STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena"

Transcript

1 STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI di Alessandro Siena Tesi presentata per la discussione del diploma di laurea in Informatica Università di Genova Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Informatica e Scienze dell Informazione A.A. 2000/2001 Relatori prof. Giovanni Chiola dott. ing. Stefano Bencetti Correlatore prof. Vittoria Gianuzzi Università degli Studi di Genova Genova, xx/yy/2002

2 Università di Genova ESTRATTO STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI di Alessandro Siena Relatori: prof. G. Chiola, dott. ing. S. Bencetti Correlatore: prof. V. Gianuzzi Dipartimento di informatica e Scienze dell Informazione [Digitare qui l'estratto]

3 SOMMARIO INTRODUZIONE... L intranet DISI: Struttura... Servizi... Problemi legati alla sicurezza... KERBEROS... Descrizione del protocollo... Autenticazione cross-realm... Condizioni di funzionamento... Formato dei ticket... Database Kerberos... IMPLEMENTAZIONE NELL AMBIENTE WINDOWS Applicazioni che supportano Kerberos... Funzionalità del protocollo... Accesso all interfaccia... IMPLEMENTAZIONE NELL AMBIENTE UNIX Applicazioni che supportano Kerberos... Accesso all interfaccia... INTEGRAZIONE ED INTEROPERABILITÀ... Scenari di interoperabilità... TEST... Come configurare Kerberos in ambiente Windows Come configurare Kerberos in ambiente Linux... Interoperabilità nell intranet DISI... GLOSSARIO... BIBLIOGRAFIA...

4 INDICE DELLE FIGURE Numero Pagina Figura 1: Struttura dell intranet DISI 3 Figura 2: Protocollo di autenticazione Kerberos (Base) 8 Figura 3: Protocollo Kerberos completo 9 Figura4: Processo di autenticazione Kerberos 19 Figura 5: Processo delega Kerberos 22 Figura 6: Processo di accesso interattivo locale 23 Figura 7: Processo di accesso interattivo di domino 24 Figura 8. L interfaccia dell implementazione di Kerberos in Linux 36 ii

5 RINGRAZIAMENTI Si desidera ringraziare per la preziosa collaborazione Davide Petta, Gianni Verduci, iii

6 Giunti che furo, il gran Cerbero udiro abbaiar con tre gole, e l buio regno intonar tutto; indi in un antro immenso sel vider pria ginger disteso avanti, poi sorger, digrignar, rapido farsi, con tre colli arruffarsi, e mille serpi squassarsi intorno. (Virgilio, Eneide: Libro VI, ) Cerbero, fiera crudele e diversa, con tre gole carinamente latra sopra la gente che quivi è sommersa. Li occhi ha vermigli, la barba unta e atra, e l ventre largo, e unghiate le mani; graffia li spirti, iscuoia ed isquarta. (Dante, La Divina Commedia, Inferno: Canto VI, 13-18) iv

7 Capitolo 1 Oggetto della nostra ricerca è lo studio del protocollo di autenticazione Kerberos nell ottica di una sua applicazione al sistema informatico del Dipartimento di Informatica e Scienze dell Informazione dell Università di Genova. INTRODUZIONE I moderni sistemi informatici forniscono una grande varietà di servizi ad una molteplicità di utenti, per cui si é reso necessario identificare i singoli utenti in maniera univoca. Questo servizio è offerto dai sistemi tradizionali in fase di login, attraverso la verifica della corrispondenza di una password ad un determinato nome utente; il sistema può così validarlo e offrirgli i servizi a lui concessi. Tale metodo di autenticazione non é più sufficiente per gli attuali sistemi informativi, costituiti da un gran numero di elaboratori collegati fra loro attraverso reti che sempre più spesso sono di dimensione geografica su larga scala. Le password che viaggiano in rete nei sistemi tradizionali sono trasmesse in chiaro, motivo per cui qualunque intercettatore le può in seguito utilizzare per impersonare un certo utente su una determinata rete. Questo scenario può essere complicato a piacere, introducendo nell ambiente operativo ulteriori fattori di rischio dati da particolari necessità degli utenti, da errori nella fase di progettazione del sistema informativo, dalla disomogeneità degli apparati (sia hardware che software) e da quanto altro la fantasia di utenti maliziosi può generare. 1

8 La vulnerabilità di un sistema nel quale il sistema di autenticazione non é sicuro porta principalmente a tre grossi problemi che potrebbero presentare anche implicazioni dal punto di vista legale: integrità, riservatezza e autorizzazioni per concedere determinati servizi. L INTRANET DISI In uno scenario di questo tipo si colloca l attuale intranet del DISI (Dipartimento di Informatica e Scienze dell Informazione) dell Università di Genova. Si tratta infatti di una rete di calcolatori mista da un punto di vista relativo all hardware (personal computer IBM compatibili, Macintosh, San), come software (Unix, MacOs, Windows2000), sia come bacino di utenza (personale tecnico scientifico, studenti, visitatori). La situazione attuale di questa rete é la situazione tipo descritta al punto precedente: un server autentica l utente in fase di login attraverso l inserimento di un userid e di una password, gli assegna un gruppo di utenza basato su ACL attraverso il quale gli viene riconosciuto l accesso ad un certo servizio piuttosto che ad un altro. Inoltre la rete é connessa in modo permanente ad Internet e ciò la espone ad ulteriori rischi provenienti da eventuali hacker esterni che possono avere interesse a violare le risorse del dipartimento. Attualmente ci si trova in una fase di transizione nella quale si sta cercando di individuare sia i problemi che necessitano di una soluzione più rapida (cominciando a sostituire i servizi tradizionali quali telnet, rsh, rlogin con i servizi equivalenti basati su 2

9 C A x 1x 8x 2x 9x 3x A 10x 4x 11x 5x 12x 6x 7x 1x 8x 2x 9x 3x B 10x 4x 11x 5x 12x 6x C A x 1x 8x 2x 9x 3x A 10x 4x 11x 5x 12x 6x 7x 1x 8x 2x 9x 3x B 10x 4x 11x 5x 12x 6x C A C A C A x 1x 7x 1x 7x 1x 8x 2x 8x 2x 8x 2x 9x 3x 9x 3x 9x 3x A A A 10x 4x 10x 4x 10x 4x 11x 5x 11x 5x 11x 5x 12x 6x 12x 6x 12x 6x 7x 1x 7x 1x 7x 1x 8x 2x 8x 2x 8x 2x 9x 3x 9x 3x 9x 3x B B B 10x 4x 10x 4x 10x 4x 11x 5x 11x 5x 11x 5x 12x 6x 12x 6x 12x 6x tecniche crittografiche quali ssh, IPSec, ecc.), che quelli con soluzioni più laboriose (Firewall e autenticazione). WWW Server SUN Selene Router Modem Eth ern et x Hub 152 Eth ern et x Eth ern et Hub 10 Lab. Sw1 (No gateway) Server NT Eth e rn e t Hub Lab. Sw2 (No gateway) Hub Lab. Tesisti (Gateway) Modem Eth ern et Server SUN Elios Server NT Hub 61 (Docenti e altri gruppi) Figura 1 L intranet DISI Questa rete fornisce accesso ai domini disi.unige.it ed educ.disi.unige.it ad un numero elevato di utenti attraverso i due server di dominio Elios e Selene, rispettivamente per docenti/personale e per gli studenti. La sottorete educ, identificata dall IP x è collegata alla rete disi.unige.it attraversi il server SUN Elios. Questa sottorete è 3

10 composta principalmente da personal computer dual boot (s. o. Windows 2000 e Linux) distribuiti in tre laboratori: Sw1, Sw2, tesisti. L autenticazione nell ambiente Linux è gestita dal server SUN Selene, mentre per i sistemi Windows 2000 è gestita da un server Windows 2000 in Sw1. In particolare il server Selene (SUN) funziona anche come server per la posta e per le home directory degli studenti, come DNS e fornisce inoltre servizi di NIS e di pagine gialle. Il server del laboratorio Sw1 (Windows 2000) fornisce servizi di quote di stampa e servizi web per il sito Internet degli studenti (http, FTP). Il server Elios (SUN) fornisce servizi di posta per i docenti, servizi DNS e servizi PROXY per la rete educ, al fine di permettere l accesso controllato ad Internet. Le macchine appartenenti ai laboratori SW1 e Sw2 appartengono ad una virtual lan non visibile all esterno della rete, che non ha gateway e che può accedere all esterno solo attraverso il proxy Elios; quelle del laboratorio tesisti, invece, non hanno gateway e sono quindi visibili dall esterno e possono accedere liberamente alla rete Internet. 4

11 Capitolo 2 Sono stati fin qui discussi i problemi legati all autenticazione basata su password, in particolare sui rischi a cui questa metodologia espone. Tutto ciò risulta anche scomodo per quel utente finale che, trovandosi ad utilizzare una rete, si vede richiedere userid e password ad ogni accesso di un servizio. Da qui la necessità di sviluppare dei sistemi di autenticazione più robusti basati sulla crittografia. Un esempio comune di questi sistemi è dato dal protocollo Kerberos. KERBEROS Kerberos è un sistema distribuito di autenticazione che permette ad un processo (detto client) che agisce a nome di un utente di provare la propria identità ad un entità di verifica (server di autenticazione) senza trasmettere dati che, se intercettati, in futuro potrebbero permettere a qualcuno di impersonare un certo utente 1. È stato sviluppato presso il Massachusetts Institute of Technology di Boston come parte del progetto Athena 2. Scopo di Kerberos, a questo livello, era connettere fra di loro alcune LAN senza un sistema di controllo centralizzato, agendo da substrato per l accesso ai diversi servizi decentrati forniti dalle diverse reti del MIT., quali file system, centri stampa, servizi di posta, ecc. In questo caso l utente ha il controllo completo sulla macchina in casi estremi può anche 1 Kerberos: An authentication Service for Computer Networks (op. cit.) 2 Sviluppo di un ambiente di lavoro distribuito indipendente dalla workstation utilizzata nel quale l utente agisce in un suo ambiente personale che viaggia sulle macchine di una determinata rete. 5

12 sostituirla o modificarla per cui non può più essere considerata affidabile per l integrità della rete cui appartiene. Per essere efficace Kerberos deve essere integrato con altre parti del sistema; infatti non protegge tutte le comunicazioni della rete, ma solamente le comunicazioni che avvengono fra elementi del sistema (o applicazioni) kerberizzati cioè progettati o modificati in modo tale da sfruttare le potenzialità del protocollo. Kerberos da solo, infatti, non è in grado di fornire autorizzazioni, ma si occupa di trasferire le informazioni necessarie a questo servizio fra i processi coinvolti. In particolare, durante la progettazione di Kerberos sono stati considerati fattori di vitale importanza i punti seguenti:? Massima trasparenza del sistema: l utente deve identificarsi solo in fase di login;? Minimo sforzo per modificare applicazioni che facevano uso di altri sistemi di autenticazione;? Limitatezza dell autenticazione alla sessione corrente;? Entrambe le entità coinvolte nell autenticazione devono farsi riconoscere;? Nessuna password o chiave deve essere trasmessa in chiaro nella rete;? Nessuna password deve essere immagazzinata in chiaro nei server;? Nei client le password in chiaro devono essere immagazzinate per il minor tempo possibile e poi distrutte; 6

13 ? Al termine del processo di autenticazione le due entità devono aver concordato una chiave con la quale eventualmente stabilire una comunicazione riservata. Lo schema scelto è basato sul protocollo Needham Schroeder, ed a un primo livello di dettaglio i due protocolli sono assimilabili. Assunzione di base di questo protocollo è l'esistenza di un server sicuro, chiamato centro di distribuzione chiavi (KDC), la cui funzione è quella di ridistribuire alle entità interessate le chiavi segrete con cui queste possano stabilire una comunicazione sicura. Per far ciò il KDC dovrà avere una chiave di comunicazione per ogni cliente. DESCRIZIONE DEL PROTOCOLLO Il modello di kerberos è dettagliatamente descritto dal documento RFC Immaginiamo una realtà nella quale esista un server di autenticazione sicuro (AS) ed un insieme di utenze e di servizi di rete che supportino Kerberos. Vediamo ad un livello di base il processo di autenticazione di un utente presso un servizio:? Il client richiede delle credenziali al AS;? L AS risponde inviando al client un ticket per il servizio richiesto ed una chiave di sessione cifrati con la chiave del client;? Il client può ora accreditarsi sul server mandandogli un messaggio contenente il suo ticket e la chiave di sessione codificati con la chiave del server. 7

14 Client Richiesta credenziali() Autentication Server Verifier Credenziali() operation1() Ok() Figura2: Protocollo di autenticazione Kerberos (Base) Poiché il ticket inviato al server viene trasmesso per lo più in chiaro e potrebbe quindi essere intercettato e riutilizzato, il messaggio è composto di informazioni addizionali che permettono di verificare inequivocabilmente che il messaggio è stato generato proprio dall entità a cui era stato rilasciato. Questa informazione, infatti è codificata con la chiave di sessione ed include una marca temporale che prova che il messaggio è stato generato da poco tempo e non è quindi una replica. Inoltre la codifica con la chiave di sessione prova che chi l ha generata possiede questa chiave, e questi non può essere altro che colui che l ha richiesta all AS in quanto gli è stata restituita cifrata in modo tale che soltanto lui potesse leggerla. Inoltre, la chiave di sessione, ora condivisa dai due, può essere usata per stabilire un canale di comunicazione sicuro fra le due parti che garantisca la privacy e l integrità dei messaggi scambiati. Da un punto di vista implementativo tutto questo è valido se su di una rete sono presenti uno o più AS in funzione su host fisicamente sicuri. L AS mantiene un database degli utenti e dei servizi della rete (principal) e una copia delle loro chiavi private. 8

15 Tipicamente un client di una rete può accedere a numerosi servizi che potrebbero richiedere una qualche autenticazione; in questo modo però ogni volta che il client deve essere accreditato presso un verifier l utente deve digitare la sua password. Questo non è consigliabile né perché limita la trasparenza del sistema, né perché espone la password dell utente a rischi di cattura di eventuali hacker. Una possibile soluzione sembrerebbe essere quella di memorizzare la password, ma ciò è poco sicuro. Kerberos risolve questo problema introducendo un nuovo elemento il Ticket Granting Server (TGS). Questo è un entità logicamente separata dall Authentication Server anche se fisicamente può risiedere sulla stessa macchina di quest ultimo; di solito ci si riferisce all insieme di queste due entità con la sigla KDC: Key Distribution Center. Client AS TGS Verifier Richiesta TGT() TGT() Richiesta ticket di sessione() Ticket di Sessione() Richiesta Verifier() Ok() Figura 3: Protocollo di autenticazione Kerberos (Completo) In questo modo il client si autentica al momento del login presso l AS, ricevendo come credenziali un Ticket Granting Ticket che utilizzerà presso il Ticket Granting Server per ottenere nuove 9

16 credenziali ogni qual volta gli sarà necessario per accedere ai servizi di un verifier accreditato su quella rete. Giunti a questo livello di dettaglio nella spiegazione del protocollo è necessario introdurre il concetto di realm di Kerberos. AUTENTICAZIONE CROSS-REALM Fino ad ora si è considerata solo la situazione in cui è presente solo un server di autenticazione ed un unico TGS. Questo non provoca problemi in situazioni in cui il numero di utenti è limitato, mentre per grossi sistemi questo sistema può diventare un collo di bottiglia per il processo di autenticazione: in altre parole questo sistema non è scalabile. È spesso vantaggioso dividere una rete in diversi realm kerberos, ognuno dei quali ha i propri AS e TGS. Queste divisioni coincidono spesso con i confini dipartimentali. Per permettere l autenticazione cross-realm - cioè per permettere ad utenti registrati in un realm di accedere a servizi in un altro è necessario che il realm dell utente abbia un TGS remoto (RTGS) registrato nell altro realm per il servizio richiesto. Vediamo come cambia il protocollo per questa estensione del protocollo:? Il client contatta l AS per accedere al TGS;? Il client contatta il TGS per accedere al RTGS;? Il client contatta l RTGS per accedere al servizio richiesto. 10

17 Nella realtà la situazione si può complicare a piacere. In alcuni casi, dove ci sono molti realm, è inefficiente registrare ogni realm in ogni altro realm. Nella versione 4 del protocollo Kerberos era necessario che un AS si registrasse presso ogni altro realm col quale era richiesta l autenticazione cross-realm per uno o più utenti. Questo non rientra nei canoni della scalabilità in quanto l interconnessione completa fra i reami richiederebbe lo scambio di n 2 chiavi dove n è il numero dei realm. La versione 5 ha introdotto il supporto per l autenticazione multihop-cross-realm, permettendo la condivisione delle chiavi in maniera gerarchica. Ogni realm condivide una chiave con i realm genitori e figli; ad esempio il realm ISI.EDU condivide una chiave con il dominio EDU che a sua volta condivide chiavi con MIT.EDU, USC.EDU. Se ISI.EDU e USC.EDU non condividono una chiave l autenticazione di su un server registrato presso MIT.EDU procede in questo modo:? Si ottiene un TGT per il realm EDU dall AS del realm ISI.EDU;? Si usa questo TGT per ottenerne uno dal realm MIT.EDU dall AS di EDU;? Infine si ottiene un ticket per il verifier dall AS del realm MIT.EDU. 11

18 La lista dei realm attraversati nel corso dell autenticazione multi-hop è registrata nel ticket ed è il verifier che si occupa del verificare che il percorso di autenticazione sia corretto. Sono inoltre supportate anche cammini di autenticazione alternativi (scorciatoie) a quello gerarchico in modo tale da migliorare notevolmente le performance del processo di autenticazione. CONDIZIONI DI FUNZIONAMENTO Per un corretto funzionamento di Kerberos bisogna fare alcune assunzioni sull ambiente in cui opera:? Kerberos non previene gli attacchi DoS, ma la loro prevenzione (e l eventuale cura) è lasciata agli amministratori e agli utenti del sistema.? I principal devono tenere segrete le loro chiavi; se un intruso riesce a venire in possesso di una chiave sarà in grado in qualunque momento di impersonare l identità di un dato principal.? Kerberos non previene gli attacchi brutali sulle password. Un utente che utilizza password facili mette a rischio la sicurezza delle sue stesse chiavi in quanto queste sono derivate dalla sua password, che una volta scoperta è una porta aperta alla violazione del sistema.? Ogni host di un realm deve essere sincronizzato con gli altri, in quanto la sincronizzazione è utilizzata per scoprire eventuali attacchi da furto di ticket.? Gli identificatori dei principal non vengono riutilizzati in tempi brevi; infatti utilizzando le ACL per controllare i permessi di accesso dei singoli principal, nel caso in cui 12

19 un utente venisse eliminato senza che l ACL corrispondente venga cancellata, questa, nel caso in cui un vecchio identificatore cancellato venisse riciclato, verrebbe automaticamente ereditata dal nuovo principal. Non permettendo il riciclo questo pericolo è scongiurato. FORMATO DEI TICKET Ogni ticket di Kerberos contiene un insieme di flag che sono usati per indicarne I vari attributi. La maggior parte dei flag sono richiesti dal client quando questi lo ottiene dal server, mentre altri sono settati automaticamente dal server. Vediamo nel seguito quale sia il valore di questi flag attraverso alcuni esempi. Il flag initial indica che il ticket é stato emesso utilizzando il protocollo AS e non basandosi su di un TGT. Questo pó essere utile nel caso in cui un server voglia ottenere la chiave di un client (p.e. in caso di modifica della password). Il flag pre-authent e hw-authent portano informazioni addizionali circa l autenticazione iniziale, senza considerare se il ticket sia stato emesso su base di un TGT o meno (di ciò se ne occupa il flag initial). Il flag invalid indica che un ticket non é valido. L application server che lo riceve deve rifiutare un ticket con questo flag attivo. Di solito un ticket postdatato reca questo flag a 1. I ticket invalidi prima di essere usati devono essere validati dal KDC, cui verranno presentati in una richiesta di TGS con l opzione validate specificata. Il KDC validerà il ticket solo dopo che il suo starttime sarà passato; in questo 13

20 modo i ticket rubati non verranno più attivati (grazie all uso scongiunto di hot-list). Alcune applicazioni possono avere la necessità di dover mantenere validi dei ticket per un tempo piuttosto lungo, anche se ciò può essere pericoloso in quanto espone le credenziali di un principal a rischi maggiori e, nel caso di un loro furto, queste resteranno valide più a lungo. I ticket rinnovabili hanno due expiration time : il primo é il momento in cui il ticket perde valore, il secondo é il tempo massimo entro il quale il ticket può essere rinnovato. Un client deve periodicamente presentare un ticket rinnovabile al KDC con l opzione renew attiva nella richiesta al KDC. Il KDC emetterà un nuovo ticket con una nuova chiave di sessione e una expiration time successiva. Tutti gli altri capi del ticket resteranno immutati. Nel momento in cui i raggiunge il latest expiration time il ticket perderà completamente validità. Ad ogni operazione di rinnovo il KDC dovrà consultare la hot-list per determinare se il ticket é stato rubato o meno e quindi se sia o meno rinnovabile. Il flag renewable in un ticket é normalmente interpretato solo dal TGS e di solito viene ignorato dagli application server; alcune applicazioni particolari possono comunque disabilitare quest opzione. Occasionalmente un applicazione può richiedere un ticket che userà in futuro (p.e. un sistema batch può richiedere un ticket che dovrà essere valido al momento in cui il processo sarà attivo). Ciò é comunque pericoloso in quanto questi saranno disponibili più a lungo e validi in futuro e, quindi, più appetibili per possibili furti. Per limitare i danni possibili i ticket posdatati necessitano di un autenticazione ulteriore da parte del KDC al momento dell esecuzione del processo che li aveva richiesti (fino a questo momento sono in stato dormant ). Nel caso in cui venga segnalato il 14

21 furto di un ticket il KDC si rifiuterà di validarlo, rendendo cosi vano il furto. Il flag may-postdate è solitamente interpretato soltanto dal TGS mentre viene ignorato dagli altri servizi. Questo flag deve essere impostato nel caso in cui il ticket in questione possa servire per emettere ticket posdatati; non serve tuttavia ad un client per ottenere un TGT posdatato. Il KDC può limitare la durata nel futuro di un ticket posdatato. Il flag postdated indica che un ticket è stato posdatato; in questo caso l application server può verificare la data dell autenticazione originale nel campo authtime del ticket stesso. Alcuni servizi possono essere configurati per rifiutare i ticket posdatati o, a discrezione dell amministratore di sistema, per accettare solo quelli posdatati entro un determinato periodo. Quando il KDC emette un ticket posdatato deve anche impostare il campo invalid in modo da obbligare il client a validarlo presso il KDC prima dell uso. A volte può essere necessario che un principal permetta ad un servizio di compiere delle operazioni a suo nome. Per fare ciò il servizio deve essere in grado di prendere l identità del client ma solo per un ben determinato scopo. Un principal può permettere ciò grazie al flag proxiable del ticket Kerberos. Questo flag solitamente ignorato dai server applicativi permette al TGS di emettere un ticket (ma non un TGT) basato su questo stesso, ma con un diverso indirizzo di rete. Questo può essere utile nel caso di un server di stampa che debba accedere un certo file server per stampare dei dati a nome di un determinato principal. L inoltro dell autenticazione è un istanza del caso precedente nel quale al servizio è garantito il completo uso dell identità del principal. Questo genere di autenticazione può essere utile nel quale un utente autenticato su un certo realm abbia necessità di lavorare su un altro realm remoto come se lavorasse in locale (login remoto). Il flag forwardable in un ticket è di solito considerato solo dal TGS e si 15

22 comporta come il flag proxiable con l unica differenza che può essere utilizzato anche per generare dei TGT. L uso di questo flag permette all utente di ottenere credenziali da un AS remoto senza dover ogni volta reinserire la password. DATABASE KERBEROS Il server Kerberos deve avere accesso ad un database contenente gli identificatori dei principal registrati e le loro chiavi segrete; visto il contenuto di tale database è ragionevole pensare che l host su cui risiede il server Kerberos sia fisicamente separato da quello su cui risiede il database, che dovrebbe trovarsi in condizioni di inviolabilità assoluta per evitare accessi e/o modifiche non permessi pena la completa inaffidabilità del sistema. Una entry del database deve contenere almeno i campi seguenti: Campo Valore Name Identificatore del principal key Chiave private del principal p_kvno Versione della chiave del principal max_life Lifetime massimo del ticket max_renewable_life Lifetime massimo totale per i ticket rinnovabili Il campo name è una codifica dell identificatore del principal. Il campo chiave contiene la chiave segreta del principal che può venire cifrata prima con una master key del server per essere protetta in caso di attacco del server. In questo caso deve essere inserito un campo supplementare che specifica quale chiave si è usata. Il campo p_kvno contiene il numero della versione della chiave segreta del principal, mentre i campi max_life e max_renewable_life contengono i parametri di lifetime per i ticket rinnovabili. 16

23 Se il database è progettato per distinguere record di principal che differiscono solo per il nome del realm di appartenenza, un server può fornire il servizio di KDC a diversi realm. Quando la chiave di un application server cambia, se il cambiamento e routine (non è conseguenza di scadenze o attacchi) la vecchia chiave deve essere mantenuta nel server fino a che tutti i ticket emessi con quella chiave non sono più validi. Per questo è possibile che un server abbia a disposizione più chiavi per un singolo principal. Quando per un particolare principal più di una chiave è attiva, nel database saranno presenti tanti record per quel determinato principal quante sono le chiavi disponibili; le chiavi e le loro versioni saranno diverse per ogni record (gli altri campi possono essere o meno uguali). Ogni qualvolta che un server Kerberos emette un ticket o risponde ad una richiesta di autenticazione userà la chiave più recente conosciuta dal server stesso per la cifratura; questa sarà la chiave col più alto numero di versione. 17

24 Capitolo 3 IMPLEMENTAZIONE NELL AMBIENTE WINDOWS 2000 Nel sistema operativo Windows 2000 la versione 5 del protocollo kerberos è disegnata per operare con altri servizi di sicurezza basati sul reference implementation della versione 5 di Kerberos sviluppata al MIT. Un server di dominio Windows 2000 può essere utilizzato come centro di distribuzione delle chiavi (KDC) per sistemi MIT Kerberos-based. Per autenticarsi presso un server Windows 2000 i sistemi UNIX possono usare l utilità kinit a l algoritmo crittografico DES-CBC-MD5 o DES-CBC-CRC. Il supporto alla sicurezza integrato in Windows 2000 implementa l interfaccia di Kerberos ed il formato dei token definiti nell RFC Windows 2000 non fornisce l interfaccia GSS API mentre è disponibile il supporto per applicazioni che usino l API basata su SSPI implementata dall SSP di Kerberos. Le applicazioni client di UNIX che utilizzano le API GSS possono ottenere comunque dei ticket di sessione dai server Windows 2000 e possono quindi supportare l autenticazione, l integrità e la confidenzialità forniti da Kerberos. I client Windows 2000 Professional possono essere configurati per integrarsi all interno di un realm Kerberos, con single sign-on fra il realm e l account locale basato su Windows Professional. L interoperabilità con servizi Kerberos richiede meno modifiche alla configurazione di default. Ad esempio una workstation che utilizza un realm Kerberos deve essere configurata in modo da localizzare il realm Kerberos, il KDC e i server di scambio delle password. A 18

25 questo proposito Microsoft fornisce dei tool per i vari passi di configurazione: Ksetup: configura i realm, i KDC, e i server delle password Ktpass: imposta le password, l accounting e genera le tabelle di chiavi che utilizzerà il KDC di Kerberos. FUNZIONALITÀ DEL PROTOCOLLO Autenticazione di connessione più veloce Con l utilizzo del protocollo Kerberos, i server non devono passare attraverso l autenticazione. Un server che esegue Windows 2000 può verificare le credenziali del client 3 tramite il ticket fornito dal client senza dover interrogare il servizio Kerberos. Questo perché il client avrà già ottenuto un ticket Kerberos dal controller di dominio, che il server può utilizzare per creare il token di accesso del client. Per non eseguire troppe operazioni il server può più facilmente conciliare un grande numero di richieste di connessione simultanee. Autenticazione reciproca Il protocollo Kerberos fornisce autenticazione reciproca si del client sia del server. Il protocollo di autenticazione Windows NTLM fornisce solo autenticazione del client e presume che tutti i server siano attendibili. Il protocollo non verifica l identità del server a cui il client si connette. La supposizione che tutti i server siano attendibili non è più valida. L autenticazione reciproca del client e del server è un punto fermo importante per reti protette. 3 Il client Active Directory per Windows 9x consente agli utenti l accesso mediante il protocollo di autenticazione Kerberos V5. 19

26 Delega di autenticazione La delega di autenticazione consente a un utente di connettersi a un server di applicazioni che a turno può connettersi a uno o più server ulteriori per conto del client utilizzando le credenziali del client. Trust transitivi Le credenziali di autenticazione emesse da un sevizio Kerberos vengono accettate da tutti i servizi Kerberos all interno del dominio. Processo di autenticazione Kerberos Il processo di autenticazione Kerberos fa in modo che il computer client negozi scambi tra il server di destinazione e il KDC. La figura 4 fornisce cenni generali sul processo di autenticazione. I passaggi numerati nel diagramma vengono descritti di seguito. 20

STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena

STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI di Alessandro Siena Tesi presentata per la discussione del diploma di laurea in Informatica Università di Genova Facoltà di Scienze Matematiche

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on Antonio Mattioli Seminario G@SL 5/12/2006 Windows Single Sign-on Cos è il Single Sing-on? Il Single sign-on è una speciale forma di autenticazione che permette ad un utente di autenticarsi una volta sola

Dettagli

Sistemi di autenticazione. Sistemi di autenticazione

Sistemi di autenticazione. Sistemi di autenticazione Sistemi di autenticazione Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Metodologie di autenticazione basate su meccanismi diversi ( 1/2/3-factors authentication

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Uso di una procedura di autenticazione unificata per client Linux e Microsoft Windows su server Microsoft Windows.

Uso di una procedura di autenticazione unificata per client Linux e Microsoft Windows su server Microsoft Windows. UNIVERSITA DEGLI STUDI G. D ANNUNZIO CHIETI-PESCARA FACOLTA ECONOMIA LAUREA DI I LIVELLO IN ECONOMIA INFORMATICA TESI DI LAUREA Uso di una procedura di autenticazione unificata per client Linux e Microsoft

Dettagli

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp

Dettagli

Sistemi avanzati di gestione dei Sistemi Informativi

Sistemi avanzati di gestione dei Sistemi Informativi Esperti nella gestione dei sistemi informativi e tecnologie informatiche Sistemi avanzati di gestione dei Sistemi Informativi Docente: Email: Sito: Eduard Roccatello eduard@roccatello.it http://www.roccatello.it/teaching/gsi/

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Kerberos - autenticazione centralizzata

Kerberos - autenticazione centralizzata - autenticazione centralizzata Iniziamo con Kerberos... Kerberos Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica

Dettagli

Sistemi Distribuiti. Informatica B. Informatica B

Sistemi Distribuiti. Informatica B. Informatica B Sistemi Distribuiti Introduzione Che cos è un sistema distribuito? Un sistema distribuito è una collezione di computer indipendenti che appare all utente come un solo sistema coerente Da notare: le macchine

Dettagli

Migrazione a kerberos 5 della autenticazione per la cella AFS enea.it

Migrazione a kerberos 5 della autenticazione per la cella AFS enea.it Migrazione a kerberos 5 della autenticazione per la cella AFS enea.it G. Bracco L'attività è basata sul supporto fornito da CASPUR [Andrei Maslennikov e Ruggero Nepi] Nel'ambito del contratto con CASPUR

Dettagli

Introduzione ad Active Directory. Orazio Battaglia

Introduzione ad Active Directory. Orazio Battaglia Introduzione ad Active Directory Orazio Battaglia Introduzione al DNS Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it! Autenticazione cont d (1) Dalle lezioni precedenti: w L autenticazione è un prerequisito

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Reti e Domini Windows 2000. Corso di Amministrazione di Reti A.A. 2002/2003

Reti e Domini Windows 2000. Corso di Amministrazione di Reti A.A. 2002/2003 Reti e Domini Windows 2000 Corso di Amministrazione di Reti A.A. 2002/2003 Materiale preparato utilizzando dove possibile materiale AIPA http://www.aipa.it/attivita[2/formazione[6/corsi[2/materiali/reti%20di%20calcolatori/welcome.htm

Dettagli

Il clustering. Sistemi Distribuiti 2002/2003

Il clustering. Sistemi Distribuiti 2002/2003 Il clustering Sistemi Distribuiti 2002/2003 Introduzione In termini generali, un cluster è un gruppo di sistemi indipendenti che funzionano come un sistema unico Un client interagisce con un cluster come

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

CdL MAGISTRALE in INFORMATICA

CdL MAGISTRALE in INFORMATICA 05/11/14 CdL MAGISTRALE in INFORMATICA A.A. 2014-2015 corso di SISTEMI DISTRIBUITI 7. I processi : il naming Prof. S.Pizzutilo Il naming dei processi Nome = stringa di bit o di caratteri utilizzata per

Dettagli

Windows XP - Account utente e gruppi

Windows XP - Account utente e gruppi Windows XP - Account utente e gruppi Cos è un account utente In Windows XP il controllo di accesso è essenziale per la sicurezza del computer e dipende in gran parte dalla capacità del sistema di identificare

Dettagli

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica Installatore LAN Progetto per le classi V del corso di Informatica Active Directory 26/02/08 Installatore LAN - Prof.Marco Marchisotti 1 Agli albori delle reti...... nelle prime LAN era facile individuare

Dettagli

Sistemi Operativi di Rete. Sistemi Operativi di rete. Sistemi Operativi di rete

Sistemi Operativi di Rete. Sistemi Operativi di rete. Sistemi Operativi di rete Sistemi Operativi di Rete Estensione dei Sistemi Operativi standard con servizi per la gestione di risorse in rete locale Risorse gestite: uno o più server di rete più stampanti di rete una o più reti

Dettagli

LABORATORIO DI TELEMATICA

LABORATORIO DI TELEMATICA LABORATORIO DI TELEMATICA COGNOME: Ronchi NOME: Valerio NUMERO MATRICOLA: 41210 CORSO DI LAUREA: Ingegneria Informatica TEMA: Analisi del protocollo FTP File Transfer Protocol File Transfer Protocol (FTP)

Dettagli

La gestione della privacy nell accesso ai dati clinici tramite LDAP

La gestione della privacy nell accesso ai dati clinici tramite LDAP La gestione della privacy nell accesso ai dati clinici tramite LDAP R. Conte*, A. Ciregia*, L. Landucci**, D. Pierotti** * Istituto di Fisiologia Clinica, Consiglio Nazionale delle Ricerche (IFC-CNR),

Dettagli

SISTEMI OPERATIVI DISTRIBUITI

SISTEMI OPERATIVI DISTRIBUITI SISTEMI OPERATIVI DISTRIBUITI E FILE SYSTEM DISTRIBUITI 12.1 Sistemi Distribuiti Sistemi operativi di rete Sistemi operativi distribuiti Robustezza File system distribuiti Naming e Trasparenza Caching

Dettagli

Protezione dei dati INTRODUZIONE

Protezione dei dati INTRODUZIONE Protezione dei dati INTRODUZIONE Le reti LAN senza filo sono in una fase di rapida crescita. Un ambiente aziendale in continua trasformazione richiede una maggiore flessibilità sia alle persone che alle

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova Dipartimento di Informatica e Scienze dell Informazione OpenSSH Simon Lepore Corso di Sicurezza DISI, Universita di Genova Via Dodecaneso 35, 16146 Genova, Italia http://www.disi.unige.it 1 Contenuti Introduzione...3

Dettagli

Kerberos V5. Argomenti. Concetti base. Autenticazione Tradizionale. Cos e KERBEROS Perché KERBEROS Funzionamento Installazione Configurazione

Kerberos V5. Argomenti. Concetti base. Autenticazione Tradizionale. Cos e KERBEROS Perché KERBEROS Funzionamento Installazione Configurazione Kerberos V5 Argomenti Di Max Giordano giomas@genie.it Giuseppe Giongati giugio@tiscalinet.it Cos e KERBEROS Perché KERBEROS Funzionamento Installazione Configurazione Cos e Kerberos Lo Scenario sistema

Dettagli

Inizializzazione degli Host. BOOTP e DHCP

Inizializzazione degli Host. BOOTP e DHCP BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un

Dettagli

CAPITOLO 1 I SISTEMI OPERATIVI

CAPITOLO 1 I SISTEMI OPERATIVI CAPITOLO 1 I SISTEMI OPERATIVI Introduzione ai sistemi operativi pag. 3 La shell pag. 3 Tipi di sistemi operativi pag. 4 I servizi del sistema operativo pag. 4 La gestione dei file e il file system Il

Dettagli

I Principali Servizi del Protocollo Applicativo

I Principali Servizi del Protocollo Applicativo 1 I Principali Servizi del Protocollo Applicativo Servizi offerti In questa lezione verranno esaminati i seguenti servizi: FTP DNS HTTP 2 3 File Transfer Protocol Il trasferimento di file consente la trasmissione

Dettagli

INTRODUZIONE AI SISTEMI OPERATIVI

INTRODUZIONE AI SISTEMI OPERATIVI INTRODUZIONE AI SISTEMI OPERATIVI Il sistema operativo è il software che permette l esecuzione di programmi applicativi e lo sviluppo di nuovi programmi. CARATTERISTICHE Gestisce le risorse hardware e

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

BIMPublisher Manuale Tecnico

BIMPublisher Manuale Tecnico Manuale Tecnico Sommario 1 Cos è BIMPublisher...3 2 BIM Services Console...4 3 Installazione e prima configurazione...5 3.1 Configurazione...5 3.2 File di amministrazione...7 3.3 Database...7 3.4 Altre

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Sommario. 1. Introduzione. Samba - Monografia per il Corso di "Laboratorio di Sistemi Operativi".

Sommario. 1. Introduzione. Samba - Monografia per il Corso di Laboratorio di Sistemi Operativi. Sommario SAMBA Raphael Pfattner 10 Giugno 2004 Diario delle revisioni Revisione 1 10 Giugno 2004 pralph@sbox.tugraz.at Revisione 0 17 Marzo 2004 roberto.alfieri@unipr.it Samba - Monografia per il Corso

Dettagli

Making the Internet Secure TM

Making the Internet Secure TM Making the Internet Secure TM e-security DAY 3 luglio 2003, Milano Kenneth Udd Senior Sales Manager SSH Communications Security Corp. SSH Communications Security Corp Storia Fondata nel 1995 Ideatrice

Dettagli

Introduzione Il sistema operativo Linux è oggi una delle principali distribuzioni di Unix, in grado di portare in ogni PC tutta la potenza e la flessibilità di una workstation Unix e un set completo di

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI SIMULAZIONE PROVA SCRITTA ESAME DI STATO PER LA DISCIPLINA di SISTEMI L assessorato al turismo di una provincia di medie dimensioni vuole informatizzare la gestione delle prenotazioni degli alberghi associati.

Dettagli

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Luigi Mori Network Security Manager lm@symbolic.it Secure Application Access. Anywhere. 1 VPN SSL Tecnologia di accesso remoto sicuro alla

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

offerti da Internet Calendario incontri

offerti da Internet Calendario incontri Introduzione ai principali servizi Come funziona Internet (9/6/ 97 - ore 16-19) offerti da Internet Calendario incontri Navigazione e motori di ricerca (11/6/ 97 - ore 16-19) Comunicazione con gli altri

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Al prompt inserire il seguente comando per installare le applicazioni server di SAMBA:

Al prompt inserire il seguente comando per installare le applicazioni server di SAMBA: Server Samba Reti Windows Sommario Introduzione Installare SAMBA Configurare SAMBA Server Client Spesso le reti di computer sono costituite da sistemi eterogenei e, sebbene gestire una rete composta interamente

Dettagli

Parte II: Reti di calcolatori Lezione 11

Parte II: Reti di calcolatori Lezione 11 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2014-15 Parte II: Reti di calcolatori Lezione 11 Martedì 14-04-2015 1 Esempio di uso di proxy Consideriamo

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

File System Distribuiti

File System Distribuiti File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema 20.1 Introduzione File System Distribuito

Dettagli

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema Introduzione File System Distribuito

Dettagli

Client VPN Manuale d uso. 9235970 Edizione 1

Client VPN Manuale d uso. 9235970 Edizione 1 Client VPN Manuale d uso 9235970 Edizione 1 Copyright 2004 Nokia. Tutti i diritti sono riservati. Il contenuto del presente documento, né parte di esso, potrà essere riprodotto, trasferito, distribuito

Dettagli

Sicurezza in Internet. Criteri di sicurezza. Firewall

Sicurezza in Internet. Criteri di sicurezza. Firewall Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,

Dettagli

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori Roma, 30 gennaio 2003 La realtà della carta di identità elettronica (nel seguito CIE) e della carta nazionale dei servizi (nel seguito CNS) rende ineluttabile l individuazione di servizi da erogare in

Dettagli

Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati

Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati Dott. Emanuele Palazzetti Your Name Your Title Your Organization (Line #1) Your Organization (Line #2) Indice degli

Dettagli

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL è una tecnica di trasmissione dati che permette l accesso a Internet fino a 8 Mbps in downstream ed 1 Mbps

Dettagli

Perchè utilizzare un'autorità di certificazione

Perchè utilizzare un'autorità di certificazione Una generica autorità di certificazione (Certification Authority o più brevemente CA) è costituita principalmente attorno ad un pacchetto software che memorizza i certificati, contenenti le chiavi pubbliche

Dettagli

Autenticazione utente con Smart Card nel sistema Linux

Autenticazione utente con Smart Card nel sistema Linux Autenticazione utente con Smart Card nel sistema Linux Autenticazione con Speranza Diego Frasca Marco Autenticazione Linux Basata su login-password - ogni utente ha una sua login ed una sua password che

Dettagli

Sistemi Distribuiti Definizioni e caratteristiche. Informatica B Prof. Morzenti

Sistemi Distribuiti Definizioni e caratteristiche. Informatica B Prof. Morzenti Sistemi Distribuiti Definizioni e caratteristiche Informatica B Prof. Morzenti Che cos è un sistema distribuito? Un sistema distribuito è una collezione di computer indipendenti che appare all utente come

Dettagli

Implementare i Read Only Domain Controller

Implementare i Read Only Domain Controller Implementare i Read Only Domain Controller di Nicola Ferrini MCT MCSA MCSE MCTS MCITP Introduzione I Read Only Domain Controller (RODC) sono dei domain controller che hanno una copia in sola lettura del

Dettagli

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ Panoramica di Microsoft ISA Server 2004 Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ ISA Server 2004 - Introduzione ISA Server 2004 offre

Dettagli

Sistema Operativo Compilatore

Sistema Operativo Compilatore MASTER Information Technology Excellence Road (I.T.E.R.) Sistema Operativo Compilatore Maurizio Palesi Salvatore Serrano Master ITER Informatica di Base Maurizio Palesi, Salvatore Serrano 1 Il Sistema

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL STRUTTURA DEI SISTEMI OPERATIVI 3.1 Struttura dei Componenti Servizi di un sistema operativo System Call Programmi di sistema Struttura del sistema operativo Macchine virtuali Progettazione e Realizzazione

Dettagli

Parte II: Reti di calcolatori Lezione 9

Parte II: Reti di calcolatori Lezione 9 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II: Reti di calcolatori Lezione 9 Martedì 1-04-2014 1 Applicazioni P2P

Dettagli

Introduzione ai Calcolatori Elettronici

Introduzione ai Calcolatori Elettronici Introduzione ai Calcolatori Elettronici Introduzione al Web Internet A.A. 2013/2014 Domenica Sileo Università degli Studi della Basilicata Introduzione al Web : Internet >> Sommario Sommario n Internet

Dettagli

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15 Entrare in un pc è una espressione un po generica...può infatti significare più cose: - Disporre di risorse, quali files o stampanti, condivise, rese fruibili liberamente o tramite password con i ripettivi

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

Network Services Location Manager. Guida per amministratori di rete

Network Services Location Manager. Guida per amministratori di rete apple Network Services Location Manager Guida per amministratori di rete Questo documento illustra le caratteristiche di Network Services Location Manager e spiega le configurazioni di rete per sfruttarne

Dettagli

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Integrazione con l'anagrafica Unica di Ateneo. hosting.polimi.

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Integrazione con l'anagrafica Unica di Ateneo. hosting.polimi. AREA SERVIZI ICT Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo hosting.polimi.it Indice 1. Anagrafica unica di Ateneo... 4 1.1. Introduzione all anagrafica

Dettagli

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it)

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Centro Infosapienza Ufficio gestione sistemi Settore sistemi centrali e per l office automation Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Sommario 1. Premessa...

Dettagli

Calcolo numerico e programmazione. Sistemi operativi

Calcolo numerico e programmazione. Sistemi operativi Calcolo numerico e programmazione Sistemi operativi Tullio Facchinetti 25 maggio 2012 13:47 http://robot.unipv.it/toolleeo Sistemi operativi insieme di programmi che rendono

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione Sommario Il Problema della Sicurezza nelle Grid Sicurezza nelle Grid Grid Security Infrastructure Autorizzazione 2 Page 1 Il Problema della Sicurezza nelle Grid (1) Le risorse sono presenti domini amministrativi

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Indice. Indice V. Introduzione... XI

Indice. Indice V. Introduzione... XI V Introduzione........................................................ XI PARTE I Installazione di Linux come Server.............................. 1 1 Riepilogo tecnico delle distribuzioni Linux e di Windows

Dettagli

Protocol Level: Sicurezza nelle reti Samba

Protocol Level: Sicurezza nelle reti Samba Vi spaventerò elencandovi alcuni dei problemi delle reti Microsoft Diego Fantoma fantoma@units.it Dissertazioni preliminari Questo lavoro non è a carattere tecnico ma è una ricerca bibliografica con alcuni

Dettagli

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3 ver 2.0 Log Manager Quick Start Guide 1 Connessione dell apparato 2 2 Prima configurazione 2 2.1 Impostazioni di fabbrica 2 2.2 Configurazione indirizzo IP e gateway 3 2.3 Configurazione DNS e Nome Host

Dettagli

2009. STR S.p.A. u.s. Tutti i diritti riservati

2009. STR S.p.A. u.s. Tutti i diritti riservati 2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE

Dettagli

Evoluzione dei sistemi operativi (5) Evoluzione dei sistemi operativi (4) Classificazione dei sistemi operativi

Evoluzione dei sistemi operativi (5) Evoluzione dei sistemi operativi (4) Classificazione dei sistemi operativi Evoluzione dei sistemi operativi (4) Sistemi multiprogrammati! più programmi sono caricati in contemporaneamente, e l elaborazione passa periodicamente dall uno all altro Evoluzione dei sistemi operativi

Dettagli

Informatica Generale Andrea Corradini. 10 - Le reti di calcolatori e Internet

Informatica Generale Andrea Corradini. 10 - Le reti di calcolatori e Internet Informatica Generale Andrea Corradini 10 - Le reti di calcolatori e Internet Cos è una rete di calcolatori? Rete : È un insieme di calcolatori e dispositivi collegati fra loro in modo tale da permettere

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

LBINT. http://www.liveboxcloud.com

LBINT. http://www.liveboxcloud.com 2014 LBINT http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Autenticazione e gestione utenti in ambiente Windows

Autenticazione e gestione utenti in ambiente Windows Autenticazione e gestione utenti in ambiente Windows Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2008/2009 5 Novembre 2008 Sommario 1 Identificazione

Dettagli