RETI DI CALCOLATORI II
Prof. PIER LUCA MONTESSORO Ing. DAVIDE PIERATTONI
Facoltà di Ingegneria
Università degli Studi di Udine
Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori prof. Pier Luca Montessoro e ing. Davide Pierattoni, Università degli Studi di Udine.
Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione.
Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampe) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori.
L’informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L’autore non assume alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slide.
Nota di Copyright
Sicurezza applicata in rete
Sicurezza applicata Sicurezza applicata
in rete
in rete
Argomenti della lezione Argomenti della lezione
Î Firewall e filtraggio del traffico
Î Firewall e filtraggio del traffico
Î Proxy e application gateway Î Proxy e application gateway
Î Servizi pubblici e DMZ
Î Servizi pubblici e DMZ
Aspetti di sicurezza
Aspetti di sicurezza
Extranet Extranet
Servizi di rete per clienti e
fornitori basati su Internet
Servizi di rete per clienti e
fornitori basati su Internet
Extranet Extranet
Î Database interni Î Database interni
Î Software amministrativi e gestionali Î Software amministrativi e gestionali
Î Sistemi per e-commerce … Î Sistemi per e-commerce …
Permette a operatori esterni di accedere alle risorse
elaborative dell’azienda
Permette a operatori esterni di accedere alle risorse
elaborative dell’azienda
Extranet Extranet
Access Router Access Access Router Router
Intranet aziendaleIntranet Intranet aziendale aziendale server
Web, SMTP…
server server Web, Web, SMTP…SMTP…
Rete dell’ISP ReteRete delldell’’ISPISP
Internet Internet Internet router
router
Extranet Extranet
Access Router Access Access Router Router
Intranet aziendaleIntranet Intranet aziendale aziendale server
Web, SMTP…
server server Web, Web, SMTP…SMTP…
Rete dell’ISP ReteRete delldell’’ISPISP
Internet Internet Internet router
router
Fornitore Fornitore Fornitore
È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale È necessario prevenire il rischio di attacchi e intrusioni da parte degli hacker nella rete aziendale
È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet
È necessaria una connessione a banda larga sempre attiva fra la LAN aziendale e Internet
Per gestire i servizi extranet:
Per gestire i servizi extranet:
Extranet Extranet
Access Router Access Access Router Router
Intranet aziendaleIntranet Intranet aziendale aziendale server
Web, SMTP…
server server Web, Web, SMTP…SMTP…
Rete dell’ISP ReteRete delldell’’ISPISP
Internet Internet Internet router
router
Firewall Firewall
Î Combina dispositivi hardware e funzionalità software
Î Combina dispositivi hardware e funzionalità software
Î Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere
Î Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere
Î Collega una rete fidata a una rete considerata non sicura
Î Collega una rete fidata a una
rete considerata non sicura
Internet ed intranet Internet ed intranet
intranet intranet intranet
Internet Internet Internet
firewall firewall firewall
Trusted network Trusted
Trusted networknetwork
Untrusted network Untrusted
Untrusted networknetwork
Firewall: obiettivi Firewall: obiettivi
Î Bloccare il traffico indesiderato proveniente dall’esterno
Î Bloccare il traffico indesiderato proveniente dall’esterno
Î Lasciare passare solo i flussi fidati, strettamente necessari ai servizi aziendali
Î Lasciare passare solo i flussi fidati, strettamente necessari ai servizi aziendali
Î Impedire eventi maligni che possono celarsi all’interno
dei flussi fidati
Î Impedire eventi maligni che possono celarsi all’interno
dei flussi fidati
I firewall in pratica…
I firewall in pratica…
Internet Internet Internet
firewall firewall firewall intranet
intranet
intranet
I firewall in pratica…
I firewall in pratica…
Internet Internet Internet
firewall firewall firewall intranet
intranet
intranet
Packet filter Packet filter
Î Analizza l’header di livello 3 (IP)
e di livello 4 (TCP/UDP) di ciascun pacchetto
Î Analizza l’header di livello 3 (IP)
e di livello 4 (TCP/UDP) di ciascun pacchetto
Firewall: funzionalità Firewall: funzionalità
Î Blocca i pacchetti in base a regole definite a priori dall’amministratore di rete
Î Blocca i pacchetti in base a regole definite a priori dall’amministratore di rete
Î È disponibile su alcuni router
Î È disponibile su alcuni router
Stateful inspection Stateful inspection
Î Effettua un’analisi dei flussi in tempo reale
Î Effettua un’analisi dei flussi in tempo reale
Firewall: funzionalità Firewall: funzionalità
Î Intercetta violazioni dei parametri di protocollo ai vari livelli
Î Intercetta violazioni dei parametri di protocollo ai vari livelli
Î Ispeziona anche le informazioni
scambiate a livello di applicazione Î Ispeziona anche le informazioni
scambiate a livello di applicazione
Firewall: esempio di funzionamento Firewall: esempio
di funzionamento
NAT e firewall NAT e firewall
Î Spesso i router integrano NAT e funzioni di filtraggio dei pacchetti Î Spesso i router integrano NAT e
funzioni di filtraggio dei pacchetti
Firewall: esempio Firewall: esempio
Î Blocco dei pacchetti in base a regole definite a priori dall’amministratore di rete mediante Access Control List Î Blocco dei pacchetti in base a regole
definite a priori dall’amministratore di rete mediante Access Control List Î Il filtraggio avviene in modo
bidirezionale
Î Il filtraggio avviene in modo
bidirezionale
LL’’hosthost 192.168.1.1 (client) 192.168.1.1 (client) devedeve contattarecontattare un server un server
web suweb su InternetInternet
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Firewall
Firewall
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Il client
Il client inviainvia al default router al default router unun pacchettopacchetto IPIP avente:avente:
SIP 192.168.1.1
SIP 192.168.1.1 SPortSPort 30231/TCP30231/TCP
Firewall
Firewall
Il router/firewall, prima
Il router/firewall, prima di di inoltrarlo
inoltrarlo,, consultaconsulta lala tabella tabella delle
delle ACL (Access Control List)ACL (Access Control List)
Firewall Firewall
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet
B = BLOCK B = BLOCK
F = FORWARD F = FORWARD
ACL table ACL table
RuleRule
FF FF BB
Dest address Dest address
62.41.244.2 62.41.244.2
AnyAny AnyAny
Dest port Dest port
80/TCP 80/TCP Any/TCP Any/TCP
AnyAny
Src address Src address
AnyAny AnyAny
62.41.244.2 62.41.244.2
Src port Src port
Any/TCP Any/TCP
AnyAny 80/TCP 80/TCP
ACL ACL
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Il router/firewall
Il router/firewall accetta accetta il pacchetto
il pacchetto ÎÎ NAT eNAT e inoltroinoltro alal destinatariodestinatario
Firewall
Firewall
Il server
Il server risponde alla risponde alla richiesta di connessione richiesta di connessione
del client del client
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Firewall
Firewall
Il server
Il server risponderisponde al client al client con un
con un pacchetto aventepacchetto avente:: SIP 62.41.244.2
SIP 62.41.244.2 SPortSPort 80/TCP80/TCP
Firewall Firewall
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet
Il router/firewall, prima
Il router/firewall, prima di di inoltrarlo
inoltrarlo,, consultaconsulta lala tabella tabella delle
delle ACL (Access Control List)ACL (Access Control List)
Firewall Firewall
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet
B = BLOCK B = BLOCK
F = FORWARD F = FORWARD
ACL table ACL table
RuleRule
FF FF BB
Dest address Dest address
62.41.244.2 62.41.244.2
AnyAny AnyAny
Dest port Dest port
80/TCP 80/TCP Any/TCP Any/TCP
AnyAny
Src address Src address
AnyAny AnyAny
62.41.244.2 62.41.244.2
Src port Src port
Any/TCP Any/TCP
AnyAny 80/TCP 80/TCP
ACL ACL
Il router/firewall
Il router/firewall applicaapplica
lala traduzionetraduzione (NAT) e(NAT) e ilil clientclient
riceve correttamente il pacchetto riceve correttamente il pacchetto
62.41.244.2 62.41.244.2
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Firewall
Firewall
Il client
Il client inviainvia al default router unal default router un pacchetto
pacchetto IPIP aventeavente:: SIP 192.168.1.1
SIP 192.168.1.1 SPortSPort 30232/TCP30232/TCP
Firewall Firewall
212.15.15.26 212.15.15.26
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet
Il router/firewall, prima di Il router/firewall, prima di inoltrarlo
inoltrarlo, , consultaconsulta la tabella la tabella delle
delle ACL (Access Control List)ACL (Access Control List)
Filtraggio Filtraggio
212.15.15.26 212.15.15.26
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet
B = BLOCK B = BLOCK
F = FORWARD F = FORWARD
ACL table ACL table
RuleRule
FF FF BB
Dest address Dest address
62.41.244.2 62.41.244.2
AnyAny AnyAny
Dest port Dest port
80/TCP 80/TCP Any/TCP Any/TCP
AnyAny
Src address Src address
AnyAny AnyAny
62.41.244.2 62.41.244.2
Src port Src port
Any/TCP Any/TCP
AnyAny 80/TCP 80/TCP
ACL ACL
212.15.15.26 212.15.15.26
Internet Internet firewall
firewall firewall
192.168.1.1 192.168.1.1 192.168.1.1
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Il router/firewall
Il router/firewall blocca il blocca il pacchetto
pacchetto ee inviainvia al client unal client un pacchetto
pacchetto ICMP Destination ICMP Destination
Filtraggio
Filtraggio
Un client
Un client esterno invia una esterno invia una richiesta
richiesta al server al server protettoprotetto
212.14.15.26 212.14.15.26
Internet Internet firewall
firewall firewall
192.168.1.100 192.168.1.100 192.168.1.100
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Servizi protetti
Servizi protetti
Il pacchetto possiedeIl pacchetto possiede:: SIP 212.14.15.26
SIP 212.14.15.26 SPortSPort 3200/TCP3200/TCP DIP 158.109.1.253
DIP 158.109.1.253 DPortDPort 80/TCP80/TCP
Servizi protetti Servizi protetti
212.14.15.26 212.14.15.26
Internet Internet firewall
firewall firewall
192.168.1.100 192.168.1.100 192.168.1.100
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet
intranet
B = BLOCK B = BLOCK
F = FORWARD F = FORWARD
ACL table ACL table
RuleRule
FF FF BB
Dest address Dest address
158.109.1.253 158.109.1.253
AnyAny AnyAny
Dest port Dest port
80/TCP 80/TCP Any/TCP Any/TCP
AnyAny
Src address Src address
AnyAny AnyAny
192.168.1.100 192.168.1.100
Src port Src port
Any/TCP Any/TCP
AnyAny 80/TCP 80/TCP
ACL ACL
Il router/firewall
Il router/firewall applica applica la la traduzionetraduzione (NAT) e (NAT) e inoltra inoltra
il pacchetto
il pacchetto al server al server internointerno
212.14.15.26 212.14.15.26
Internet Internet firewall
firewall firewall
192.168.1.100 192.168.1.100 192.168.1.100
192.168.1.254 192.168.1.254 192.168.1.254
158.109.1.253 158.109.1.253 158.109.1.253
intranet intranet
Servizi protetti
Servizi protetti
Proxy e application gateway
Proxy e application
gateway
Î Riguarda il traffico uscente dalla rete aziendale
Î Riguarda il traffico uscente dalla rete aziendale
Î Fa da intermediario (o proxy) al flusso di dati tra i client
interni e i server esterni
Î Fa da intermediario (o proxy) al flusso di dati tra i client
interni e i server esterni
Application gateway Application gateway
Î Collega due segmenti di rete a livello di applicazione
Î Collega due segmenti di rete
a livello di applicazione
Application gateway Application gateway
Î Il sistema maschera l’origine del collegamento iniziale
Î Il sistema maschera l’origine del collegamento iniziale
Î I client della rete interna
accedono ai servizi su Internet soltanto attraverso il gateway Î I client della rete interna
accedono ai servizi su Internet soltanto attraverso il gateway Î Il gateway può autorizzare
gli utenti in base a specifiche policy di accesso
Î Il gateway può autorizzare
gli utenti in base a specifiche
policy di accesso
Application gateway e servizi Application gateway e servizi
Î HTTP Î HTTP
Î FTP Î FTP
Î Telnet Î Telnet
Servizi che possono essere filtrati mediante application gateway:
Servizi che possono essere filtrati mediante application gateway:
Î Posta elettronica
(SMTP, POP3/IMAP) Î Posta elettronica
(SMTP, POP3/IMAP)
Î Î … …
Policy di accesso Policy di accesso
Î IP black list: lista dei server riconosciuti come maliziosi Î IP black list: lista dei server
riconosciuti come maliziosi Î A fasce orarie
Î A fasce orarie
Î Keyword list: elenco di termini vietati o non conformi
Î Keyword list: elenco di termini
vietati o non conformi
Policy di accesso Policy di accesso
Î Tipo di informazioni scambiate (file eseguibili, immagini…)
Î Tipo di informazioni scambiate (file eseguibili, immagini…)
Î Personalizzate per utente
Î Personalizzate per utente
Application gateway Application gateway
www.ieee.com www.ieee.com
intranet intranet intranet
Internet
Internet
Internet
Application gateway Application gateway
www.ieee.com www.ieee.com
intranet intranet intranet
Internet Internet Internet
MI SERVE
WWW.IEEE.COM/802.HTML
Application gateway Application gateway
www.ieee.com www.ieee.com
intranet intranet intranet
Internet Internet Internet IEEE.COM
E’ UN SITO FIDATO!
Application gateway Application gateway
www.ieee.com www.ieee.com
intranet intranet intranet
Internet Internet Internet
802.html
802.html
Application gateway Application gateway
www.ieee.com www.ieee.com
intranet intranet intranet
Internet Internet Internet
802.html
802.html ECCOLO!
Application gateway Application gateway
www.ieee.com www.ieee.com
intranet intranet intranet
Internet Internet Internet
MI SERVE
WWW.CASINOONLINE.COM
802.html
802.html
www.ieee.com www.ieee.com
intranet intranet intranet
Internet Internet Internet
Application gateway Application gateway
802.html 802.html
VIETATO!
Firewall e DMZ
Firewall e DMZ
Î Porzione di rete a cavallo tra la rete protetta e Internet
Î Porzione di rete a cavallo tra la rete protetta e Internet
Î Separa i servizi pubblicamente accessibili da servizi e dati di natura privata
Î Separa i servizi pubblicamente accessibili da servizi e dati di natura privata
Î Zona demilitarizzata Î Zona demilitarizzata
DMZ DMZ
DMZ DMZ
intranet intranet intranet
DMZDMZ DMZ
Internet Internet Internet Servizi privati
Servizi privati Servizi privati
Host interni HostHost interniinterni
intranet intranet intranet
DMZDMZ DMZ
Internet Internet Internet
DMZ DMZ
Protected hosts Protected hosts Protected hosts
Outer firewall Outer firewall Outer firewall Inner firewall
Inner firewall Inner firewall