5 Flashcards
fw def
connessione controllata tra due network a due livelli di sicurezza differenti, se uno è compromesso l’altro no (separazione), access control policy chi può viaggiare tra i due livelli
ingress/egress
obiettivi (ingress chi può accedere a servizi , permettere application exchange)
tcp stateful /udp stateless (ogni msg autonomo difficile identificare direzione)
regole fw
packet filter
controllo a network level ip header/tcp header
indipendente da app (easy to fool -> fragmentation, IP spoofing)
good performance/low cost
no dynamic port (FTP)
complex to configure
no user authN (troppi pochi dati)
authorization policies
application-level gateway
set of proxies esaminano traffic
modifiche in client app
nasconde rete interna
peer authN
CONTRO
1 proxy per app (delay in supporting new app, pesante per tanti processi, processi in user-mode -> lento)
rompe totalmente c/s (+ protezione per server, client si deve adeguare)
problemi con app che non permettono inspection of traffic (TLS)
transparent (a client sembra di comunicare con server, + complesso) / strong app (inspecta semantica non solo sintassi, meaning codice e proibisce alcuni comandi) proxy
circuit level gateway
copia tcp segments e udp datagram senza capire
access control rules
riassemblando ip packets impedisce alcuni attacchi (TCP handshake è fatto con lui dunque impedisce syn flooding, no udp flooding, no fragmentation atk, no tcp reset)
può autenticare o no client (possibili modifiche in app)
http forward proxy
front-end for the client (egress)
shared cache for external pages for internal users
authN e authZ for internal users
allowed sites, controllo dati malevoli
http reverse proxy e configurazioni
front-end for real server (ingress)
content inspections
obfuscations
endpoint for tls (possible inspectare e aumentare velocità)
cache for static content
compression risposte,
spoon feeding per pagina dinamica
load balancer (redistribuisce richieste su più server in base ad availability
packet filter arch
single point of failure, cheap (solo router), easy, insecure
dual-homed gateway
doppia linea, easy, poco hw, maschera rete interna, ma inflexibility
screened host architecture
gw as bastion host, una sola linea di difesa per alcuni pacchetti, due per altri, difficult to manage, maschera solo protocolli che passano da bastion, ma più flessibile
screened subnet network 1
doppia linea per tutti (3 per alcuni) (2 rputer from different vendors), expensive
screened subnet network 2
1 single point of failure, difficile da configurare e implementare
personal fw
direttamente su nodo (aggira tls), limitazione a aprire canali (client) e rispondere a richieste (server), fw management separato da system management
ids (def,ipotesi,attivo/passivo)
componenti ids
sensori (su nodi e net), director, ids msg systems
ips
ids + fw dinamico
next generation fw
identificazione delle applicazioni indipendentemente dalla porta usata + user identification per policy basate su esso, filtering based on known vulnerabilities
honey pot
