Chat del 2 Novembre 2017 dalle 19:34:09 alle 20:14:23
- Stefano Salvi
- Buona sera a tutti. Ci siamo. Appena entrate potete cominciare con le domande.
- Nicola VENTURINI
- Buona sera
- Marco MORONI
- buonasera profe
- Stefano Salvi
- Meno male! Cominciavo a pensare he ve la foste dimanticata!
- Marco MORONI
- tutto bene la gita ?
- Stefano Salvi
- Si. Giornata decisamente buona. Una gita regalata...
- Lavpreet SINGH
- buonasera
- Amir TEKAYA
- Buonasera
- Stefano Salvi
- Passiamo alle domande serie.
- Nicola VENTURINI
- Quando parlavamo di cosa fa il proxy analizzavamo i due casi: dove serve il NAT e dove non serve. Un esempio di connessione dove non c\'è la NAT, cos\'è? ipv6?
- Stefano VIGHINI
- Qual\'è la differenza fra firewall di lvl 4 e di lvl 7? (non esiste di lvl 3 giusto?) Buonasera
- Diego NOGARETTI
- buonasera
- Sofia MARI
- Può spiegare la differenza tra ACL/ACL avanzate e firewall? Io ho scritto solo che le ACL bloccano il traffico entrante mentre il firewall quello uscente...
- Stefano Salvi
- Venturini: (anche, se vuoi) una conessione senza NAT è quella nella quale ho assegnato ai server degli IP pubblici. Il firewall si limita a fare filtraggio.
- Vighini: al livello 3 c\'è lo SWITCH. Il firewall di livello 4 ragiona sulle connessioni, ma non sul contenuto trasmesso. Il firewall di livello 7 (oltre a fare tutto ciò che fa il firewall di livello 3) analizza anche i dati trasmessi e fa filtraggi o operazioni su di essi. L\'abbiamo anche chiamato prozy.
- Nicola VENTURINI
- Quando parlava dei problemi con la FTP Active il Proxy che intercettava il comando PORT era quello del Client o del Server? (sono i dubbi preverifica non mi giudichi)
- Stefano Salvi
- Vighini - correzione: il livello 3 è il ROUTER! Lo switch è di livello 2! (oppss...)
- Marco MORONI
- (Collegandomi a quello di vighini) Il firewall di livello 3? qualè?
- ah ok ho letto ora :)
- Stefano Salvi
- Mari: Sia ACL che firewall (eccezion fatta per NAT e livello 7) si limitano a far passare o bloccare pacchetti. Nelle ACL la scelta dei pacchetti è basata solo sulle informazioni IP (indirizzo mittente e destinatario). Nelle ACL avanzate anche sul protocollo di livell 4 e sulle porta. Nel firewall stateless, si può basare su ogni campo dell\'intestazione IP, TCP o UDP. Nello statefull firewall tiene traccia anche della sequenza dei pacchetti the sono passati.
- Sofia MARI
- Quando nelle ACL un pacchetto ha come opzione "log" il ruouter segna il passaggio, ma poi comunque viene inoltrato alla macchina?
- Stefano Salvi
- Mari: non viene né inoltrato né bloccato. Semplicemente si passa alla regola successiva, per decidere che fare del pacchetto. Ti ricordo che le ACL sono Access Control LIST!
- Già esaurite le domande???
- Diego NOGARETTI
- prof, nelle acl ogni pacchetto ha una sola regola e basta giusto?
- Nicola VENTURINI
- Non ha risposto alla mia seconda
- Comunque, perchè il secondo Firewall nel caso della rete con due firewall si occupa solo della FTP Passive?
- Stefano Salvi
- Nogaretti: salvo le regole di LOG, si. O lo accetto o lo scarto. Solo se "passa indenne" fino in fondo alla lista potrebbe finire in mano alla "politica" della lista, vale a dire al comportamento di default.
- Amir TEKAYA
- Può rispiegare brevemente il funzionamento della DMZ?
- Marco MORONI
- Ma in una rete non c\'è solo un firewall? :|
- Stefano Salvi
- Venturini (seconda domanda): quando parlavo di FTP Active il firewall era dla lato dle CLIENT. Se fosse dal lato del server avremmo problemi con il modo passive (la situazione è ribaltata).
- Venturini: perché il secondo firewall (che probabilmente è quello esterno) è "lato server"!
- Sofia MARI
- prof, mi scusi ma non ho ancora capito bene allora come funzionano le ACL. Cioè mi arriva il pacchetto guardo il mittente se corrisponde ad accept lo mando, se corrisponde a deny lo fermo.. ma non ho capito cosa succede con il log, in che senso va avanti la lista? Cosa controlla dopo aver controllato il mittente e aver visto che non fa parte delle prime due regole?
- Stefano Salvi
- Tekaya: per consentire ai server esterni di essere raggiungibili da Internet (per i loro servizi) ma evitare che, se compromessi, possano danneggiare la rete interna, li metto in una terza rete (la prima è l\'esterna o insicura, la seconda è l\'interna o sicura) che chiamo DeMilitarized Zone. In questa rete concedo l\'accesso dall\'esterno ai server. I server in questa rete non possono raggiungere la rete interna.
- Moroni: una volta ho detto: invece di fare un firewall con tre porte, per fare la DMX potrei fare DUE firewall separati: uno tra Internet e DMZ ed un seocndo tra DMZ e rete interna. A questo si riferiva Venturini. È un po\' un caso limite.
- Nicola VENTURINI
- Non ho capito a cosa serve e come funziona la DMX
- Nente scus
- Marco MORONI
- ah okk avevo capito male, pensavo 2 firewall sulla stessa rete... Non è possibile averli giusto? potrebbero entrare in conflitto no?
- Stefano Salvi
- Mari: ogni regola ha dele condizioni che riguardano mittente o DESTIANATARIO. Se il pacchetto rispetta le condizioni allora eseguo l\'azione, poi passo al prossimo, salvo che se l\'azioen è "accept" lo faccio passare e qundi non vado avanti con la coda. Se invece è "deny" allora lo butto via e ancora non ho più niente per continuare con la coda. Se è "log" semplicemente lo registro nel "log del firewall", ma avendo ancora i pacchetto, vado avanti con le prossime regole.
- Moroni: ovviamente due firewall tra la stessa COPPIA di reti farebbero danno. Sulla stessa rete, ma con destinazioni diverse invece potrei averli.
- Marco MORONI
- Ottimo grazie
- è difficile la verificia?
- verifica*
- Sofia MARI
- con un firewall stateless se mi arriva un sin-ack parte una connessione TCP con il mittente del sin-ack giusto?
- Stefano Salvi
- No, no. La verifica non è affatto difficile. È IMPOSIBILE!!! (ma dai, va la...)
- Mari: con il firewall stateless se mi arriva un syn-ack che non sia preceduto da un syn ed un ack viene lasciato passare. Sarà poi problema del destinatario accettarlo oppure scartarlo. Se il destinatario è bacato, lo accetta e resta fregato...
- Marco MORONI
- Ma anche se fosse preceduto da un syn e da un ack in teoria non verrebbe lasciato passare lo stesso? non considera le singole trame?
- Nicola VENTURINI
- Come mi proteggo da un attacco DDOS? Posso rifiutare i pacchetti quando noto qualcosa di strano?
- Stefano Salvi
- Moroni: certo. lo lascerebbe passare, ma sarebbe un pacchetto lecito... Se invece è da solo è illecito, il firewall statefull lo bloccherebbe.
- Venturini: posso limitare il numero di pacchetti di un certo tipo per secondo. Posso bloccare i mittenti se fanno traffico che genera errori. Possu usare blacklist di IP "maligni". Nel caso del DDOS non credo esista un metodo "scientifico". PEr gli attacchi DOS qualcosa c\'è. Psosso riconoscere richieste illecite (che violano il protocollo) e rifiutarle. Un DOS tipico è quello di inviare una serie di ACK e non arrivare mai a termiare l\'handshake. Ad un certo punto la macchina ha tante connessioni pendenti che non riesce più ad accettarne altre.
- Venturini: questa, con le tecniche del conteggio dei pacchetti di un cdrtto tipo o addirittura con lo statefull firewall potrei bloccarlo.
- Che ne dite, chiudiamo e andiamo a cena?
- Marco MORONI
- concordo profe
- Nicola VENTURINI
- Too many cooks spoil the broth
- Marco MORONI
- ho pasta e fagioli che mi aspetta
- Stefano Salvi
- Per me ne basterebbe uno, ma magari bravo...
- Ok, allora buona cena, buon ripoiso ed in bocca al lupo.
|