Definizione di scenari di attacco ai sistemi SCADA e Infrastruttura di Laboratorio

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Definizione di scenari di attacco ai sistemi SCADA e Infrastruttura di Laboratorio"

Transcript

1 Definizione di scenari di attacco ai sistemi SCADA e Infrastruttura di Laboratorio G. Dondossola, F. Garrone, J. Szanto Febbraio 2010 Area: Governo, Gestione e Sviluppo del Sistema Elettrico Nazionale

2 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 1/70 Contratto Accordo di programma con il Ministero dello Sviluppo Economico per le attività di ricerca e sviluppo di interesse generale per il sistema elettrico nazionale. Piano Annuale di realizzazione Oggetto Definizione di scenari di attacco ai sistemi SCADA e Infrastruttura di Laboratorio Progetto Linea di Ricerca Deliverable Note Studi sullo sviluppo del sistema elettrico e della rete elettrica nazionale Sicurezza delle infrastrutture del sistema elettrico 18 PUBBLICATO (PAD ) La parziale riproduzione di questo documento è permessa solo con l'autorizzazione scritta di ERSE. N. pagine 70 N. pagine fuori testo 0 Mod. RPRDS v. 04 Data 28/02/2010 Elaborato Elaborato Verificato Verificato SSE G. Dondossola, F. Garrone Consulente Dondossola esterna Giovanna J. (SSE), Szanto Garrone Fabrizio (SSE) AUT AUT SSE Consulente D. Cirio esterna - J. Szanto Cirio Diego (SSE) VER Approvato SSE Cherbaucich M. Gallanti Claudio (TTD), Gallanti Massimo (SSE) APP APP TTD C. Cherbaucich ENEA Ricerca sul Sistema Elettrico S.p.A. via R. Rubattino, Milano - Italia Tel Fax Capitale sociale Euro i.v. R.I. di Milano, C.F. e P.IVA , N. R.E.A ISO 9001 CH-32919

3 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 2/70 Indice SOMMARIO... 5 Acronimi INTRODUZIONE ARCHITETTURA TESTBED Funzioni di comunicazione Simulazione di un attacco DoS FRAMEWORK DI VALUTAZIONE Misure puntuali sulla singola prova e relativi grafici Misure medie sulla singola prova Valutazione sperimentale ricerca e sviluppo COMUNICAZIONI IEC TRAMITE VPN IPSEC IPsec Cisco IPsec StrongSwan Prove IEC con IPSEC Conclusioni COMUNICAZIONI RIDONDATE Hot Standby Router Protocol Conclusioni ATTACCHI DOS Taratura del tool di attacco Prove DoS Cisco Prove DoS Linux Conclusioni CONTROMISURE DOS CISCO Hot Standby Router Protocol Intrusion Prevention System Vulnerabilità di Cisco IPS Conclusioni INTRUSIONI Processo di intrusione Intrusioni e modellazione UCD Conclusioni CONCLUSIONI BIBLIOGRAFIA Copyright 2010 by ERSE. All rights reserved - Activity code

4 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 3/70 Indice delle Figure Figura 1: Laboratorio per l analisi degli attacchi informatici Figura 2: Ciclo di Gestione del Rischio e Valutazione Sperimentale Figura 3: Infrastrutture ICT del Sistema Elettrico Figura 4: Architettura Testbed per l analisi degli attacchi informatici Figura 5: Struttura indirizzo Nodo Figura 6: Flusso comunicazioni Centro Stazioni Figura 7: Implementazione comunicazioni Centro-Stazioni nel Testbed Figura 8: IEC Utilizzo del timer t3 test ok (fonte [3]) Figura 9: IEC Utilizzo del timer t3 test not-ok (fonte [3]) Figura 10: Schema semplificato di un processo di attacco DoS distribuito Figura 11: Interfaccia ATTACK Manager Figura 12: Interfaccia ATTACK Client Figura 13: Schema attacco DoS distribuito Figura 14: Configurazione dell ATTACK Manager Figura 15: File di log attività modulo P104Client Figura 16: File di log attività modulo P104Server Figura 17: Interfaccia Tool CS_Assess_Centre Figura 18: Grafico Misure Temporali condizione normale (sx) - condizione attacco DoS (dx) Figura 19. Grafico Misure adimensionali condizione normale (sx) condizione attacco DoS (dx) Figura 20: Grafico Riassuntivo Misure condizione normale (sx) condizione attacco DoS (dx) Figura 21: Grafico Misure Medie Figura 22: modello SWN per l analisi della procedura di emergenza fonte [13] Figura 23: Inizializzazione IEC in chiaro Figura 24: Configurazione Cisco IPsec Policies via SDM Figura 25: Configurazione Cisco IPsec IKE via SDM Figura 26: Configurazione Cisco IPsec ACL via SDM Figura 27: Traffico IPsec - sessione iniziale Figura 28: Traffico IPsec - sessione di rigenerazione chiavi Figura 29: Gateway Linux - IPtables Figura 30: Gateway Linux - File configurazione ipsec.conf Figura 31: Grafico misure IMT Stazione 1 in situazione di funzionamento normale Figura 32: Grafico misure IMT Stazione 2 in situazione di funzionamento normale Figura 33: Dettaglio configurazione collegamento ridondato Centro-Stazione Figura 34: Grafico IMT durante test HSRP (t3 = 20 sec) Figura 35: Grafico riassuntivo misure durante test HSRP (t3 = 20 sec) Figura 36: Grafico misure durante test2 HSRP (t3 = 20 sec) Figura 37: Grafico IMT durante test HSRP (t3 = 30 sec) Figura 38: Grafico misure durante test HSRP (t3 = 30 sec) Figura 39: Consumo di Banda vs. Frequenza Attacco Figura 40: Configurazione router primario di Centro Figura 41: Configurazione Accessi Interfaccia di Manutenzione Figura 42: Log segnalazioni eventi durante attacco all interfaccia di manutenzione di un router Figura 43: DoS Router Cisco - 3 Attaccanti: Number of Lost Messages Figura 44: DoS Router Cisco - 3 Attaccanti: Inter Message Time Figura 45: DoS Router Cisco - 3 Attaccanti T3 = 20 sec: Percentage of Lost Messages Figura 46: DoS Router Cisco - 3 Attaccanti- T3 = 30 sec: Percentage of Lost Messages Figura 47: DoS Router Cisco Attaccanti T3 = 20 sec: Percentage of Lost Messages Figura 48: DoS Router Cisco Attaccanti T3 = 30 sec: Percentage of Lost Messages Figura 49: Round Trip Time in presenza di attacco DoS Figura 50: DoS Gateway-1 Linux 3 attaccanti: Misure riassuntive Figura 51: DoS Gateway Linux-2 3 attaccanti: Misure riassuntive

5 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 4/70 Figura 52: DoS Router Cisco seguito da indisponibilità fisica: Misure riassuntive Figura 53: Elaborazione dei pacchetti che fluiscono dall esterno all interno della rete (fonte [15]) Figura 54: Configurazione router secondario di Centro Figura 55: Configurazione IPS Figura 56: Log segnalazioni eventi durante attacco interfaccia di manutenzione di un router con IPS Figura 57: DoS Router Cisco IPS produce-alert: Misure riassuntive Figura 58: Configurazione Firma Figura 59: DoS Router Cisco IPS drop-packet: Misure riassuntive Figura 60: Log segnalazioni eventi IPS Firma Figura 61: Effetto flooding https Figura 62: Scenario di Intrusione Indice delle Tabelle Tabella 1: Relazioni tra i parametri dei due Framework Tabella 2: Configurazione Protocollo Tabella 3: Comunicazioni HSRP in presenza di anomalia fisica del link di comunicazione Tabella 4: Elenco test prova HSRP Tabella 5: Test per taratura tool attacco Pulsed Tabella 6: Test DoS Comunicazioni IEC

6 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 5/70 STORIA DELLE REVISIONI Numero Data Protocollo Lista delle modifiche e/o dei paragrafi modificati revisione 00 28/02/ Prima emissione SOMMARIO Il presente Rapporto è parte integrante della documentazione delle attività di Ricerca di Sistema previste dal Piano Annuale di Realizzazione 2009 nell ambito del progetto STUDI SULLO SVILUPPO DEL SISTEMA ELETTRICO E DELLA RETE ELETTRICA NAZIONALE (Area Governo, gestione e sviluppo del sistema elettrico nazionale ) e ne costituisce il Deliverable 18. La sicurezza delle reti informatiche impiegate nel controllo di processo costituisce, allo stato tecnologico attuale, un interessante argomento di studio e ricerca tecnico-scientifica. L attività AdP sulla sicurezza informatica nel controllo elettrico si pone come obiettivo la valutazione sperimentale degli effetti dei processi di attacco sui sistemi di automazione e controllo delle reti elettriche. L attività di valutazione sperimentale, inserita nel Ciclo complessivo di Gestione del Rischio, si articola in diverse fasi quali la pianificazione, la predisposizione ed esecuzione di esperimenti, seguita dalla archiviazione ed elaborazione dei dati sperimentali. Per l esecuzione degli esperimenti il Laboratorio PCS-ResTest mette a disposizione un architettura di controllo della rete elettrica di distribuzione, peculiare nella sua capacità di riprodurre sistemi SCADA scalabili in funzione di Centri, Stazioni e IED di Automazione. L architettura del Laboratorio si propone come piattaforma di prova, estendibile e configurabile, su cui effettuare esperimenti controllati per la raccolta di dati relativi ad attacchi informatici ai sistemi di controllo. L attività sperimentale si concentra sulle caratteristiche e i requisiti delle comunicazioni tipiche dei sistemi SCADA impiegati nei diversi livelli di regolazione e controllo elettrico, quali disponibilità continua, brevi tempi di risposta, limitati ritardi di trasmissione, correttezza dei flussi di dati, assenza di dati spuri e di perdite di dati. L elaborazione dei dati raccolti dagli esperimenti del Laboratorio si avvale di un apposito framework metodologico caratterizzato da un insieme di misure relative alle comunicazioni standard. Secondo quanto previsto dal ciclo di sviluppo degli esperimenti, l attività PAR 2009 ha prodotto un Testbed e un Framework di valutazione di supporto per l esecuzione e la valutazione di un insieme pianificato di esperimenti. Il Testbed 2009 costituisce un evoluzione fisica, funzionale e logica del testbed pre-esistente, al quale sono stati aggiunti i seguenti moduli: nuova versione del protocollo standard IEC , con funzionalità di test della connessione; connessione Centro-Stazione tramite router Cisco ridondati e dotati di funzionalità di sicurezza quali IPsec e IPS; Centro di Manutenzione ICT; strumenti per la ripetibilità degli attacchi. Il Framework di valutazione 2009 è dotato di strumenti funzionali alla elaborazione e visualizzazione di un insieme di misure puntuali e medie relative ai tempi delle ricezioni, delle riconnessioni, alle congestioni e alle perdite di messaggi applicativi. Gli sviluppi software dell attività PAR 2009, inclusi nel Testbed e nel Framework di Valutazione, hanno consentito di effettuare e valutare le seguenti campagne di prove: a. Prove di valutazione funzionale delle comunicazioni standard IEC messe in sicurezza dai protocolli IPsec;

7 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 6/70 b. Prove di valutazione della gestione automatica delle anomalie fisiche tramite protocollo HSRP; c. Prove di valutazione degli attacchi DoS verso router Cisco e Gateway Linux; d. Prove di valutazione delle contromisure di difesa dagli attacchi DoS; e. Prove di intrusione. L analisi dei risultati delle prove tramite il Framework di Valutazione ha permesso di quantificare l effetto delle anomalie delle comunicazioni sul Testbed, e di ricavare utili considerazioni e raccomandazioni di carattere più generale, riportate nel documento. I dati e la documentazione delle prove effettuate sono disponibili negli archivi del Laboratorio ERSE. Infine si ricorda che nel periodo di riferimento sono state finalizzate le attività del progetto Europeo CRUTIAL, dedicato all analisi, valutazione e sperimentazione delle dipendenze dei sistemi di controllo elettrico dalle infrastrutture ICT. I risultati del progetto, coordinato da ERSE, sono raggruppabili in i) scenari di sistemi di controllo, ii) Framework di Modellazione, iii) Macrogrid Control Testbed e Microgrid Control Testbed, iv) Architettura ICT, v) Framework di Valutazione. Le attività di ERSE, presentate nei documenti RdS , hanno riguardato l identificazione degli scenari di controllo e lo sviluppo del Macrogrid Control Testbed. Nel corso del PAR 2009 sono stati prodotti i deliverable tecnici finali del progetto (consultabili sul sito e le pubblicazioni per le Conferenze IEEE-PSCE 2009, CRIS 2009, CIRED 2009, DSN E stata organizzata presso ERSE la revisione finale del progetto, svoltasi il 2-3/4/2009, nel corso della quale i risultati del progetto sono stati presentati e dimostrati all Officer della EC, ai revisori e al Consorzio, ottenendo una valutazione eccellente sia negli aspetti tecnici che nel management. I risultati del PAR 2009 sono stati oggetto di divulgazione sulla stampa di settore e di presentazione alle iniziative Europee ESTEC ed ERN-CIP, al WG Cigré D2.22, al Politecnico di Torino, ad ENEL ed ENEA.

8 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 7/70 Acronimi ACC ACL AH Area Control Centre Access Control Lists Authentication Header APCI Application protocol Control Information header IEC APDU Application Protocol Data Unit pacchetto IEC completo, include APCI e ASDU ASDU Application Service Data Unit payload IEC ATS AVR CERT DG DoS DSO EHV-AAT EI EMS EPS ESP FACTS FTP GENCO HMI HSRP HTTPS HV-AT ICT ICMP IEC IED IOS IKE IP IPS IPsec LAN Area Telecontrol System Automatic Voltage Regulator Computer Emergency Response Team Distributed Generation Denial of Service Distribution System Operator Extra High Voltage - Altissima Tensione Electrical Infrastructure Energy Management System Electrical Power System Encapsulation Security Payload Flexible Alternating Current Transmission Systems File Transfer Protocol GENeration COompany Human-Machine Interface Hot Standby Router Protocol Hypertext Transfer Protocol over Secure Socket Layer High Voltage - Alta Tensione Information Communication Technology Internet Control Message Protocol International Electrotechnical Commission Intelligent Electronic Device Internetwork Operating System Internet Key Exchange Internet Protocol Intrusion Protection System IP security standard protocol Local Area Network

9 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 8/70 LV-BT MCD-TU MV-MT NSM NTS NVR OLTC OPF OSI PC PCS PFR PMU PQR PS PSS PVC RCC RTS RTT RVR SAN SAS SCADA SDM SFR SME SPI SSH SWN TCP TSO TSP UCTE UDP UML Low Voltage - Bassa Tensione Monitoring Control and Defence Terminal Unit Medium Voltage - Media Tensione Network System Management National Telecontrol System National Voltage Regulator On-Load Tap Changer Optimal Power Flow Open System Interconnection Personal Computer Process Control System Primary Frequency Regulator Phasor Measurement Unit Reactive Power (Q) Regulator Power Station Power System Stabiliser Permanent Virtual Circuit Regional Control Centre Regional Telecontrol System Round Trip Time Regional Voltage Regulator Stochastic Activity Network Substation Automation System Supervisory Control and Data Acquisition Security Device Manager Secondary Frequency Regulator Signature Micro Engine Security Parameter Index Secure Shell Stochastic Well formed Net Transmission Control Protocol Transmission System Operator Telecommunication Service Provider Union for Co-ordination of Transmission of Electricity User Datagram Protocol Unified Modelling Language

10 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 9/70 VPN WAMS WAN WAP Virtual Private Network Wide Area Measurement Systems Wide Area Network Wide Area Protection

11 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 10/70 1 INTRODUZIONE Tradizionalmente i sistemi SCADA preposti allo svolgimento delle funzioni di monitoraggio e controllo del sistema elettrico in esercizio prevedono una disponibilità continua della rete di comunicazione per la trasmissione di flussi di dati periodici (stati) o asincroni (comandi ed eventi). Ai flussi di dati di processo si aggiungono flussi di dati per la gestione dei componenti di comunicazione e controllo e della loro sicurezza. Le diverse criticità delle condizioni operative del sistema elettrico impongono vincoli più o meno stringenti sui tempi di risposta delle azioni remote di automazione e controllo che, nei casi più critici (leggasi in emergenza), possono scendere fino all ordine di 10 2 msec. Ai requisiti di disponibilità e temporali sopra esposti, si aggiunge un requisito di autenticità nell invio e nella ricezione di flussi di dati. In qualunque condizione operativa le procedure di esercizio richiedono l esecuzione indisturbata di sequenze ordinate di acquisizioni e attuazioni basate su flussi ordinati di dati di monitoraggio e controllo. In tale contesto applicativo, l esistenza di processi di attacco informatico basati su consumo di banda, riferiti con il termine attacchi DoS, provocano congestioni di rete che alterano o addirittura paralizzano i flussi delle sequenze operative, con conseguenze rilevanti sul processo controllato in presenza di condizioni operative altamente critiche. Qualunque azione di recupero automatico delle anomalie sulle comunicazioni deve essere valutata in relazione alle tempistiche richieste. Al fine di rispettare i vincoli nelle situazioni più critiche (o nei casi peggiori) un primo obiettivo delle contromisure di sicurezza delle comunicazioni per il controllo elettrico è quello di annullare le perdite di dati e limitare i ritardi di trasmissione. Disponendo di una conoscenza di maggior dettaglio sulle comunicazioni coinvolte negli schemi del controllo elettrico, possono d altro canto insorgere processi di intrusione in grado di infrangere il requisito di autenticità dei flussi di dati già accennato. In questo caso le misure di sicurezza assumono un ruolo preventivo evitando la possibilità di forgiare il colloquio in atto. Pertanto un secondo obiettivo delle contromisure di sicurezza delle comunicazioni per il controllo elettrico è quello di eliminare l intromissione di dati spuri. Considerati i requisiti delle comunicazioni dei sistemi di controllo elettrico, l analisi del rischio informatico deve coprire le seguenti tipologie di minacce: i) anomalie fisiche che generano indisponibilità dei canali di comunicazione; ii) attacchi logici basati su flussi consistenti di traffico malizioso che possono comportare ritardi inaccettabili o perdite di dati applicativi, con particolare riferimento ai comandi di telecontrollo iii) intrusioni in grado di intromettersi nella comunicazione inserendo dati/comandi spuri nel traffico applicativo. Lo studio degli effetti di tali tipologie di malfunzionamento consente di valutare, rispettivamente, i seguenti indici di Dependability e Security introdotti nella bozza dello standard IEC [1] relativamente alle teleprotezioni i) Dependability D = 1 P mc dove P mc Probability for missing commands ii) Security S = 1 P uc dove P uc Probability for unwanted commands Secondo le indicazioni riportate nello standard, gli schemi di protezioni inter-tripping richiedono P uc < 10-8 e P mc < 10-4, dove i missing commands sono caratterizzati da un tempo di latenza t > 10 msec. L architettura di controllo elettrico realizzata nel Laboratorio ERSE (Figura 1), peculiare nella sua capacità di riprodurre sistemi SCADA scalabili in funzione di Centri, Stazioni e IED di Automazione, si

12 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 11/70 propone come piattaforma di prova su cui effettuare esperimenti controllati per la raccolta di dati relativi ad attacchi informatici ai sistemi di controllo. Figura 1: Laboratorio per l analisi degli attacchi informatici. L attività di ricerca associata al Laboratorio deve essere concepita in funzione della valutazione sperimentale dell effetto degli attacchi sui sistemi di controllo, la quale si avvale di un apposito framework per l elaborazione di un insieme di misure relative alle comunicazioni standard. Tale attività di valutazione sperimentale, inserita nel Ciclo complessivo di Gestione del Rischio come illustrato in Figura 2, si articola in diverse fasi quali la pianificazione, la predisposizione ed esecuzione di esperimenti, seguita dalla archiviazione ed elaborazione dei dati sperimentali. Gli esperimenti controllati via via pianificati sono caratterizzati in base al tipo di attacco: ogni tipo di attacco identifica un insieme di parametri propri del tipo di esperimento e da un insieme di misure di valutazione.

13 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 12/70 Figura 2: Ciclo di Gestione del Rischio e Valutazione Sperimentale. In continuità con la precedente attività di Ricerca di Sistema , l attività del PAR 2009 riportata del documento ha riguardato lo sviluppo dei diversi aspetti coinvolti nella sperimentazione, elencati nel seguito. i) Estensioni del Testbed pre-esistente, relative alle funzioni del software di comunicazione a livello Centro e a livello Stazione e agli strumenti per la simulazione degli attacchi ii) iii) iv) Definizione del framework di valutazione delle comunicazioni e sua applicazione alle prove funzionali, di anomalie fisiche e di attacco logico Prova e valutazione delle comunicazioni IEC messe in sicurezza tramite IPsec Prova e valutazione della gestione automatica delle anomalie fisiche tramite comunicazioni ridondate v) Prova e valutazione degli attacchi DoS vi) vii) Configurazione, prova e valutazione di contromisure di difesa dagli attacchi DoS Sviluppo di prove di intrusione. Nel Testbed le comunicazioni IEC vengono utilizzate per l implementazione dei flussi informativi che afferiscono ai sistemi di Telecontrollo della rete di distribuzione e trasmissione, comprendenti le comunicazioni Centro-Stazioni, inter-centro e inter-stazioni (NTS, ATS, Station Computer in Figura 3). Tuttavia le prove effettuate e i risultati ottenuti sono estendibili anche ad altri flussi informativi basati sullo stesso protocollo IEC presenti nelle infrastrutture reali [18], come quelli afferenti ai sistemi di Regolazione Secondaria della Tensione localizzati nei Centri Regionali del gestore e presso gli impianti delle compagnie di generazione (rispettivamente RVR e PQR in Figura 3) [19].

14 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 13/70 Figura 3: Infrastrutture ICT del Sistema Elettrico. Le contromisure di sicurezza inserite nella sperimentazione, mirate a soddisfare i requisiti di Dependability e Security, si collocano sia a livello della rete IP (VPN IPsec, canali ridondati, IPS), sia a livello del protocollo applicativo di telecontrollo, rappresentato nello specifico dallo standard IEC [3]. Dopo avere presentato e analizzato metodi e risultati delle prove effettuate sul Testbed di Laboratorio, si riuscirà a comprendere come la scelta di una contromisura di sicurezza e della sua modalità di utilizzo - preventiva (esecuzione incondizionata) o correttiva (esecuzione condizionata alla rilevazione di anomalia) dipenda dalla valutazione delle prestazioni delle comunicazioni in relazione agli obiettivi posti in precedenza.

15 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 14/70 2 ARCHITETTURA TESTBED L architettura del Testbed utilizzata per le sperimentazioni costituisce un evoluzione dell architettura sviluppata nell attività RdS Pertanto nel seguito verranno riassunte le estensioni implementate nell anno 2009, rimandando al precedente rapporto [2] per la descrizione esaustiva dei suoi componenti. Al fine di effettuare sperimentazioni rilevanti per il telecontrollo IP degli apparati di automazione di Stazione, l architettura del Testbed del Laboratorio rappresentata in Figura 4 prevede il Telecontrollo di due Stazioni AT/MT di un DSO, identiche dal punto di vista funzionale, ma diversificate rispetto alla tecnologia utilizzata per la connettività Centro di Supervisione-Stazione. La Stazione 1 viene connessa al Centro utilizzando dei Router commerciali Cisco in ambiente operativo Cisco IOS, soluzione già utilizzata nell infrastruttura reale di Telecontrollo delle Stazioni AT/MT di ENEL. Per una simulazione più fedele delle comunicazioni, che nell infrastruttura reale avvengono tramite canali PVC su interfaccia Frame Relay forniti da TSP terza parte, nel Testbed le comunicazioni Centro-Stazione1 sono implementate tramite link seriali. Come nell infrastruttura reale, anche nel Testbed a livello di Centro è prevista una ridondanza hardware della connettività, tramite l impiego di un router di back-up, gestita mediante protocollo HSRP disponibile in ambiente IOS. Per quanto riguarda la sicurezza, l ambiente Cisco IOS offre un insieme integrato di funzionalità quali firewall, VPN e IPS. In ambiente operativo IOS le comunicazioni Centro- Stazione1 vengono protette tramite VPN IPsec Site-to-Site su interfaccia seriale. La Stazione2 viene connessa al Centro utilizzando dei Gateway basati su PC Dell in ambiente Linux. La ridondanza di Centro viene in questo caso realizzata mediante l impiego di un interfaccia di rete di back-up sullo stesso gateway. In ambiente operativo Linux le comunicazioni Centro- Stazione2 vengono protette tramite VPN basata su protocollo IPsec implementato mediante la soluzione Open-Source StrongSwan Site-to-Site su interfaccia Ethernet. L eterogeneità tecnologica del Testbed consente di confrontare diverse configurazioni e le prestazioni delle comunicazioni nelle due infrastrutture. La connettività IP dei Centri e delle Stazioni, oltre a supportare l attività di telecontrollo e le comunicazioni dei sistemi SCADA, viene sfruttata nel Testbed per la remotizzazione delle funzioni di gestione e manutenzione dei sistemi di comunicazione e di controllo degli stessi. La convivenza di comunicazioni diverse su uno stesso sistema richiede di estendere l analisi delle vulnerabilità del sistema a tutte le sue funzioni, includendo l analisi delle vulnerabilità indotte dalle attività di gestione dell infrastruttura ICT. Come visibile in Figura 4, l architettura del Testbed 2009 include: sistemi di Telecontrollo a livello di Centro e di Stazione, le cui comunicazioni sono basate sui protocolli IEC , TCP/IP e IPsec. Quest ultima suite di protocolli [11] comprende protocolli che forniscono la cifratura del flusso di dati (es.: AH ed ESP) e protocolli che implementano lo scambio delle chiavi per realizzare il flusso crittografato (es.: IKE basato su UDP/IP); sistemi (ICT Control Centre) per la gestione remota dei dispositivi di comunicazione, controllo e automazione, le cui comunicazioni sono basate, per ragioni di sicurezza, sui protocolli standard https e ssh, entrambi basati su TCP/IP; sistemi (Attacker) per la simulazione degli attacchi, le cui comunicazioni sono basate sul protocollo UDP/IP; sistemi (Sniffer) basati su PC collegati alle singole sottoreti che registrano tutto il traffico in transito nelle sottoreti.

16 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 15/70 Figura 4: Architettura Testbed per l analisi degli attacchi informatici. Per una maggiore realisticità degli scenari, tutte le sottoreti sono implementate impiegando dei dispositivi di tipo switch, evitando l impiego di tecniche basate su macchine virtuali o reti simulate. In particolare sfruttando le caratteristiche di ridirezione del traffico, proprie dei dispositivi switch, si è potuto collegare alla sottoreti dispositivi per realizzare lo sniffing, ovvero la cattura del traffico, una funzionalità indispensabile alla comprensione dei protocolli e del corretto flusso dei pacchetti impiegati nelle comunicazioni. Nelle sezioni che seguono vengono descritte le modifiche e le estensioni apportate alle funzioni di comunicazione e ai tool per la simulazione degli attacchi DoS utilizzati negli esperimenti. 2.1 Funzioni di comunicazione Nel Testbed 2009 le funzioni dei programmi di gestione delle comunicazioni tra Centro DSO e stazioni controllate, e delle comunicazioni intercentro tra Centri DSO e TSO, sono state suddivise in due tipi di moduli software, logicamente distinti: i moduli del protocollo IEC [3] ( Transmission protocols- Network access for IEC using standard transport profiles - nel seguito protocollo 104); i moduli Dispatcher di Centro e di Stazione con funzioni SCADA. All interno dei Centri e delle Stazioni tutte le comunicazioni sono in formato proprietario ed utilizzano il protocollo UDP/IP; le comunicazioni tra Centro e Stazioni, tra Centri ed, in generale, tra Centro/Stazione e mondo esterno sono invece in formato compatibile con il protocollo IEC e sono basate su TCP/IP. Ogni scambio di messaggi tra centro e stazioni, o tra Centri, richiede quindi una conversione da formato proprietario a formato 104 e vice versa. A lato centro queste conversioni vengono effettuate dal modulo Dispatcher di Centro denominato DsoDispatcher o TSODispatcher, mentre a lato stazione le conversioni sono effettuate dal modulo Dispatcher di Stazione denominato StationDispatcher. Nelle funzionalità SCADA dei Dispatcher, per ogni Centro e per ogni Stazione è stato introdotto un proprio identificatore univoco. Per maggior precisione parleremo nel seguito di identificatore di nodo

17 Rapporto SSE Sviluppo dei Sistemi Elettrici Pag. 16/70 invece che di identificatore di impianto. L identificatore di nodo ha il formato dei COMMON ADDRESS (Figura 5) specificati nel documento GRTN DRRPX02039 Rev2. [4], nel senso che ogni identificatore comprende una coppia di byte: l identificatore della regione o area di appartenenza (area_id) e l identificatore del nodo all interno dell area (node_id). La coppia (node_id, area_id) identifica univocamente ogni centro e stazione del Testbed. L ASDU COMMON ADDRESS occupa i primi due byte della sezione ASDU del frame 104. Figura 5: Struttura indirizzo Nodo. Lo scambio informativo secondo il protocollo 104 viene gestito dall applicazione P104 di tipo clientserver, quindi di tipo asimmetrico: l applicazione server P104Server (lato stazione controllata) e l applicazione client P104Client (lato stazione controllante), aventi un comportamento diverso. L applicazione P104 rappresenta un implementazione semplificata dello standard che si propone di riprodurre fedelmente le funzioni indispensabili per supportare il particolare tipo di flusso informativo che ha luogo tra i nodi dell architettura di laboratorio, prescindendo dal contenuto della parte applicativa. Il modulo P104Server è stato esteso per accettare comunicazioni UDP in formato 104 relative alla gestione delle situazioni di emergenza. Lo schema generale del flusso della comunicazione è riportato in Figura 6, mentre lo schema dell implementazione del flusso della comunicazione nel Testbed è riportato in Figura 7, la quale evidenzia le diverse tecnologie impiegate per i collegamenti fisici tra Centro e Stazioni. Figura 6: Flusso comunicazioni Centro Stazioni.

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link Sicurezza ai livelli di rete e data link Sicurezza a livello applicativo Ma l utilizzo di meccanismi di cifratura e autenticazione può essere introdotto anche ai livelli inferiori dello stack 2 Sicurezza

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

MODELLI ISO/OSI e TCP/IP

MODELLI ISO/OSI e TCP/IP D. Talia RETI DI CALCOLATORI - UNICAL 1 Reti di Calcolatori MODELLI ISO/OSI e TCP/IP D. Talia RETI DI CALCOLATORI - UNICAL 2 Reti di Calcolatori Livelli e Servizi Il modello OSI Il modello TCP/IP Un confronto

Dettagli

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33 .ind g/p.vii-xii 26-06-2002 12:18 Pagina VII Indice Capitolo 1 Introduzione 1 Capitolo 2 Le reti Ethernet e IEEE 802.3 5 2.1 Il progetto IEEE 802 6 2.2 Protocolli di livello MAC 7 2.3 Indirizzi 8 2.4 Ethernet

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30 Prefazione XI Capitolo 1 Introduzione 1 1.1 Internet: una panoramica 2 1.1.1 Le reti 2 1.1.2 Commutazione (switching) 4 1.1.3 Internet 6 1.1.4 L accesso a Internet 6 1.1.5 Capacità e prestazioni delle

Dettagli

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) PARTE 2 SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) Parte 2 Modulo 1: Stack TCP/IP TCP/IP Protocol Stack (standard de facto) Basato su 5 livelli invece che sui 7 dello stack ISO/OSI Application

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di Calcolatori 1. Introduzione Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di calcolatori : Un certo numero di elaboratori

Dettagli

StarShell. IPSec. StarShell

StarShell. IPSec. StarShell IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità Chiara Braghin Dalle news 1 Internet ISP Backbone ISP Routing locale e tra domini TCP/IP: routing, connessioni BGP (Border

Dettagli

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1 Simulazione prova scritta di sistemi Abacus per l Esame di Stato Traccia n 1 La condivisione delle informazioni e lo sviluppo delle risorse informatiche tramite cui esse possono venire memorizzate e scambiate

Dettagli

Reti di computer. Agostino Lorenzi - Reti di computer - 2008

Reti di computer. Agostino Lorenzi - Reti di computer - 2008 Reti di computer Telematica : termine che evidenzia l integrazione tra tecnologie informatiche e tecnologie delle comunicazioni. Rete (network) : insieme di sistemi per l elaborazione delle informazioni

Dettagli

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport. ICMP Application Presentation Session Transport Telnet FTP SMTP SNMP TCP e UDP NFS XDR RPC Network Data Link Physical OSI ICMP ARP e RARP IP Non Specificati Protocolli di routing Internet Protocol Suite

Dettagli

Cyber Security Sistemi Energia - Progetti e Sperimentazioni. Giovanna Dondossola Roberta Terruggia

Cyber Security Sistemi Energia - Progetti e Sperimentazioni. Giovanna Dondossola Roberta Terruggia Cyber Security Sistemi Energia - Progetti e Sperimentazioni Giovanna Dondossola Roberta Terruggia Cyber security in RSE Avviata nel 2000 Obiettivo Valutazione della cyber security dei sistemi di controllo

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15 Sicurezza dei sistemi e delle 1 Mattia Lezione VI: Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Dettaglio attività e pianificazione. snamretegas.it. San Donato Milanese Aprile 2014

Dettaglio attività e pianificazione. snamretegas.it. San Donato Milanese Aprile 2014 Evoluzioni tecnologiche nelle integrazioni B2B introdotte dalla Nuova Piattaforma informatica per la Gestione dei processi commerciali di Programmazione e Bilancio Dettaglio attività e pianificazione San

Dettagli

ICT e SmartGrid. Massimiliano Chiandone mchiandone@units.it

ICT e SmartGrid. Massimiliano Chiandone mchiandone@units.it ICT e SmartGrid Massimiliano Chiandone mchiandone@units.it Sommario Introduzione Nuove Architetture dei Sistemi Elettrici Motivazioni, requisiti, caratteristiche Comunicazioni Dispositivi Un esempio Applicazioni

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Reti di calcolatori. Lezione del 18 maggio

Reti di calcolatori. Lezione del 18 maggio Reti di calcolatori Lezione del 18 maggio Riepilogo concetti Il software di rete La gestione della rete non può essere lasciata alle applicazioni-utente Necessità di un software specifico dedicato a gestire

Dettagli

Reti di Calcolatori. Master "Bio Info" Reti e Basi di Dati Lezione 2

Reti di Calcolatori. Master Bio Info Reti e Basi di Dati Lezione 2 Reti di Calcolatori Sommario Software di rete TCP/IP Livello Applicazione Http Livello Trasporto (TCP) Livello Rete (IP, Routing, ICMP) Livello di Collegamento (Data-Link) I Protocolli di comunicazione

Dettagli

Sicurezza nelle reti IP

Sicurezza nelle reti IP icurezza nelle reti IP L architettura IPsec IPsec Proposta IETF per fare sicurezza al livello IP (livello 3) Compatibile con IPv4 e IPV6 (RFC-2401) Permette di Creare VPN su reti pubbliche Fare sicurezza

Dettagli

CORSO DI RETI SSIS. Lezione n.3 9 novembre 2005 Laura Ricci

CORSO DI RETI SSIS. Lezione n.3 9 novembre 2005 Laura Ricci CORSO DI RETI SSIS Lezione n.3 9 novembre 2005 Laura Ricci IL LIVELLO TRASPORTO realizza un supporto per la comunicazione logica tra processi distribuiti comunicazione logica = astrazione che consente

Dettagli

PROGETTO SISTEMA DI GESTIONE UNIFICATA DELLE CHIAMATE DI EMERGENZA - NUMERO UNICO DELLE EMERGENZE ( NUE )

PROGETTO SISTEMA DI GESTIONE UNIFICATA DELLE CHIAMATE DI EMERGENZA - NUMERO UNICO DELLE EMERGENZE ( NUE ) ALLEGATO 4 PROGETTO SISTEMA DI GESTIONE UNIFICATA DELLE CHIAMATE DI EMERGENZA - NUMERO UNICO DELLE EMERGENZE ( NUE ) INTERCONNESSIONE TRA IL CED INTERFORZE E GLI OPERATORI DI TELEFONIA PER LA FORNITURA

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006 Gaspare Sala Introduzione Una rete pubblica è un insieme di sistemi indipendenti che si scambiano dati

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Introduzione alle reti di calcolatori

Introduzione alle reti di calcolatori Introduzione alle reti di calcolatori Definizioni base. Collegamenti diretti e indiretti Strategie di multiplazione Commutazione di circuito e di pacchetto Caratterizzazione delle reti in base alla dimensione

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Problemi legati alla sicurezza e soluzioni

Problemi legati alla sicurezza e soluzioni Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Accesso remoto ad impianti domotici Problemi legati alla sicurezza e soluzioni Domotica

Dettagli

SISTEMA PER LA TRASMISSIONE TELEMATICA DI DATI

SISTEMA PER LA TRASMISSIONE TELEMATICA DI DATI CONVENZIONE INTERBANCARIA PER I PROBLEMI DELL AUTOMAZIONE (CIPA) SISTEMA PER LA TRASMISSIONE TELEMATICA DI DATI REQUISITI TECNICI, FUNZIONALI E DI SICUREZZA E STANDARD DI COLLOQUIO Il presente documento

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

Testing della Sicurezza nelle comunicazioni standard delle Smart Grid

Testing della Sicurezza nelle comunicazioni standard delle Smart Grid Testing della Sicurezza nelle comunicazioni standard delle Smart Grid Paolo Wylach Giovanna Dondossola Roberta Terruggia RSE S.p.A paolo.wylach@rse-web.it RSE S.p.A giovanna.dondossola@rse-web.it RSE S.p.A

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di

Dettagli

Anno Accademico 2013-2014. Lucidi del corso di Reti di Calcolatori e Comunicazione Digitale. Introduzione ( parte II) Topologie di rete

Anno Accademico 2013-2014. Lucidi del corso di Reti di Calcolatori e Comunicazione Digitale. Introduzione ( parte II) Topologie di rete INFORMATICA e COMUNICAZIONE DIGITALE Anno Accademico 2013-2014 Lucidi del corso di Reti di Calcolatori e Comunicazione Digitale Introduzione ( parte II) Prof. Sebastiano Pizzutilo Dipartimento di Informatica

Dettagli

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ Panoramica di Microsoft ISA Server 2004 Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ ISA Server 2004 - Introduzione ISA Server 2004 offre

Dettagli

Allegato 3 Sistema per l interscambio dei dati (SID)

Allegato 3 Sistema per l interscambio dei dati (SID) Sistema per l interscambio dei dati (SID) Specifiche dell infrastruttura per la trasmissione delle Comunicazioni previste dall art. 11 comma 2 del decreto legge 6 dicembre 2011 n.201 Sommario Introduzione...

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

Petra VPN 3.1. Guida Utente

Petra VPN 3.1. Guida Utente Petra VPN 3.1 Guida Utente Petra VPN 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti

Dettagli

Petra Firewall 3.1. Guida Utente

Petra Firewall 3.1. Guida Utente Petra Firewall 3.1 Guida Utente Petra Firewall 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright.

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

Elementi di Reti per Telecomunicazioni

Elementi di Reti per Telecomunicazioni Elementi di Reti per Telecomunicazioni (Parte II) Topologie ed Interfacciamento di Reti Corso di Telecomunicazioni Anno Accademico 2004/2005 Contenuti Introduzione alle reti di TLC. Topologie di Reti per

Dettagli

Principi di Sicurezza nelle Reti di Telecomunicazioni

Principi di Sicurezza nelle Reti di Telecomunicazioni Principi di Sicurezza nelle Reti di Telecomunicazioni Copyright Università degli Studi di Firenze - Disponibile per usi didattici Vedere i termini di uso in appendice ed a: http://mmedia5.det.unifi.it/license.txt

Dettagli

Protezione dei dati INTRODUZIONE

Protezione dei dati INTRODUZIONE Protezione dei dati INTRODUZIONE Le reti LAN senza filo sono in una fase di rapida crescita. Un ambiente aziendale in continua trasformazione richiede una maggiore flessibilità sia alle persone che alle

Dettagli

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011 Paola Zamperlin Internet. Parte prima 1 Definizioni-1 Una rete di calcolatori è costituita da computer e altri

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet AA 2004-2005 Reti e Sistemi Telematici 1 Internet: nomenclatura Host: calcolatore collegato a Internet ogni host può essere client e/o server a livello applicazione Router:

Dettagli

I modelli di riferimento ISO OSI e TCP-IP

I modelli di riferimento ISO OSI e TCP-IP Gli Standards I modelli di riferimento ISO OSI e TCP-IP Dipartimento ICT Istituto e Liceo tecnico statale di Chiavari 2004 prof. Roberto Bisceglia ISO: International Standards Organization. ANSI: American

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

Lezioni frontali. Riprendere i concetti basilari del processore utilizzato e la programmazione a basso livello

Lezioni frontali. Riprendere i concetti basilari del processore utilizzato e la programmazione a basso livello Istituto Istruzione Superiore di Baronissi ind. tecnico PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2012-2013 Classe 4^ MODULI CONTENUTI OBIETTIVI METODOLOGIE

Dettagli

Reti di calcolatori. Lezione del 10 giugno 2004

Reti di calcolatori. Lezione del 10 giugno 2004 Reti di calcolatori Lezione del 10 giugno 2004 Internetworking I livelli 1 fisico e 2 data link si occupano della connessione di due host direttamente connessi su di una rete omogenea Non è possibile estendere

Dettagli

SOLUZIONI PER LA TELEASSISTENZA Server Privato

SOLUZIONI PER LA TELEASSISTENZA Server Privato SOLUZIONI PER LA TELEASSISTENZA Server Privato Le componenti di UBIQUITY Control Center: client sul PC di teleassistenza Ubiquity Runtime: software da installare sul dispositivo remoto Ubiquity Server

Dettagli

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS.

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. BOOT CAMP CISCO CERTIFIED NETWORK ASSOCIATE SECURITY (CCNA SECURITY) CCNA SECURITY_B La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. Prerequsiti Certificazione

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Architettura Hardware di un Router

Architettura Hardware di un Router - Laboratorio di Servizi di Telecomunicazione Architettura Hardware di un Router Slide tratte da Cisco Press CCNA Instructor s Manual ed elaborate dall Ing. Francesco Immè Wide Area Network (WAN) Le principali

Dettagli

Protocolli di Comunicazione

Protocolli di Comunicazione Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol

Dettagli

Nota Applicativa. Cisco Easy VPN

Nota Applicativa. Cisco Easy VPN Nota Applicativa Cisco Easy VPN Descrizione applicazione Nell implementazione delle reti private virtuali o VPN (Virtual Private Network), per i dipendenti in telelavoro e per i piccoli uffici di filiale,

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Antonio Cianfrani. Fondamenti di Reti - Prof. Marco Listanti - A.A. 2010/2011. INFOCOM Dept

Antonio Cianfrani. Fondamenti di Reti - Prof. Marco Listanti - A.A. 2010/2011. INFOCOM Dept Antonio Cianfrani Laboratorio Fondamenti di Reti 1. Introduzione ai Router IP Funzioni svolte dai Router I router operano allo strato 3 della pila protocollare OSI Individuano il cammino dei pacchetti

Dettagli

Strumenti per la produttività individuale Livello 1

Strumenti per la produttività individuale Livello 1 Strumenti per la produttività individuale Livello 1 Il corso mira a chiarire il ruolo sempre maggiore che l utilizzo, sia pure a livello elementare, di personal computer connessi in rete e del relativo

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai[at]cisco.com Mario Baldi Politecnico di Torino mario.baldi[at]polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota

Dettagli

Reti private virtuali (VPN) con tecnologia IPsec

Reti private virtuali (VPN) con tecnologia IPsec Reti private virtuali (VPN) con tecnologia IPsec A.A. 2005/2006 Walter Cerroni Reti private e reti private virtuali Aziende e/o enti di dimensioni medio/grandi in genere hanno necessità di interconnettere

Dettagli

Indice. Introduzione. Capitolo 1

Indice. Introduzione. Capitolo 1 indice Xp pro.qxd 4-04-2002 19:42 Pagina V Indice Introduzione XV Capitolo 1 Sistemi operativi Windows di nuova generazione 1 1.1 Introduzione 1 1.2 Introduzione alla famiglia Windows XP 1 Windows XP Home

Dettagli

Soluzioni di accesso remoto scalabili e protette per i costruttori di macchine

Soluzioni di accesso remoto scalabili e protette per i costruttori di macchine Soluzioni di accesso remoto scalabili e protette per i costruttori di macchine OEM Sistemi industriali a livello di impianto Introduzione L accesso remoto protetto ai macchinari, ai dati e alle applicazioni,

Dettagli

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure UNIVERSITÀ DEGLI STUDI DI PISA FACOLTÀ DI INGEGNERIA Corso di Laurea in INGEGNERIA DELLE TELECOMUNICAZIONI Tesi di Laurea Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Dettagli

Intranet: progettazione e capacity planning

Intranet: progettazione e capacity planning Intranet: progettazione e capacity planning 19/0 /05/0 G.Serazzi a.a. 2004/05 Impianti Informatici CSIntra - 1 indice intranet per una redazione giornalistica architettura, principali componenti e funzioni

Dettagli

InfoCertLog. Allegato Tecnico

InfoCertLog. Allegato Tecnico InfoCertLog Allegato Tecnico Data Maggio 2012 Pagina 2 di 13 Data: Maggio 2012 Sommario 1. Introduzione... 3 2. Le componenti del servizio InfoCertLog... 4 2.1. Componente Client... 4 2.2. Componente Server...

Dettagli

Distribuzione elettrica e generazione distribuita: automazione e controllo

Distribuzione elettrica e generazione distribuita: automazione e controllo Torna al programma Distribuzione elettrica e generazione distribuita: automazione e controllo Tecnologie e sistemi di comunicazione per il controllo di generatori distribuiti e reti L. Capetta Definizione

Dettagli

SISTEMI SCADA DMS PER LA SUPERVISIONE E TELCONTROLLO DELLA RETE MT/BT DELLE CITTA DI BRESCIA E VERONA

SISTEMI SCADA DMS PER LA SUPERVISIONE E TELCONTROLLO DELLA RETE MT/BT DELLE CITTA DI BRESCIA E VERONA SISTEMI SCADA DMS PER LA SUPERVISIONE E TELCONTROLLO DELLA RETE MT/BT DELLE CITTA DI BRESCIA E VERONA s.d.i. automazione industriale ha realizzato i sistemi di telecontrollo e automazione della rete di

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Dopo anni di innovazioni nel settore dell Information Technology, è in atto una profonda trasformazione.

Dettagli

Abilità Informatiche A.A. 2010/2011 Lezione 5: Reti di Calcolatori. Facoltà di Lingue e Letterature Straniere

Abilità Informatiche A.A. 2010/2011 Lezione 5: Reti di Calcolatori. Facoltà di Lingue e Letterature Straniere Abilità Informatiche A.A. 2010/2011 Lezione 5: Reti di Calcolatori Facoltà di Lingue e Letterature Straniere Connettiamo due calcolatori... 2 Perché una rete di calcolatori? Condividere risorse utilizzo

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Network Troubleshooting

Network Troubleshooting Network Troubleshooting Introduzione e concetti base di Giovanni Perteghella [Digital Lab] Webb.it 2004 - Padova 1 Copyright Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni

Dettagli

Introduzione a Internet

Introduzione a Internet Contenuti Architettura di Internet Principi di interconnessione e trasmissione World Wide Web Posta elettronica Motori di ricerca Tecnologie delle reti di calcolatori Servizi Internet (come funzionano

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1 Introduzione Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio Livello applicativo Principi delle applicazioni di rete 2-1 Pila di protocolli Internet Software applicazione: di

Dettagli

La rete ci cambia la vita. Le persone sono interconnesse. Nessun luogo è remoto. Reti di computer ed Internet

La rete ci cambia la vita. Le persone sono interconnesse. Nessun luogo è remoto. Reti di computer ed Internet La rete ci cambia la vita Lo sviluppo delle comunicazioni in rete ha prodotto profondi cambiamenti: Reti di computer ed Internet nessun luogo è remoto le persone sono interconnesse le relazioni sociali

Dettagli

Reti di computer ed Internet

Reti di computer ed Internet Reti di computer ed Internet La rete ci cambia la vita Lo sviluppo delle comunicazioni in rete ha prodotto profondi cambiamenti: nessun luogo è remoto le persone sono interconnesse le relazioni sociali

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli