAP) ÎPosta elettronica
(SMTP, POP3/IMAP) ÎÎ ……
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 43
Policy di accesso Policy di accesso
Î IP black list: lista dei server riconosciuti come maliziosi
ÎIP black list: lista dei server
riconosciuti come maliziosi Î A fasce orarie
Î
A fasce orarie
Î Keyword list: elenco di termini vietati o non conformi
Î
Keyword list: elenco di termini vietati o non conformi
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 44
Policy di accesso Policy di accesso
Î Tipo di informazioni scambiate (file eseguibili, immagini…)
ÎTipo di informazioni scambiate
(file eseguibili, immagini…) Î Personalizzate per utente
ÎPersonalizzate per utente
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 45
Application gateway Application gateway
proxy.azienda.net proxy.azienda.net proxy.azienda.net
www.ieee.com www.ieee.com intranet
intranet intranet
Internet Internet Internet
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 46
Application gateway Application gateway
proxy.azienda.net proxy.azienda.net proxy.azienda.net
www.ieee.com www.ieee.com intranet
intranet intranet
Internet Internet Internet MI SERVE
WWW.IEEE.COM/802.HTML
Application gateway Application gateway
proxy.azienda.net proxy.azienda.net proxy.azienda.net
www.ieee.com www.ieee.com intranet
intranet intranet
Internet Internet Internet IEEE.COM
E’ UN SITO FIDATO!
Application gateway Application gateway
proxy.azienda.net proxy.azienda.net proxy.azienda.net
www.ieee.com www.ieee.com intranet
intranet intranet
Internet Internet Internet
802.html 802.html
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 49
Application gateway Application gateway
proxy.azienda.net proxy.azienda.net proxy.azienda.net
www.ieee.com www.ieee.com intranet
intranet intranet
Internet Internet Internet
802.html
802.html ECCOLO!
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 50
Application gateway Application gateway
proxy.azienda.net proxy.azienda.net proxy.azienda.net
www.ieee.com www.ieee.com intranet
intranet intranet
Internet Internet Internet MI SERVE
WWW.CASINOONLINE.COM
802.html 802.html
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 51
proxy.azienda.net proxy.azienda.net proxy.azienda.net
www.ieee.com www.ieee.com intranet
intranet intranet
Internet Internet Internet
Application gateway Application gateway
802.html 802.html VIETATO!
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 52
Firewall e DMZ Firewall e DMZ
Î Porzione di rete a cavallo tra la rete protetta e Internet
Î
Porzione di rete a cavallo tra la rete protetta e Internet
Î Separa i servizi pubblicamente accessibili da servizi e dati di natura privata
Î
Separa i servizi pubblicamente accessibili da servizi e dati di natura privata
Î Zona demilitarizzata
ÎZona demilitarizzata
DMZ DMZ DMZ DMZ
intranet intranet intranet
DMZDMZ DMZ
Internet Internet Internet
Servizi pubblici Servizi
Servizipubblicipubblici Servizi privati Servizi Serviziprivatiprivati
Host interni Host Host interniinterni
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 55
intranet intranet intranet
DMZDMZ DMZ
Internet Internet Internet
DMZ DMZ
Bastion host Bastion host Bastion host Protected hosts Protected hosts Protected hosts
Outer firewall Outer firewall Outer firewall Inner firewall
Inner firewall Inner firewall
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 56
Î I servizi privati e gli host della rete interna sono protetti da due firewall
Î
I servizi privati e gli host della rete interna sono protetti da due firewall
Î I server della DMZ sono detti bastion host perché unici visibili (e attaccabili) dalla rete esterna
ÎI server della DMZ sono detti
bastion host
perché unici visibili (e attaccabili) dalla rete esterna Î I servizi pubblici risiedono su
server collocati nella DMZ
ÎI servizi pubblici risiedono su
server collocati nella DMZ DMZ DMZ
© 2010 Pier Luca Montessoro (si veda la nota a pagina 2) 57