Sistemi e reti Firewall –Parte seconda -...
Transcript of Sistemi e reti Firewall –Parte seconda -...
05/12/2014
1
Sistemi e reti
Firewall – Parte seconda
A cura dell’Ing. Claudio Traini
Firewall – schema concettuale
05/12/2014
2
Packet filter router
• Sono liste di condizioni applicate
al traffico entrante/uscente in/da
un router
• Stabiliscono le regole per cui i
pacchetti devono essere instradati
o bloccati e scartati dal router
• Vengono configurate sul router
per controllare l’accesso ad una
rete
Packet filter router = utilizzo della ACL – Access Control List
05/12/2014
3
Regole basate su:
• IP sorgente/destinazione
• Indirizzo MAC sorgente/destinazione
• Numero di porta
• Protocollo utilizzato (TCP/UDP)
Ragioni per creare le ACL
• Limitare il traffico in rete
• Fornire controllo del flusso di traffico
• Offrire un livello base di sicurezza per l’accesso alla rete
• Permettere o negare accesso a parte della rete sulla base
del tipo di traffico
Se su un router non sono configurate le ACL tutti i pacchetti saranno instradati
verso la destinazione richiesta
05/12/2014
4
Interfacce di un router
Ogni interfaccia di un router ha due direzioni:
• Inbound : se il pacchetto entra da quella interfaccia
• Outbound: se il pacchetto esce da quella interfaccia
05/12/2014
5
Una ACL è una lista di regole di accettazione o di rifiuto di un pacchetto
su un interfaccia inbound od outbound
Strutture tipiche
N° RegolaAzione Sorgente Porta Sorg. Destinazione Porta Dest. Protocollo
1 Accept Host interno 1024 Rete esterna 80 TCP
2 Accept Host interno 2234 Host esterno 110 UDP
3 Deny Host esterno 90 Rete interna 8080 TCP
4 ……………..…………….. …………….. …………….. …………….. ……………..
05/12/2014
6
Regola Direzione Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo Porto
Destinazione
Azione
A In Esterno Interno TCP 25 Accetta
B Out Interno Esterno TCP >1023 Accetta
C Out Interno Esterno TCP 25 Accetta
D In Esterno Interno TCP >1023 Accetta
E O Alcuno Alcuno Alcuno Alcuno Nega
Esempio: servizio SMTP da gestire
Le regole A e B permettono i collegamenti SMTP ingresso (cioè le e-mail entranti)
Le regole C e D permettono i collegamenti SMTP in uscita (cioè le e-mail uscenti)
N.B.
La regola E è la regola di default che viene applicata se le altre
regole non possono essere applicate
Pacchetto Direzione Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo Porto Dest. Azione
(da regola)
1 In 192.168.3.4 172.16.1.1 TCP 25 Licenza(A)
2 Out 172.16.1.1 192.168.3.4 TCP 1234 Licenza(B)
05/12/2014
7
Regola Direzione Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo Porto
Destinazione
Azione
A In Esterno Interno TCP 25 Accetta
B Out Interno Esterno TCP >1023 Accetta
C Out Interno Esterno TCP 25 Accetta
D In Esterno Interno TCP >1023 Accetta
E O Alcuno Alcuno Alcuno Alcuno Nega
Pacchetto Direzione Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo Porto Dest. Azione
(da regola)
1 In 192.168.3.4 172.16.1.1 TCP 25 Licenza(A)
2 Out 172.16.1.1 192.168.3.4 TCP 1234 Licenza(B)
La regola A permette ai pacchetti in partenza dal client SMTP di andare al suo SMTP server
(rappresentato dal pacchetto 1)
La regola B permette alle risposte dal suo server SMTP di andare al client SMTP
(rappresentato dal pacchetto 2)
Regola Azione Indirizzo
Sorgente
Porta
Sorgente
Indirizzo
Destinazione
Porta
Destinazione
Protocollo
A Allow Any >1023 65.107.1.3 80 TCP
B Allow 65.107.1.3 80 localhost >1023 TCP
C Reject Any Any >1023 Any TCP/UDP
Esempio: servizio HTTP da gestire
65.107.1.3192.168.1.xx