INTRODUZIONE Problemi affrontati dalle tecniche di portknocking

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "INTRODUZIONE Problemi affrontati dalle tecniche di portknocking"

Transcript

1 INTRODUZIONE Il portknocking é un metodo per comunicare con un computer in rete senza mantenere i corrispondenti servizi costantemente in ascolto e pronti a ricevere connessioni. Prima che una connessione ad uno specifico servizio possa essere stabilita viene usata una speciale sequenza di pacchetti di rete, ovvero una serie di tentativi di connessione verso delle porte di rete chiuse come meccanismo di autenticazione del richiedente del servizio. Il richiedente bussa alle porte e si fa riconoscere prima di poter accedere, da qui il nome portknocking. In base alle sequenze di knock riconosciute,ad esempio, l'accesso ad un servizio può essere ottenuto manipolando in maniera dinamica le regole di filtraggio del firewall, per aprire o chiudere una o più porte all'indirizzo IP del richiedente. Sulla base di questa idea innovativa di gestione delle autorizzazioni all'accesso di servizi di rete, sono state proposte diverse metodologie realizzative: dal monitoraggio dei log di sistema all'analisi real-time del traffico di rete al fine di individuare le sequenze di knock ed agire di conseguenza. Problemi affrontati dalle tecniche di portknocking I rischi associati ad una macchina connessa ad Internet sono aumentati considerevolmente: siamo ormai abituati a sentire notizie riguardo ad accessi non autorizzati o attacchi DoS su larga scala. Secondo il CSI/FBI Computer Crime and Security Survey del 2004 il 53% delle organizzazioni intervistate sono state vittime di un uso non autorizzato dei propri sistemi nel corso degli ultimi 12 mesi. Nonostante il dato sia migliore rispetto a quello del 2003, deve comunque fare riflettere il fatto che piu' della meta' delle organizzazioni interessate dal report abbiano avuto problemi in questo senso. Tutto ciò non fa che evidenziare ancora di più i rischi dei sistemi in rete, sia per piccole imprese, che per istituzioni, governi e altre grandi realtà imprenditoriali. Anche le utenze domestiche, tradizionalmente vittime di virus, sono sempre più spesso obbiettivo di intrusioni vere e proprie, e usate per la diffusione di worm, spam o attività di scanning a largo spettro. Le tecniche per proteggere le macchine connesse ad Internet tendono a basarsi sia sul filtraggio dei pacchetti sulla base di regole di accesso, che sulla sicurezza a livello di applicazione. Le politiche di filtraggio dei pacchetti sono tipicamente implementate attraverso l'utilizzo dei firewall. Esistono tuttavia attacchi contro i quali un firewall puo' non essere efficiente. Essi ad esempio non possono proteggere da tool e applicazioni malevole che si basino su vulnerabilità di qualche servizio applicativo accessibile da remoto. Vulnerabilità associate ai servizi sono sfruttabili poiche' l'architettura aperta di Internet presume che una macchina che fornisce un servizio, sia accessibile da macchine remote per mezzo dei vari protocolli, ad esempio FTP, SMTP, POP3, NNTP, HTTP, ecc. La seconda tecnica di protezione utilizzata e' quella di implementare meccanismi di sicurezza molto forti a livello di applicazione, come servizi d'autenticazione specifici di ogni applicazione. Affidarsi esclusivamente a questo livello di sicurezza esporrebbe al problema del costo computazionale di tali meccanismi. Per esempio degli schemi crittografici particolarmente elaborati potrebbero richiedere un costo computazionale eccessivo, facilitando eventuali attacchi DoS, che consistono nell'esaurimento delle risorse del sistema vittima, il quale di conseguenza sara' impossibilitato ad erogare regolarmente il suo servizio. 1

2 Inoltre i vari meccanismi per lo scambio delle chiavi rivelano l'esistenza della macchina e che quel servizio é in esecuzione; tutto cio' potrebbe permettere la raccolta di informazioni sul sistema vittima da parte di un utente malizioso, facilitando eventuali attacchi. L'ideale sarebbe avere un meccanismo semplice e leggero dal punto di vista computazionale, che permetta di fermare la maggior parte degli attacchi. Un beneficio significativo si potrebbe quindi conseguire per mezzo del cosiddetto approccio "defence-in-depth", che consiste nell'utilizzare layers di sicurezza multipli, piuttosto che avere un'unico livello perfetto o presunto tale. Come approcciare quindi il problema della network secuirty? Cosa potremmo fare per rendere il sistema il piu' sicuro possibile, mantenendo al contempo la possibilita' di accedervi in modo flessibile? Come si può immaginare i due obiettivi tendono ad essere divergenti ed a seconda dei casi l'equilibrio può tendere verso la sicurezza a tutti i costi, oppure verso una maggior flessibilità di utilizzo. Bisogna però ricordare che la sicurezza assoluta non esiste: l'unica certezza di evitare al 100% un attacco remoto ad un server è quella di disconnetterlo, soluzione decisamente poco pratica. Un sistema per la sicurezza quindi non puo' dare la certezza di rendere impossibile l'accesso al sistema, ma ha lo scopo di prevenire e ritardare le intrusioni il più a lungo possibile, rendendo difficile l'operato degli eventuali attacker. Entrando maggiormente nel dettaglio i punti più importanti da perseguire per la protezione di un particolare servizio, o in generale di un sistema sono: 1. Il servizio deve essere "nascosto" (nonostante questo una policy di sicurezza non può e non deve basarsi solamente sulla cosiddetta security through obscurity). In questo modo si permette agli host di cercare di essere invisibili ad altre macchine connesse ad internet, mentre continuano a fornire il servizio a quelle autorizzate. 2. Le credenziali dei client autorizzati devono essere semplici da validare, ed allo stesso tempo complicate da costruire. Ovviamente perche' il servizio resti nascosto, non devono essere date risposte nel caso le credenziali non siano valide. Quindi i client non autorizzati non solo non dovranno potere accedere al servizio, ma neppure ricevere alcuna risposta da parte del server. 3. Il sistema di protezione deve essere in grado di agire da deterrente agli attacchi, in modo da evitare tutti i problemi derivanti dalle forme aggressioni più semplici, come quelle realizzate da parte dei cosiddetti script-kiddies, individui che si limitano ad usare tool scritti da terze persone, per sfruttare qualche vulnerabilità nota. Se questi tool falliscono nel loro scopo lo script-kiddie normalmente non ha le competenze per portare avanti altri tipi di attacchi, che richiedano maggiori competenze. Un'altro semplice vantaggio potrebbe essere quello di limitare anche quegli attackers più preparati, ma comunque non sufficientemente motivati, che quindi preferiranno concentrarsi su obiettivi più semplici. 4. Il sistema deve rallentare l'azione dell'attacker. Se il esso é strutturato in modo da rendere sufficientemente complessa un'intrusione non autorizzata, un attacker, anche se competente e motivato necessitera' di un maggiore lasso di tempo per riuscire nel suo intento. 2

3 Durante questo intervallo, l'amministratore di sistema potrebbe riscontrare indizi del tentativo di intrusione, e quindi prendere tutte le misure necessarie per arginare l'attacco. 5. Il sistema deve rendere l'attacco particolarmente "rumoroso". Se può essere confuso con il normale traffico, sarà sicuramente molto più complicato riuscire a rintracciarlo. Se invece esso presenta pattern diversi dalla normale attività, le probabilità di accorgersi del problema diventano molto più elevate. 6. Il sistema deve comunque comprendere anche meccanismi di sicurezza specifici dell'applicazione. Sarebbe un controsenso cercare in tutti i modi di proteggere l'accesso ad un servizio od un applicazione del tutto insicura. Una tecnica in grado di soddisfare questi obiettivi e' appunto il portknocking. Il progetto sviluppato nell'ambito di questa tesi, svolto in collaborazione con Riccardo Bianchi consiste nell'implementazione di due differenti prototipi della tecnica di portknocking. In particolare verrà presentato nei dettagli servknock, la soluzione rappresentata da un processo demone che analizza il traffico di rete, basandosi sulle librerie LibPcap. In sintesi, la tesi é organizzata come segue : Capitolo 1: vengono richiamati i concetti di accesso ai servizi di rete, porta e le funzionalita' di un firewall, allo scopo di meglio comprendere ciò che verrà trattato successivamente. Capitolo 2: descrizione della tecnica del portknocking, spiegandone i concetti fondamentali ed illustrandone un esempio di funzionamento. Segue un'analisi dei benefici di questa tecnica, dei suoi limiti e dei possibili contesti d'applicazione. Capitolo 3: analisi dei sistemi attuali. Si discutono i principali sistemi di portknocking disponibili analizzando le soluzioni adottate e valutando tutti i pro ed i contro di ogni implementazione. Capitolo 4: analisi delle alternative e dei sistemi di rilevamento. Vengono introdotti alcuni schemi che soddisfano gli stessi requisiti del portknocking, ma basati su un approccio differente, come il tailgate TCP o l'option-keyed TCP. Segue una descrizione dei possibili meccanismi utilizzabili per rilevare le sequenze di knock, come il parsing dei syslog, analisi real-time del traffico di rete ed il riuso di meccanismi di intrusion detection. Capitolo 5: descrizione del sistema servknock, concentrandosi sulle soluzioni adottate, il funzionamento, e le librerie utilizzate. Capitolo 6: presentazione dettagliata dell'implementazione del prototipo, analizzandone la struttura ed i dettagli piu' importanti del codice sorgente. Capitolo 7: installazione, test ed esempi d'uso del prototipo. Conclusioni finali, e discussione delle possibili evoluzioni del sistema sviluppato. 3

4 CAPITOLO 1 : Fondamenti di networking Il software di rete e' costituito dai programmi di sistema che permettono alle applicazioni in esecuzione su dei computer in rete, di comunicare tra loro. Quando un'applicazione ha la necessita' di trasmettere dell'informazione, esso prende i dati da inviare e dopo opportune elaborazioni li passa alla scheda di rete. All'arrivo di un frame, e' sempre il software di rete a riceverlo dalla scheda ed a presentare i dati contenuti all'applicazione destinataria. Esistono diversi modi o protocolli per realizzare una comunicazione tra due macchine,ma lo standard attualmente piu' usato e' il TCP/IP (Transmission Control Protocol / Internet Protocol). Essi definiscono sulla carta le modalita' di comunicazione, mentre il software di rete ne costituisce l'implementazione. Altri protocolli particolarmente diffusi sono l'udp (User Datagram Protocol ) ed ICMP ( Internet Control Message Protocol ). Quando un'applicazione deve inviare dei dati verso un host, il software TCP/IP interviene suddividendo l'informazione da inviare in una sequenza di pacchetti IP, la cui dimensione puo' ammontare al massima a 64 Kb. Ogni datagramma IP creato, viene etichettato con un'intestazione o header come quello qui rappresentato : Struttura dell'header Ipv4 I primi quattro bit, il campo Version, specificano la versione del protocollo IP. Header Length indica la lunghezza dell'intestazione del pacchetto in multipli di 32 bit: il valore minimo ammesso e' 5 (20 bytes, ovvero il caso nel quale l'intestazione non abbia alcuna opzione), mentre il massimo e' 15 (60 bytes). Gli 8 bit individuati dal Type Of Service (TOS) settano le impostazioni del datagramma IP. Tali opzioni possono essere : minimize delay, maximize throughput, maximize reliability, minimize monetary cost. Il campo Total Length rappresenta la lunghezza totale del datagramma IP espressa in byte. Combinando questo dato con la lunghezza dell'intestazione e' possibile sapere dove iniziano esattamente i dati all'interno del pacchetto. Essendo il campo 16 bit, la lunghezza massima possibile e' bytes. Il campo Identification identifica univocamente ogni datagramma IP. Tutti i frammenti che vi appartengono sono caratterizzati dal medesimo numero di identificazione. Seguono 3 flag : il primo settato a 0 per default, DF (don't fragment) e' un bit che indica ai 4

5 sistemi di non frammentare il pacchetto, mentre MF ( more fragments ) serve a specificare che sono in arrivo ulteriori frammenti del datagramma. Fragment Offset contiene l'offset del frammento rispetto al datagramma originale. TTL ( Time To Live ), imposta un limite al massimo numero di instradamento effettuabili nel tragitto tra gli host mittente e destinatario. Questo valore viene inizializzato alla creazione del datagramma, e decrementato ad ogni passaggio attraverso un router. Al raggiungimento del valore 0, il pacchetto viene scartato. Un un datagramma IP puo' inoltre comprendere al suo interno pacchetti di altri protocolli. Questa procedura viene chiamata incapsulamento, ed e' molto utilizzata poiche' consente grande flessibilita' nella comunicazione. Il campo protocol e' presente appunto per consentire questa procedura, ed identifica il tipo di protocollo tramite un numero, secondo quanto definita nella RFC Header Checksum e' una somma di controllo, calcolata solamente sull'header e serve ad individuare eventuali errori generati dai router. Infine i campi Source Ip Address e Destination Ip Address identificano gli indirizzi IP di mittente e destinatario. E' necessario ricordare che esistono diversi protocolli, ed ognuno di essi e' studiato per applicazioni con requisiti specifici. Ad esempio il TCP e' un protocollo orientato alla connessione, dove il software di rete che lo implementa deve assicurare due condizioni fondamentali : Il programma applicativo destinatario deve essere attivo Tutti i pacchetti inviati dal mittente devono raggiungere la loro destinazione Per garantire tali condizioni, il protocollo TCP necessita di informazioni supplementari a quelle contenute nell'intestazione IP, e quindi aggiunge un'ulteriore header ad ogni pacchetto da inviare : Struttura dell'header TCP Source Port Number e Destination Port Number servono ad identificare le applicazioni che 5

6 stanno comunicando attraverso la connessione. Ogni porta di fatto rappresenta un punto di accesso ad un'applicazione nel sistema. Qualsiasi applicazione che accetti connessioni TCP deve quindi disporre di un proprio numero di porta, che deve essere specificato dai programmi applicativi che la debbano contattare. Il significato del campo Sequence Number e' strettamente legato alla caratteristica di un flusso di dati TCP di essere diviso in diversi pacchetti, inviati in un ordine sequenziale numerato, all'interno di altrettanti datagrammi IP. Questo campo stabilisce l'ordine che il computer di destinazione deve usare per riassemblare i segmenti nell'ordine corretto. Quando al computer destinatario arriva un pacchetto TCP, esso risponde al mittente con un pacchetto di conferma detto ACK ( ACKnowledgement ) o conferma di ricezione. Il numero di una conferma di ricezione corrisponde al Sequence Number del pacchetto ricevuto piu' uno. Il campo Header Length indica la dimensione dell'header TCP in parole di 32 bit. La massima dimensione per l'intestazione e' di 60 byte, quindi il piu' alto valore possibile per questo campo e' 15. Seguono un campo riservato di 6 bit, ed una serie di bit che definiscono i flag del protocollo TCP : URG : urgent mode, che consente ad uno dei due estremi della comunicazione di dire all'altro che sono stati inseriti dei dati urgenti all'interno del flusso. Questo flag indica quindi la necessita' di controllare l'urgent pointer per il ricevente. ACK : indica che il numero di riconoscimento e' valido PSH : Indica dei dati di tipo push, impostando questo bit ad 1 si evita che i dati siano salvati in un buffer di attesa, venendo inviati direttamente all'applicazione destinataria. RST : reimposta una connessione SYN : si utilizza per realizzare una nuova connessione. Una richiesta di connessione ha i flag SYN=1 e ACK=0, mentre la risposta è SYN=1 e ACK=1. FIN : utilizzato per chiudere una connessione, indica che il mittente ha concluso l'invio di dati. Window Size e' fondamentale per il controllo del flusso dei dati TCP, regolando dinamicamente il numero di pacchetti che possono essere spediti dal mittente prima che il destinatario faccia pervenire l'ack sul primo di essi. Questo numero di pacchetti e' anche detto finestra di scorrimento del protocollo. Durante una connessione la dimensione della finestra viene variata dal mittente, sulla base dal valore che il destinatario specifica in questo campo nell'intestazione degli acknowledgement. Checksum e' un somma di controllo calcolata sia sull'intestazione che i dati. Viene calcolata dal mittente e verificata dal destinatario. Se i due valori corrispondono significa che il pacchetto e' stato ricevuto correttamente. L' Urgent Pointer viene considerato valido solo se il flag URG e' impostato. Indica un offset da aggiungere al numero di sequenza, per capire quando terminano i dati importanti. Estremamente diffuso e' anche il protocollo UDP (User Datagram Protocol), un protocollo non orientato alla connessione. Diversamente dal TCP il mittente trasmette i suoi pacchetti alla cieca, senza sapere se il destinatario sia raggiungibile o meno. Non e' necessaria alcuna forma di sincronia per iniziare una trasmissione UDP, ed il compito del software di rete del destinatario si limita solamente a smistare i pacchetti in arrivo alle applicazioni che li attendono, senza inviare alcuna conferma della ricezione al mittente. 6

7 Come nel protocollo TCP, il flusso di dati viene diviso in pacchetti aggiungendo all'intestazione IP di ognuno di essi un'altra intestazione, per le informazioni aggiuntive necessarie : Struttura dell'header UDP Le applicazioni che devono comunicare sono identificate tramite i campi Source Port e Destination Port. E' bene pero' ricordare che i numeri di porta UDP non hanno nulla a che vedere con i numeri di porta TCP; e' quindi possibile avere in contemporanea un programma che comunica tramite TCP ed un secondo tramite UDP che utilizzino lo stesso numero di porta. Infine i campi Length e Checksum indicano la lunghezza dell'intero datagramma UDP, e la somma di controllo calcolata sia sull'header stesso che sui dati. Non fornendo garanzie sull'arrivo a destinazione dei dati, questo protocollo e' piu' indicato in situazioni dove e' auspicabile un overhead minimo nella comunicazione, anche se cio' potrebbe andare a discapito della robustezza. LE PORTE Come gia' esposto i numeri di porta hanno lo scopo di identificare le applicazioni coinvolte nella comunicazione, e vengono divisi in tre range : 1. Porte fino alla 1023, dette porte privilegiate o registrate, il cui utilizzo e' regolato dalla IANA (Internet Assigend Numbers Autority). Normalmente un processo deve essere lanciato con privilegi addizionali (p.e. root) per potere stare in ascolto su queste porte. 2. Porte dalla 1024 alle dette well-known ports, ed utilizzate da diverse applicazioni. Non sono richiesti privilegi particolari per eseguire applicazioni che stiano in ascolto in questo range. 3. Porte dalla alla sono le cosiddette porte dinamiche o private il cui utilizzo non e' legato ad alcuna regola specifica. Applicazioni "legittime" non dovrebbero utilizzare queste porte per accettare connessioni. 7

8 Lo stato nel quale una porta puo' trovarsi si riduce alle quattro situazioni seguenti: 1. Porta aperta senza nessuna applicazione in ascolto ( ). In questa situazione le macchine remote hanno lo possibilita' di tentare una connessione alla porta, senza che essa venga bloccata dal firewall. Non vi sara' pero' nessuna applicazione che possa rispondere alle richieste di connessione. 2. Porta aperta con un'applicazione in ascolto per una connessione ( ). In questo caso macchine remote possono connettersi con successo alla porta e comunicare con l'applicazione in ascolto (ad esempio richiedere una pagina web se l'applicazione e' un webserver). 3. Porta chiusa senza alcuna applicazione in ascolto ( ). In questo caso un firewall sulla macchina server e' stato configurato per impedire ad host remoti di tentare una connessione verso la porta in questione, anche se i pacchetti ad essa destinati non sarebbero stati utilizzati per nessuna applicazione. 4. Porta chiusa con un'applicazione in ascolto ( ). Le connessioni verso questa porta sono ancora bloccate dal firewall, e quindi non e' possibile per host remoti comunicare con l'applicazione in ascolto. Per chiudere una porta utilizzando iptables si hanno a disposizione due azioni: DROP e REJECT. In entrambi i casi i pacchetti ricevuti non vengono resi disponibili all'eventuale applicazione in ascolto, ma nel primo oltre a filtrare il pacchetto, viene inviato al client un pacchetto d'errore ICMP. In questo modo si rende noto il fatto che il firewall e' configurato per rifiutare le connessioni verso quella porta. Usando invece l'azione DROP ci si limita esclusivamente a scartare il pacchetto, senza inviare alcuna risposta, rendendo impossibile per il client distinguere tra l'assenza del server o appunto la presenza di un firewall cosi' configurato. La figure mostra un ipotetico server che fornisce i servizi FTP( associato alla porta 8

9 21), SMTP(porta 25), Http(porta 80) e POP (porta 110). L'immagine nella pagina precedente rappresenta un server, privo di firewall, dove di conseguenza tutte le porte risultano aperte. In questo caso quindi macchine remote possono connettersi ai servizi erogati dalle applicazioni in ascolto su queste porte (evidenziate dal colore verde). Le due applicazioni colorate in grigio invece, non indicano alcun servizio di rete, e quindi non sono in ascolto su alcuna porta. Quando da un computer ci si connette ad un server (ad es. un webserver per visualizzare un sito), il sistema operativo del client sceglie una delle porte dinamiche per creare un socket, ed utilizzarlo per connettersi alla porta del servizio richiesto sul server (nel caso ipotizzato alla porta 80). Quindi, durante la comunicazione tra client e server le coppie IP - porte del server e client identificano univocamente il canale di comunicazione attraverso il quale verranno scambiati i dati. I servizi offerti da un server corrispondono quindi ad applicazioni in ascolto su alcune porte in grado di accettare connessioni da remoto, permettendo ai client di svolgere azioni particolari, come scaricare i propri messaggi di posta, inviare un' , visualizzare una pagina web ecc. Come gia' esposto nel box precedente le porte possono essere mantenute aperte o chiuse in base alle regole di filtraggio del firewall, il cui scopo primario e' definire e limitare la varieta' di comunicazioni possibili entro una rete. Comunemente le regole di filtraggio vengono fatte in base agli indirizzi IP od alle porte utilizzate; e' quindi possibile discriminare il traffico in modo da lasciare che delle porte siano aperte solo ad indirizzi IP specifici. Nel caso di Linux il la funzione di firewall viene svolto da netfilter, ed avviene direttamente in kernel-space (iptables ed ipchains non sono il firewall vero e proprio, ma solamente delle interfacce per la configurazione le regole usate di netfilter). Altri firewall piuttosto noti in ambiente *nix sono pf, utilizzato ad esempio dal sistema operativo OpenBSD, IPfilter sotto NetBSD, e ipfirewall per FreeBSD. Filtrare il traffico in entrata in base all'indirizzo IP puo' rivelarsi decisamente importante per minimizzare l'esposizione del server agli indirizzi IP di una rete o di macchine compromesse ed usate come testa di ponte per un attacco. Ad esempio Range di indirizzi IP poco affidabili come quelli di un Internet-cafe' potrebbero essere filtrati, mentre, quelli di un partner commerciale avere il permesso di connettersi ad alcune porte specifiche. 9

10 Un ulteriore esempio dell'utilita' del firewall e' la possibilita' di loggare il traffico in base alle regole da specificate. Semplicemente registrando i tentativi di connessione, si possono avere informazioni particolarmente utili per capire se si e' sottoposti ad un portscan ad esempio, e quindi agire di conseguenza. Esistono comunque altri software sicuramente piu' indicati per fornire tali funzionalita', come gli Intrusion Detection System. La figura mostra un server con un firewall configurato per filtrare le connessioni in base agli indirizzi IP ed alle porte di destinazione. Tutte le porte risultano chiuse ad eccezione della 21, 25, 80, 110 e di quelle dinamiche. L'accesso alla porta 110 (servizio pop, per accedere alla posta elettronica ) inoltre e' consentito solo a specifici host. Si puo' infine notare che vengono loggati i tentativi di connessione alle porte 3306 (mysql) e 110. L'utilita' dei firewall e' ulteriormente accresciuta dalla loro capacita' di limitare diversi problemi riscontrabili, in un ambiente dove gli utenti abbiano la cattiva abitudine di scaricare software da fonti non certificate (circuiti peer to peer, amici, amici degli amici, ecc.). In una simile situazione le probabilita' di contrarre un virus o di ritrovare a propria insaputa una backdoor installata sui propri sistemi, sono sicuramente elevate. MALWARE Si definisce malware un qualsiasi software creato con lo scopo di causare danni piu' o meno estesi al computer sul quale viene eseguito. Il termine deriva dalla contrazione delle parole inglesi Malicious Software. Si distinguono diverse categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe, come ad esempio il recente worm MyDoom, che apriva una backdoor da utilizzare per un distrbuted Denial of Service contro il sito web di SCOGroup. La classificazione presentata di seguito, pertanto, vuole solo introdurre questi concetti e non è assolutamente da ritenersi esaustiva : 10

11 VIRUS : sono parti di codice che dopo essere stato caricate involontariamente si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti, ed eseguono operazioni definite dal proprio creatore, solitamente dannose. TROJAN HORSE : software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Normalmente non possiedono funzioni di autoreplicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia. WORM : questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Normalmente vengono eseguiti erroneamente dagli utenti, ad esempio aprendo un eseguibile allegato ad un messaggio di posta elettronica, oppure sfruttano dei difetti di alcuni programmi per diffondersi automaticamente. BACKDOOR : letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure essere installate con lo specifico scopo di avere accesso a quel sistema. Un esempio classico sono le backdoor incluse nei rootkit installate dopo avere compromesso una macchina, ed utilizzate per potere tornare ad accedervi in futuro in maniera piu' semplice. Strettamente legato ai diversi Malware e' il concetto di Denial of Service (DoS), un tipo di attacco verso una rete od un server che mira a sospenderne il servizio tramite l'esaustione delle risorse computazionali o della banda. E' sufficiente immaginare un processo che continui a eseguire una fork all'infinito, finendo con l'esaurire in breve tempo la memoria disponibile del sistema, oppure la saturazione della banda con una grande mole di traffico. Una variante di tale approccio è il DDoS (Distributed Denial of Service), caratterizzato dal funzionamento identico, ma realizzato utilizzando numerose macchine attaccanti, come ad esempio i recenti attacchi al sito web di SCOgroup, oppure qualche anno fa al motore di ricerca Yahoo. Un firewall che blocchi i pacchetti diretti alle porte usate da servizi illegittimi puo' pero' rendere molti di questi sistemi inefficaci, anche se purtroppo non e' in grado di risolvere definitivamente il problema. Ad esempio e' sufficiente una backdoor che non crei alcun socket e analizzi il traffico di rete ad un livello inferiore a quello in cui opera il firewall, per superare l'ostacolo. In questo caso un packet filter sarebbe di scarsa utilita', poiche' un simile backdoor avrebbe modo di accedere ai pacchetti a lei destinati prima che il firewall abbia modo di scartarli. 11

12 Un firewall quindi non e' certamente la soluzione a tutti i problemi di network security, ma solamente uno degli elementi da prevedere in una seria politica di sicurezza. Altro esempio dei limiti del filtraggio basato sull'indirizzo di provenienza e' quello di un attacker che riesca ad accedere ad un server protetto, violando una macchina abilitata ad accedervi ed utilizzandola come tramite per l'attacco, oppure mascheri il proprio indirizzo IP tramite tecniche di spoofing. Bisogna inoltre considerare anche le complicazioni che potrebbero insorgere in un ambiente dalle politiche di filtraggio particolarmente restrittive, come nel caso di un utente legittimo, ad esempio un commerciale dell'azienda, che abbia la necessita' di connettersi con un notebook dall'ufficio di un cliente senza avere il suo solito indirizzo IP. In casi del genere si rischierebbe di filtrare questi indirizzi anche quando l'utente avrebbe in realta' le credenziali per accedere al servizio. Modificare continuamente le regole di filtraggio per adattarle ai frequenti cambi di indirizzo di certi utenti non sarebbe una soluzione ottimale, sicuramente molto poco flessibile. In alcune situazioni, inoltre, potrebbe non essere possibile sapere per tempo questi indirizzi o comunicare con l'utente per venirne a conoscenza. Una simile situazione sarebbe certamente un buon ambito di applicazione per la tecnica del portknocking. 12

13 CAPITOLO 2 : La tecnica del portknocking 2.1 Descrizione e caratteristiche La tecnica del portknocking e' un sistema per comunicare con un computer in rete che non richiede alcuna porta aperta per poter funzionare. Non e' infatti necessario mantenere i corrispondenti servizi costantemente in ascolto e pronti a ricevere connessioni. Questa sua caratteristica' costituisce indubbiamente un grande vantaggio: finche' una porta rimane aperta, il servizio applicativo ad essa associato e' in grado di accettare connessioni, restando quindi vulnerabile a diversi attacchi. Sfruttando questa tecnica e' invece possibile manipolare dinamicamente le regole di filtraggio, aprendo una o piu' porte solo quando necessario, una volta autenticatosi il richiedente. Come meccanismo di autenticazione viene utilizzata una speciale sequenza di pacchetti di rete, (una serie di tentativi di connessione verso alcuna porte), prima che la connessione ad uno specifico servizio possa venire stabilita. Il richiedente infatti bussa alle porte e si fa riconoscere prima di poter accedere al servizio desiderato. Le sequenza di pacchetti utilizzata per autenticarsi prende il nome di sequenza di knock. Naturalmente possono esistere numerose sequenze, associate ad azioni differenti. Ad esempio si possono prevedere sequenze di knock diverse per l'accesso ai singoli servizi applicativi. Viene ora illustrato un'esempio pratico dell'utilizzo di questa tecnica, per gestire l'accesso al servizio SSH su una macchina Linux che utilizzi iptables. Il server sul quale il servizio e' in esecuzione presenta quindi tutte le porte di rete chiuse, ad eccezione delle cosiddette porte dinamiche, per mezzo della seguente regola di filtraggio : iptables -P INPUT DROP La scelta di utilizzare l'azione DROP anziche' REJECT, e' giustificata dal fatto che essa si limita a scartare il pacchetto arrivato, senza inviare alcun pacchetto di errore ICMP ai richiedenti il servizio. Viene cosi' reso indistinguibile il rifiuto del pacchetto dall'assenza del server. Un sistema isolato protetta con la tecnica del portknocking. Tutte le porte sono chiuse, inclusa la 22, sebbene il servizio SSH sia attivo. 13

14 Un utente fidato per potere accedere al servizio, deve iniziare una serie di connessioni verso diverse porte secondo un certo ordine. La particolare sequenza di knock ovviamente e' un segreto noto esclusivamente agli utenti che debbono essere abilitati all'utilizzo del servizio applicativo, ed al software lato server responsabile del riconoscimento delle sequenze stesse. Un utente legittimo localizzato ad uno specifico indirizzo IP, tenta una serie di connessioni verso delle porte chiuse secondo un preciso ordine. Il portknocking server riconoscendo una particolare sequenza puo' modificare le regole di filtraggio, ad esempio aggiungere una regola per mezzo di iptables, che consenta l'accesso al servizio SSH all'indirizzo IP del richiedente, come illustrato dall'immagine successiva : Le regole del firewall vengono modificate in seguito ad una corretta sequenza di knock, in modo da permettere al richiedente di connettersi alla porta 22. Per esempio un utente puo' cercare di connettersi in sequenza alle porte 24, 20 e 21. Dal suo 14

15 punto di vista i tentativi di connessione non hanno avuto successo, come se la macchina di destinazione non esistesse. I pacchetti della sequenza di knock vengono infatti scartati dal firewall in maniera silenziosa, senza cioe' ritornare al richiedente alcun messaggio d'errore. Nel frattempo pero', il portknocking server interpreta la sequenza di knock ricevuta e nel caso essa sia giudicata valida, puo' eseguire l'azione associata. Nel caso illustrato si potrebbe aprire la porta 22 all'indirizzo IP del richiedente, con il seguente comando : iptables -A INPUT -s $IP -p tcp --dport 22 -j ACCEPT Sfruttando il medesimo meccanismo, una volta che l'utente abbia terminato le sue operazioni, e' possibile specificare un seconda sequenza per chiudere la porta precedentemente aperta tramite il comando : iptables -D INPUT -s $IP -p tcp --dport 22 -j ACCEPT Per l'implementazione di un simile sistema esistono varie possibilita' e criteri su cui basarsi, che verranno discusse dettagliatamente nei capitoli successivi. Volendo pero' riassumere, le metodologie realizzative si riducono alle seguenti tre: 1. Monitoraggio dei log di sistema 2. Analisi real-time del traffico di rete al livello Datalink 3. Riutilizzo di meccanismi di Intrusion Detection quali snort oppure hogwash 15

16 2.2 Benefici, limiti e contesti d'applicazione del portknocking Come ben noto la sicurezza totale non esiste, e l'unica certezza assoluta di evitare un attacco remoto ad un server è quella di disconnetterlo fisicamente dalla rete, cosa peraltro decisamente poco pratica. La tecnica del portknocking non pretende certo di raggiungere una protezione simile a questo caso limite, ma puo' comunque garantire diversi benefici : 1. Chiudendo tutte le porte usando l'azione DROP anziche' REJECT, la presenza del server non puo' venire rintracciata con normali attivita' di portscanning. Di conseguenza si possono evitare molti problemi legati all'attivita' dei cosiddetti script-kiddies. Questa figura, ad esempio, e' solita ricorrere all'uso di portscanner su ampi intervalli di indirizzi IP, alla ricerca di host che abbiano attivi particolari servizi applicativi, sui quali potere provare software scritti da terze persone, in grado di sfruttarne delle vulnerabilita' note.. 2. Viene ad aggiungersi un ulteriore layer di sicurezza ai sistemi, senza rimpiazzare o richiedere modifiche ai metodi preesistenti. In questo modo e' quindi possibile sfruttare anche le politiche di sicurezza specifiche delle applicazioni protette, aggiungendosi ad esse. E' sufficiente immaginare la tecnica portknocking applicata ad un server con accesso SSH basato su password. Nell'ipotesi che il sistema di portknocking venga infranto, resterebbero ancora da superare i meccanismi di sicurezza specifici del servizio SSH. Inoltre, il violare un sistema di portknocking, non fornisce alcuna informazione utile nell'exploitare il servizio protetto. 3. Impossibilita' per un attacker di determinare se un server stia ascoltando in attesa di una sequenza di knock semplicemente agendo per tentativi oppure attraverso attivita' di portscannig. Maggiori informazioni si potrebbero raccogliere monitorando il traffico di rete, ma tutto cio che si noterebbe in questo sarebbero solo delle serie di tentativi di connessione, poiche' nelle sequenze di knock l'informazione fluisce in questa forma e non nel payload del pacchetto. Il sistema, inoltre, puo' essere reso piu' robusto in modo da rendere difficile per un attacker riconoscere tali sequenze e riutilizzarle. Esistono infatti, alcune misure ed accorgimenti che possono di permettere di raggiungere questo scopo. Esse verranno discusse analizzando gli attuali sistemi di portknocking e l'implementazione del prototipo servknock. 4. Relativa semplicita' nel riconoscere un eventuale attacco di tipo brute-force, che stia cercando di individuare qualche sequenza di knock, specialmente se il portknocking server e' integrato con un intrusion detection system. D'altro canto l'utilizzo di questa soluzione presenta anche alcuni svantaggi : 1. Necessita' di utilizzare un programma specifico che generi la sequenza di knock, poiche' nei normali client che si utilizzano per accedere ai servizi non e' prevista questa possibilita'. L'utilizzo di client aggiuntivi pero', potrebbe non essere concesso in alcuni ambienti come internet cafe', biblioteche ecc. 2. Necessita' di riservare l'utilizzo di uno piu' intervalli di porte per la tecnica del portknocking. Se per esempio si avesse la necessita' di mantenere il servizio http fosse liberamente accessibile, non sarebbe possibile utilizzare la porta 80 anche per il portknocking. Tale problema puo' essere parzialmente risolto, almeno per quanto riguarda le connessioni TCP, sfruttando anche i valori dei flags TCP all'interno dei pacchetti della 16

17 sequenza. Manipolando dinamicamente le regole di filtraggio del firewall e' necessario prestare la massima attenzione nell'implementazione del sistema. Basti pensare alla situazione in cui il processo del portknocking server dovesse morire inaspettatamente o non funzionare correttamente : non sarebbe piu' possibile interpretare le sequenze di knock e come diretta conseguenza diventerebbe impossibile connettersi all'host protetto. Come molti altri meccanismi di protezione potrebbe indurre un falso senso di sicurezza, portando ad aggiornamenti e patch meno frequenti. Sebbene il portknocking possa migliorare la sicurezza di un sistema, e' comunque necessario partecipare attivamente nel monitoraggio e nel mantenimento delle politiche di base che soddisfino requisiti richiesti. Non si tratta comunque di uno svantaggio intrinseco di questa tecnica. Suscettibilita' ad attacchi di tipo Denial of Service. Come per i normali servizi applicativi, infatti esiste sempre un carico limite, indipendentemente dall'hardware a disposizione. Un'applicazione o lo stack TCP/IP potranno comunque essere sovraccaricati indipendentemente dal fatto che si stia usando o meno il portknocking. Un portknocking server funziona tenendo una lista dei tentativi di connessione alle porte associati agli indirizzi IP dei richiedenti. Per ogni client che invia una sequenza di knock, viene aggiunto/aggiornato il suo attempt all'interno della coda e si controlla se esso corrisponda con una sequenza ritenuta valida. Se ad esempio dovessero arrivare un numero eccessivo di pacchetti, il server potrebbe diventare talmente sovraccaricato da non essere piu' in grado catturare ed interpretare l'altro traffico in arrivo. Possibile vulnerabilita' ai replay attacks. In caso di mancato utilizzo di misure atte a prevenire questo problema, per un attacker sarebbe infatti sufficiente sniffare il traffico di rete diretto al portknocking server, per determinare la sequenze di knock e poterle quindi riprodurre. Possibili soluzioni al problema verranno discusse nel prosieguo della tesi analizzando i sistemi gia' esistenti e l'implementazione di servknock. PORTKNOCKING, SOLAMENTE UNA FORMA DI SECURTY THROUGH OBSCURITY? Un'affermazione del genere e' quantomeno opinabile, e per capirne il motivo e' bene riflettere su cosa si intenda per security through obscurity. Il concetto viene descritto molto chiaramente da Jay Beale membro del Bastille Linux Project, che definisce questa forma di sicurezza come : security implemented solely through obscurity, ovvero quella situazione nella quale l'intera protezione risiede esclusivamente nella speranza che l'attacker non conosca i dettagli della configurazione del sistema protetto sia esso una rete, od un solo computer. Un 'esempio di tale forma di protezione (o presunta tale) e' quello di un amministratore di sistema che tenga dati sensibili della societa', che non dovrebbero essere pubblici, su un webserver della rete interna dell'azienda, senza alcuna password posta a protezione delle pagine. Anziche' puntare su di un metodo accettabile per il controllo degli accessi la protezione viene basata sull'assunzione che nessuno sia a conoscenza del webserver ad eccezione dei dipendenti che debbano accedervi. Assunzione peraltro sbagliata, poiche' basterebbe ricorrere a tool come nmap, cheops o firewalk per scoprirne l'esistenza. Alcuni attacker non spenderanno il proprio tempo alla ricerca del webserver, ma probabilmente altri potrebbero farlo, arrivando infine alle informazioni che 17

18 dovevano invece essere riservate. Il problema in questo caso e' stato il fatto di contare esclusivamente sulla segretezza della locazione dei dati, senza utilizzare forme per il controllo, logging o altri meccanismi di difesa, quando invece una caratteristica fondamentale per buona politica di protezione e' una fine granularita' nel controllo degli accessi e la possibilita' di riconoscere gli accessi indebiti. Alla luce di queste considerazioni, non e' dunque possibile definire la tecnica del portknocking come un semplice caso di security through obscurity, poiche' essa e' una forma di sicurezza che si viene aggiungere agli altri meccanismi di difesa senza volerli assolutamente sostituire. La tecnica del portknocking, quindi, e' una forma di hardening indicata dove si abbiano utenti che richiedano un accesso continuo a dei servizi che non debbano essere pubblici come invece sono http o SMTP, mantenendo le porte di rete chiuse al traffico pubblico, ed aprendole o chiudendole in maniera flessibile ai richiedenti che si siano autenticati con una sequenza di knock corretta. Un sistema simile offre tutti vantaggi del filtraggio dei pacchetti basato sugli indirizzi IP, senza pero' incorrere nelle limitazioni di cui si e' gia' discusso nel primo capitolo. Come si potra' intuire il portknocking non e' una soluzione indicata per proteggere servizi pubblici. Una simile protezione, infatti, sarebbe decisamente poco efficace se le sequenze di knock oppure il metodo utilizzato per generarle fossero resi di pubblico dominio. Un altro ambito di utilizzo potrebbe essere l'ambiente warez, ad esempio per cercare di nascondere un server ftp al proprio Internet Service Provider. Esso infatti non potrebbe essere scoperto per mezzo di un semplice portscan, ma richiederebbe di controllare il traffico generato a partire dall'indirizzo IP dell'abbonato, oppure le porte sulle quali egli ha ricevuto delle connessioni. Questa tecnica potrebbe inoltre venire sfruttata anche dagli sviluppatori dei cosiddetti malware, per creare delle dormant backdoor sui sistemi vittima. Avere una porta sempre aperta e pronta ad accettare connessioni remote, sarebbe estremamente semplice da rilevare da parte di un amministratore di sistema. Analizzando il traffico di rete, invece, sarebbe possibile avviare ed uccidere la backdoor vera e propria, solo una volta che siano state riconosciute la sequenze di knock opportune. Il portknocking permette infatti di associare comandi shell arbitrari alle diverse sequenze di knock, e quindi non deve essere pensato solo ed esclusivamente come un sistema di manipolazione delle regole di filtraggio, sebbene questo sia il suo principale ambito di utilizzo. 18

19 CAPITOLO 3 : Analisi dei sistemi attuali 3.1 Knockdaemon Implementazione in perl di un sistema di portknocking ad opera di Martin Krzywinski ( ), costituita da un programma server ed un client per generare le sequenze di knock.. A differenza di altri sistemi che basati sull'analisi real-time del traffico di rete su di un'interfaccia, Knockdaemon riconosce le sequenze analizzando i log generati dal firewall Una simile soluzione puo' essere giustificata dalla minore complessita' a livello implementativo, vista la semplicita' con cui e' possibile manipolare le stringhe utilizzando il linguaggio perl e nell'estrarre le righe dal file di log grazie a comandi della shell quali tail o grep. Essa presenta' pero' il grosso svantaggio di un maggiore utilizzo delle risorse di sistema, senza contare i problemi che potrebbero verificarsi nel caso dovessero arrivare due connessioni contemporanee, oppure se i log venissero ruotati. Per meglio comprendere le caratteristiche salienti del sistema, si consideri l'esempio di un server che voglia consentire l'accesso SSH solo dopo che il richiedente si sia autenticato inviando un'opportuna sequenza di knock. Si ipotizza che la macchina sulla quale e' in esecuzione il demone sshd abbia le prime porte chiuse, grazie alle seguenti regole di ipchains : ipchains -p tcp -s 0/0 -d FIREWALL/32 -p 0:1023 -j DENY -l ipchains -p tcp -s 0/0 -d FIREWALL/32 -p 1024: j DENY Specificando le precedenti regole di filtraggio, vengono rifiutate le connessioni verso le porte inferiori alla 49151, senza inviare alcun pacchetto ICMP in risposta al richiedente. Vengono inoltre registrati nei log di sistema i tentativi di connessione alle prime 1024 porte : Feb Feb Feb Feb :13:26 00:13:27 00:13:27 00:13: input input input input DENY DENY DENY DENY CLIENT:64137 CLIENT:64138 CLIENT:64139 CLIENT:64140 FIREWALL:102 FIREWALL:100 FIREWALL:100 FIREWALL: Monitorando il file di log, Knockdaemon e' in grado di rilevare la sequenza dei tentativi di connessione alle porte 102, 100, 100, 103 provenienti da un determinato indirizzo IP. Se, ad esempio, la sequenza di porte corrisponde alla sequenza di knock per aprire la porta 22, puo' essere eseguito il comando : ipchains -I input -p tcp -s CLIENT/32 -d FIREWALL/ j ACCEPT Una seconda sequenza potrebbe essere usata per chiudere la porta aperta in precedenza. Per esempio se rilevati i tentativi di connessione alle porte TCP 103, 100, 100, 102 si elimina la regola aggiunta in precedenza per permettere al richiedente di connettersi alla porta 22 : ipchains -D input -p tcp -s CLIENT/32 -d FIREWALL/ j ACCEPT Questo sistema supporta due modalita' di trasmissione delle sequenze : trasmissione in chiaro e crittata. Il primo meccanismo offre una protezione abbastanza limitata, poiche' per un attacker sarebbe sufficiente intercettare e analizzare il traffico diretto al portknocking server per ricostruire le sequenze di knock. Esso risulta quindi estremamente vulnerabile ai cosiddetti replay attacks. Il secondo meccanismo, invece, prevede di crittare la sequenza di 19

20 knock, con lo scopo di rendere il sistema meno vulnerabile agli attacchi del tipo appena menzionato. Per ridurre ulteriormente questi rischi la sequenza di knock potrebbe contenere anche l'indirizzo IP del richiedente, come nell'esempio seguente : IPb1, IPb2, IPb3, IPb4, PORT, TIME, CHECKSUM Dove Ipbn rappresenta l'n-esimo byte dell'indirizzo IP che desidera accedere alla porta PORT, per una durata di TIME minuti. Cosi' facendo e' possibile aprire la porta anche ad un indirizzo IP arbitraro, che non sia necessariamente quello che ha inviato i pacchetti. A titolo esemplificativo si ipotizzi di aprire la porta 22 per una durata di 15 minuti, all'indirizzo IP La relativa sequenza di knock deve essere : 142, 103, 205, 1, 22, 15, CHECKSUM Il valore CHECKSUM (233 nel caso considerato) viene utilizzato per validare gli elementi precedenti della sequenza e può essere cosi' definito: CHECKSUM= (Ipb1 +Ipb2 +Ipb3 +Ipb4 +PORT +TIME) mod 255 Le porte di destinazione dei pacchetti che costituiscono la sequenza vengono poi crittati utilizzando un opportuno algoritmo (per esempio DES, Blowfish, RSA). Il programma client, responsabile della generazione della sequenza di knock, deve quindi eseguire le operazioni successive : encrypt(knock) = KNOCK_ENCRYPTED encode(knock_encrypted) = KNOCK_ENCRYPTED_ENCODED In questo modo la sequenza di knock viene crittata e mappata sui range di porte che devono essere monitorati da Knockdaemon. Per potere crittare e decrittare le sequenze e' necessaria una chiave definita nei file di configurazione dei programmi server e client. Naturalmente le die chiavi devono essere uguali. Il processo demone sul server controllando i log di sistema, tiene una coda delle porte bussate per ogni indirizzo IP dei richiedenti, provando ad interpretare le sequenze di knock. e prova ad interpretare le sequenze di knock: I log vengono controllati con cadenza regolare, in base ad intervallo di tempo definito nel file di configurazione. Sempre nel file di configurazione viene definito il formato dei log, analizzati anche avvalendosi dell'utilizzo delle espressioni regolari.. Per interpretare le sequenze di knock, lato server devono essere eseguite le seguenti operazioni: KNOCK_ENCRYPTED = decode(knock_encrypted_encoded) KNOCK = decrypt(knock_encrypted) OK = verify(checksum) Se la sequenza viene correttamente decrittata, si verifica il valore di CHECKSUM, ed in caso esso sia corretto la sequenza vine accettata ed eseguite le azioni che vi sono associate. 20

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Modulo 11. Il livello trasporto ed il protocollo TCP Indice

Modulo 11. Il livello trasporto ed il protocollo TCP Indice Pagina 1 di 14 Il livello trasporto ed il protocollo TCP Indice servizi del livello trasporto multiplexing/demultiplexing trasporto senza connesione: UDP principi del trasferimento dati affidabile trasporto

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30 Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette.

Dettagli

J+... J+3 J+2 J+1 K+1 K+2 K+3 K+...

J+... J+3 J+2 J+1 K+1 K+2 K+3 K+... Setup delle ConnessioniTCP Una connessione TCP viene instaurata con le seguenti fasi, che formano il Three-Way Handshake (perchè formato da almeno 3 pacchetti trasmessi): 1) il server si predispone ad

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Reti di Telecomunicazione Lezione 7

Reti di Telecomunicazione Lezione 7 Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione

Dettagli

Introduzione alle applicazioni di rete

Introduzione alle applicazioni di rete Introduzione alle applicazioni di rete Definizioni base Modelli client-server e peer-to-peer Socket API Scelta del tipo di servizio Indirizzamento dei processi Identificazione di un servizio Concorrenza

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

Utilizzo del server SMTP in modalità sicura

Utilizzo del server SMTP in modalità sicura Utilizzo del server SMTP in modalità sicura In questa guida forniremo alcune indicazioni sull'ottimizzazione del server SMTP di IceWarp e sul suo impiego in modalità sicura, in modo da ridurre al minimo

Dettagli

CONFIGURAZIONE DEI SERVIZI (seconda parte)

CONFIGURAZIONE DEI SERVIZI (seconda parte) Corso ForTIC C2 LEZIONE n. 10 CONFIGURAZIONE DEI SERVIZI (seconda parte) WEB SERVER PROXY FIREWALL Strumenti di controllo della rete I contenuti di questo documento, salvo diversa indicazione, sono rilasciati

Dettagli

Luca Mari, Sistemi informativi applicati (reti di calcolatori) appunti delle lezioni. Architetture client/server: applicazioni client

Luca Mari, Sistemi informativi applicati (reti di calcolatori) appunti delle lezioni. Architetture client/server: applicazioni client Versione 25.4.05 Sistemi informativi applicati (reti di calcolatori): appunti delle lezioni Architetture client/server: applicazioni client 1 Architetture client/server: un esempio World wide web è un

Dettagli

Inizializzazione degli Host. BOOTP e DHCP

Inizializzazione degli Host. BOOTP e DHCP BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

Cos è un protocollo? Ciao. Ciao 2:00. tempo. Un protocollo umano e un protocollo di reti di computer:

Cos è un protocollo? Ciao. Ciao 2:00. <file> tempo. Un protocollo umano e un protocollo di reti di computer: Cos è un protocollo? Un protocollo umano e un protocollo di reti di computer: Ciao Ciao Hai l ora? 2:00 tempo TCP connection request TCP connection reply. Get http://www.di.unito.it/index.htm Domanda:

Dettagli

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a:

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a: Lab 4.1 Utilizzare FTP (File Tranfer Protocol) LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) In questa lezione imparerete a: Utilizzare altri servizi Internet, Collegarsi al servizio Telnet, Accedere

Dettagli

GESTIONE DELLA E-MAIL

GESTIONE DELLA E-MAIL GESTIONE DELLA E-MAIL Esistono due metodologie, completamente diverse tra loro, in grado di consentire la gestione di più caselle di Posta Elettronica: 1. tramite un'interfaccia Web Mail; 2. tramite alcuni

Dettagli

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless La configurazione degli indirizzi IP Configurazione statica, con DHCP, e stateless 1 Parametri essenziali per una stazione IP Parametri obbligatori Indirizzo IP Netmask Parametri formalmente non obbligatori,

Dettagli

G e s t i o n e U t e n z e C N R

G e s t i o n e U t e n z e C N R u t e n t i. c n r. i t G e s t i o n e U t e n z e C N R G U I D A U T E N T E Versione 1.1 Aurelio D Amico (Marzo 2013) Consiglio Nazionale delle Ricerche - Sistemi informativi - Roma utenti.cnr.it -

Dettagli

HORIZON SQL CONFIGURAZIONE DI RETE

HORIZON SQL CONFIGURAZIONE DI RETE 1-1/9 HORIZON SQL CONFIGURAZIONE DI RETE 1 CARATTERISTICHE DI UN DATABASE SQL...1-2 Considerazioni generali... 1-2 Concetto di Server... 1-2 Concetto di Client... 1-2 Concetto di database SQL... 1-2 Vantaggi...

Dettagli

Cosa è lo spoofing. Cosa è lo spoofing. Argomenti. Spoofing conosciuti. Introduzione. Corso di Sistemi di Elaborazione: Sicurezza su Reti

Cosa è lo spoofing. Cosa è lo spoofing. Argomenti. Spoofing conosciuti. Introduzione. Corso di Sistemi di Elaborazione: Sicurezza su Reti Introduzione Corso di Sistemi di Elaborazione: Sicurezza su Reti A.A. 2001/2002 Prof. A. De Santis A cura di: Angelo Celentano matr. 53/11544 Raffaele Pisapia matr. 53/10991 Mariangela Verrecchia matr.

Dettagli

Gestione posta elettronica (versione 1.1)

Gestione posta elettronica (versione 1.1) Gestione posta elettronica (versione 1.1) Premessa La presente guida illustra le fasi da seguire per una corretta gestione della posta elettronica ai fini della protocollazione in entrata delle mail (o

Dettagli

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Protocolli di rete Sommario Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Configurazione statica e dinamica

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

GLI ERRORI DI OUTLOOK EXPRESS

GLI ERRORI DI OUTLOOK EXPRESS Page 1 of 6 GLI ERRORI DI OUTLOOK EXPRESS 1) Impossibile inviare il messaggio. Uno dei destinatari non è stato accettato dal server. L'indirizzo di posta elettronica non accettato è "user@dominio altro

Dettagli

Posta Elettronica Certificata

Posta Elettronica Certificata Posta Elettronica Certificata Manuale di utilizzo del servizio Webmail di Telecom Italia Trust Technologies Documento ad uso pubblico Pag. 1 di 33 Indice degli argomenti 1 INTRODUZIONE... 3 1.1 Obiettivi...

Dettagli

Guida alla scansione su FTP

Guida alla scansione su FTP Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni

Dettagli

Outlook Express 6 Microsoft Internet Explorer, Avvio del programma Creare un nuovo account

Outlook Express 6 Microsoft Internet Explorer, Avvio del programma Creare un nuovo account Outlook Express 6 è un programma, incluso nel browser di Microsoft Internet Explorer, che ci permette di inviare e ricevere messaggi di posta elettronica. È gratuito, semplice da utilizzare e fornisce

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli

DNS cache poisoning e Bind

DNS cache poisoning e Bind ICT Security n. 19, Gennaio 2004 p. 1 di 5 DNS cache poisoning e Bind Il Domain Name System è fondamentale per l'accesso a internet in quanto risolve i nomi degli host nei corrispondenti numeri IP. Se

Dettagli

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP. Configurazione di indirizzi IP statici multipli Per mappare gli indirizzi IP pubblici, associandoli a Server interni, è possibile sfruttare due differenti metodi: 1. uso della funzione di Address Translation

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

CHIAVETTA INTERNET ONDA MT503HSA

CHIAVETTA INTERNET ONDA MT503HSA CHIAVETTA INTERNET ONDA MT503HSA Manuale Utente Linux Debian, Fedora, Ubuntu www.ondacommunication.com Chiavet ta Internet MT503HSA Guida rapida sistema operativo LINUX V 1.1 33080, Roveredo in Piano (PN)

Dettagli

SubnetMask: come funzionano e come si calcolano le sottoreti (SpySystem.it)

SubnetMask: come funzionano e come si calcolano le sottoreti (SpySystem.it) SubnetMask: come funzionano e come si calcolano le sottoreti (SpySystem.it) In una rete TCP/IP, se un computer (A) deve inoltrare una richiesta ad un altro computer (B) attraverso la rete locale, lo dovrà

Dettagli

DNS (Domain Name System) Gruppo Linux

DNS (Domain Name System) Gruppo Linux DNS (Domain Name System) Gruppo Linux Luca Sozio Matteo Giordano Vincenzo Sgaramella Enrico Palmerini DNS (Domain Name System) Ci sono due modi per identificare un host nella rete: - Attraverso un hostname

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO CLSMS SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO Sommario e introduzione CLSMS SOMMARIO INSTALLAZIONE E CONFIGURAZIONE... 3 Parametri di configurazione... 4 Attivazione Software...

Dettagli

Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Il software descritto nel presente

Dettagli

- Antivirus, Firewall e buone norme di comportamento

- Antivirus, Firewall e buone norme di comportamento Reti Di cosa parleremo? - Definizione di Rete e Concetti di Base - Tipologie di reti - Tecnologie Wireless - Internet e WWW - Connessioni casalinghe a Internet - Posta elettronica, FTP e Internet Browser

Dettagli

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE.

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. INTRODUZIONE ALL ARGOMENTO. A cura di: Eleonora Brioni, Direzione Informatica e Telecomunicazioni ATI NETWORK.

Dettagli

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor NetMonitor Micro guida all uso per la versione 1.2.0 di NetMonitor Cos è NetMonitor? NetMonitor è un piccolo software per il monitoraggio dei dispositivi in rete. Permette di avere una panoramica sui dispositivi

Dettagli

Sicurezza delle reti Spoofing: cos'è e come avviene IP Spoofing Spoofing non Cieco

Sicurezza delle reti Spoofing: cos'è e come avviene IP Spoofing Spoofing non Cieco SPOOFING Sicurezza delle reti Non bisogna essere sorpresi dal fatto che le reti di computer siano l'obbiettivo preferito, sia oggi sia in futuro, da parte di aggressori. Visto che un attacco su larga scala

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello della Web Application 5 3 Struttura della web Application 6 4 Casi di utilizzo della Web

Dettagli

Guida all'installazione rapida di scansione su e-mail

Guida all'installazione rapida di scansione su e-mail Xerox WorkCentre M118i Guida all'installazione rapida di scansione su e-mail 701P42705 Questa guida fornisce un riferimento rapido per l'impostazione della funzione Scansione su e-mail su Xerox WorkCentre

Dettagli

Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012

Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012 Marco Giorgi Palazzo di Giustizia di Torino 30 marzo 2012 Post mortem (Dopo lo spegnimento del sistema) Si smonta il dispositivo e lo si collega ad un PC dedicato all'acquisizione Live forensics (Direttamente

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

PRESENTAZIONE DI UN SMS AL GATEWAY

PRESENTAZIONE DI UN SMS AL GATEWAY Interfaccia Full Ascii Con questa interfaccia è possibile inviare i dati al Server utilizzando solo caratteri Ascii rappresentabili e solo i valori che cambiano tra un sms e l altro, mantenendo la connessione

Dettagli

www.sms2biz.it Soluzioni professionali per la gestione e l invio di SMS

www.sms2biz.it Soluzioni professionali per la gestione e l invio di SMS www.sms2biz.it Soluzioni professionali per la gestione e l invio di SMS Introduzione La nostra soluzione sms2biz.it, Vi mette a disposizione un ambiente web per una gestione professionale dell invio di

Dettagli

SERVER VIDEO 1-PORTA H.264

SERVER VIDEO 1-PORTA H.264 SERVER VIDEO 1-PORTA H.264 MANUALE UTENTE DN-16100 SALVAGUARDIA IMPORTANTE Tutti i prodotti senza piombo offerti dall'azienda sono a norma con i requisiti della legge Europea sulla restrizione per l'uso

Dettagli

Determinare la grandezza della sottorete

Determinare la grandezza della sottorete Determinare la grandezza della sottorete Ogni rete IP possiede due indirizzi non assegnabili direttamente agli host l indirizzo della rete a cui appartiene e l'indirizzo di broadcast. Quando si creano

Dettagli

Termini di servizio di Comunicherete

Termini di servizio di Comunicherete Termini di servizio di Comunicherete I Servizi sono forniti da 10Q Srls con sede in Roma, Viale Marx n. 198 ed Ancitel Spa, con sede in Roma, Via Arco di Travertino n. 11. L utilizzo o l accesso ai Servizi

Dettagli

UNIVERSITÀ DEGLI STUDI DI GENOVA

UNIVERSITÀ DEGLI STUDI DI GENOVA UNIVERSITÀ DEGLI STUDI DI GENOVA FACOLTÀ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA ELETTRONICA TESI DI LAUREA Sviluppo di tecniche di clustering e log correlation dedicate al trattamento

Dettagli

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic

Dettagli

SISSI IN RETE. Quick Reference guide guida di riferimento rapido

SISSI IN RETE. Quick Reference guide guida di riferimento rapido SISSI IN RETE Quick Reference guide guida di riferimento rapido Indice generale Sissi in rete...3 Introduzione...3 Architettura Software...3 Installazione di SISSI in rete...3 Utilizzo di SISSI in Rete...4

Dettagli

Servizi DNS - SMTP FTP - TELNET. Programmi. Outlook Express Internet Explorer

Servizi DNS - SMTP FTP - TELNET. Programmi. Outlook Express Internet Explorer Servizi DNS - SMTP FTP - TELNET Programmi Outlook Express Internet Explorer 72 DNS Poiché riferirsi a una risorsa (sia essa un host oppure l'indirizzo di posta elettronica di un utente) utilizzando un

Dettagli

Questo documento è allegato al libro Elettrotecnica, Elettronica, Telecomunicazioni e Automazione di

Questo documento è allegato al libro Elettrotecnica, Elettronica, Telecomunicazioni e Automazione di Questo documento è allegato al libro Elettrotecnica, Elettronica, Telecomunicazioni e Automazione di Trapa L., IBN Editore, a cui si può fare riferimento per maggiori approfondimenti. Altri argomenti correlati

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci Manuale di Remote Desktop Connection Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci 2 Indice 1 Introduzione 5 2 Il protocollo Remote Frame Buffer 6 3 Uso di Remote Desktop

Dettagli

ARP (Address Resolution Protocol)

ARP (Address Resolution Protocol) ARP (Address Resolution Protocol) Il routing Indirizzo IP della stazione mittente conosce: - il proprio indirizzo (IP e MAC) - la netmask (cioè la subnet) - l indirizzo IP del default gateway, il router

Dettagli

I name server DNS. DNS: Domain Name System. Esempio di DNS. DNS: Root name server. DNS: queries ripetute

I name server DNS. DNS: Domain Name System. Esempio di DNS. DNS: Root name server. DNS: queries ripetute DNS: Domain Name System I name DNS Persone: identificatori: CF, nome, Numero di Passaporto Host e router Internet: Indirizzo IP ( bit) - usato per instradare i pacchetti nome, per es., massimotto.diiie.unisa.it

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

GUIDA ALLA CONFIGURAZIONE DELLA POSTA iphone/ipad. (v. 1.0.0 Maggio 2014)

GUIDA ALLA CONFIGURAZIONE DELLA POSTA iphone/ipad. (v. 1.0.0 Maggio 2014) GUIDA ALLA CONFIGURAZIONE DELLA POSTA iphone/ipad (v. 1.0.0 Maggio 2014) Benvenuto alla guida di configurazione della posta elettronica per dispositivi mobili tipo iphone/ipad. Prima di proseguire, assicurati

Dettagli

AGGIORNAMENTO PROTOCOLLO VERSIONE 3.9.0

AGGIORNAMENTO PROTOCOLLO VERSIONE 3.9.0 AGGIORNAMENTO PROTOCOLLO VERSIONE 3.9.0 Con questo aggiornamento sono state implementate una serie di funzionalità concernenti il tema della dematerializzazione e della gestione informatica dei documenti,

Dettagli

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account

Dettagli

Guida all utilizzo del dispositivo USB

Guida all utilizzo del dispositivo USB Guida all utilizzo del dispositivo USB 30/04/2013 Sommario - Limitazioni di responsabilità e uso del manuale... 3 1. Glossario... 3 2. Guida all utilizzo del dispositivo USB... 4 2.1 Funzionamento del

Dettagli

Installazione di GFI Network Server Monitor

Installazione di GFI Network Server Monitor Installazione di GFI Network Server Monitor Requisiti di sistema I computer che eseguono GFI Network Server Monitor richiedono: i sistemi operativi Windows 2000 (SP4 o superiore), 2003 o XP Pro Windows

Dettagli

Il modello client/server consente a due processi di condividere risorse e di cooperare per il raggiungimento di un obiettivo.

Il modello client/server consente a due processi di condividere risorse e di cooperare per il raggiungimento di un obiettivo. In una rete di ampie dimensioni, ciascuna sottorete (es. LAN, WAN) è connessa ad altre sottoreti tramite router. Internet è un insieme di reti connesse tra loro. Essenzialmente, in una rete alcune macchine

Dettagli

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guida introduttiva

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guida introduttiva Acronis Backup & Recovery 10 Advanced Server Virtual Edition Guida introduttiva Questo documento descrive come installare e iniziare a utilizzare Acronis Backup & Recovery 10 Advanced Server Virtual Edition.

Dettagli

Posta Elettronica. Claudio Cardinali claudio@csolution.it

Posta Elettronica. Claudio Cardinali claudio@csolution.it Posta Elettronica Claudio Cardinali claudio@csolution.it Posta Elettronica: WebMail Una Webmail è un'applicazione web che permette di gestire uno o più account di posta elettronica attraverso un Browser.

Dettagli

R.Focardi Laboratorio di Ingegneria del Software 6. 1

R.Focardi Laboratorio di Ingegneria del Software 6. 1 Networking Java permette comunicazioni in rete basate sul concetto di socket, che permette di vedere la comunicazione in termini di flusso (stream), in modo analogo all input-output di file, usando Stream

Dettagli

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail Configurare un programma di posta con l account PEC di Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account ii nel programma di

Dettagli

MailStore Proxy è disponibile gratuitamente per tutti i clienti di MailStore Server all indirizzo http://www.mailstore.com/en/downloads.

MailStore Proxy è disponibile gratuitamente per tutti i clienti di MailStore Server all indirizzo http://www.mailstore.com/en/downloads. MailStore Proxy Con MailStore Proxy, il server proxy di MailStore, è possibile archiviare i messaggi in modo automatico al momento dell invio/ricezione. I pro e i contro di questa procedura vengono esaminati

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli

8. L'USO DEL PROGRAMMA DI POSTA ELETTRONICA INSIEME ALLA GESTIONE PROFESSIONALE DI DOCUMENTI IN FORMATO E-MAIL

8. L'USO DEL PROGRAMMA DI POSTA ELETTRONICA INSIEME ALLA GESTIONE PROFESSIONALE DI DOCUMENTI IN FORMATO E-MAIL This project funded by Leonardo da Vinci has been carried out with the support of the European Community. The content of this project does not necessarily reflect the position of the European Community

Dettagli

Note legali. Termini e condizioni di utilizzo. Modifiche dei Termini e Condizioni di Utilizzo. Accettazione dei Termini e Condizioni

Note legali. Termini e condizioni di utilizzo. Modifiche dei Termini e Condizioni di Utilizzo. Accettazione dei Termini e Condizioni Note legali Termini e condizioni di utilizzo Accettazione dei Termini e Condizioni L'accettazione puntuale dei termini, delle condizioni e delle avvertenze contenute in questo sito Web e negli altri siti

Dettagli

Architettura di un sistema informatico 1 CONCETTI GENERALI

Architettura di un sistema informatico 1 CONCETTI GENERALI Architettura di un sistema informatico Realizzata dal Dott. Dino Feragalli 1 CONCETTI GENERALI 1.1 Obiettivi Il seguente progetto vuole descrivere l amministrazione dell ITC (Information Tecnology end

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

Cross Software ltd Malta Pro.Sy.T Srl. Il gestionale come l'avete sempre sognato... Pag. 1

Cross Software ltd Malta Pro.Sy.T Srl. Il gestionale come l'avete sempre sognato... Pag. 1 Il gestionale come l'avete sempre sognato... Pag. 1 Le funzionalità di X-Cross La sofisticata tecnologia di CrossModel, oltre a permettere di lavorare in Internet come nel proprio ufficio e ad avere una

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Software 2. Classificazione del software. Software di sistema

Software 2. Classificazione del software. Software di sistema Software 2 Insieme di istruzioni e programmi che consentono il funzionamento del computer Il software indica all hardware quali sono le operazioni da eseguire per svolgere determinati compiti Valore spesso

Dettagli

Installazione ed attivazione della "SUITE OFFIS" versione SERVER

Installazione ed attivazione della SUITE OFFIS versione SERVER Installazione ed attivazione della "SUITE OFFIS" versione SERVER Premessa La versione server di OFFIS può essere installata e utilizzata indifferentemente da PC/Win o Mac/Osx e consente l'accesso contemporaneo

Dettagli

Procedura per il ripristino dei certificati del dispositivo USB

Procedura per il ripristino dei certificati del dispositivo USB Procedura per il ripristino dei certificati del dispositivo USB 30/04/2013 Sommario - Limitazioni di responsabilità e uso del manuale... 3 1 Glossario... 3 2 Presentazione... 4 3 Quando procedere al ripristino

Dettagli

Il World Wide Web: nozioni introduttive

Il World Wide Web: nozioni introduttive Il World Wide Web: nozioni introduttive Dott. Nicole NOVIELLI novielli@di.uniba.it http://www.di.uniba.it/intint/people/nicole.html Cos è Internet! Acronimo di "interconnected networks" ("reti interconnesse")!

Dettagli

RSYNC e la sincronizzazione dei dati

RSYNC e la sincronizzazione dei dati RSYNC e la sincronizzazione dei dati Introduzione Questo breve documento intende spiegare come effettuare la sincronizzazione dei dati tra due sistemi, supponendo un sistema in produzione (master) ed uno

Dettagli

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP Università degli Studi di Pisa Facoltà di Scienze Matematiche,Fisiche e Naturali Corso di Laurea in Informatica Michela Chiucini MIB PER IL CONTROLLO DELLO STATO DI UN SERVER

Dettagli

Parallels Plesk Panel

Parallels Plesk Panel Parallels Plesk Panel Notifica sul Copyright Parallels Holdings, Ltd. c/o Parallels International GMbH Vordergasse 59 CH-Schaffhausen Svizzera Telefono: +41-526320-411 Fax+41-52672-2010 Copyright 1999-2011

Dettagli

Istruzioni per l uso Guida software

Istruzioni per l uso Guida software Istruzioni per l uso Guida software Leggere subito Manuali per questa stampante...8 Preparazione per la stampa Installazione rapida...9 Conferma del metodo di connessione...11 Connessione di rete...11

Dettagli

Altre opzioni Optralmage

Altre opzioni Optralmage di Personalizzazione delle impostazioni............ 2 Impostazione manuale delle informazioni sul fax......... 5 Creazione di destinazioni fax permanenti................ 7 Modifica delle impostazioni di

Dettagli

MANUALE GESTIONE DELLE UTENZE - PORTALE ARGO (VERS. 2.1.0)

MANUALE GESTIONE DELLE UTENZE - PORTALE ARGO (VERS. 2.1.0) Indice generale PREMESSA... 2 ACCESSO... 2 GESTIONE DELLE UTENZE... 3 DATI DELLA SCUOLA... 6 UTENTI...7 LISTA UTENTI... 8 CREA NUOVO UTENTE...8 ABILITAZIONI UTENTE...9 ORARI D'ACCESSO... 11 DETTAGLIO UTENTE...

Dettagli

Inidirizzi IP e Nomi di Dominio. Domain Name System. Spazio dei Nomi Piatto. Gestione dello Spazio dei Nomi

Inidirizzi IP e Nomi di Dominio. Domain Name System. Spazio dei Nomi Piatto. Gestione dello Spazio dei Nomi I semestre 03/04 Inidirizzi IP e Nomi di Dominio Domain Name System Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/professori/auletta/ Università degli studi di Salerno Laurea in Informatica

Dettagli

Note e informazioni legali

Note e informazioni legali Note e informazioni legali Proprietà del sito; accettazione delle condizioni d uso I presenti termini e condizioni di utilizzo ( Condizioni d uso ) si applicano al sito web di Italiana Audion pubblicato

Dettagli

Protocollo HTTP. Alessandro Sorato

Protocollo HTTP. Alessandro Sorato Un protocollo è un insieme di regole che permettono di trovare uno standard di comunicazione tra diversi computer attraverso la rete. Quando due o più computer comunicano tra di loro si scambiano una serie

Dettagli

SPOSTAMENTO SITEMANAGER DA SERVER DIREL A SERVER PROPRIETARIO

SPOSTAMENTO SITEMANAGER DA SERVER DIREL A SERVER PROPRIETARIO SPOSTAMENTO SITEMANAGER DA SERVER DIREL A SERVER PROPRIETARIO La seguente guida mostra come trasferire un SiteManager presente nel Server Gateanager al Server Proprietario; assumiamo a titolo di esempio,

Dettagli