[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [translators] [docinfo] [indice analitico] [volume] [parte]

Capitolo 777. Firewall

Figura 777.1.

Azione	Pos.	Prot.	IP srg		IP dst		ICMP	Int.
1	2	3	4	5	6	7	8	9	10

I valori mancanti vengono considerati indifferenti:

azione del filtro: blocco, rifiuto, accettazione, contabilizzazione, o altro;
posizione del filtro: in ingresso, in uscita, in transito o altro;
protocollo: TCP, UDP, ICMP;
indirizzi IP di origine, nella forma
[!]indirizzo_ip/n_bit_maschera
porte TCP o UDP di origine, nella forma
[!]n_iniziale[-n_finale]
indirizzi IP di destinazione, nella forma
[!]indirizzo_ip/n_bit_maschera
porte TCP o UDP di destinazione, nella forma
[!]n_iniziale[-n_finale]
tipo di messaggio ICMP;
interfaccia di rete coinvolta;
altre caratteristiche eventuali.

Tabella 777.3. Alcuni tipi ICMP.

Tipo	Nome	Chi lo utilizza
0	echo-reply	ping
3	destination-unreachable	traffico TCP/UDP
5	redirect	instradamento dei pacchetti
8	echo-request	ping
11	time-exceeded	traceroute

777.1 Concetti generali

777.1.1) A cosa serve un firewall?

[ ] a impedire gli accessi indesiderati;

[ ] ad accumulare in una memoria locale le risorse che vengono richieste più frequentemente;

[ ] a procurare qualcosa per conto di qualcun altro;

[ ] ad accedere a dei servizi speciali.

777.1.2) In cosa consiste il filtro dei pacchetti?

[ ] nella ripulitura dei pacchetti;

[ ] nella modifica degli indirizzi e delle porte;

[ ] nella modifica dei messaggi ICMP;

[ ] nell'individuazione di questi in base alle loro caratteristiche;

[ ] nell'impedire il passaggio dei pacchetti che hanno o che non hanno caratteristiche determinate.

777.1.3) In cosa consiste il problema o il vantaggio di avere pacchetti frammentati a livello del protocollo IP?

[ ] nella maggiore facilità di identificazione delle loro caratteristiche;

[ ] nella maggiore difficoltà di identificazione delle loro caratteristiche;

[ ] nell'impossibilità di individuare alcune caratteristiche nei frammenti successivi al primo;

[ ] nella minore presenza di rischi.

777.2 Configurazione

777.2.1) In base allo schema che appare in figura 777.1, specificare il blocco del transito di tutto il traffico UDP.

Azione	Pos.	Prot.	IP srg	IP dst	ICMP	Int.

777.2.2) In base allo schema che appare in figura 777.1, consentire esplicitamente il transito dei pacchetti che dovrebbero riguardare il protocollo DNS (porta 53, TCP e UDP), indipendentemente dagli indirizzi IP di origine e di destinazione.

Azione	Pos.	Prot.	IP srg	IP dst	ICMP	Int.

777.2.3) In base allo schema che appare in figura 777.1, bloccare il transito dei pacchetti del protocollo di X, che utilizza le porte da 6 000 a 6 009, indipendentemente dagli indirizzi IP di origine e di destinazione.

Azione	Pos.	Prot.	IP srg	IP dst	ICMP	Int.

777.2.4) In base allo schema che appare in figura 777.1 e alla tabella 777.3, impedire l'ingresso di richieste di PING dall'interfaccia x.

Azione	Pos.	Prot.	IP srg	IP dst	ICMP	Int.

777.2.5) In base allo schema che appare in figura 777.1 e alla tabella 777.3, impedire il transito di tutto il traffico ICMP escluso il tipo 3 (destinazione irraggiungibile) e di tipo 11 (tempo scaduto).

Azione	Pos.	Prot.	IP srg	IP dst	ICMP	Int.

777.2.6) In base allo schema che appare in figura 777.1 e alla tabella 777.9, impedire l'ingresso di pacchetti che risultano avere origine da indirizzi IPv4 riservati alle reti private, provenienti dall'interfaccia y.

Tabella 777.9. Indirizzi IPv4 riservati alle reti private.

Classe	Indirizzi
A	10.0.0.0/8
B	172.16.0.0/12
C	192.168.0.0/16

Azione	Pos.	Prot.	IP srg	IP dst	ICMP	Int.

777.2.7) Impedire il transito del traffico SMTP e POP3, che usa connessioni TCP, rispettivamente con le porte 25 e 110 dal lato servente.

Azione	Pos.	Prot.	IP srg	IP dst	ICMP	Int.

Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome firewall.htm

[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [translators] [docinfo] [indice analitico]