Chat del 2 Novembre 2017 dalle 19:34:09 alle 20:14:23

Stefano Salvi

Buona sera a tutti. Ci siamo. Appena entrate potete cominciare con le domande.

Nicola VENTURINI

Buona sera

Marco MORONI

buonasera profe

Stefano Salvi

Meno male! Cominciavo a pensare he ve la foste dimanticata!

Marco MORONI

tutto bene la gita ?

Stefano Salvi

Si. Giornata decisamente buona. Una gita regalata...

Lavpreet SINGH

buonasera

Amir TEKAYA

Buonasera

Stefano Salvi

Passiamo alle domande serie.

Nicola VENTURINI

Quando parlavamo di cosa fa il proxy analizzavamo i due casi: dove serve il NAT e dove non serve. Un esempio di connessione dove non c\'è la NAT, cos\'è? ipv6?

Stefano VIGHINI

Qual\'è la differenza fra firewall di lvl 4 e di lvl 7? (non esiste di lvl 3 giusto?) Buonasera

Diego NOGARETTI

buonasera

Sofia MARI

Può spiegare la differenza tra ACL/ACL avanzate e firewall? Io ho scritto solo che le ACL bloccano il traffico entrante mentre il firewall quello uscente...

Stefano Salvi

Venturini: (anche, se vuoi) una conessione senza NAT è quella nella quale ho assegnato ai server degli IP pubblici. Il firewall si limita a fare filtraggio.

Vighini: al livello 3 c\'è lo SWITCH. Il firewall di livello 4 ragiona sulle connessioni, ma non sul contenuto trasmesso. Il firewall di livello 7 (oltre a fare tutto ciò che fa il firewall di livello 3) analizza anche i dati trasmessi e fa filtraggi o operazioni su di essi. L\'abbiamo anche chiamato prozy.

Nicola VENTURINI

Quando parlava dei problemi con la FTP Active il Proxy che intercettava il comando PORT era quello del Client o del Server? (sono i dubbi preverifica non mi giudichi)

Stefano Salvi

Vighini - correzione: il livello 3 è il ROUTER! Lo switch è di livello 2! (oppss...)

Marco MORONI

(Collegandomi a quello di vighini) Il firewall di livello 3? qualè?

ah ok ho letto ora :)

Stefano Salvi

Mari: Sia ACL che firewall (eccezion fatta per NAT e livello 7) si limitano a far passare o bloccare pacchetti. Nelle ACL la scelta dei pacchetti è basata solo sulle informazioni IP (indirizzo mittente e destinatario). Nelle ACL avanzate anche sul protocollo di livell 4 e sulle porta. Nel firewall stateless, si può basare su ogni campo dell\'intestazione IP, TCP o UDP. Nello statefull firewall tiene traccia anche della sequenza dei pacchetti the sono passati.

Sofia MARI

Quando nelle ACL un pacchetto ha come opzione "log" il ruouter segna il passaggio, ma poi comunque viene inoltrato alla macchina?

Stefano Salvi

Mari: non viene né inoltrato né bloccato. Semplicemente si passa alla regola successiva, per decidere che fare del pacchetto. Ti ricordo che le ACL sono Access Control LIST!

Già esaurite le domande???

Diego NOGARETTI

prof, nelle acl ogni pacchetto ha una sola regola e basta giusto?

Nicola VENTURINI

Non ha risposto alla mia seconda

Comunque, perchè il secondo Firewall nel caso della rete con due firewall si occupa solo della FTP Passive?

Stefano Salvi

Nogaretti: salvo le regole di LOG, si. O lo accetto o lo scarto. Solo se "passa indenne" fino in fondo alla lista potrebbe finire in mano alla "politica" della lista, vale a dire al comportamento di default.

Amir TEKAYA

Può rispiegare brevemente il funzionamento della DMZ?

Marco MORONI

Ma in una rete non c\'è solo un firewall? :|

Stefano Salvi

Venturini (seconda domanda): quando parlavo di FTP Active il firewall era dla lato dle CLIENT. Se fosse dal lato del server avremmo problemi con il modo passive (la situazione è ribaltata).

Venturini: perché il secondo firewall (che probabilmente è quello esterno) è "lato server"!

Sofia MARI

prof, mi scusi ma non ho ancora capito bene allora come funzionano le ACL. Cioè mi arriva il pacchetto guardo il mittente se corrisponde ad accept lo mando, se corrisponde a deny lo fermo.. ma non ho capito cosa succede con il log, in che senso va avanti la lista? Cosa controlla dopo aver controllato il mittente e aver visto che non fa parte delle prime due regole?

Stefano Salvi

Tekaya: per consentire ai server esterni di essere raggiungibili da Internet (per i loro servizi) ma evitare che, se compromessi, possano danneggiare la rete interna, li metto in una terza rete (la prima è l\'esterna o insicura, la seconda è l\'interna o sicura) che chiamo DeMilitarized Zone. In questa rete concedo l\'accesso dall\'esterno ai server. I server in questa rete non possono raggiungere la rete interna.

Moroni: una volta ho detto: invece di fare un firewall con tre porte, per fare la DMX potrei fare DUE firewall separati: uno tra Internet e DMZ ed un seocndo tra DMZ e rete interna. A questo si riferiva Venturini. È un po\' un caso limite.

Nicola VENTURINI

Non ho capito a cosa serve e come funziona la DMX

Nente scus

Marco MORONI

ah okk avevo capito male, pensavo 2 firewall sulla stessa rete... Non è possibile averli giusto? potrebbero entrare in conflitto no?

Stefano Salvi

Mari: ogni regola ha dele condizioni che riguardano mittente o DESTIANATARIO. Se il pacchetto rispetta le condizioni allora eseguo l\'azione, poi passo al prossimo, salvo che se l\'azioen è "accept" lo faccio passare e qundi non vado avanti con la coda. Se invece è "deny" allora lo butto via e ancora non ho più niente per continuare con la coda. Se è "log" semplicemente lo registro nel "log del firewall", ma avendo ancora i pacchetto, vado avanti con le prossime regole.

Moroni: ovviamente due firewall tra la stessa COPPIA di reti farebbero danno. Sulla stessa rete, ma con destinazioni diverse invece potrei averli.

Marco MORONI

Ottimo grazie

è difficile la verificia?

verifica*

Sofia MARI

con un firewall stateless se mi arriva un sin-ack parte una connessione TCP con il mittente del sin-ack giusto?

Stefano Salvi

No, no. La verifica non è affatto difficile. È IMPOSIBILE!!! (ma dai, va la...)

Mari: con il firewall stateless se mi arriva un syn-ack che non sia preceduto da un syn ed un ack viene lasciato passare. Sarà poi problema del destinatario accettarlo oppure scartarlo. Se il destinatario è bacato, lo accetta e resta fregato...

Marco MORONI

Ma anche se fosse preceduto da un syn e da un ack in teoria non verrebbe lasciato passare lo stesso? non considera le singole trame?

Nicola VENTURINI

Come mi proteggo da un attacco DDOS? Posso rifiutare i pacchetti quando noto qualcosa di strano?

Stefano Salvi

Moroni: certo. lo lascerebbe passare, ma sarebbe un pacchetto lecito... Se invece è da solo è illecito, il firewall statefull lo bloccherebbe.

Venturini: posso limitare il numero di pacchetti di un certo tipo per secondo. Posso bloccare i mittenti se fanno traffico che genera errori. Possu usare blacklist di IP "maligni". Nel caso del DDOS non credo esista un metodo "scientifico". PEr gli attacchi DOS qualcosa c\'è. Psosso riconoscere richieste illecite (che violano il protocollo) e rifiutarle. Un DOS tipico è quello di inviare una serie di ACK e non arrivare mai a termiare l\'handshake. Ad un certo punto la macchina ha tante connessioni pendenti che non riesce più ad accettarne altre.

Venturini: questa, con le tecniche del conteggio dei pacchetti di un cdrtto tipo o addirittura con lo statefull firewall potrei bloccarlo.

Che ne dite, chiudiamo e andiamo a cena?

Marco MORONI

concordo profe

Nicola VENTURINI

Too many cooks spoil the broth

Marco MORONI

ho pasta e fagioli che mi aspetta

Stefano Salvi

Per me ne basterebbe uno, ma magari bravo...

Ok, allora buona cena, buon ripoiso ed in bocca al lupo.