Ipsec. Il protocollo Internet abilita la comunicazione su un mezzo. consegna del pacchetto. Si parla di servizio best effort
|
|
- Maria Capasso
- 8 anni fa
- Visualizzazioni
Transcript
1 Il protocollo Internet abilita la comunicazione su un mezzo condiviso tra sistemi che non sono direttamente collegati tra loro Ing. Michela Cancellaro Ipsec Ing. Federica Battisti IP offre un servizio senza connessione senza garanzia di consegna del pacchetto Si parla di servizio best effort Sicurezza...ma a quale livello? Come scegliere il livello? Più si sale nello stack e più le funzioni saranno specifiche (es. possibile identificare l utente utente, i comandi, i dati) ed indipendenti dalle reti sottostanti ma più saranno possibili attacchi di tipo DoS Più si resta in basso nello stack e più sarà possibile espellere in fretta gli intrusi ma i dati su cui basare questa decisione saranno più scarsi (es. solo indirizzo MAC o IP, no utenti, no comandi)
2 IPsec IPsec consiste in una serie di protocolli capaci di garantire un ottimo livello di sicurezza in modo molto più trasparente di altri approcci IPsec è compatibile sia con il corrente standard di IP (IPv4) sia con quello futuro (IPv6). É indipendente dallo specifico algoritmo di criptazione. Essendo algoritmo indipendente, IPsec supporta con molta flessibilità combinazioni di autenticazione, controllo di integrità, controllo degli accessi e confidenzialità. IPsec è un protocollo end-to-end. Solo chi trasmette e chi riceve deve essere IPsec compatibile, mentre il resto della rete interposta tra i due non necessita di nessun cambiamento per supportarlo. IPsec: protocolli I due protocolli base su cui si fonda IPsec sono Authentication (AH): usato per autenticazione e controllo di integrità. Encapsulating Security Payload (ESP) usato per autenticazione, controllo e confidenzialità L associazione di sicurezza tra i due interlocutori che permette di comunicare in modo sicuro usando AH o ESP si basa su: IKE (Internet Key Exchange) ISAKMP (Internet Security Association and Key Management) Security Association Una SA identifica univocamente tutti i parametri necessari per una comunicazione sicura far due parti qualsiasi identità dei partecipanti, tipo di protocollo (AH, ESP), algoritmi di crittografia ed autenticazione utilizzati, etc. Rappresenta una connessione logica unidirezionale (simplex) tra due sistemi IPSec nel caso di comunicazione bidirezionale è necessario instaurare almeno due SA Security Association Una SA è identificata da 3 parametri: SPI (Security Parameter Index): una stringa di bit associata alla SA che ha valore locale. È trasportato negli header in AH e ESP per permettere in ricezione di scegliere l SA sotto cui verrà processato il pacchetto ricevuto. IP address di destinazione: è l indirizzo di destinazione a cui deve essere consegnato il pacchetto. Security Protocol Identifier (AH, ESP): indica se l associazione è di tipo AH o ESP.
3 Security Association Una SA è caratterizzata dai seguenti parametri: AH info (algo, IV, keys) ESP info (algos, IV, keys) IPSec Protocol Mode: tunnel, trasporto t o wildcard d Sequence Number: un contatore di lunghezza 32 bit anti-replay window: usato per determinare se un AH o un ESP è una risposta o meno lifetime: intervallo di tempo dopo cui una SA viene sostituita con un altra SA max MTU (Maximum Trasmission Unit): massime dimensioni del pacchetto che viene inviato Servizi di sicurezza forniti: IPsec Authentication Data integrity viene assicurata in maniera connectionless (pacchetto per pacchetto) generando un Integrity Check Value che protegge l intero datagramma IP eccetto alcuni campi mutevoli dell header Data origin authentication viene garantita firmando in maniera digitale l Integrity Check Value Replay protection è opzionale ed è realizzata impiegando un campo sequence number nell header del pacchetto AH IPsec Authentication Protezione di tutti i campi dell intestazione IP immutabili o mutabili in maniera prevedibile Immutable IP header fields (IPv4): Version It Internet t Length Total Length Identification Protocol Source Address Destination Address IPsec Authentication Mutable e predictable IP header fields (IPv4): Destination Address M t bl IP h d fi ld (IP 4) Mutable IP header fields (IPv4) Type of Service (TOS) Fl Flags Fragment Offset Ti Li (TTL) Time to Live (TTL) Checksum
4 IPsec Authentication Il protocollo IPsec Authentication è utilizzato per fornire un autenticazione i sull origine i dei dati, un controllo di integrità i e un servizio anti ripetizione su tutti i pacchetti IP inviati. E indipendente dall algoritmoalgoritmo di Hash utilizzato. Next Lenght Reserved Security Parameter Index (SPI) Sequence Number Authentication Data IPsec Authentication Next : campo di 8-bit che identifica il tipo di protocollo di livello superiore che segue AH. Security Parameter Index (SPI): valore di 32-bit usato dal ricevente per identificare quale set di parametri di sicurezza è utilizzato, ossia quale associazione i di sicurezza (SA) è in uso. Sequence Number: contiene un contatore che viene incrementato ogni volta che un pacchetto viene inviato allo stesso indirizzo IP con lo stesso SPI. Il ricevente legge questo numero per effettuare un controllo anti ripetizione. Se questo numero risulta troppo vecchio o essere già stato ricevuto in precedenza, l intero pacchetto viene eliminato. Authentication Data: contiene un codice Hash (es. HMAC-MD5 o HMAC-SHA-1) dei dati trasportati nel pacchetto IP. Contiene anche un valore per il controllo di integrità del pacchetto, chiamato Integrity Check Value (ICV). IPsec Authentication AH può essere usato in due modi differenti, denominati modalità di trasporto e modalità tunnel. Nella modalità di trasporto l intestazione AH è inserita dopo l intestazione IP e prima del protocollo di livello superiore. Nella modalità tunnel, sono usate due intestazioni IP. Quella più interna contiene gli indirizzi di origine e di destinazione originali ed è completamente protetta da AH. Quella più esterna invece può contenere degli indirizzi diversi da quelli originali, indirizzi che solitamente appartengono a dei gateway di sicurezza che implementano IPsec (es. firewall o router). IPsec Authentication In entrambe i casi, l SPI, in combinazione con l indirizzo IP di destinazione e il protocollo di sicurezza utilizzato (AH), identifica in modo univoco la specifica associazione di sicurezza AH (algoritmo di autenticazione, chiave di autenticazione, antiripetizione attivata o meno ) usata per la protezione del pacchetto IP corrente. Pacchetto IP originale Modalità di trasporto Original IP Original IP TCP/UD P AH Data TCP/UDP Data Modalità tunnel New IP AH Original IP TCP/UDP Data
5 Encapsulating Security Payload Il protocollo ESP di IPsec fornisce un servizio di confidenzialità per i pacchetti IP. ESP può anche fornire un servizio di autenticazione dell origine dei dati, controllo di integrità e protezione anti-ripetizione, ma solo sul pacchetto originale. Nessuno dei campi dell intestazione IP più esterna può usufruire di tali servizi. ESP incapsula il pacchetto originale al suo interno e precisamente tra un ESP header ed un ESP trailer Il pacchetto incapsulato viene criptato assieme al trailer, mentre l autenticazione è estesa anche all header. Encapsulating Security Payload Security Parameter Index (SPI) Sequence Number ICV Payload Data Padding Pad. Lenght Next Authentication Data Security Parameter Index (SPI): valore di 32-bit usato dal ricevente per identificare quale set di parametri di sicurezza è utilizzato, ossia quale associazione di sicurezza (SA) è in uso. Sequence Number: contiene un contatore che viene incrementato ogni volta che un pacchetto viene inviato allo stesso indirizzo IP con lo stesso SPI. Il ricevente legge questo numero per effettuare un controllo anti ripetizione. Encapsulating Security Payload Integrity Check Value (ICV): Contiene anche un valore per il controllo di integrità del pacchetto, chiamato (ICV). Payload Data: contiene i dati criptati. Padding: usato principalmente perché alcuni tipi di algoritmi di criptazione richiedono che i dati siano un multiplo di un certo numero di byte. Next : campo di 8-bit che identifica il tipo di protocollo di livello superiore che segue AH. Authentication Data: contiene un codice Hash (es. HMAC-MD5MD5 o HMAC-SHA-1) dei dati trasportati nel pacchetto IP; è opzionale, ed è usato quando nella specifica SA è selezionato anche il servizio io di autenticazione. ione Se l autenticazione ione dell origine dei dati non è selezionata allora questo campo, assieme al campo Sequence Number, non è utilizzato. Encapsulating Security Payload Nella modalità di trasporto l intestazione IP originale non è incapsulata in ESP e, di conseguenza, non è protetta in alcun modo. Original IP ESP TCP Data ESP Trailer ESP Auth. UDP cifrato autenticato Nella modalità tunnel il pacchetto IP originale è interamente incapsulato, intestazione i compresa; verrà quindi posto davanti all intestazione ESP una nuova intestazione IP contenente gli indirizzi sorgente e destinazione del tunnel creato. New IP ESP OriginaI IP TCP/ UDP cifrato autenticato Data ESP Trailer ESP Auth.
6 Internet Key Exchange Il protocollo IKE è utilizzato per mettere in piedi le associazioni di sicurezza necessarie sia per AH che per ESP. Tale protocollo è composto da due fasi separate, IKE fase 1 IKE fase 2 Utilizza il protocollo ISAKMP (Internet Security Association and Key Management Protocol). La fase 1 può essere realizzata in due modalità: Main Mode Aggressive Mode. Nella seconda modalità vengono scambiati un minor numero di messaggi a discapito del livello di protezione. La fase 2 è invece composta solo dal Quick Mode. Internet Key Exchange IKE (Internet Key Exchange): instaurazione del tunnel IPsec IKEsi poggia sul protocollo ISAKMP (Internet Security Associations and Key Management Protocol) IKE fase 1(6 messaggi): Contrattazione dei parametri di una ISAKMP-SA (mes. 1 e 2) Generazione di chiavi segrete (mes. 3 e 4) Mutua Autenticazione (Certificati Digitali) (mes. 5 e 6) IKE fase 2 (3 messaggi): Contrattazione dei parametri di una IPsec-SA Instaurazione del Tunnel IPsec Sequenza dei 9 pacchetti ISAKMP scambiati durante le due fasi di IKE Dal quinto pacchetto in poi lo scambio è criptato IPsec IKE Main Mode In questa fase viene instaurata una ISAKMP-SA tramite lo scambio di 6 messaggi: I primi due messaggi sono usati per contrattare gli algoritmi da utilizzare in seguito I secondi due messaggi sono usati per lo scambio dei dati necessari per generare una chiave e per un controllo di identità Ultimi due usati per l autenticazione A seconda del metodo di autenticazione contrattato nei primi messaggi cambierà il contenuto t dei successivi i ma la loro finalità rimarrà invariata I possibili metodi di autenticazione sono: Firma digitale Chiave pubblica (in due diverse forme) Chiave privata condivisa precedentemente
7 IKE fase 1 Main Mode IKE fase 1 Main Mode INITIATOR RESPONDER HDR SA HDR SA HDR KE [ HASH(1) ] <IDii_b>PubKey_r <Ni_b>PubKey_r HDR KE <IDir_b>PubKey_i <Nr_b>PubKey_i HDR HASH_I HDR HASH_R CRIPTATO [ ] OPZIONALE IKE fase 1 Main Mode L SA dell initiator contiene le politiche proposte mentre quello del responder contiene le politiche accettate. KE contiene contiene le informazioni pubbliche di uno scambio Diffie-Hellman. Ni è il nonce dell initiator mentre Nr è quello del responder. ID ii e ID ir servono per identificare l initiator e il responder. HASH_I e HASH_R servono per l autenticazione finale. Hash(1) è usato dall initiator per specificare quale chiave pubblica del responder sta utilizzando nel caso in cui questo ne possegga più d una. IKE fase 1 Main Mode A seguito della fase 1 viene generata una chiave segreta (SKEYID) che è una stringa nota solo alle parti coinvolte nello scambio. La modalità di generazione dipende dal metodo di autenticazione scelto, nel caso a chiave pubblica: SKEYID=prf(hash(Ni_b Nr_b),CKY_I CKY_R) Tramite SKEYID, assieme al risultato dello scambio Diffie-Hellman, vengono generate le seguenti chiavi: i SKEYID_a usato dalla ISAKMP-SA per autenticare i suoi messaggi SKEYID_e usato dalla ISAKMP-SA per proteggere i suoi messaggi SKEYID_d usato per derivare chiavi per una non-isakmp-sa Inoltre dalla SKEYID vengono anche generati HASH_I e HASH_R usati negli ultimi due messaggi della fase 1 Main Mode per l autenticazione.
8 IKE fase 2 Quick Mode IKE fase 2 Quick Mode INITIATOR HDR HASH (1) SA Ni [ KE ] IDci, IDcr HDR HASH (3) RESPONDER HDR HASH (2) SA Nr [ KE ] IDci, IDcr CRIPTATO [ ] OPZIONALE Questa seconda fase serve per creare delle non-isakmp-sa ed è del tutto protetta dalla ISAKMP-SA creata nella fase 1. In questa fase tutti i messaggi sono protetti dalla SKEYID_e e sono autenticati dalla SKEYID_a. La SKEYID_d è utilizzata, t assieme ad altri valori scambiati, per generare il KEYMAT che rappresenta la chiave segreta generata a seguito di questa fase, che servirà quindi a proteggere la non-isakmp-sa ottenuta. La fase 2 origina due SA: una per il traffico in una direzione ed una per il traffico nell altra, questo perché una non-isakmp-sa è monodirezionale. Di conseguenza avremo anche due KEYMAT uno per ciascuna direzione, ognuno dei quali costituisce una chiave simmetrica condivisa dai due interlocutori. Una ISAKMP-SA è invece bidirezionale. HASH(1)(2)(3) sono derivati da SKEYID_a e servono per autenticare i messaggi ISAKMP Il protocollo ISAKMP ( Internet Security Association and Key Management Protocol ) fornisce una base per autenticazione, gestione delle associazioni di sicurezza, e generazione e distribuzione di chiavi. Esso non specifica nessun particolare protocollo di scambio di chiavi. ISAKMP è un protocollo potente e flessibile che supporta la negoziazione delle politiche di sicurezza sotto le quali un canale di comunicazione i sicuro deve essere stabilito. ISAKMP La flessibilità di ISAKMP è però ottenuta a spese di altri fattori quali complessità, aumento dei ritardi nello stabilire associazioni, aumento del traffico di pacchetti. ISAKMP usa UDP come protocollo di trasporto e può negoziare associazioni di sicurezza per diversi protocolli a qualsiasi livello della pila ISO/OSI.
9 Associazione di Sicurezza (SA) ISAKMP è usato per stabilire un accordo su l algoritmo di crittografia, il metodo di autenticazione, e l algoritmo di HASH che dovranno essere usati nelle estensioni di AH ed ESP. L insieme di questi parametri su cui ci si deve accordare è chiamata Associazione di Sicurezza (SA). Associazione di sicurezza (SA) Il protocollo ISAKMP definisce due differenti tipi di associazioni di sicurezza: ISAKMP-SA: definisce le politiche usate per stabilire un canale sicuro per successive comunicazioni (metodo di autenticazione, algoritmo di crittografia, gruppo Diffie-Hellman, algoritmo di HASH, etc.) NON-ISAKMP-SA: una volta che il canale è stato t protetto tt grazie alla ISAKMP-SA, può essere stabilita una NON-ISAKMP-SA chiamata anche PROTOCOL-SA. Una NON-ISAKMP-SA è l insieme dei parametri usati per proteggere i dati scambiati in una comunicazione (es. i perametri IPsec per AH o ESP ). ISAKMP Poiché ISAKMP è utilizzato per stabilire un canale sicuro per applicazioni o protocolli di rete (es. IPsec AH ed ESP ), è importante provvedere all autenticazione delle parti coinvolte. Il metodo di autenticazione è contrattato nella ISAKMP-SA, anche se la sua implementazione dettagliata dipende dal protocollo di scambio di chiavi utilizzato. ISAKMP/IKE, per esempio, definisce quattro possibili metodi di autenticazione: Firma digitale Chiave pubblica (in due diverse forme) Chiave precedentemente condivisa ISAKMP ISAKMP usa i COOKIES per proteggere il protocollo contro attacchi di negazione del servizio ( attacchi DoS ). Un cookie è un gettone che fornisce una tecnica per una protezione parziale contro gli attacchi DoS. Per generare un cookie è usato del materiale segreto di base e ciò richiede un costo computazionale molto basso. In questo modo la generazione di un cookie è unica e sicura. Un metodo utilizzato per generare cookie è quello di KARN: Si calcola un HASH veloce a partire dagli indirizzi IP di sorgente e destinazione, dalle porte UDP di sorgente e destinazione, e da un valore casuale generato localmente. Si aggiunge l ora e la data ottenendo un cookie unico per ciascun processo di creazione di una SA.
10 Le fasi di ISAKMP Le negoziazioni di ISAKMP consistono in due fasi separate. Nella prima fase ( ISAKMP fase 1) le entità coinvolte stabiliscono un canale sicuro per successive comunicazioni mettendo in piedi una ISAKMP-SA. Nella seconda fase ( ISAKMP fase 2) le entità coinvolte, sotto la protezione della ISAKMP-SA, negoziano una NON- ISAKMP-SA che sarà usata per proteggere comunicazioni reali (es. AH ed ESP per IPsec). Le fasi di ISAKMP Nella fase 1 l initiator invia alcune proposte per i parametri di sicurezza, ed il responder decide se scegliere una di queste proposte o se rigettare la comunicazione. Ogni proposta contiene tutti i parametri di sicurezza necessari per stabilire una ISAKMP-SA. La fase 2 è effettuata solo se la fase 1 si è completata con successo. Essa è simile alla fase 1 anche se è più semplice e più veloce poiché è completamente protetta dalla ISAKMP-SA. Se anche la ISAKMP fase 2 si conclude con successo allora le due entità coinvolte possono iniziare a comunicare in modo sicuro usando la NON-ISAKMP-SA appena creata. Le ISAKMP SA sono bi-direzionali: una volta che è stabilita la SA ciascuna delle due parti può iniziare la negoziazione della fase 2. Le fasi di ISAKMP L approccio con due fasi ha sicuramente un costo maggiore di un approccio ad una sola fase, ma ha anche molti vantaggi. Il costo della fase 1 può essere condiviso tra diverse fasi due, difatti SA multiple possono essere stabilite partendo da un'unica unica fase 1. ISAKMP definisce dei tipi di scambi di default sia per la fase 1 che per la fase 2. Viene anche definito il formato del payload di questi tipi. i Il tipo di scambio definisce il contenuto e l ordine dei messaggi scambiati nella comunicazione. La principale differenza tra i diversi tipi di scambi è nell ordine dei messaggi e nell ordine dei payload all interno di ogni messaggio. Questi tipi forniscono un diverso tipo di protezione per lo scambio stesso e per le informazioni scambiate. Le fasi di ISAKMP Per ISAKMP sono attualmente predefiniti 5 tipi di scambio: Base Exchange: non è fornita la protezione di identità (gli identificatori di identità sono scambiati prima dell utilizzo della crittografia). Identity Protection Exchange: le identità sono criptate prima di essere inviate. Authentication Only Exchange: le informazioni viaggiano in chiaro. C è autenticazione ti i senza il peso computazionale della creazione di chiavi. Aggressive Exchange: è il più veloce perché prevede un minor numero di messaggi ma non fornisce protezione di identità. Informational Exchange: uno scambio in una sola direzione con notifica d errore. Questi tipi di scambio possono essere usati sia nella fase 1 che nella fase 2, anche se possono fornire diversi livelli di protezione a seconda della fase in cui vengono utilizzati.
11 Intestazione ISAKMP Initiator cookie Responder cookie Next payload mjver mnver Exchange type Flags Message id Lenght Un messaggio ISAKMP ha un intestazione di formato fisso, seguita da un numero variabile di payloads. Questa intestazione contiene le informazioni richieste dal protocollo per processare i payloads e possibilmente prevenire gli attacchi di negazione del servizio i e di ripetizione. i Intestazione ISAKMP Initiator Cookie (8 Ottetti): cookie dell entità che da inizio alla creazione di una SA, alla sua notifica ed alla sua cancellazione. Responder Cookie (8 Ottetti): cookie dell entità che risponde ad una richiesta di creazione di una SA, ad una notifica o ad una cancellazione Next Payload (1 Ottetto): indica il tipo del primo payload nel messaggio. Mjver (4 Bits): indica la maggior versione del protocollo ISAKMP in uso. Mnver (4 Bits): indica la minor versione del protocollo ISAKMP in uso. Exchange Type (1 Ottetto): indica il tipo di scambio che viene usato. Intestazione ISAKMP Exchange Type (1 Ottetto): indica il tipo di scambio che viene usato. Abbiamo già visto in precedenza quali sono i possibili tipi di scambio di default, vadiamo ora quali sono i valori che indicano ciascuno di questi. EXCHANGE TYPE VALUE NONE 0 BASE 1 IDENTITY PROTECTION 2 AUTHENTICATION ONLY 3 AGGRESSIVE 4 INFORMATIONAL 5 ISAKMP FUTURE USE 6-31 DOI SPECIFIC USE PRIVATE USE Intestazione ISAKMP Flags (1 Ottetto): indica le opzioni settate nello specifico tipo di scambio utilizzato. Message Id (4 Ottetti): è l unico identificatore del messaggio usato per identificare lo stato del protocollo durante le negoziazioni della fase due. Il suo valore è generato casualmente dall iniziatore delle negoziazioni della fase due. Lenght (4 Ottetti): indica la lunghezza totale del messaggio (intestazione + payloads ) espressa in ottetti. La crittografia può espandere le dimensioni i i di un messaggio ISAKMP.
12 Tipo di carico Intestazione Payload NEXT PAYLOAD TYPE VALUE NONE SECURITY ASSOCIATION (SA) 0 1 NEXT PAYLOAD RESERVED PAYLOAD LENGHT PROPOSAL (P) 2 TRANSFORM (T) 3 KEY EXCHANGE (KE) 4 IDENTIFICATION (ID) 5 CERTIFICATE (CERT) 6 CERTIFICATE REQUEST (CR) 7 HASH (HASH) 8 SIGNATURE (SIG) 9 NONCE (NONCE) 10 NOTIFICATION (N) 11 DELETE (D) 12 Ogni payload ISAKMP inizia con un intestazione generica: Next Payload (1 Ottetto): indica il tipo del prossimo payload nel messaggio.se il payload corrente è l ultimo l allora questo campo è settato a zero. Reserved d(1 Ottetto): non è utilizzato t ed è settato t a zero. Payload Lenght (2 Ottetti): indica la lunghezza in ottetti del payload corrente, includendo anche l intestazione generica. VENDOR ID (VID) 13 RESERVED PRIVATE USE Standard di sicurezza Meccanismi di sicurezza basati sul protocollo IPsec nelle Wireless LAN Secondo lo standard b affinché un client possa instaurare una qualsiasi comunicazione dati deve eseguire due processi fondamentali: Autenticazione e Associazione STATO 1 STATO 2 STATO 3 Non Autenticato Autenticato Autenticato Non Associato Non Associato Associato La fase di autenticazione può essere realizzata secondo due meccanismi standard: Sistema di autenticazione aperto: SSID trasmesso in chiaro Sistema di autenticazione a chiave condivisa: SSID e chiave WEP La fase di associazione consiste nell assegnazione di un canale fisico al client da parte dell Access Point
13 Standard di sicurezza WEP (Wired Equivalent Protocol): utilizza meccanismi equivalenti a quelli adottati per le reti fisse. Fornisce: L identificatore SSID è trasmesso in chiaro Vulnerabilità dello standard Confidenzialità tramite una chiave segreta condivisa Integrità tramite l uso di un ICV (Integrity Check Value) 24 bit 40 (104) bit IV Chiave Segreta k Messaggio CRC-32 ICV PRNG (RC-4) 32 bit + Keystream Plaintext XOR Chipertext Messaggio +ICV L applicazione di Windows XP per la gestione delle connessioni Wireless ci mostra gli identificatori SSID delle reti presenti La chiave WEP può essere violata: Intercettazione del traffico in aria Elaborazione dei pacchetti intercettati con particolari software (WEPcrack) Il pacchetto intercettato con AiroPeek è criptato t con il WEP Soluzioni di sicurezza Architettura di base Soluzioni basate su standard dell IEEE: IEEE 802.1X: standard dper il controllo degli accessi / Sistema Richiedente Sistema di Autenticazione Server di Autenticazione X LAN Richiedente Servizi offerti dal Sistema Autenticazione Porta Porta non Controllata Controllata t Autorizzazione / Non-Autorizzazione Server di Autenticazione Protocollo EAP per lo scambio dei messaggi di autenticazione È uno standard d nato per un servizio i di autenticazione ti i in reti LAN, ed ora esteso al caso Wireless IEEE i: futuro standard di sicurezza Wireless LAN Tunnel IPsec LAN del dipartimento Client dotato di Wireless card Access Point modello Server IPsec (END-point del PCMCIA certificata t WiFi 3Com AP8000 tunnel) INTERNET Router del dipartimento Tunnel IPsec: client Wireless - interfaccia privata del server IPsec (IPsec Gateway) Coesiste con la protezione offerta dal WEP (chiave a 128-bit) Dati altamente protetti: autenticazione, integrità e riservatezza
14 Client Wireless Implementazione IPsec IKE + ESP modalità Tunnel SSH Sentinel Software utilizzato: Client IPsec Implementazione IPsec di Windows + pacchetto per ricreare le modalità di configurazione di FreeS/WAN su piattaforma Windows Sistema operativo Windows XP Scheda di rete wireless IEEE b certificata / e / X o X X client 1 AP X Y X o client Y WLAN Sviluppo dell architettura AP GW1 LAN del Dipartimento INTERNET Introduzione di un secondo gateway IPsec (GW2) per evitare il sovraccarico del GW1 all aumentare del numero di utenti da gestire Un client può associarsi con ciascuno dei due AP (stesso SSID e chiave WEP) Un client può stabilire il tunnel IPsec solo con il Gateway della sua stessa sottorete (da una qualsiasi posizione!!) Il tunnel IPsec non risente del passaggio dall area di copertura di un AP a quella dell altro GW Sviluppo dell architettura Obiettivi / e / Y OK X WLAN edificio A AP1 AP AP GW1 GW1 WLAN1 WLAN2 GW INTERNET AP2 LAN edificio A GW1 LAN edificio B LAN del Dipartimento / e / AP AP2 INTERNET OK WLAN edificio B GW2 GW Instaurazione di un nuovo tunnel IPsec Le due reti wireless sono fisicamente separate Pensata per la gestione dell accesso a reti wireless separate di una stessa azienda La mobilità all interno della stessa rete è garantita Nel passaggio da una rete all altraaltra l utente deve reinstaurare il tunnel IPsec manualmente (mantenendo invariata la sua configurazione di rete) Autenticazione dell utente tramite Autorità Certificati di Digitali X.509 Certificazione (Può + trovarsi ovunque) Creazione di una nostra Autorità di Certificazione (CA) privata + Generazione di un unico + certificato per ogni utente / e / Gestione locale dei certificati (a livello di singolo Server IPSEC) GW1 GW1 AP1 No CRL (Lista di Revoca dei Certificati) AP1 WLAN edificio A AP2 WLAN1 GW AP2 LAN edificio A INTERNET + LAN edificio B + GW / e / AP2 INTERNET WLAN edificio B
15 Autorità di Certificazione (CA) Gestione Locale dei Certificati Può trovarsi ovunque! Certificato X.509: Accesso a reti protette da Server IPsec diversi tramite un unico certificato emesso dalla CA Stato fidata del e Server gestito IPsec poi localmente Emette Certificati Digitali X.509 più la relativa chiave privata: NickName dell utente per se stessae gruppo di per i Server IPsec riferimento per i Client Wireless Nome della CA Un solo certificato per ogni utente Dati contenuti nel certificato L Utente1 con indirizzo IP ha instaurato il Creazione di un DataBase all interno del server contenente t i Tunnel IPsec certificati degli utenti autorizzati all accesso Creazione di connessioni dedicate a ciascuno degli utenti con certificato memorizzato nel DataBase Utenti il cui certificato è contenuto nel Server IPsec ad ognuno di questi uteni è riservata Lista dei certificati contenuti nel Server Solo gli utenti in una possesso connessione di una dedicata connessione dedicata all interno del server possono accedere alla rete wireless Instaurazione del Tunnel IPsec Emissione IKE (da fase parte IKE 1 Risultato della fase ISAKMP-SA CA) 2 di finale IPsec-SA un nuovo (IKE-SA) certificato utente + relativa chiave privata Consegna del certificato ai Server IPsec delle reti in cui l utente ha autorizzazione i all accesso: Contrattazione Memorizzazione dei parametri del certificato nel DataBase Contrattazione della IKE-SA dei parametri della Creazione IPsec-SA di una connessione dedicata all utente Consegna all utente di un suo pacchetto di certificazione Generazione di chiavi segrete tramite Instaurazione contenente: l algoritmo t del tunnel Diffie-Hellman completata Certificato X.509 proprio Chiave privata propria Mutua autenticazione tramite CERTIFICATI Certificato DIGITALI X.509 della CA (è stata creata una nostra PKI) IPsec e IEEE 802.1X Possibile integrazione della soluzione IPsec con lo standard IEEE 802.1X RADIUS Tunnel IPsec Connessione di default affidata allo standard IEEE 802 1X Connessione di default affidata allo standard IEEE 802.1X Il gateway IPsec deve permettere il passaggio dei pacchetti RADIUS previsti dall autenticazione IEEE 802.1X Solo a seguito di questa fase l utente potrà svolgere le procedure necessarie all instaurazione del tunnel IPsec
StarShell. IPSec. StarShell
IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:
DettagliSicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link
Sicurezza ai livelli di rete e data link Sicurezza a livello applicativo Ma l utilizzo di meccanismi di cifratura e autenticazione può essere introdotto anche ai livelli inferiori dello stack 2 Sicurezza
DettagliSicurezza a livello IP: IPsec e le reti private virtuali
Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.
DettagliCorso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I
Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori I Roberto Canonico (roberto.canonico@unina.it) Giorgio Ventre (giorgio.ventre@unina.it) Il livello rete in Internet Il protocollo
DettagliSicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15
Sicurezza dei sistemi e delle 1 Mattia Lezione VI: Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi
DettagliProblemi legati alla sicurezza e soluzioni
Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Accesso remoto ad impianti domotici Problemi legati alla sicurezza e soluzioni Domotica
DettagliSicurezza nelle reti IP
icurezza nelle reti IP L architettura IPsec IPsec Proposta IETF per fare sicurezza al livello IP (livello 3) Compatibile con IPv4 e IPV6 (RFC-2401) Permette di Creare VPN su reti pubbliche Fare sicurezza
DettagliSicurezza delle reti e dei calcolatori
Sicurezza e dei calcolatori Introduzione a IPSec Lezione 11 1 Obiettivi Aggiungere funzionalità di sicurezza al protocollo IPv4 e IPv6 Riservatezza e integrità del traffico Autenticità del mittente La
DettagliAlberto Ferrante. Security Association caching of a dedicated IPSec crypto processor: dimensioning the cache and software interface
Alberto Ferrante Security Association caching of a dedicated IPSec crypto processor: dimensioning the cache and software interface Relatore: Prof. Roberto Negrini Correlatore: Dott. Jefferson Owen (STM)
DettagliReti private virtuali (VPN) con tecnologia IPsec
Reti private virtuali (VPN) con tecnologia IPsec A.A. 2005/2006 Walter Cerroni Reti private e reti private virtuali Aziende e/o enti di dimensioni medio/grandi in genere hanno necessità di interconnettere
DettagliAllegato 3 Sistema per l interscambio dei dati (SID)
Sistema per l interscambio dei dati (SID) Specifiche dell infrastruttura per la trasmissione delle Comunicazioni previste dall art. 11 comma 2 del decreto legge 6 dicembre 2011 n.201 Sommario Introduzione...
DettagliApprofondimento di Marco Mulas
Approfondimento di Marco Mulas Affidabilità: TCP o UDP Throughput: banda a disposizione Temporizzazione: realtime o piccoli ritardi Sicurezza Riservatezza dei dati Integrità dei dati Autenticazione di
DettagliReti di Telecomunicazione Lezione 8
Reti di Telecomunicazione Lezione 8 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Livello di trasporto Programma della lezione relazione tra lo strato di trasporto e lo strato
DettagliReti di Calcolatori. Il software
Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla
Dettagliazienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.
INTRODUZIONE ALLA VPN (Rete virtuale privata - Virtual Private Network) Un modo sicuro di condividere il lavoro tra diverse aziende creando una rete virtuale privata Recensito da Paolo Latella paolo.latella@alice.it
DettagliReti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete
IP Analizziamo con sufficiente dettaglio il sistema denominato IP, usato per consentire a due computer mobili di spostarsi liberamente in altre reti pur mantenendo lo stesso indirizzo IP. In particolare,
DettagliLa sicurezza nelle reti di calcolatori
La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico
DettagliRC4 RC4. Davide Cerri. Davide Cerri CEFRIEL - Politecnico di Milano cerri@cefriel.it http://www.cefriel.it/~cerri/
POLITECNICO DI MILANO CEFRIEL - Politecnico di Milano cerri@cefriel.it http://www.cefriel.it/~cerri/ è un cifrario a flusso progettato da Ron Rivest (la R di RSA) nel 1987. Era un segreto commerciale della
DettagliWi-Fi, la libertà di navigare in rete senza fili. Introduzione.
Wi-Fi, la libertà di navigare in rete senza fili. Introduzione. L evoluzione delle tecnologie informatiche negli ultimi decenni ha contribuito in maniera decisiva allo sviluppo del mondo aziendale, facendo
DettagliComunicazioni sicure su Internet: https e SSL. Fisica dell Informazione
Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text
DettagliProtocolli di Comunicazione
Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol
DettagliMeccanismi di autenticazione sicura. Paolo Amendola GARR-CERT
Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp
DettagliProgrammazione in Rete
Programmazione in Rete a.a. 2005/2006 http://www.di.uniba.it/~lisi/courses/prog-rete/prog-rete0506.htm dott.ssa Francesca A. Lisi lisi@di.uniba.it Orario di ricevimento: mercoledì ore 10-12 Sommario della
DettagliApplicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009
Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette
DettagliSSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer
: applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle
DettagliComunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione
I semestre 04/05 Comunicazione tra Computer Protocolli Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/professori/auletta/ Università degli studi di Salerno Laurea in Informatica 1
DettagliVPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it
VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di
DettagliSecure socket layer (SSL) Transport layer security (TLS)
Servizi Sicuri per le comunicazioni in rete Secure socket layer (SSL) Transport layer security (TLS) Applicaz. TTP TCP Applicaz. TTP SSL/TLS TCP SSL: Netscape TLS:RFC 2246 Applicaz. TTPS TCP andshake Change
DettagliIl glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Avviso di mancata consegna L avviso, emesso dal sistema, per indicare l anomalia
DettagliGestione delle Reti di Telecomunicazioni
Università di Firenze Dipartimento di Elettronica e Telecomunicazioni Gestione delle Reti di Telecomunicazioni Virtual Private Networks Ing. Tommaso Pecorella Ing. Giada Mennuti {pecos,giada}@lenst.det.unifi.it
DettagliIP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico
IP e subnetting Ip IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico come nel caso del MAC Address) una
DettagliCrittografia e sicurezza delle reti. WEP: Wired Equivalent Privacy
Crittografia e sicurezza delle reti WEP: Wired Equivalent Privacy Stream Ciphers Inizia con una chiave segreta ( seed ) Genera uno stream di byte (Keystream): byte i dello stream è funzione della chiave
DettagliINFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)
Antonio Cianfrani Virtual LAN (VLAN) Richiami sullo standard Ethernet Lo standard Ethernet (IEEE 802.3) è utilizzato per le Local Area Network (LAN): livello 2 della pila protocollare. Consente l utilizzo
DettagliTransmission Control Protocol
Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione
DettagliFirewall e Abilitazioni porte (Port Forwarding)
Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi
DettagliIpSec è una proposta IETF per fare sicurezza al livello IP RFC 2041, 2042, 2046, 2048
Network Security Elements of Network Security Protocols The IpSec architecture Roadmap Architettura di base Modalità tunnel e client ESP, AH Cenni a IKE 2 Informazioni generali IpSec è una proposta IETF
DettagliWireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it
Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Security e Reti Wireless Sicurezza: Overview Open network Open network+ MAC-authentication Open network+ web based gateway WEP
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Introduzione In questa mini-guida illustreremo come realizzare un collegamento tramite VPN(Virtual Private Network) tra due FRITZ!Box, in modo da mettere in comunicazioni
DettagliMODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it
MODELLO CLIENT/SERVER Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it POSSIBILI STRUTTURE DEL SISTEMA INFORMATIVO La struttura di un sistema informativo
DettagliINTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.
Laurea in INFORMATICA INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 Dynamic Host Configuration Protocol fausto.marcantoni@unicam.it Prima di iniziare... Gli indirizzi IP privati possono essere
DettagliLa sicurezza nelle comunicazioni Internet
Accesso remoto sicuro a intranet e a server aziendali di posta elettronica Un esempio Cosa ci si deve aspettare di sapere alla fine del corso La sicurezza nelle comunicazioni Internet Esiste un conflitto
DettagliATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE
ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE PREMESSA La presente guida è da considerarsi come aiuto per l utente per l installazione e configurazione di Atollo Backup. La guida non vuole approfondire
DettagliContesto: Peer to Peer
Contesto: Peer to Peer Un architettura di rete P2P è caratterizzata da: Connessioni dirette tra i suoi componenti. Tutti i nodi sono entità paritarie (peer). Risorse di calcolo, contenuti, applicazioni
DettagliReplica con TeraStation 3000/4000/5000/7000. Buffalo Technology
Replica con TeraStation 3000/4000/5000/7000 Buffalo Technology Introduzione La funzione di replica consente di sincronizzare una cartella in due diversi dispositivi TeraStation quasi in tempo reale. Il
DettagliLa sicurezza nel Web
La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione
DettagliIntroduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e
TCP/IP Sommario Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e pubblici Introduzione al TCP/IP TCP/IP
DettagliLo scenario: la definizione di Internet
1 Lo scenario: la definizione di Internet INTERNET E UN INSIEME DI RETI DI COMPUTER INTERCONNESSE TRA LORO SIA FISICAMENTE (LINEE DI COMUNICAZIONE) SIA LOGICAMENTE (PROTOCOLLI DI COMUNICAZIONE SPECIALIZZATI)
DettagliSicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it
Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic
DettagliElementi sull uso dei firewall
Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall
DettagliUTILIZZO DELLA RETE WIRELESS DIPARTIMENTALE
UTILIZZO DELLA RETE WIRELESS DIPARTIMENTALE PREMESSA Presso il Dipartimento di Elettronica e Informazione e attiva una infrastruttura wireless composta da undici access point (in seguito denominati AP)
DettagliSicurezza nelle reti IP. L architettura IPsec
Sicurezza nelle reti IP L architettura IPsec IPsec Proposta IETF per fare sicurezza al livello IP (livello 3) Compatibile con IPv4 e IPV6 (RFC-2401) Permette di Creare VPN su reti pubbliche Fare sicurezza
DettagliCos è. Protocollo TCP/IP e indirizzi IP. Cos è. Cos è
Protocollo TCP/IP e indirizzi IP Il protocollo TCP/IP è alla base dei sistemi di trasmissione dati impiegati sulle reti locali e su Internet. Nato nel Gennaio 1983 negli Stati Uniti come sistema di comunicazione
DettagliElementi di Informatica e Programmazione
Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela
DettagliInizializzazione degli Host. BOOTP e DHCP
BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un
DettagliElementi di Informatica e Programmazione
Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela
DettagliINDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP
INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP Un indirizzo IP è composto da 32 bit. Generalmente, per convenienza, è presentato in decimale: 4 ottetti (bytes) separati da un punto. Ogni rete fisica
DettagliUniversità degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls
Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione
DettagliServizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti
20120300 INDICE 1. Introduzione... 3 2. Consultazione... 4 2.1 Consultazione Server Fidati... 4 2.2 Consultazione Servizi Client... 5 2.3 Consultazione Stato richieste... 5 3. Amministrazione... 6 3.1
DettagliSoftware Servizi Web UOGA
Manuale Operativo Utente Software Servizi Web UOGA S.p.A. Informatica e Servizi Interbancari Sammarinesi Strada Caiese, 3 47891 Dogana Tel. 0549 979611 Fax 0549 979699 e-mail: info@isis.sm Identificatore
DettagliFirewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall
Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può
DettagliGestione degli indirizzi
Politecnico di Milano Advanced Network Technologies Laboratory Gestione degli indirizzi - Address Resolution Protocol (ARP) - Reverse Address Resolution Protocol (RARP) - Dynamic Host Configuration Protocol
DettagliINTRODUZIONE----------------------------------------------------------------- 1 CAP I:
Indice INTRODUZIONE----------------------------------------------------------------- 1 CAP I: LO STANDARD IKE / IPSEC------------------------------------------ 3 I.1 STORIA DELL IPSEC------------------------------------------------------------------4
DettagliLa sicurezza delle reti
La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?
DettagliUniversità di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15. Pietro Frasca. Parte II Lezione 5
Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15 Parte II Lezione 5 Giovedì 19-03-2015 1 Intensità del traffico e perdita dei pacchetti La componente
DettagliAccess Control List (I parte)
- Laboratorio di Servizi di Telecomunicazioni Access Control List (I parte) Indice Cosa sono le ACL? Interfacce Inbound & Outbound Wildcard mask Configurare una ACL standard ACL extended Named ACL Posizionamento
DettagliESERCIZIO NUMERO 1 ESERCIZIO NUM. 2
ESERCIZIO NUMERO 1 Alcuni errori di segnale possono provocare la sostituzione di interi gruppi di bit di un pacchetto mediante una sequenza di valori 0 oppure una sequenza di valori 1. Supponete che vengano
DettagliProva in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00
Prova in itinere - Rete Internet (ing. Giovanni Neglia) Mercoledì 23 Maggio 2007, ore 15.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome:
DettagliInformatica per la comunicazione" - lezione 13 -
Informatica per la comunicazione" - lezione 13 - Funzionamento di una password" 1: l utente tramite il suo browser richiede l accesso a una pagina del server; 2: il server richiede il nome utente e la
DettagliCenni di programmazione distribuita in C++ Mauro Piccolo piccolo@di.unito.it
Cenni di programmazione distribuita in C++ Mauro Piccolo piccolo@di.unito.it Socket Nei sistemi operativi moderni i servizi disponibili in rete si basano principalmente sul modello client/server. Tale
DettagliLa firma digitale CHE COSA E'?
La firma digitale La Firma Digitale è il risultato di una procedura informatica che garantisce l autenticità e l integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari
DettagliSicurezza nelle reti IP
Sicurezza nelle reti IP L architettura IPsec IPsec Proposta IETF per fare sicurezza al livello IP (livello 3) Compatibile con IPv4 e IPV6 (RFC-2401) Permette di Creare VPN su reti pubbliche Fare sicurezza
DettagliCorso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella
Corso di Sistemi di Elaborazione delle informazioni Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Una definizione di Rete Una moderna rete di calcolatori può essere definita come:
DettagliManuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise
Manuale Amministratore Legalmail Enterprise Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise Pagina 2 di 16 Manuale Amministratore Legalmail Enterprise Introduzione a Legalmail Enterprise...3
DettagliMulticast e IGMP. Pietro Nicoletti www.studioreti.it
Multicast e IGMP Pietro Nicoletti wwwstudioretiit Multicast-2004-1 P Nicoletti: si veda nota a pag 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul
DettagliInterfaccia KNX/IP Wireless GW 90839. Manuale Tecnico
Interfaccia KNX/IP Wireless GW 90839 Manuale Tecnico Sommario 1 Introduzione... 3 2 Applicazione... 4 3 Menù Impostazioni generali... 5 3.1 Parametri... 5 4 Menù Protezione WLAN... 6 4.1 Parametri... 6
DettagliAutenticazione tramite IEEE 802.1x
Autenticazione tramite IEEE 802.1x Pietro Nicoletti Studio Reti s.a.s www.studioreti.it 802-1-X-2004 -Switch 1 P. Nicoletti: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto
DettagliGLI INDIRIZZI DELL INTERNET PROTOCOL (IP ADDRESS) 2. Fondamenti sugli indirizzi dell Internet Protocol 2. Struttura di un indirizzo IP 2
GLI INDIRIZZI DELL INTERNET PROTOCOL (IP ADDRESS) 2 Fondamenti sugli indirizzi dell Internet Protocol 2 Struttura di un indirizzo IP 2 Le classi degli indirizzi IP 3 Indirizzi di Classe A 3 Indirizzi di
DettagliI MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale
La soluzione modulare di gestione del Sistema Qualità Aziendale I MODULI Q.A.T. - Gestione clienti / fornitori - Gestione strumenti di misura - Gestione verifiche ispettive - Gestione documentazione del
DettagliGli indirizzi dell Internet Protocol. IP Address
Gli indirizzi dell Internet Protocol IP Address Il protocollo IP Prevalente è ormai diventato nell implementazione di reti di computer la tecnologia sintetizzata nei protocolli TCP- Ip IP è un protocollo
DettagliCorso di Laurea Specialistica in Ingegneria Informatica Corso di Reti di Calcolatori II Docente: Simon Pietro Romano spromano@unina.
Corso di Laurea Specialistica in Ingegneria Informatica Corso di Reti di Calcolatori II Docente: Simon Pietro Romano spromano@unina.it La suite di protocolli IPsec CREDITS Tutto il materiale didattico
DettagliSETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012
e VIRTUALCARD 19 Aprile 2012 e VIRTUALCARD Introduzione Il nostro obiettivo é quello di illustrare la struttura e le caratteristiche di fondo che stanno alla base delle transazioni online operate tramite
DettagliProva di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00
Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome: Nome:
DettagliReti e Sistemi per l Automazione MODBUS. Stefano Panzieri Modbus - 1
MODBUS Stefano Panzieri Modbus - 1 La Storia Diventa uno STANDARD nel 1979 Nato come protocollo di comunicazione SERIALE si è successivamente adattato alle specifiche TCP/IP Permette una comunicazione
DettagliGestione degli indirizzi
Politecnico di Milano Facoltà di Ingegneria dell Informazione Gestione degli indirizzi -Address Resolution Protocol (ARP) -Reverse Address Resolution Protocol (RARP) -Dynamic Host Configuration Protocol
DettagliDOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO
Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Networking NAT 1 Sommario L indirizzamento privato e pubblico I meccanismi di address
DettagliProva di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00
Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 200, ore 1.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome: Nome:
DettagliVPN CIRCUITI VIRTUALI
& TUNNELING 1 Il termine VPN viene pesantemente abusato, con varie definizioni ma possiamo definire intuitivamente una VPN considerando dapprima l'idea dì una rete privata. Le aziende con molte sedi si
DettagliJ+... J+3 J+2 J+1 K+1 K+2 K+3 K+...
Setup delle ConnessioniTCP Una connessione TCP viene instaurata con le seguenti fasi, che formano il Three-Way Handshake (perchè formato da almeno 3 pacchetti trasmessi): 1) il server si predispone ad
DettagliSicurezza nelle reti
Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2
DettagliPowerLink Pro. Interfaccia web per centrali PowerMax Pro 1: INTRODUZIONE. Nota :
PowerLink Pro Interfaccia web per centrali PowerMax Pro 1: INTRODUZIONE Il PowerLink Pro permette di visualizzare e gestire il sistema PowerMax Pro tramite internet. La gestione è possibile da una qualunque
DettagliDettaglio attività e pianificazione. snamretegas.it. San Donato Milanese Aprile 2014
Evoluzioni tecnologiche nelle integrazioni B2B introdotte dalla Nuova Piattaforma informatica per la Gestione dei processi commerciali di Programmazione e Bilancio Dettaglio attività e pianificazione San
Dettagli2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.
ESERCIZIARIO Risposte ai quesiti: 2.1 Non sono necessarie modifiche. Il nuovo protocollo utilizzerà i servizi forniti da uno dei protocolli di livello trasporto. 2.2 Il server deve essere sempre in esecuzione
DettagliTCP: trasmissione Source port [16 bit] - Identifica il numero di porta sull'host mittente associato alla connessione TCP. Destination port [16 bit] - Identifica il numero di porta sull'host destinatario
DettagliIl livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP
Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto
DettagliCorso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori (a.a. 2010/11)
Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori (a.a. 2010/11) Roberto Canonico (roberto.canonico@unina.it) Giorgio Ventre (giorgio.ventre@unina.it) Il protocollo IP Frammentazione
DettagliVersione 1. (marzo 2010)
ST 763-27 - Soluzione tecnica di interconnessione per i servizi SMS e MMS a sovrapprezzo Allegato 1 - Linee guida per l interfaccia di accesso tra operatore telefonico ed il CSP Versione 1 (marzo 2010)
DettagliIl routing in Internet Exterior Gateway Protocols
Il routing in Internet Exterior Gateway Protocols A.A. 2005/2006 Walter Cerroni Exterior Gateway Protocols I protocolli di tipo EGP sono diversi da quelli di tipo IGP All interno di un AS si persegue l
DettagliSommario. Introduzione alla Sicurezza Web
Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione
DettagliOpenVPN: un po di teoria e di configurazione
Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica 10 dicembre 2004 Sommario 1 Introduzione: definizione e utilizzo delle VPN 2 3 4 5 Sommario
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Descrizione Ogni utente di Internet può scambiare dati ed informazioni con qualunque altro utente della rete. I dati scambiati viaggiano nella nuvola attraverso una serie
Dettagli