Non tutte le minacce per la sicurezza della rete provengono dall esterno: è necessario proteggere la rete anche dall interno

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Non tutte le minacce per la sicurezza della rete provengono dall esterno: è necessario proteggere la rete anche dall interno"

Transcript

1 Come proteggere la rete locale intranet Non tutte le minacce per la sicurezza della rete provengono dall esterno: è necessario proteggere la rete anche dall interno La maggior parte dei responsabili dei reparti informativi riconosce la necessità di disporre di un sistema di sicurezza della rete per proteggere la intranet aziendale contro gli attacchi esterni. Esiste una copiosa documentazione sulla minaccia dei pirati che operano attraverso Internet e violano le porte di accesso remoto. Tuttavia, poche persone hanno segnalato la graduale degradazione della protezione interna della rete a mano a mano che le reti locali e le WAN si sono diffuse nelle società. Il collegamento coassiale ha ceduto il passo alle reti Token-Ring ed Ethernet, i desktop hanno sostituito i terminali non intelligenti e l esperienza degli utenti nell ambito dei sistemi informatici è aumentata rapidamente fino al punto che essi non hanno problemi ad installare software e hardware sui propri sistemi. Non è più la "rete dei nostri padri", ma piuttosto è una tana di serpenti tecnologici in costante movimento e si deve costantemente lottare per far sì che tutto funzioni giorno dopo giorno. Non sorprende dunque il fatto che non tutti abbiano avuto il tempo di pensare alla sicurezza. Mentre gli occhi sono puntati sulla porta principale (per tenere a bada i pirati in agguato con sofisticati controlli dei gateway), nessuno controlla dall interno un pericolo altrettanto importante, se non peggiore, posto dai dipendenti, dalle terze parti, dal personale che effettua le riparazioni e dai visitatori che hanno accesso fisico alla rete interna. Le aziende, che regolarmente tengono sotto chiave i documenti cartacei importanti, spesso non sanno che gli stessi documenti possono passare attraverso la rete locale senza nessuna protezione contro l intercettazione e la divulgazione. Gli hacker sono rinomati per gli attacchi alle reti con una forte protezione esterna ma una protezione interna debole. Li chiamano siti "tootsie-pop": croccanti all esterno e morbidi all interno. Esistono software sofisticati, facilmente reperibili, che consentono a qualunque utente di trasformare il proprio desktop in una stazione d attacco dalla quale ottenere accesso alla rete (a meno che non si prendano precauzioni per proteggerla). Fortunatamente, i passaggi da seguire per ottenere una intranet più sicura sono semplici, anche se non necessariamente a buon mercato. Studiando le minacce a cui è soggetta una intranet e la tecnologia di protezione disponibile, si può scegliere in modo intelligente dove applicare alcune misure di protezione. La minaccia interna La maggior parte dei responsabili EDP ripone un enorme fiducia nei propri dipendenti e nelle altre persone che regolarmente accedono alla rete. Non c è nulla di sbagliato in questo, a condizione che la fiducia non sia l unica protezione contro gli abusi. Nessuno lascerebbe la documentazione relativa alle buste paga o le relazioni contabili sul tavolo della mensa, allo stesso modo si deve evitare di lasciare in giro i dati sensibili quando non è necessario. Un

2 atteggiamento dannoso, molto diffuso, è pensare "Ci sono pochissime cose nella rete che potrebbero interessare a qualcuno e comunque qui nessuno è in grado di manipolare la rete". Non bisogna mai sottovalutate il valore che alcune informazioni possono avere per le persone prive di scrupoli. Bisogna prendere in considerazione l elenco di tutte le persone che si possono collegare alla LAN ed estrarre dati: i dipendenti, i collaboratori temporanei, le terze parti e i consulenti, i tecnici addetti alle riparazioni e perfino i visitatori. Probabilmente esistono "uscite" dalla rete in tutta l azienda, alcune delle quali sono dimenticate e inutilizzate. Le probabilità che si riesca ad impedire a tutti di violare la rete sono praticamente zero. Anche se si riuscisse a limitare l accesso fisico al solo personale autorizzato, gli utenti legittimi potrebbero avere molte ragioni per utilizzare in modo scorretto i dati sui quali riescono a mettere le mani. Quindi, il primo passo per avere una rete più sicura è riconoscere che si devono proteggere le risorse e non limitare l accesso. Un elenco delle risorse più importanti e delle funzionalità che richiedono protezione è il seguente: accesso a programmi, dati e messaggi elettronici su mainframe, server e altri sistemi desktop degli utenti; accesso a livello di configurazione alle periferiche di rete quali hub, switch e router; informazioni sull architettura della intranet, incluse le strutture di protezione e i meccanismi di sicurezza posti sui gateway della rete; informazioni che passano tra i nodi su un segmento della LAN della intranet o tra segmenti tramite un sistema di indirizzamento WAN; trasmissione di grosse quantità di informazioni in uscita dalla rete tramite posta elettronica o trasferimento di file. È opportuno innanzitutto analizzare la rete per vedere quali protezioni sono state adottate per ciascuna di queste risorse; quindi, utilizzando le direttive fornite nei paragrafi che seguono, si potranno preparare piani per bloccare le risorse non protette (sarà sorprendente constatare quante risorse non sono protette). I passaggi fondamentali per aumentare la protezione della intranet sono i seguenti: accertarsi che tutti i servizi accessibili al pubblico su tutti i computer collegati siano protetti da password e che l accesso di manutenzione a qualunque periferica di rete sia bloccato con una password; tenere registri degli accessi per quanti più servizi possibile e stabilire procedure per una revisione periodica di questi registri;

3 limitare l accesso ai diagrammi della rete, alle assegnazioni degli indirizzi IP, ai documenti di inventario della rete e ad altri documenti relativi all architettura della intranet; attuare una politica che proibisca agli utenti di installare ed utilizzare i tool di monitoraggio e scoperta della rete e il software server quale i server Web e FTP (File Transfer Protocol); prevenire intrusioni nella rete eliminando le tecnologie di rete per trasmissioni quali le unità di accesso per stazioni multiple (MAU) Token-Ring e gli hub Ethernet. Utilizzare invece la tecnologia di commutazione; evitare di usare protocolli di indirizzamento della rete che automaticamente configurano i percorsi predefiniti. Utilizzare solamente l indirizzamento statico all interno della intranet, con percorsi predefiniti solamente per il traffico su Internet; proibire l accesso remoto in uscita ad altre reti o computer eccetto attraverso i canali controllati e tenere registri dell attività di accesso remoto in uscita.; accertarsi che il firewall blocchi i trasferimenti di file in uscita arbitrari e che tutti i trasferimenti in uscita necessari vengano registrati e controllati. Queste misure bloccheranno i "vuoti" più ovvi nella rete, ma sono da considerarsi come il livello minimo di impegno che un amministratore della rete responsabile deve garantire. Il costo principale per l implementazione è costituito dalla manodopera necessaria per creare e gestire le protezioni, anche se probabilmente sarà necessario investire in alcune infrastrutture hardware per sostituire dispositivi non sicuri quali gli hub Ethernet. Tuttavia, si possono prendere in considerazione anche metodi più drastici (per esempio la crittografia dei dati) per i dati altamente sensibili. Con questa "mappa" si può ora analizzare nel dettaglio ciascun settore che comporta problemi. Chi ha l accesso? In qualunque centro esiste un controllo delle password sull AS/400. L importanza di proteggere questa risorsa centralizzata è ovvia. Tuttavia, è altrettanto importante accertarsi di avere una protezione con password su tutti gli altri server e le altre periferiche, per esempio i server di file condivisi, i server Web della intranet e la condivisione di file "peer-to-peer". Sebbene questo atteggiamento crei più lavoro di quando si consente l accesso libero a tutti, è l unico modo per garantire che gli "utenti" indesiderati non possano accedere ai servizi di rete fondamentali. Per impedire ai collaboratori temporanei di raccogliere informazioni interne è necessario bloccare anche ciò che gli utenti usano regolarmente. Dato che la protezione delle password dipende dalla collaborazione degli utenti, vale la pena pensare quale sarà l effetto delle password sugli utenti. In primo luogo, perché le password siano efficaci, devono essere abbastanza comode da

4 usare. In secondo luogo, per essere davvero sicure, le password devono essere uniche, quindi non si deve usare la stessa password per tutti o la stessa password per tutti gli utenti appartenenti allo stesso gruppo. A ciascun utente deve essere assegnata un unica password, se possibile, e, per ciascun utente, è necessario avere un elenco di tutte le risorse a cui l ID utente/password consente di accedere. Suddividendo l accesso in questo modo, se la password di un utente risulta compromessa non sarà necessario dare nuove password a più persone e basterà revocare l accesso ad uno o più servizi per un singolo utente. Una delle tradizionali regole empiriche sulle password è che gli utenti dovrebbero cambiarle spesso. Molti sistemi utilizzano date di scadenza per obbligare gli utenti a cambiare la propria password a intervalli regolari. Con tutti questi utenti che cambiano le password per tutti i vari servizi, l unico sistema pratico per controllare le password in modo efficace è avere un amministrazione centralizzata. Si possono gestire manualmente elenchi di utenti e password, oppure si possono utilizzare server di autenticazione centralizzati. Il server di autenticazione più comune attualmente in uso è RADIUS (Remote Authentication Dial-In User Service). Con RADIUS si gestisce un server di autenticazione principale contenente un database protetto di utenti, risorse e password e possibilmente anche uno o due server di backup. Le periferiche che devono autenticare gli utenti (un server di database, per esempio, oppure un server di accesso remoto) richiedono all utente un ID e una password e li passano al server RADIUS tramite una sessione cifrata. Il server RADIUS dice sì o no. Con RADIUS è possibile modificare immediatamente l accesso dell utente ad una vasta gamma di servizi senza aggiornare le tabelle utente sul servizio stesso. Inoltre, RADIUS include una funzione di contabilità che registra a livello centrale tutti gli accessi e i tentativi di accesso, fornendo un unico punto di controllo per le regolari revisioni della sicurezza. La figura 1 illustra una tipica console RADIUS. Purtroppo i server abilitati per RADIUS non sono ancora tanto diffusi da costituire la soluzione ultima per l amministrazione degli accessi. In particolare, l AS/400 non può né fungere da server RADIUS né utilizzare un server RADIUS esterno per controllare l accesso. Quindi, nell attuale ambiente intranet, si dovranno svolgere parecchia attività di amministrazione manuale delle password. Un database RADIUS può comunque costituire un deposito centralizzato eccellente per le informazioni sulle password degli utenti. Non bisogna però dimenticarsi di proteggere il database. L altro luogo in cui sono necessari i controlli con password è l accesso di manutenzione a tutti i dispositivi di rete poco "intelligenti" presenti nella intranet: hub, switch, router, server per i terminali, eccetera. Molte di queste periferiche possono essere utilizzate per intrufolarsi nel traffico della rete (come verrà descritto nel successivo paragrafo), quindi è necessario bloccare sistematicamente ciascuna di queste periferiche utilizzando una password unica. Qui l enfasi va messa sulla parola unica. Si deve resistere alla tentazione

5 di dare a tutte le periferiche, o a tutte le periferiche di una classe (per esempio gli hub), la stessa password. Queste periferiche solitamente non supportano password utente multiple, quindi esiste già un punto debole nel fatto che una singola password sarà nota a tutti i tecnici della rete autorizzati. Le password uniche limitano il danno causato quando viene compromessa una password per una periferica. Inoltre, per le periferiche che supportano la registrazione remota dell accesso di manutenzione, è necessario attivare questa registrazione e rivedere i registri regolarmente. Il meccanismo di registrazione più comune si chiama syslog, dalla utility Unix con lo stesso nome. Si configura la periferica con l indirizzo IP di uno o più server syslog e la periferica invia i propri messaggi a quel server per la registrazione permanente. Esistono programmi syslog, spesso denominati syslogd (che sta per syslog daemon), per piattaforme Windows, Macintosh e Unix (ma purtroppo non per l AS/400). Se si usa RADIUS per gestire il database centrale delle password, si deve fare attenzione ad utilizzare il metodo con password cifrate per memorizzare le password. Non si deve utilizzare il metodo di memorizzazione delle password con testo in chiaro. Con le password cifrate non si può mai visualizzare una password, la si può solo modificare. Quindi, se un utente si dimentica la propria password, se ne dovrà creare una nuova. Cosa più importante, tuttavia, un intruso che ottenga accesso al server RADIUS non sarà in grado di conoscere le password degli utenti. Se si gestisce manualmente l elenco delle password, è opportuno non memorizzarlo su un computer collegato alla rete, altrimenti chiunque ottenga accesso a quel computer potrà avere accesso a tutte le macchine della rete. I "ficcanaso" Una volta bloccato l accesso ai server ed ai servizi di rete dalla porta principale, si deve controllare l accesso dalla porta di servizio. Un utente di una LAN può intromettersi in tutto il traffico sul segmento LAN al quale è collegato. Utilizzando una funzionalità chiamata modalità promiscua supportata dalla maggior parte delle schede di interfaccia rete LAN (NIC), i programmi chiamati "sniffer" (o analizzatori della rete) sono in grado di catturare tutti i pacchetti, visualizzarli, smontarli e rimontarli per ricostruire i trasferimenti di dati completi quali file e messaggi di posta elettronica. Questo sistema di accesso non autorizzato in modalità promiscua funziona perché le tecnologie LAN più diffuse, Ethernet e Token-Ring, dipendono da un broadcast (diffusore) per realizzare una condivisione dei dati, ad alta velocità ed economica, tra i nodi di una rete. Ogni periferica di un segmento di trasmissione riceve tutti i pacchetti inviati da qualunque altro nodo e dipende semplicemente dalla correttezza del singolo utente ignorare i pacchetti che non sono di sua competenza. La figura 2 mostra come funziona la modalità promiscua in reti Ethernet e Token-Ring. La figura 3 offre un immagine raggelante di ciò che un pirata è in grado di ottenere dalla rete.

6 Gli "sniffer" sono strumenti pericolosi. Purtroppo sono anche ampiamente disponibili su Internet, sia in forma di programmi shareware scritti da hacker, sia in forma di copie illegali di pacchetti di analizzatori di rete legittimi. Non è facile tentare di individuare l esistenza di software "sniffer" nei computer di rete, per non parlare del loro utilizzo. È sufficiente ridenominare un programma e camuffarlo come un componente comune del sistema operativo per nasconderlo nel disco fisso di un utente. Peggio ancora, le periferiche dell infrastruttura di rete, per esempio gli hub e i router, possono facilmente essere guidati ad intrufolarsi nella rete. La figura 4 mostra un router comune utilizzato per catturare pacchetti e passarli ad un utente non autorizzato. L unica soluzione pratica per risolvere il problema delle intrusioni nella rete è di limitare le dimensioni di un segmento LAN ad un utente. Questo procedimento è semplice, anche se non necessariamente economico: si deve sostituire ogni periferica di rete in modalità diffusione (cioè hub Ethernet e MAU Token-Ring) con periferiche in modalità commutata. Una periferica in modalità commutata indirizza in modo trasparente il traffico da un nodo ad un altro in base al proprio indirizzo di controllo di accesso ai supporti (MAC da Media Access Control). Dato che i pacchetti di dati non vengono mai trasmessi a tutte le porte su uno switch, intrufolarsi in una rete in modalità commutata è impossibile. Fortunatamente il prezzo di un sistema di commutazione è diminuito notevolmente. È possibile acquistare switch Ethernet per meno di 100 dollari per porta rivolgendosi a società quali 3Com, Bay Networks e Cisco. Bisogna comunque sostituire tutti i sistemi broadcast contemporaneamente se si vogliono sconfiggere definitivamente i ficcanaso. Se si collega un hub ad uno switch, si lascia aperto un passaggio (l hub in modalità broadcast) attraverso cui gli hacker potranno accedere alle informazioni. Etherpeek di AG Group, NetXray di Cinco Networks e Sniffer di Network General sono tre analizzatori di rete commerciali molto conosciuti. Vale la pena dotarsi di uno di questi sistemi per "ficcare il naso" nella propria rete e confermare che i dati sensibili non siano visibili dove non devono essere visibili. La mappa della rete A mano a mano che i tool di amministrazione della rete diventano più facili da usare, gli utenti hanno più opportunità di acquisire conoscenze che non dovrebbero avere. Un caso di questo genere è costituito dalle informazioni sull architettura della rete. I moderni monitor di rete tipicamente includono tool intelligenti di "scoperta della rete" che sondano una rete e costruiscono istantaneamente una mappa della rete stessa. Questi tool spesso identificano il produttore e il tipo di ciascuna periferica della rete e forniscono comodi tool per l accesso di manutenzione strutturati appositamente per tali periferiche. Alcuni di questi tool costano migliaia di dollari, ma esistono versioni pirata su Internet. Un hacker dotato di una mappa precisa di una intranet è molto più pericoloso di un pirata che si aggira nella rete al buio.

7 Per proteggersi dagli effetti di questi tool di scoperta della rete non autorizzati esistono due metodi. In primo luogo, si deve stabilire una politica che proibisca l uso di questi tool da parte degli utenti e mettere in atto questa politica regolarmente tramite revisioni. In secondo luogo, è necessario controllare attivamente se esistono monitor di rete non autorizzati eseguendo il proprio monitor di rete. Il protocollo più comune utilizzato per le azioni di scoperta della rete è l SNMP (Simple Network Monitoring Protocol), ma è necessario anche individuare i tentativi di accesso arbitrario ad altri protocolli TCP/IP comuni, quali Telnet (porta 23) e HTTP (Hypertext Transport Protocol, porta 80), e i tentativi di scansione sequenziale degli indirizzi IP utilizzando il comando PING dell ICMP (Internet Control Message Protocol). Non è possibile monitorare l intera LAN (se sono state bloccate le intrusioni utilizzando switch LAN), ma un monitor di rete con un indirizzo IP statico posto da qualche parte nella rete rileverà la campionatura sistematica che è la firma delle scansioni di scoperta della rete. Il monitor catturerà sia l indirizzo IP che l indirizzo MAC dell hacker. Bisognerà poi individuare la macchina nella rete. Un modo semplice per ottenere un indirizzo MAC consiste nell utilizzare il comando PING da un PC Windows per eseguire un ping di un particolare indirizzo IP e quindi utilizzare il comando ARP-A in modalità DOS di Windows per visualizzare l indirizzo MAC scoperto per tale indirizzo IP (ARP sta per Address Resolution Protocol, protocollo di risoluzione degli indirizzi). SNMpc di Castle Rock, Intermapper di Dartmouth e Open View di Hewlett- Packard sono monitor di rete SNMP commerciali che possono essere utilizzati per eseguire il continuo monitoraggio della rete. Per le reti locali di piccole e medie dimensioni, i monitor SNMP di bassa gamma sono economici e forniscono informazioni di inestimabile valore sulle prestazioni della LAN. La protezione via SNMP Oltre all accesso con password per la manutenzione, molte periferiche dell infrastruttura di rete supportano la gestione remota intelligente utilizzando il protocollo SNMP. Esistono due versioni dell SNMP, SNMP-1 e SNMP-2, ma solamente l SNMP-1 è ampiamente supportato. Purtroppo non è affatto sicuro. La protezione SNMP è data dall uso di nomi comuni, i quali sono semplicemente parole o frasi simili a password utilizzate per limitare l accesso SNMP ad una periferica. Ogni periferica SNMP ha almeno due nomi comuni, un nome abilitato per la lettura e un nome abilitato per la lettura/scrittura. Con l SNMP, una stazione centrale di gestione della rete invia periodicamente interrogazioni all agente SNMP (software SNMP incorporato) in ciascuna periferica LAN nota, chiedendo quale sia lo stato della periferica, le statistiche del traffico e le condizioni di errore. L interrogazione SNMP contiene il nome comune e l agente della periferica confronta questo nome con il proprio nome comune. Se i nomi non corrispondono, l agente ignora l interrogazione. Oltre alle interrogazioni, la stazione di gestione SNMP può inviare operazioni di scrittura SNMP per modificare la configurazione di una periferica, attivare o disattivare funzionalità o riavviare la periferica. Per le operazioni di scrittura l agente accerta che il

8 nome comune del comando entrante corrisponda al nome comune di scrittura della periferica. Il problema è che l SNMP-1 invia nomi comuni sotto forma di testo in chiaro. Anche se si è protetta la rete contro le intrusioni, il nome comune con testo in chiaro costituisce un punto debole in quanto il gestore SNMP non fa differenza tra le periferiche a cui invia interrogazioni SNMP. Molti gestori SNMP utilizzano l SNMP in modalità di scoperta e, nel tentativo di essere utili, inviano periodicamente pacchetti di scoperta a periferiche ignote per includerle nella gestione della rete. Una persona malintenzionata che gestisca una periferica ignota può semplicemente catturare il nome comune SNMP dalla richiesta SNMP in entrata (figura 5) e quindi programmare il nome comune nel proprio monitor di rete e procedere con la scoperta della rete. La situazione peggiora. Il nome comune predefinito per la lettura è "public" e il nome comune predefinito per la lettura/scrittura è "private". Esistono molti gestori della rete che ingenuamente credono che la parola "private" significhi che l accesso di scrittura SNMP è disattivato. Invece "private" è solamente una parola priva di significato reale in quanto qualunque comando SNMP in entrata con il nome comune "private" otterrà l accesso. Tuttavia gli hacker conoscono la verità. L SNMP-2 non ha questo problema. Infatti esso cifra il nome comune per ciascuna periferica che interroga, rendendone impossibile la cattura. La morale è che se si usa l SNMP-1 (e lo si usa), si deve impostare sia il nome comune per la lettura che quello per la lettura/scrittura di ciascuna periferica della rete ad un valore segreto unico e si deve memorizzare l elenco dei nomi nel monitor SNMP. Non si deve utilizzare lo stesso nome comune per tutte le periferiche, anche se questo era l intento originale dei nomi comuni (e il motivo per cui non sono definiti come "password comune"). Utilizzando nomi unici si impedisce che il tool di gestione della rete riveli i nomi comuni ampiamente usati. È opportuno impostare i nomi comuni predefiniti del gestore della rete a "public" e "private" in modo che qualunque periferica inavvertitamente collegata con i nomi comuni predefiniti appaia sullo schermo del monitor segnalando così il problema. Un ultimo punto sull SNMP. Alcuni sistemi operativi per desktop (quali Windows NT) supportano l SNMP. Per default questa funzionalità non è attiva, ma potrebbe essere banale per un utente finale attivare l SNMP. La cosa migliore è eliminare questo software, se possibile, supponendo che non si preveda di utilizzare l SNMP per la gestione dei desktop. La strada per l inferno La strada per l inferno è lastricata di buone intenzioni e le buone intenzioni sono la causa dei "buchi" nella protezione delle intranet. L indirizzamento tra le reti è sempre stato un argomento complicato e i fornitori lottano costantemente per automatizzare la funzione e ridurre il lavoro relativo alla manutenzione della rete. Tuttavia, i protocolli di indirizzamento modem

9 possono essere fin troppo automatici. La maggior parte dei protocolli di indirizzamento non dispone di sistemi di protezione incorporati, cosa che può essere ampiamente sfruttata se non si fa attenzione. Per evitare di subire i danni causati dalle lacune di sicurezza dei protocolli di indirizzamento, non si dovrebbero utilizzare le funzionalità di indirizzamento automatico a meno che non si comprenda a fondo il loro funzionamento e le loro implicazioni per la sicurezza. L elevato numero di protocolli e varianti rende impossibile trattare in modo esauriente l argomento in questa sede, ma il problema di indirizzamento più comune è semplice da individuare e risolvere. I protocolli di indirizzamento TCP/IP che si possono incontrare in una LAN sono Routing Internet Protocol (RIP), Open Shortest Path First (OSPF), Internal Gateway Routing Protocol (IGRP), Internal Border Gateway Protocol (IBGP) e Border Gateway Protocol (BGP). Oggi il protocollo di indirizzamento LAN più diffuso è il RIP. Il RIP determina in modo sicuro l iter attraverso la rete da una qualunque destinazione ad una qualunque altra destinazione. Con il RIP, tutte le periferiche della rete si scambiano informazioni di indirizzamento che descrivono le periferiche che raggiungono, creando una mappa che segnala dove inviare il traffico. Quando un utente che si trova in un segmento della rete vuole inviare dati ad un utente che si trova in un segmento remoto, l utente di origine deve solamente conoscere il router del ramo successivo; quel router conoscerà il ramo successivo e così via fino alla destinazione. Il vantaggio di questo approccio è che i router che intervengono possono indirizzare automaticamente attraverso le uscite della rete utilizzando anche percorsi alternativi, se necessario. Il punto debole nella "corazza" del RIP è nel primo ramo dal desktop dell utente al router. Il computer dell utente normalmente ha programmato al proprio interno l indirizzo IP del router del primo ramo (chiamato indirizzo gateway). Tuttavia, molti sistemi desktop e perfino altri router possono apprendere l iter predefinito da una trasmissione RIP. Per chi si voglia intrufolare nella rete è sufficiente configurare il proprio computer in modo che agisca come un router e invii trasmissioni RIP simulate dicendo "Sono il router predefinito, inviami i pacchetti in uscita!". Se un sistema desktop intercetta questa trasmissione, esso sostituisce il proprio indirizzo gateway preconfigurato con l indirizzo dell intruso e invia tutto il traffico destinato ad altre reti alla macchina simulatrice (figura 6). L intruso può quindi controllare tutto il traffico prima di indirizzarlo alla sua destinazione corretta. Cosa ancora peggiore, se un router viene raggirato in modo da pensare che la macchina dell intruso sia l iter predefinito, esso può indirizzare in modo errato il traffico per le macchine desktop che hanno l indirizzo gateway corretto. Per risolvere questo problema si deve disattivare l apprendimento dell iter predefinito su tutte le periferiche di rete. In primo luogo ci si deve accertare che ciascuna periferica, inclusi i sistemi desktop, abbia un iter predefinito codificato in modo fisso (chiamata statica). Quindi si deve disattivare l apprendimento dell iter predefinito e riavviare la periferica. Il parametro

10 dell iter predefinito solitamente è etichettato con qualcosa di simile ad "accetta trasmissioni iter predefinito" (questo è il valore da modificare). L AS/400 automaticamente ignora le trasmissioni dell iter predefinito se si stabilisce un iter statico predefinito specificando un indirizzo per il campo del gateway predefinito (Ramo successivo) nella schermata delle impostazioni TCP/IP (figura 7). Come bloccare gli intrusi Dato che un indirizzamento sicuro dipende dall evitare di riporre una cieca fiducia nelle trasmissioni di indirizzamento, la sicurezza delle informazioni affidate agli utenti dipende dall evitare che questi possano far uscire tali informazioni dall azienda. Purtroppo, la maggior parte delle configurazioni firewall, che provvede ad escludere coloro che si intromettono nella rete attraverso Internet, non fa nulla per impedire che i dati importanti dell azienda escano dalla rete tramite la connessione Internet della società. I due modi più comuni in cui le informazioni escono dalla LAN è tramite la posta elettronica e tramite i trasferimenti di file. Qualunque dipendente può allegare un file sensibile ad un messaggio di posta elettronica e inviarlo ovunque, a meno che non si attuino restrizioni sui messaggi di posta elettronica in uscita. Analogamente, qualunque dipendente può utilizzare il proprio browser Web per inviare un file sensibile tramite l FTP ad un sito remoto su Internet, a meno che non si controllino i trasferimenti di file in uscita. Proteggere la posta elettronica in uscita è facile: basta bloccare tutta la posta in uscita al firewall eccetto la posta che ha origine dal gateway di posta elettronica interno. Qualunque utente interno che voglia inviare posta all esterno deve prima inviare la posta al gateway, dove si possono registrare gli indirizzi di origine e di destinazione del messaggio. Facoltativamente si possono limitare le dimensioni dei messaggi, impedendo ai dipendenti di allegare grossi file alla posta in uscita. È importante informare i dipendenti del fatto che gli indirizzi dei messaggi vengono registrati ed è ugualmente importante rivedere periodicamente i registri, come pure i record della posta rifiutata a causa delle restrizioni sulle dimensioni. Bloccare l FTP è un po più difficile. Molti firewall consentono di bloccare solamente le sessioni FTP in entrata e non i trasferimenti di file in uscita. Per bloccare i trasferimenti in uscita è necessario avere un firewall dinamico che tiene conto delle sessioni in corso e quindi offre la possibilità di impedire determinate operazioni. A meno che i dipendenti non debbano regolarmente trasferire file su Internet, è opportuno bloccare tutto l FTP e richiedere agli utenti di inviare tutti i file in uscita ad una sola persona che dovrà esaminare tutti questi trasferimenti. Come convivere con i sistemi di protezione

11 Come non è possibile garantire che un dipendente non irrompa nella sala in cui sono immagazzinate le scorte di materiali per ufficio e rubi tutte le penne e le cucitrici, allo stesso modo non si può garantire che qualche dipendente o persona fidata della società non violi la fiducia riposta in lui e faccia cattivo uso delle informazioni della rete. Tuttavia, si può rendere molto più difficile un abuso di questo genere e si può semplificarne l individuazione e il reperimento di prove adottando le precauzioni per la protezione della rete qui descritte. Bisogna assumere un controllo attivo dell accesso remoto individuando e bloccando tutti gli accessi remoti in entrata e in uscita. Quindi si razionalizzano le password e si stabilisce un sistema disciplinato di amministrazione delle stesse. Poi si informa il personale dell adozione di una politica di protezione di base, sottolineando la necessità che ogni singolo individuo protegga le informazioni della società e facendo un elenco dei software, per esempio gli scanner di rete, che i dipendenti non possono installare o utilizzare. Si programma una revisione di tutte le periferiche dell infrastruttura per verificare che siano necessarie le password per amministrarle tutte in modo remoto e che tutte utilizzino iter predefiniti statici. Attuando queste misure, che richiedono solamente manodopera, si deve determinare il costo di un upgrade degli hub di rete non sicuri per proteggere gli switch della rete in modo da poter presentare il costo alla direzione come spesa per la sicurezza. È importante sottolineare a quali responsabilità l azienda dovrà far fronte se le informazioni vitali dovessero essere compromesse a causa di un insufficiente protezione della rete. L importante è non fare l errore di trasformare la protezione LAN in un progetto enorme che richieda molti finanziamenti e una grossa pianificazione in quanto questo non farà altro che ritardare le azioni effettive. È invece importante iniziare a lavorare subito, eseguendo quanti più interventi di protezione possibile e giustificando gli interventi per ottenere finanziamenti, se necessario, per attivare le misure successive. Figura 1: Una tipica console del server di autenticazione remota di RADIUS

12 Back Figura 2: Funzionamento in modalità promiscua su reti Ethernet e Token-Ring La stazione D, in modalità promiscua, legge il pacchetto dalla rete La stazione A trasmette il pacchetto per la stazione B Le altre stazioni ignorano la trasmissione per la stazione B La stazione B "sente" la trasmissione, si riconosce come destinazione e riceve il pacchetto dalla rete La stazione D, in modalità promiscua, legge il pacchetto dalla rete Pacchetto trasmesso per la stazione B Il pacchetto prosegue nell anello per la verifica del mittente, ignorato dalle altre stazioni La stazione B riceve il pacchetto

13 Back Figura 3: Il traffico LAN catturato su un monitor di rete clandestino Back Figura 4: Intrusione nella LAN remota utilizzando i comandi di debug incorporati di una periferica di rete

14 Back Figura 5: Cattura dei nomi comuni SNMP dalle campionature del monitor di rete Back Figura 6: La pubblicità dell iter predefinito RIP intruso reindirizza il traffico Internet Il router intruso riceve pacchetti, li ispeziona e li indirizza Internet per deviare i sospetti Un utente illegale trasmette l iter predefinito dell intruso L utente LAN invia il traffico indirizzato a Internet ad un nuovo router intruso predefinito L utente LAN riceve un nuovo iter predefinito e sostituisce l iter al router di Internet

15 Back Figura 7: Disattivazione dell apprendimento dell iter predefinito RIP nell OS/400 Web of the Rat Back

NetCrunch 6. Server per il controllo della rete aziendale. Controlla

NetCrunch 6. Server per il controllo della rete aziendale. Controlla AdRem NetCrunch 6 Server per il controllo della rete aziendale Con NetCrunch puoi tenere sotto controllo ogni applicazione, servizio, server e apparato critico della tua azienda. Documenta Esplora la topologia

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Progettazione di reti AirPort

Progettazione di reti AirPort apple Progettazione di reti AirPort Indice 1 Per iniziare con AirPort 5 Utilizzo di questo documento 5 Impostazione Assistita AirPort 6 Caratteristiche di AirPort Admin Utility 6 2 Creazione di reti AirPort

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di Calcolatori 1. Introduzione Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di calcolatori : Un certo numero di elaboratori

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Protezione dei dati INTRODUZIONE

Protezione dei dati INTRODUZIONE Protezione dei dati INTRODUZIONE Le reti LAN senza filo sono in una fase di rapida crescita. Un ambiente aziendale in continua trasformazione richiede una maggiore flessibilità sia alle persone che alle

Dettagli

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011 Paola Zamperlin Internet. Parte prima 1 Definizioni-1 Una rete di calcolatori è costituita da computer e altri

Dettagli

Software per la gestione delle stampanti MarkVision

Software per la gestione delle stampanti MarkVision Software e utilità per stampante 1 Software per la gestione delle stampanti MarkVision In questa sezione viene fornita una breve panoramica sul programma di utilità per stampanti MarkVision e sulle sue

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

INFORMATICA LIVELLO BASE

INFORMATICA LIVELLO BASE INFORMATICA LIVELLO BASE INTRODUZIONE 3 Fase Che cos'è una rete? Quali sono i vantaggi di avere una Rete? I componenti di una Rete Cosa sono gi Gli Hub e gli Switch I Modem e i Router Che cos è un Firewall

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Caratteristiche e vantaggi

Caratteristiche e vantaggi Dominion KX II Caratteristiche Caratteristiche dell hardware Architettura hardware di nuova generazione Elevate prestazioni, hardware video di nuova generazione Due alimentatori con failover Quattro porte

Dettagli

Novell ZENworks Configuration Management in ambiente Microsoft * Windows *

Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Guida GESTIONE SISTEMI www.novell.com Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Novell ZENworks Configuration Management in ambiente Microsoft Windows Indice: 2..... Benvenuti

Dettagli

Reti di Telecomunicazioni LB Introduzione al corso

Reti di Telecomunicazioni LB Introduzione al corso Reti di Telecomunicazioni LB Introduzione al corso A.A. 2005/2006 Walter Cerroni Il corso Seguito di Reti di Telecomunicazioni LA Approfondimento sui protocolli di Internet TCP/IP, protocolli di routing,

Dettagli

Reti di computer. Agostino Lorenzi - Reti di computer - 2008

Reti di computer. Agostino Lorenzi - Reti di computer - 2008 Reti di computer Telematica : termine che evidenzia l integrazione tra tecnologie informatiche e tecnologie delle comunicazioni. Rete (network) : insieme di sistemi per l elaborazione delle informazioni

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

I COMPONENTI DI UNA RETE

I COMPONENTI DI UNA RETE I COMPONENTI DI UNA RETE LE SCHEDE DI RETE (O INTERFACCE 'NIC') Tutti I PC, per poterli utilizzare in rete, devono essere dotati di schede di rete (NIC). Alcuni PC sono dotati di NIC preinstallate. Nello

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

Chi ha già scelto nel mondo la nostra soluzione

Chi ha già scelto nel mondo la nostra soluzione InterMapper è un software di Network Monitoring, pensato per analizzare il traffico di rete. Le reti sono in continua evoluzione ed InterMapper rende la loro gestione più facile. Il monitoraggio, la mappatura

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

RADIUS - ACCESSO DA TELNET E DA CONSOLE

RADIUS - ACCESSO DA TELNET E DA CONSOLE Località San Martino 53025 Piancastagnaio (SI) ITALY RADIUS - ACCESSO DA TELNET E DA CONSOLE How to Documento non pubblicato. Copyright Elsag Datamat SpA. Tutti i diritti riservati. Il contenuto del presente

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1 Simulazione prova scritta di sistemi Abacus per l Esame di Stato Traccia n 1 La condivisione delle informazioni e lo sviluppo delle risorse informatiche tramite cui esse possono venire memorizzate e scambiate

Dettagli

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15 Entrare in un pc è una espressione un po generica...può infatti significare più cose: - Disporre di risorse, quali files o stampanti, condivise, rese fruibili liberamente o tramite password con i ripettivi

Dettagli

- 1 - LINUX E le Reti. Corso Linux 2014. di Giuseppe Zingone

- 1 - LINUX E le Reti. Corso Linux 2014. di Giuseppe Zingone - 1 - LINUX E le Reti Corso Linux 2014 di Giuseppe Zingone - 2 - Cenni sulle reti Introduzione Linux e le reti vanno mano nella mano. Il kernel di Linux ha il supporto per tutti i protocolli di rete comuni

Dettagli

Ministero dell Istruzione, dell Università e della Ricerca Servizio per l automazione informatica e l innovazione tecnologica

Ministero dell Istruzione, dell Università e della Ricerca Servizio per l automazione informatica e l innovazione tecnologica Ministero dell Istruzione, dell Università e della Ricerca Servizio per l automazione informatica e l innovazione tecnologica Piano Nazionale di Formazione degli Insegnanti sulle Tecnologie dell Informazione

Dettagli

Il percorso formativo C: GESTIONE DELLA INFRASTUTTURA TECNOLOGICA 1

Il percorso formativo C: GESTIONE DELLA INFRASTUTTURA TECNOLOGICA 1 Il percorso formativo C: GESTIONE DELLA INFRASTUTTURA TECNOLOGICA 1 In questa area si possono identificare due possibili percorsi: Livello-C1 un percorso teso a creare una figura in grado di gestire le

Dettagli

Dispense corso Laboratorio di Internet

Dispense corso Laboratorio di Internet Universitá di Roma Sapienza Dipartimento di Ingegneria Elettronica e delle Telecomunicazioni Dispense corso Laboratorio di Internet Luca Chiaraviglio E-mail: {luca.chiaraviglio}@diet.uniroma1.it 3 marzo

Dettagli

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ Panoramica di Microsoft ISA Server 2004 Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ ISA Server 2004 - Introduzione ISA Server 2004 offre

Dettagli

CAPITOLO 4. La progettazione delle reti Ethernet

CAPITOLO 4. La progettazione delle reti Ethernet CAPITOLO 4 La progettazione delle reti Ethernet Il perfetto funzionamento di una rete dipende in grande parte dalla sua progettazione. Spesso, purtroppo molte reti locali o più ampie, sono realizzate senza

Dettagli

Software MarkVision per la gestione della stampante

Software MarkVision per la gestione della stampante MarkVision per Windows 95/98/2000, Windows NT 4.0 e Macintosh è disponibile sul CD Driver, MarkVision e programmi di utilità fornito con la stampante. L'interfaccia grafica utente di MarkVision consente

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33 .ind g/p.vii-xii 26-06-2002 12:18 Pagina VII Indice Capitolo 1 Introduzione 1 Capitolo 2 Le reti Ethernet e IEEE 802.3 5 2.1 Il progetto IEEE 802 6 2.2 Protocolli di livello MAC 7 2.3 Indirizzi 8 2.4 Ethernet

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

SCHEDA DI PROGRAMMAZIONE DELLE ATTIVITA EDUCATIVE DIDATTICHE

SCHEDA DI PROGRAMMAZIONE DELLE ATTIVITA EDUCATIVE DIDATTICHE Disciplina: Sistemi e reti Classe: 4B Informatica A.S. 2014/15 Docente: Alessandra Antoniazzi ANALISI DI SITUAZIONE - LIVELLO COGNITIVO La classe è composta da 23 alunni ed è mista. La classe si è presentata

Dettagli

GUIDA DELL UTENTE IN RETE

GUIDA DELL UTENTE IN RETE Server di stampa multifunzione Ethernet multiprotocollo su scheda e Server di stampa multifunzione Ethernet senza fili GUIDA DELL UTENTE IN RETE La presente Guida dell utente in rete fornisce utili informazioni

Dettagli

Guida di rete. Configurazione di Windows Utilizzo di un server di stampa Monitoraggio e configurazione della stampante Appendice

Guida di rete. Configurazione di Windows Utilizzo di un server di stampa Monitoraggio e configurazione della stampante Appendice Guida di rete 1 2 3 4 Configurazione di Windows Utilizzo di un server di stampa Monitoraggio e configurazione della stampante Appendice Si prega di leggere attentamente questo manuale prima di utilizzare

Dettagli

Corso di Informatica

Corso di Informatica Corso di Informatica CL3 - Biotecnologie Orientarsi nel Web Prof. Mauro Giacomini Dott. Josiane Tcheuko Informatica - 2006-2007 1 Obiettivi Internet e WWW Usare ed impostare il browser Navigare in internet

Dettagli

Tecnologie Informatiche. service. Sicurezza aziendale Servizi Internet e Groupware

Tecnologie Informatiche. service. Sicurezza aziendale Servizi Internet e Groupware Tecnologie Informatiche service Sicurezza aziendale Servizi Internet e Groupware Neth Service è un sistema veloce, affidabile e potente per risolvere ogni necessità di comunicazione. Collega la rete Aziendale

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

Indice. Indice V INTRODUZIONE... XIII PARTE PRIMA... 1

Indice. Indice V INTRODUZIONE... XIII PARTE PRIMA... 1 Indice V Indice INTRODUZIONE................................................ XIII PARTE PRIMA...................................................... 1 1 Il business delle reti di computer.........................................

Dettagli

Firegate SSL 5 - Release notes

Firegate SSL 5 - Release notes Firmware Versione: 3.19 Versione di rilascio ufficiale Aggiunto menu Diagnostics per Ping e Traceroute Aggiunto modalità NAT in DMZ Supporto per VoIP SIP in QoS Aggiunto Traffic Collector per analisi tipologia

Dettagli

LAVORI D UFFICIO, GRAFICA E INFORMATICA TECNICO HARDWARE

LAVORI D UFFICIO, GRAFICA E INFORMATICA TECNICO HARDWARE MACROSETTORE LAVORI D UFFICIO, GRAFICA E INFORMATICA TECNICO HARDWARE 1 TECNICO HARDWARE TECNICO PROFESSIONALI prima annualità 2 UNITÀ FORMATIVA CAPITALIZZABILE 1 Assemblaggio Personal Computer Approfondimento

Dettagli

Questo capitolo è estratto dal libro soluzioni di rete 1.0 http://www.soluzionidirete.com/files/presentazione_libro.htm L autore lavora sui PC dal

Questo capitolo è estratto dal libro soluzioni di rete 1.0 http://www.soluzionidirete.com/files/presentazione_libro.htm L autore lavora sui PC dal Questo capitolo è estratto dal libro soluzioni di rete 1.0 http://www.soluzionidirete.com/files/presentazione_libro.htm L autore lavora sui PC dal 1983, ha un attività per la vendita di prodotti informatici

Dettagli

L'architettura di rete TCP/IP OSI: Fisico - Data link

L'architettura di rete TCP/IP OSI: Fisico - Data link Pagina 1 di 11 L'architettura di rete TCP/IP OSI: Fisico - Data link Per poter rendere sicura una rete bisogna prima aver capito molto bene in quale modo funziona. Ecco quindi che in questa breve lezione

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

Man-in-the-middle su reti LAN

Man-in-the-middle su reti LAN Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle

Dettagli

Le reti e Internet. Corso di Archivistica e gestione documentale. Perché Internet? Non è tutto oro quello che luccica. Definizione di rete

Le reti e Internet. Corso di Archivistica e gestione documentale. Perché Internet? Non è tutto oro quello che luccica. Definizione di rete Corso di Archivistica e gestione documentale Prima Parte - Area Informatica Le reti e Internet Lezione 2 Internet Abbatte le barriere geografiche È veloce Ha costi contenuti È libero È semplice da usare

Dettagli

Sistemi Di Elaborazione Dell informazione

Sistemi Di Elaborazione Dell informazione Sistemi Di Elaborazione Dell informazione Dott. Antonio Calanducci Lezione III: Reti di calcolatori Corso di Laurea in Scienze della Comunicazione Anno accademico 2009/2010 Reti di calcolatori Una rete

Dettagli

Reti di calcolatori: Introduzione

Reti di calcolatori: Introduzione Reti di calcolatori: Introduzione Vittorio Maniezzo Università di Bologna Reti di computer e Internet Rete: sistema di collegamento di più computer mediante una singola tecnologia di trasmissione Internet:

Dettagli

Gestione del database Gidas

Gestione del database Gidas Gestione del database Gidas Manuale utente Aggiornamento 20/06/2013 Cod. SWUM_00535_it Sommario 1. Introduzione... 3 2. Requisiti e creazione del Database Gidas... 3 2.1.1. SQL Server... 3 2.1.2. Requisiti

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Schema di una Rete

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Schema di una Rete Finalità delle Reti di calcolatori Le Reti Informatiche Un calcolatore isolato, anche se multiutente ha a disposizione solo le risorse locali potrà elaborare unicamente i dati dei propri utenti 2 / 44

Dettagli

S istemi. Fluke Networks ha presentato un. Analizzatore di rete istantaneo RETI DI COMUNICAZIONE

S istemi. Fluke Networks ha presentato un. Analizzatore di rete istantaneo RETI DI COMUNICAZIONE Analizzatore di rete istantaneo Stefano Cazzani EtherScope Network Assistant è l'analizzatore portatile di nuova generazione progettato da Fluke Networks per facilitare la rapida installazione, manutenzione

Dettagli

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3 ver 2.0 Log Manager Quick Start Guide 1 Connessione dell apparato 2 2 Prima configurazione 2 2.1 Impostazioni di fabbrica 2 2.2 Configurazione indirizzo IP e gateway 3 2.3 Configurazione DNS e Nome Host

Dettagli

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 PROTEZIONE DEI DATI 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Sommario 1. INTRODUZIONE... 3 2. ARCHITETTURE PER L'ACCESSO REMOTO... 3 2.1 ACCESSO REMOTO TRAMITE MODEM... 3 2.2

Dettagli

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto

Dettagli

InfoCertLog. Allegato Tecnico

InfoCertLog. Allegato Tecnico InfoCertLog Allegato Tecnico Data Maggio 2012 Pagina 2 di 13 Data: Maggio 2012 Sommario 1. Introduzione... 3 2. Le componenti del servizio InfoCertLog... 4 2.1. Componente Client... 4 2.2. Componente Server...

Dettagli

Come creare una rete domestica con Windows XP

Come creare una rete domestica con Windows XP Lunedì 13 Aprile 2009 - ore: 12:49 Pagina Reti www.google.it www.virgilio.it www.tim.it www.omnitel.it Come creare una rete domestica con Windows XP Introduzione Una rete locale (LAN,

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Descrizione del servizio Requisiti minimi di accessibilità

Descrizione del servizio Requisiti minimi di accessibilità Descrizione del servizio Requisiti minimi di accessibilità Descrizione del servizio SkyMeeting TM è un servizio di videocomunicazione interattiva web-based che consente di comunicare ed interagire in tempo

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

White Paper. White Paper. Lesson 3: Protezione apparati di rete. Gli Apparati di Rete. Quali sono gli apparati di rete

White Paper. White Paper. Lesson 3: Protezione apparati di rete. Gli Apparati di Rete. Quali sono gli apparati di rete Lesson 3: Protezione apparati di rete Gli Apparati di Rete Prendiamo ora in considerazione le apparecchiature che realizzano, una volta connesse tra di loro la struttura della nostra rete informatica.

Dettagli

Il problema. Sicurezza. Rischi fisici. Riservatezza. La creazione, conservazione e trasmissione di dati in forma digitale: Danni accidentali o rischi

Il problema. Sicurezza. Rischi fisici. Riservatezza. La creazione, conservazione e trasmissione di dati in forma digitale: Danni accidentali o rischi Il problema La creazione, conservazione e trasmissione di dati in forma digitale: offre grandissimi vantaggi sotto molteplici punti di vista, sia pratici che concettuali; si presta però anche a nuove possibilità

Dettagli

Le reti Sicurezza in rete

Le reti Sicurezza in rete Le reti Sicurezza in rete Tipi di reti Con il termine rete si intende un insieme di componenti, sistemi o entità interconnessi tra loro. Nell ambito dell informatica, una rete è un complesso sistema di

Dettagli

8 Interconnessione delle reti

8 Interconnessione delle reti 26/04/2005 10:32:54 AM 2 RETI E PROBLEMATICHE DI RETE 8 Interconnessione delle reti Perché collegare LAN e WAN tra loro? Traffico elevato: il numero di utenti è troppo elevato Si vogliono utilizzare le

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta Il Routing In un sistema packets switching quale il TCP/IP, il routing rappresenta il processo di scelta del percorso su cui inoltrare i pacchetti ed il router è un computer che effettua tale instradamento.

Dettagli

www.intego.com PL/ATTIVA/IT/1009

www.intego.com PL/ATTIVA/IT/1009 www.intego.com PL/ATTIVA/IT/1009 Esistono virus per Mac OS X? Esistono virus che colpiscono Mac OS X? Poiché di recente la stampa informatica ha discusso molto riguardo a virus e computer Mac, abbiamo

Dettagli

CARTA dei SERVIZI. Servizi Informatici. di Dario Folli. Pagina 1 di 6 SERVIZI

CARTA dei SERVIZI. Servizi Informatici. di Dario Folli. Pagina 1 di 6 SERVIZI Pagina 1 di 6 CARTA dei? Pagina 2 di 6 per Hardware e Software di BASE Analisi, Progetto e Certificazione Sistema Informatico (HW e SW di base) Le attività di Analisi, Progetto e Certificazione del Sistema

Dettagli

CONNESSIONE DI UN PC ALLA RETE INTERNET

CONNESSIONE DI UN PC ALLA RETE INTERNET CONNESSIONE DI UN PC ALLA RETE INTERNET Walter Cerroni wcerroni@deis.unibo.it http://deisnet.deis.unibo.it/didattica/master Internetworking Internet è una rete di calcolatori nata con l obiettivo di realizzare

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Firewall-Proxy Clanius Appliance Extreme [v1.0]

Firewall-Proxy Clanius Appliance Extreme [v1.0] Firewall-Proxy Clanius Appliance Extreme [v1.0] STOP AI PERICOLI DI NAVIGAZIONE INTERNET! In cosa consiste? Firewall-Proxy Clanius Appliance Extreme è la soluzione completa e centralizzata per monitorare,

Dettagli

Le Best Practices per proteggere Informazioni, Sistemi e Reti. www.vincenzocalabro.it

Le Best Practices per proteggere Informazioni, Sistemi e Reti. www.vincenzocalabro.it Le Best Practices per proteggere Informazioni, Sistemi e Reti www.vincenzocalabro.it Goal E difficile implementare un perfetto programma di organizzazione e gestione della sicurezza informatica, ma è importante

Dettagli

i nodi i concentratori le dorsali

i nodi i concentratori le dorsali RETI LOCALI Reti di computer collegati direttamente tra di loro in un ufficio, un azienda etc. sono dette LAN (Local Area Network). Gli utenti di una LAN possono condividere fra di loro le risorse quali

Dettagli

Conceptronic C100BRS4H Guida rapida di installazione. Congratulazioni per avere acquistato un router broadband Conceptronic a 4 porte.

Conceptronic C100BRS4H Guida rapida di installazione. Congratulazioni per avere acquistato un router broadband Conceptronic a 4 porte. Conceptronic C100BRS4H Guida rapida di installazione Congratulazioni per avere acquistato un router broadband Conceptronic a 4 porte. La guida di installazione hardware spiega passo per passo come installare

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

Corso Configurazione e gestione dell Aula di Informatica (18 lezioni 54 ore)

Corso Configurazione e gestione dell Aula di Informatica (18 lezioni 54 ore) Corso Configurazione e gestione dell Aula di Informatica (18 lezioni 54 ore) 1. L hardware del PC (3 Lezioni - 9 ore) 2. Troubleshooting (1 Lezione - 3 ore) 3. Ambiente Operativo (5 Lezioni - 15 ore) 4.

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Approfondimenti tecnici su framework v6.3

Approfondimenti tecnici su framework v6.3 Sito http://www.icu.fitb.eu/ pagina 1 I.C.U. "I See You" Sito...1 Cosa è...3 Cosa fa...3 Alcune funzionalità Base:...3 Alcune funzionalità Avanzate:...3 Personalizzazioni...3 Elenco Moduli base...4 Elenco

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Versione 3.0 Novembre 2013 Modifiche del documento Data Versione Descrizione

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

ACCESSNET -T IP NMS. Network Management System. www.hytera.de

ACCESSNET -T IP NMS. Network Management System. www.hytera.de ACCESSNET -T IP NMS Network System Con il sistema di gestione della rete (NMS) è possibile controllare e gestire l infrastruttura e diversi servizi di una rete ACCESSNET -T IP. NMS è un sistema distribuito

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

Richiamo degli aspetti essenziali relativi al percorso C1

Richiamo degli aspetti essenziali relativi al percorso C1 Richiamo degli aspetti essenziali relativi al percorso C1 Il presente documento vuole richiamare alcuni aspetti essenziali del percorso formativo C - Livello C1, in particolare: Figura C1 Raccomandazioni

Dettagli

Dove installare GFI EventsManager sulla rete?

Dove installare GFI EventsManager sulla rete? Installazione Introduzione Dove installare GFI EventsManager sulla rete? GFI EventsManager può essere installato su qualsiasi computer che soddisfi i requisiti minimi di sistema, indipendentemente dalla

Dettagli

Corso Configurazione e gestione dell Aula di Informatica (18 lezioni 54 ore)

Corso Configurazione e gestione dell Aula di Informatica (18 lezioni 54 ore) Corso Configurazione e gestione dell Aula di Informatica (18 lezioni 54 ore) 1. L hardware del PC (3 Lezioni - 9 ore) 2. Troubleshooting (1 Lezione - 3 ore) 3. Ambiente Operativo (5 Lezioni - 15 ore) 4.

Dettagli

Antonio Cianfrani. Fondamenti di Reti - Prof. Marco Listanti - A.A. 2010/2011. INFOCOM Dept

Antonio Cianfrani. Fondamenti di Reti - Prof. Marco Listanti - A.A. 2010/2011. INFOCOM Dept Antonio Cianfrani Laboratorio Fondamenti di Reti 1. Introduzione ai Router IP Funzioni svolte dai Router I router operano allo strato 3 della pila protocollare OSI Individuano il cammino dei pacchetti

Dettagli