Secure Shell. Sistemi di elaborazione dell'informazione (Sicurezza su Reti) Anno Acc /09/2002 SSH 1 08/09/2002 SSH 2 08/09/2002 SSH 3

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Secure Shell. Sistemi di elaborazione dell'informazione (Sicurezza su Reti) Anno Acc. 2001-2002 08/09/2002 SSH 1 08/09/2002 SSH 2 08/09/2002 SSH 3"

Transcript

1 Sistemi di elaborazione dell'informazione (Sicurezza su Reti) Anno Acc Sommario Secure Shell Installazione A cura di: Carotenuto Francesco, D Antuono Massimiliano, De Vito Nadia, Nicolino Alessio Prof. De Santis Alfredo 08/09/2002 SSH 1 08/09/2002 SSH 2 Secure Shell originariamente progettato e scritto dal finlandese, Tatu Ylones E un protocollo di comunicazione che garantisce un login remoto sicuro e altri servizi di rete sicuri su un canale insicuro (Internet) Consente quindi di: - loggarsi in rete in modo sicuro - eseguire comandi su un sistema remoto - copiare file da una macchina all altra - fornire protezione per le connessioni X11 e per l inoltro dei pacchetti TCP - supportare sistemi di autenticazione fortemente protetti come RSA, SecurID, S/key, Kerberos e TIS 08/09/2002 SSH 3 08/09/2002 SSH 4 Nasce per rimpiazzare i punti deboli dei comandi Berkeley r* (rsh, rlogin, rcp) in quanto suscettibili allo sniffing e allo spoofing dell indirizzo IP Nasce Fornisce: - infrastruttura per connessione crittografata - autenticazione tra host e host e tra utente ed host - possibilità di creare un canale di connessione sicuro per qualsiasi connessione TCP/IP Risolve noti problemi di sicurezza circa protocolli TCP/IP come: - IP spoofing (falsificazione dell indirizzo IP del mittente) - DNS spoofing (falsificazione delle informazioni contenute nel DNS) - Routing spoofing (falsificazione delle rotte intraprese dai pacchetti e instradamento su percorsi diversi) 08/09/2002 SSH 5 08/09/2002 SSH 6

2 I servers SSH girano su: UNIX, Linux e VAX I clients SSH girano su: UNIX, Linux, VAX, Windows e altre piattaforme SSH usa: - l autenticazione a chiave pubblica/privata per verificare l identità delle macchine connesse - la cifratura di tutti i dati scambiati, con algoritmi robusti come blowfish, 3DES, IDEA, 08/09/2002 SSH 7 Protegge da: - Intercettazione di dati trasmessi tramite rete - Manipolazioni di dati negli elementi intermedi della rete - IP address spoofing dove l host attaccante finge di essere affidabile inviando pacchetti con l indirizzo di questo - DNS spoofing di server fidati - IP source routing SSH non protegge da: - Configurazione o utilizzo scorretto - Un account root compromesso - Home directory insicure 08/09/2002 SSH 8 SSH1 vs SSH2 - SSH1: SSH1: prima versione, gratuita in primo tempo, adesso più restrittiva. Utilizzabile solo per scopi non commerciali. merciali. - SSH2: SSH2: riscrittura della vecchia versione SSH con miglioramenti apportati nella crittografia; gratuita solo per organizzazioni non profit. I protocolli SSH1 SSH2 pubblicati come Internet Draft. Security Communication - ha sviluppato i protocolli SSH1 e SSH2 e ne mantiene le principali distribuzioni. Data Fellows - ha acquistato la licenza di vendere e supportare SSH. 08/09/2002 SSH 9 SSH2: - include sftp, ftp cifrato SSH2 - usa file di configurazione separati da SSH1 (/etc/ssh2/ssh2_config), ma può richiamare SSH1 se un client ne richiede i protocolli SSH1 e se SSH1 è disponibile. - mantiene la compatibilità con SSH1 se questo è stato installato prima di SSH1 - supporta scambi con chiavi DSA, Diffie-Hellman - a causa della commercializzazione, l accettazione di SSH2 è stata lenta 08/09/2002 SSH 10 Connessione crittografata: - i dati scambiati con SSH sono cifrati con algoritmi a chiave simmetrica negoziati tra le parti - le chiavi per gli algoritmi di cifratura vengono scambiate in precedenza; la cifratura previene gli attacchi di tipo sniffing. Autenticazione forte: - avviene tramite algoritmi a chiave pubblica; - le chiavi sono generate, di solito, al momento dell installazione; ne; - ogni host su cui è installato un server SSH ha almeno una coppia di chiavi per ogni algoritmo a chiave pubblica supportato; - ogni host ha un database con le chiavi pubbliche degli host conosciuti. 08/09/2002 SSH 11 Autenticazione forte Per memorizzare le chiavi: - i client utilizzano il file /etc/ssh/known.host - i server utilizzano il file /etc/ssh_known_hosts - database utente nel file $HOME/.ssh/known_host - chiavi e login degli utenti sono contenute nel file $HOME/.ssh/authorized_keys Il server memorizza nuove chiavi utente se accompagnate da certificati o se già certo dell identità dell utente. Il client memorizza la nuova chiave del server se i certificati che accompagnano la chiave sono validi. 08/09/2002 SSH 12

3 PROBLEMA: - metodo classico di autenticazione rhost di UNIX vulnerabile ad attacchi di tipo spoofing SOLUZIONE: - SSH aggiunge un controllo sull host più rigoroso. - Autenticazione rhosts + chiave pubblica il client invia un pacchetto firmato con la chiave privata del proprio host; il server verifica la firma con la chiave pubblica dell host del client. 08/09/2002 SSH 13 SSH garantisce: - sicurezza per qualsiasi protocollo allo strato di applicazione come FTP, HTTP e SMTP. ESEMPIO di connessione HTTP sicura: Web Browser INTERNET Server SSH Server HTTP Host A Host B Host C 08/09/2002 SSH RETE SICURA 14 ESEMPIO di connessione HTTP sicura: - TCP port forwarding Web Browser Il protocollo http è in chiaro!!! 1. A crea una connessione SSH con B 2. B crea una connessione HTTP con C e invia i dati cifrati con SSH Server SSH Server HTTP OPENSSH (http://www. - nato per far parte del sistema operativo OpenBSD - Open Source - utilizza solo algoritmi di crittografia senza restrizioni di utilizzo INTERNET Host A Host B Host C 08/09/2002 SSH RETE SICURA 15 08/09/2002 SSH 16 Compilazione SSH1: Compilare SSH1 per Unix (ex: sotto Solaris) è semplice. Supponiamo di volere: le opzioni standard, connessione non in chiaro, vecchio algoritmo RSH/rlogin, algoritmo IDEA; allora gzcat ssh tar.gz tar xf - cd ssh ;./configure --prefix=/ =/usr --without-none -- without-rsh --without-ideaidea make make install Compilazione SSH1: Opzioni utili di compilazione --without-ideaidea ( non usa l'algoritmo brevettato IDEA) --without-none: ( non consente le comunicazioni in chiaro (non cifrate) se uno dei server non ha chiavi) --without-rsh: (non consente l'opzione rsh rhosts quando un server non ha le chiavi) --prefix=/ =/usr/bsd --sbindir=/ =/usr/bsd --bindir=/ =/usr/bsd : (per installare in directory non standard) --with-securid=../ =../ace (aggiunge il supporto per l'autenticazione SecureID (sono necessarie le librerie ACE)). --with-socks5=/ socks5=/usr/local/liblib (Supporto per proxy Socks5) 08/09/2002 SSH 17 08/09/2002 SSH 18

4 Compilazione SSH1: Preparazione di un pacchetto di installazione binaria - la seguente procedura presume che si abbiano copiati alcuni dei documenti SSH come le FAQ in /usr/localssh-docs. tar cvf ssh_bin.tar /usr/local/bin/{ssh,ssh1,scp,scp1,slogin} tar uvf ssh_bin.tar/usr/local/bin/{ /{ssh-keygen1, keygen1,ssh-keygen,ssh-agent1, agent1,ssh- agent} tar uvf ssh_bin.tar/usr/local/bin/{ /{ssh-add1, add1,ssh-add,ssh-askpass1, askpass1,ssh-askpass} tar uvf ssh_bin.tar/usr/local/bin/{ /{make-ssh-known-hosts1, hosts1,make-ssh-known- hosts} tar uvf ssh_bin.tar/etc/{ /{sshd_config,ssh_config} tar uvf ssh_bin.tar/etc/rc2.d/{s10sshd,k10sshd} /etc/init.d/sshd tar uvf ssh_bin.tar/usr/local/sbin/{ /{sshd,sshd1} tar uvf ssh_bin.tar/usr/local/man/man1/{ /man/man1/{ssh-keygen.1,ssh-agent.1,ssh- add.1,.1,ssh.1,ssh1.1,slogin.1,slogin1.1,scp.1,scp1.1,make-ssh-known-hosts.1} /usr/local/man/man8/{sshd.8,sshd1.8} tar uvf ssh_bin.tar/usr/local/ssh-docs compress ssh_bin.tar 08/09/2002 SSH 19 Configurazione: File di configurazione: /etc/sshd_config per il server; /etc/ssh_config per il client (contiene settaggi di defaulta a livello di sistema). Server: bisogna configurare il demone ssh in modo che l'accesso sia limitato agli host specificati Client: bisogna configurare le opzioni globali per il client SSH 08/09/2002 SSH 20 Il protocollo SSH utilizza le funzioni crittografiche dell SSL E possibile instaurare una comunicazione cifrata, autenticandosi usando: host key certificati che possono essere verificati tramite una autorit à fidata. In una connessione tra client e server che utilizza SSH: Client e server si scambiano le chiavi pubbliche. SSH chiede all utente se accettare o meno la chiave (solo la prima volta). Client e server negoziano una chiave di sessione (usata per cifrare tutti i dati seguenti attraverso un cifrario a blocchi). 08/09/2002 SSH 21 08/09/2002 SSH 22 Schema dell architettura di SSH e sua divisione in protocolli: Schema dell architettura di SSH e sua divisione in protocolli: 08/09/2002 SSH 23 08/09/2002 SSH 24

5 Schema dell architettura di SSH e sua divisione in protocolli: Schema dell architettura di SSH e sua divisione in protocolli: 08/09/2002 SSH 25 08/09/2002 SSH 26 TRANSPORT LAYER PROTOCOL E un protocollo di trasporto sicuro a basso livello TRANSPORT LAYER PROTOCOL E costituito da diverse fasi: Fornisce: - crittografia forte - autenticazione crittografica degli host - protezione dell integrità 08/09/2002 SSH 27 08/09/2002 SSH 28 AUTHENTICATION PROTOCOL E un protocollo di autenticazione utente general-purpose. - gira al di sopra dell SSH Transport Layer Protocol; - assume che il protocollo sottostante fornisca protezione dell integrità e confidenzialità. Lo User Authentication Protocol autentica l utente del client sul server. 08/09/2002 SSH 29 AUTHENTICATION PROTOCOL Sono supportati tre tipi di autenticazione: Autenticazione con chiave pubblica: Il client invia un pacchetto firmato con la propria chiave privata. Il server verifica la firma tramite la chiave pubblica del client. Se il server non possiede la chiave pubblica del client, il metodo fallisce. 08/09/2002 SSH 30

6 AUTHENTICATION PROTOCOL Autenticazione con password: all'utente sul client viene presentato il prompt per l'inserimento della password. Autenticazione Host based: - simile a rhosts di UNIX, ma più sicuro; - aggiunge la verifica dell'identità dell'host tramite Host key. CONNECTION PROTOCOL Progettato per girare al di sopra dello User Authentication Protocol. Fornisce: - sessioni interattive di login; - esecuzione remota di comandi; - inoltro di connessioni TCP/IP; - inoltro di connessioni X11. 08/09/2002 SSH 31 08/09/2002 SSH 32 CONNECTION PROTOCOL CONNECTION PROTOCOL Dà inizio alla sessione vera e propria. Il client può richiedere: - una shell remota, - l'esecuzione di un comando, - un trasferimento di file sicuro, ecc. Divide la connessione in canali logici multiplexati in una singola connessione. Rende possibile accedere a più servizi con un singolo tunnel cifrato. 08/09/2002 SSH 33 08/09/2002 SSH 34 In definitiva: ASPETTI DI SICUREZZA Scopo primario di SSH è migliorare la sicurezza su Internet. Tutti gli algoritmi di cifratura, integrità e a chiave pubblica sono ben conosciuti e ben stabiliti. Tutti gli algoritmi sono utilizzati con chiavi sufficientemente lunghe da stabilire una forte protezione contro gli attacchi crittoanalitici. Tutti gli algoritmi sono negoziati. Se uno di essi viene rotto è facile passare ad un altro senza modificare il protocollo di base. 08/09/2002 SSH 35 OpenSSH può essere scaricato dal sito Sono disponibili sia il formato binario RPM sia il sorgente. Per i binari RPM si ha bisogno di: openssh-versionep.rpm rpm openssh-clients- versionep.rpm rpm openssh-server- versionep.rpm rpm zlib- versione.rpm rpm openssl- versione.rpmrpm 08/09/2002 SSH 36

7 Open source e free. Programma Zlib Ha come obiettivo quello di costruire una libreria per la compressione dei dati. Si trova già all'interno di quasi tutte le principali distribuzioni di Linux. E possibile scaricarlo dal sito /pub/infozip/zlib/. Sono disponibili sia il formato binario RPM sia il sorgente. Open source Programma SSL Mira a creare un toolkit commerciale per realizzare il Secure Socket Layer, Transport Layer Securety e librerie per la realizzazione di sistemi fortemente crittografati. E disponibile sia come sorgente sia come pacchetto RPM. I pacchetti RPM si possono reperire insieme a quelli di OpenSSH. I sorgenti sono disponibili presso il sito 08/09/2002 SSH 37 08/09/2002 SSH 38 Installazione del programma Zlib Se si ha a disposizione il pacchetto in formato RPM,, basta digitare alla riga di comando: rpm -ivh zlib-versione.rpm Se si preferisce usare il formato tar.gz, si deve scrivere: tar xzvf zlib-versione.tar.gz cd zlib-versione./configure make su -c "make install" Installazione del programma OpenSSl Se si ha a disposizione il pacchetto in formato RPM,, basta digitare alla riga di comando: rpm -ivh zlib-versione.rpm Se si preferisce usare il formato tar.gz, si deve scrivere: tar xzvf zlib-versione.tar.gz cd zlib-versione./configure make su -c "make install" 08/09/2002 SSH 39 08/09/2002 SSH 40 Installazione del programma OpenSSl Se si ha a disposizione il pacchetto in formato RPM,, basta digitare alla riga di comando: rpm -ivh openssl-versione.rpm Se si preferisce usare il formato tar.gz, si deve scrivere: tar xzvf openssl- versione.tar.gz cd openssl- versione./configure make su -c "make install" Se si ha a disposizione il pacchetto in formato RPM,, basta digitare alla riga di comando: rpm -ivh versionep.i386.rpm rpm -ivh openssh-clients- versionep.rpm rpm -ivh openssh-server-versionep.rpm Se si preferisce usare il formato tar.gz, si deve scrivere: tar xzvf openssh- versione.tar.gz cd openssh- versione./configure --prefix=/usr -- Installazione del programma OpenSSH sysconfdir=/etc/ssh 08/09/2002 SSH 41 08/09/2002 SSH 42

8 Installazione del programma OpenSSH Il parametro "--prefix" impone di porre i file binari nelle directory bin, sbin ed i manuali nella directory man. Per default OpenSSH pone i file di configurazione all'interno della cartella /usr/local/etc. Il parametro sysconfdir rende possibile modificare l'impostazione di default e impostare, a propria scelta, la cartella contenente i file di configurazione. I comandi: make su -c "make install su -c "make host-key" Installazione del programma OpenSSH consentono di installare i file generati e creare le chiavi. ssh impiega una coppia di chiavi pubblica/privata. L RSA é il formato più vecchio, mentre il DSA è quello più recente. 08/09/2002 SSH 43 08/09/2002 SSH 44 La sotto-cartella contrib contiene: Installazione del programma OpenSSH il file sshd.pam.generic per l'autenticazione PAM. Per usarlo basta copiarlo all'interno della cartella /etc/pam.d/ col nome di sshd: cp sshd.pam.generic /etc/pam.d/sshd. script init relativi alle distribuzioni SuSE e Red Hat.. Per la SuSE,, inoltre, bisogna copiare un file di configurazione in /etc rc.config/: cp rc.config.sshd etc/rc.config.d/sshd.rc.config.z script di startup: va copiato in etc/rc.d/init.d per la Red Hat e in /sbin/init.d per la SuSE. /etc/rc.d/init.d/sshd start (Red Hat), /sbin/init.d/sshd start (SuSE). 08/09/2002 SSH 45 Installazione del programma OpenSSH Se il demone SSH é già in esecuzione con un collegamento via telnet alla porta 22 della propria macchina si dovrebbe ottenere: Trying Connected to localhost. Escape character is '^]' SSH OpenSSH _2.3.)p1 08/09/2002 SSH 46 $HOME/.ssh/known_hosts File interessati (1) Registra le chiavi pubbliche degli host in cui l'utente ha effettuato il login. $HOME/.ssh/identity, $HOME/.ssh/id_dsa Contengono le chiavi private RSA e DSA dell'utente, rispettivamente. $HOME/.ssh/identity.pub, $HOME/.ssh/id_dsa.pub Contengono le chiavi pubbliche RSA e DSA dell'utente, rispettivamente. $HOME/.ssh/config File di configurazione utente usato dal client SSH. $HOME/.ssh/authorized_keys Elenca le chiavi pubbliche RSA degli utenti autorizzati ad effettuare tuare il login per quell' account. $HOME/.ssh/authorized_keys2 Elenca le chiavi pubbliche RSA/DSA degli utenti autorizzati ad effettuare il login per quell' account /etc/ssh/ssh_known_hosts, /etc/ssh_known_hosts2 Lista delle host key per gli host conosciuti. Il primo contiene chiavi pubbliche RSA mentre il secondo anche chiavi pubbliche DSA. 08/09/2002 SSH 47 File interessati (2) /etc/ssh/ssh_config File di configurazione di default per i client. $HOME/.rhosts File usato nella autenticazione.rhosts; contiene la lista delle coppie host-utente che possono autenticarsi in questo modo. $HOME/.shosts Lo stesso del precedente, tranne che permette di effettuare il login solo tramite SSH. /etc/hosts.equiv Usato nell'autenticazione.rhosts. /etc/ssh/shosts.equiv E' usato allo stesso modo di /etc/hosts.equiv, ma permette di effettuare il login solo tramite SSH. /etc/ssh/sshrc;$home/.ssh/rc I comandi i questo file vengono eseguiti quando l'utente effettua il login appena prima che la shell (o il comando) parta. $HOME/.ssh/environment Contiene definizioni addizionali per le variabili d'ambiente. /etc/ssh/primes Contiene i valori primi utilizzati da Diffie-Hellman 08/09/2002 SSH 48

9 File interessati (3) /etc/ssh/sshd_config File di configurazione per l'utente usato dal server SSH. /etc/ssh/ssh_host_key, /etc/ssh/ssh_host_dsa_key, /etc/ssh/ssh_host_rsa_key Contengono, rispettivamente, la parte privata delle chiavi SSH1, SSH2 DSA e SSH2 RSA del server. Nota : SSH ignora una chiave privata registrata in un file accessibile sibile da altri. /etc/ssh/ssh_host_key.pub, /etc/ssh/ssh_host_dsa_key.pub /etc/ssh/ssh_host_rsa_key.pub Contengono, rispettivamente, la parte pubblica delle chiavi SSH1, SSH2 DSA e SSH2 RSA del server. /etc/nologin Se questo file esiste, SSH si rifiuta di effettuare il logintranne che per l'utente root. 08/09/2002 SSH 49 Configurazione di OpenSSH (1) La configurazione di OpenSSH funziona per chiunque si colleghi. I vari file di configurazione si trovano in /etc/ssh o in /usr/local/etc In queste cartelle ci sono due file: ssh_config imposta le opzioni per il programma SSH client che verrà utilizzato; sshd_config é il file di configurazione del demone SSH (sshd). Quando viene lanciato il programma ssh,, esso consulta: le opzioni inserite alla riga di comando; il file $HOME/.ssh/config il file /etc/ssh/ssh_config. Un utente può impostare le proprie opzioni senza modificare quelle le comuni contenute in /etc/ssh/ssh_config. 08/09/2002 SSH 50 Configurazione di OpenSSH (2) I files di configurazione possono contenere: righe di commento evidenziate dal simbolo # iniziale; righe vuote (che vengono ignorate); righe contenenti direttive, composte da coppie <nome> <valore>, spaziate, senza alcun simbolo di assegnamento Per le principali direttive di configurazione contattare: Comandi principali (1) ssh-keygen: Crea una coppia di chiavi pubblica/privata. Crea una coppia di chiavi pubblica/privata. ssh-keygen -d. E sufficiente a realizzare una chiave RSA. L'opzione -d permette di costruire una chiave DSA in luogo di una RSA che potrà essere utilizzata in seguito insieme a SSH2. La chiave privata viene salvata, col nome del file specificato, in: $HOME/.ssh/NomeFileScelto La parte pubblica della chiave creata viene posta nel file HOME/.ssh/NomeFileScelto.pub. Viene chiesta una passpharse per criptare la chiave privata: $ ssh-keygen -b N 'password' 08/09/2002 SSH 51 08/09/2002 SSH 52 Comandi principali (2) Per collegarsi ad una macchina remota, NomeHost, basta scrivere al prompt della shell: $ ssh NomeHost La prima volta che ci si collega a NomeHost,, compare il messaggio: The authentication of host NomeHost can't be established. RSA key fingerprint is 3b:60:57:4e:6c:59:5a:99:cf:41:d5:e0:14:af:0d:a1. Are you sure you want to continue connecting (yes/no)? L opzione yes aggiunge la chiave relativa dell host alla lista degli host conosciuti da SSH che si trova in $HOME/.ssh/know_hosts. Per le connessioni successive alla prima la chiave inviata dal server viene confrontata con quelle memorizzate: solo se il confronto ha successo si prosegue. 08/09/2002 SSH 53 ssh -C -i NomeFileConteneteLaCoppiaDiChiavi -v x [comando] -C indica di usare la compressione dei dati. Comandi principali (3) -i consente di specificare se si usano più coppie di chiavi pubbliche/private per collegarsi ai vari host (va indicato il percorso e il nome del file che contiene la chiave privata). -x disabilita il forward automatico delle connessioni X11; -v mostra le infofondamentali fondamentali dell'andamento della connessione. NomeUtente (opzionale) indica il nome utente con cui si effettua il collegamento. NomeHost indica il nome della macchina a cui ci si vuole collegare. [comando] (opzionale) serve ad eseguire un comando appena viene stabilita la connessione. 08/09/2002 SSH 54

10 Comandi principali (4) SSH offre la possibilità di collegarsi agli host remoti senza specificare alcuna password: si copia il file contenente la chiave pubblica sul server a cui si desidera connettersi; si aggiungere il riferimento alla lista dei file che si trova: - in $HOME/.ssh/authorized_keys (chiave RSA ); - in $HOME/.ssh/authorized_key2 (chiave DSA ); per collegarsi alla propria cartella home sul server remoto, non resta che eseguire normalmente il comando ssh. Trasferimenti sicuri di file : scp (1) scp fornisce un modo sicuro di trasferire i file attraverso Internet: scp Per copiare un file che locale in un altro host si può scrivere: scp NomeFileDaCopiare NomeFileDaCopiare viene copiato nella directory dell utente NomeUtente dell host NomeHost. 08/09/2002 SSH 55 08/09/2002 SSH 56 Trasferimenti sicuri di file : scp (2) Per copiare un file che si trova in un host remoto nella cartella locale, si deve scrivere : scp Viene copiato il file NomeFileDaCopiare dell'utente NomeUtenteRemoto dall'host remoto NomeHostRemoto alla cartella locale corrente. -r consente di copiare in modo ricorsivo i file da una cartella ad un altra. 08/09/2002 SSH 57 Altri esempi pratici $ ssh -l tizio linux.brot.dg Accede all elaboratore linux.brot.dg,, utilizzando lì il nominativo-utente tizio. $ ssh -l tizio linux.brot.dg ls -l /tmp Esegue il comando ls -l /tmp nell elaboratore linux.brot.dg,, utilizzando il nome- utente tizio. $ ssh -l tizio linux.brot.dg tar czf - /home/tizio > backup.tar.gz Esegue la copia di sicurezza, con l ausilio di tar e gzip della directory personale dell utente tizio nell elaboratore remoto. L operazione genera il file backup.tar.gz nella directory corrente dell elaboratore locale. $ scp Copia il file /etc/profile dall elaboratore linux.brot.dg utilizzando il nominativo-utente tizio,, nella directory corrente dell elaboratore locale. 08/09/2002 SSH 58 Port Forwarding (2) Esempio : Port Forwarding (1) Permette di creare un canale di comunicazione sicuro attraverso il quale veicolare qualsiasi connessione TCP. Host A è separato dalla intranet da una rete insicura e deve comunicare via telnet con Host C. Host B permette connessioni SSH CANALE SICURO Intranet 23 Il port forwarding di SSH crea il canale sicuro tra Host A e Host B. La connessione telnet vera e propria viene effettuata tra Host B e Host C. Host A Host B Host C CANALE IN CHIARO 08/09/2002 SSH 59 08/09/2002 SSH 60

11 Port Forwarding (3) Il comando, dato su Host A: hosta > ssh -L 1111:HostC :23 HostB sleep 100 alloca la porta TCP 1111 su Host A attraverso cui, passando per il canale sicuro, si arriva alla porta 23 di HostC. Per completare la connessione bisogna effettuare un telnet alla porta: hosta > telnet localhost 1111 Nota: se Host B e HostC coincidono si fa il forwarding di una porta dall'host Locale verso un host remoto. E' possibile effettuare anche l'operazione inversa. Dimostrazione di utilizzo Dopo l installazione di OpenSSH: viene generata una coppie di chiavi pubblica/privata; il comando ssh-keygen permette di creare chiavi RSA e DSA di lunghezza variabile e nel formato relativo al protocollo SSH1 ed SSH2 chiede di specificare i file in cui salvare le chiavi e di cifrare la parte privata della chiave con una passphrase. Tutte le chiavi hanno una dimensione di default di 1024 bit 08/09/2002 SSH 61 08/09/2002 SSH 62 Generazione di una coppia di chiavi RSA relative al protocollo SSH1 Generazione di una coppia di chiavi RSA relative al protocollo SSH2 08/09/2002 SSH 63 08/09/2002 SSH 64 Generazione di una coppia di chiavi DSA relative al protocollo SSH2 Per collegarsi ad una macchina remota di nome NomeHost basta digitare: ssh NomeHost -l loginremota -v -v attiva la modalità di verbose,, che fornisce un output dettagliato su come sta procedendo la connessione 08/09/2002 SSH 65 08/09/2002 SSH 66

12 Esempio: Durante questa fase un programma di ascolto del traffico TCP/IP fallisce. Ad esempio Ethereal, uno degli sniffer più noti avrebbe catturato: Consideriamo una connessione HTTP, protocollo che prevede scambio di dati in chiaro. Viene richiesta una pagina di default del server junior in cui è presente un form HTTP. Nei campi vengono inseriti dei dati di prova. 08/09/2002 SSH 67 08/09/2002 SSH 68 Alla pressione del tasto "Submit Query " i dati vengono inviati con il metodo POST ad uno script CGI scritto nel linguaggio Perl.. Tale script risponde semplicemente dando l'eco dei dati immessi. 08/09/2002 SSH 69 08/09/2002 SSH 70 Se uno sniffer viene posto in ascolto durante la sessione HTTP: Con il seguente comando si inoltra la connessione al server HTTP sul canale cifrato creato con il server SSH. Nel comando viene specificata: la porta locale a cui si connetterà in seguito il web browser il nome dell'host e la porta su cui gira il server HTTP il nome dell'host su cui gira il server SSH 08/09/2002 SSH 71 08/09/2002 SSH 72

13 Infine dobbiamo specificare nel browser l URL: per inoltrare la richiesta all'host junior. 08/09/2002 SSH 73 08/09/2002 SSH 74 Ethereal non può fornire alcuna informazione significativa. La connessione con il server SSH che si è occupato di inoltrarla al server HTTP rende il traffico catturato cifrato e dunque incomprensibile: e: Fornire accesso remoto alle applicazioni gestionali e divenuto di fondamentale importanza. L accesso remoto basato su Internet aggiunge rischi significativi. I dati sensibili trasmessi fra operatore remoto e una rete aziendale possono essere intercettati, modificati o re-indirizzati ovunque. Le tecnologie di accesso come quelle via cavo e via etere sono vulnerabili. 08/09/2002 SSH 75 08/09/2002 SSH 76 Connessioni Always On a banda larga aumentano il pericolo: l aggressore ha un obiettivo fisso da attaccare nel tempo. SSH aiuta a rendere sicuri la maggior parte degli accessi remoti basati su Internet e ad assicurare la riservatezza e l integrità delle informazioni scambiate tra client e server. SSH effettua il tunneling di informazioni per qualsiasi applicazione basata su TCP SSH permette: di rendere sicure applicazioni che altrimenti invierebbero informazioni vulnerabili su reti pubbliche; di proteggere i messaggi dell applicazione trasmessi da una parte all altra altra della connessione. I filtri effettuati da firewall e router possono essere ristretti a una sola porta: la porta Secure Shell (22). Il crea canali point-to-point virtuali tra due pc connessi. 08/09/2002 SSH 77 08/09/2002 SSH 78

14 su Internet: - Quando il client spedisce la posta, i messaggi vengono trasmessi ad un server SMTP. - Quando il client legge la posta, le intestazioni e il testo dei messaggi vengono scaricati da un server POP3 o IMAP. - Chiunque e in qualsiasi punto del percorso può intercettare testo in chiaro del messaggio, indirizzi , nomi utenti e password. 08/09/2002 SSH 79 Internet per accedere ad MAIL-Client MAIL Svr: smtp (25) MAIL Svr: pop (110) MAIL Svr: smtp (143) MAIL-Server I server sono facilmente individuabili - Attacchi Denial of Service - Utilizzo un server aperto 08/09/2002 SSH 80 ATTACCO: Identificando il server gli hacker sono in grado di sfruttare le vulnerabilità conosciute nel sistema operativo del server o nel software di posta elettronica. SOLUZIONE: Il tunneling può aiutare ad eliminare le porte accessibili, bloccando utenti non autorizzati, e assicurando: - privacy - integrità 08/09/2002 SSH 81 su Intranet: 1. Punti di accesso WLAN spesso disposti in modo errato dietro il firewall corporativo, trattando tutte le postazioni su WLAN come fidate. 2. WLANs basate sul protocollo IEEE b Wi-Fi: permettono il broadcast in ogni direzione. Attacchi: - freeware NetStumbler o AirSnort per scoprire una WLAN. - registrando i pacchetti con WEPCrack, gli hackers possono rompere le chiavi di WEP e decifrare tutto il traffico su WLAN. WLAN diventa vulnerabile come le LAN Ethernet 08/09/2002 SSH 82 con risorse condivise: file condivisi tra PC - Ciascuna risorsa condivisa deve essere protetta da attacchi di tipo DoS, perdite, modifiche fraudolente e accessi non autorizzati. - Le misure di sicurezza di sistemi operativi basati su privilegi, lettura/scrittura, nomi utenti, password, per il controllo sugli accessi non proteggono l integrità dei dati. ATTACCO: - Se la connessione via cavo è sempre attiva, un hacker può tentare un attacco basato su dizionario, scoprendo password e nomi utenti delle risorse condivise. con risorse condivise: Desktop - Altra risorsa condivisa a cui si accede in maniera remota - Condivisione effettuata tramite software per il controllo remoto: Symantec; pcanywhere; AT&T Labs VNC; Microsoft NetMeeting; Windows XP Remote DeskTop Assistence. 08/09/2002 SSH 83 08/09/2002 SSH 84

15 Problema: Il controllo remoto non autorizzato rappresenta un problema per coloro che amministrano la sicurezza delle aziende. Soluzione: Il SSH fornisce: un meccanismo uniforme di autenticazione forte un controllo a livello di accesso privacy per i files e i desktop condivisi - I flussi di dati insicuri vengono multiplexati su un'unica sessione SSH. - Vengono controllate le credenziali degli utenti. - Viene garantito l accesso su una singola porta completamente sotto il controllo di un unico amministratore: il Server SSH. 08/09/2002 SSH 85 Funzionamento del SSH: Si esegue il del flusso di informazioni delle applicazioni. Il flusso verrà inviato su una singola connessione TCP. Dopo l inoltro di una porta locale, SecureCRT rimane in ascolto sulla specifica porta dell host locale. Vshell apre una connessione con l host remoto dove il Server delle applicazioni è in esecuzione. 08/09/2002 SSH 86 Client: - L applicazione deve essere riconfigurata in modo tale da connettersi sul localhost. - I pacchetti inviati sul localhost: localport vengono intercettati e criptati dal SecureCRT o da un altro Client e quindi viene effettuato il attraverso la connessione Secure Shell verso la Vshell o un altro Server SSH. ESEMPIO: Spedizione dalla Postazione locale: Mail-Svrl MAIL Svr: smtp (25) MAIL Svr: pop (110) MAIL Svr: smtp (143) Server: - Vshell riceve i pacchetti, li decodifica rinviandoli come testo in chiaro attraverso la connessione TCP al server in ascolto sulla remotehost:remoteport. Secure-Crt V -Shell MAIL Svr: smtp (25) MAIL Svr: pop (110) MAIL Svr: smtp (143) Mail-Svrl 08/09/2002 SSH 87 08/09/2002 SSH 88 Osservazione: Il traffico che transita fra: SecureCRT e VShell è protetto mediante crittografia Vshell e remote host non lo è. Vshell è situato all interno del perimetro della rete locale, protetto da un firewall. Il firewall viene configurato per permettere connessioni di tipo Secure Shell, ma non connessioni da parte delle applicazioni di cui viene effettuato il (SMTP, IMAP, POP). La configurazione del firewall protegge lo scambio delle informazioni in chiaro verso il Server che è presente all interno della rete aziendale. 08/09/2002 SSH 89 Autenticazione ad accesso controllato: Lasciando la porta della Secure Shell aperta sul firewall viene delegato il controllo sulle applicazioni alla Vshell. Viene realizzato un unico ed integrato punto di controllo per: autenticazione remota degli utenti accesso alle risorse gestione delle applicazioni in. SecureCRT viene autenticata da Vshell prima che inizi qualsiasi Tunnel. Rigido il controllo sui tentativi di accesso consecutivi e sui limiti di timeout. 08/09/2002 SSH 90

16 Protezione: Creazione di filtri Vshell in modo da permettere o negare la connessione SSH da specifici indirizzi IP, host host,, subnet subnet,, o interi domini. Possibilità di fornire l Possibilità l inoltro su porte locali o remote senza la possibilità possibilit à di eseguire comandi o di avere privilegi SFTP. Definizione del mapping delle porte di accesso da parte di ciascun Client Secure Shell. Vshell accetta o rifiuta l inoltro sulla porta richiesta in base ai privilegi posseduti dall dall utente ed ai filtri impostati. 08/09/2002 MESSAGGI MESSAGGI INVIATI INVIATI AAVSHELL VSHELL sicure Per accedere in modo sicuro all all e -mail sono richiesti un POP e un SMTP sicuro. In caso contrario possono essere inavvertitamente scoperti dati sensibili e confidenziali. CONTROLLO CONTROLLO VSHELL VSHELL SUCCESSO Danni: Messaggi legittimi possono essere registrati, modificati e sostituiti con altri. INSUCCESSO Rimedio: Il tunneling dell dell e -mail è un modo semplice di assicurare la privatezza e l l integrit integrità à di tutte le ee -mail inviate o ricevute autenticate attraverso le compagnie di servers serverspop, POP, IMAP e SMTP. NON NONSI SI ACCETTA ACCETTA L INOLTRO L INOLTRO SULLA SULLA PORTA PORTA RICHIESTA RICHIESTA SI SIACCETTA ACCETTA L INOLTRO L INOLTRO SULLA SULLA PORTA PORTA RICHIESTA RICHIESTA SSH 91 08/09/2002 SSH 92 per per Si utilizza un server esterno, SendMail SendMail,, ed un server interno, Exchange. In entrambi i casi il traffico di mail è protetto sull sull Internet pubblico, ma inviato come testo in chiaro al mail server. Ogni utente configura un SecureCRT o qualche altro client Secure Shell con una porta locale, mappando le porte del localhost su porte note ascoltate dai mail servers servers.. Vshell Vshell WIN32 Eudora Secure CRT Secure CRT Corp.com Corp. com WIN 32 Secure CRT WIN 32 Elm Corp.com Corp. com WIN 32 ISP.net Outlook WIN32 Eudora EXCHA NGE Outlook WIN32 Secure CRT WIN 32 Internet WIN32 Internet Elm Open SSH EXCHA NGE ISP.net Open SSH Linux Linux 08/09/2002 SSH 93 08/09/2002 Accesso sicuro Wireless a Corpororate LANs 3. Solo utenti autenticati possono ottenere l l accesso a questi mail servers (in questo caso le coppie di chiavi vengono memorizzate in maniera sicura su smart cards cards). ). Obiettivi: Rendere sicuro il traffico WLAN destinato a servers intranet nella LAN aziendale. Vshell WIN32 Eudora Secure CRT EXCHA NGE ISP.net WIN32 Secure CRT Elm Prevenire lo sniffing da parte di AirSnort o WEPCrack - uso di SecureCRT per il forwarding delle porte sulla porta 80 (HTTP), 443 (SSL) e 119 (NNTP(NNTP-News) del localhost ascoltate da questi servers servers.. Corp.com Corp. com WIN 32 WIN per Outlook SSH Internet Un server IMail con accesso alle mail basato su browser viene raggiunto con la URL :3080. Un server IIS viene raggiunto con la URL :4080. Open SSH Linux 08/09/2002 SSH 95 08/09/2002 SSH 96 16

17 Accesso sicuro Wireless a Corpororate LANs Browser Graficamente: Secure CRT WIN NT Browser Secure CRT WIN XP Wi-Fi LAN Wi-Fi Acces LAN Criptato SSH Testo in chiaro Vshell WIN32 Abbiamo un solo server NNTP. Se un utente naviga su tali pagine web del server, solo le URL relative all host forwarded sarà accessibile. 08/09/2002 SSH 97 IS WIN32 IMAIL WIN32 NEWS WIN32 Accesso sicuro Wireless a Corpororate LANs HTTP può essere cifrato con SSL, quindi non viene eseguito il tunnel di http su Secure Shell. Solo utenti con chiavi pubbliche note possono accedere ai servers di intranet. Il firewall tra l b Wireless Access Point e la Vshell protegge la corporate LAN dalla WLAN. L unico traffico wireless che può penetrare in questa LAN è autenticato. Il multiplexing delle applicazioni sulla Secure Shell riduce il numero totale di connessioni TCP, ottimizzando la performance del firewall. 08/09/2002 SSH 98 Secure VNC Screen Sharing Virtual Network Computing è un sistema remoto di display. - Consente di visualizzare un ambiente di calcolo desktop sulla macchina su cui è in esecuzione da qualsiasi luogo su Internet e su diversi tipi di sistemi operativi. Criptato SSH Testo in chiaro VNC wiewer Secure CRT Internet V -Shell Corp.com VNC Win32 OS Win32 08/09/2002 SSH 99 Secure VNC Screen Sharing E illustrata la condivisione sicura dello schermo VCN, implementata tramite SecureCRT locale e remote port forward. Si crea una local port forward, mappando la porta 5900 del local host sulla 5900 del desktop remoto che sta eseguendo VCN. VCN è conveniente perché gira su molteplici piattaforme: Win32, Linux, Solaris, Macintosh, DEC, e WinCE. Fornisce solo una debole autenticazione con username e password e nessuna cifratura. Il tunneling VNC su Secure Shell è critico. 08/09/2002 SSH 100 Secure VNC Screen Sharing Osservazione: Prodotti Secure Shell come SecureCRT e VShell danno all amministratoreamministratore di rete un controllo granulare sulla condivisione remota dello schermo. Gli utenti possono essere fortemente autenticati con chiavi pubbliche, certificati, o metodi di autenticazione a due fattori come SecureID. I filtri VShell controllano quali desktop possono essere accessi attraverso le porte VNC e quali utenti ne hanno il permesso. Il firewall può bloccare le porte VNC. Il server VShell agisce come un singolo punto di controllo sull accesso VNC. Implicazioni di sicurezza Nessuna misura di sicurezza compreso il Secure Shell protegge contro tutti i possibili attacchi. Se un hacker penetra in un firewall mal configurato può sfruttare la debole password dell amministratore per loggarsi nel server SSH. Il Secure non può evitare che i dati cadano nelle mani sbagliate. 08/09/2002 SSH /09/2002 SSH 102

18 Produce una perdita di funzionalità, più o meno prolungata nel tempo, di uno o più servizi dell host attaccato. Ce ne sono alcuni le cui cause fondamentali risiedono in errori di configurazione o di programmazione. Sono evitabili ed in genere, dopo essere stati individuati, l eliminazione è banale. ESEMPI CLASSICI DI DoS DOVUTI AD ERRORI DI PROGRAMMAZIONE: buffer overflows in lettura dovuti alla gestione inappropriata del parsing; input scelti dall utente che si traducono nell esecuzione esecuzione continua di pezzi di codice; mancanza di timeout su alcune operazioni;... Tali problemi possono essere presenti sia in programmi che girano nello spazio utente che nello stesso kernel. 08/09/2002 SSH /09/2002 SSH 104 Negli ultimi anni sono proliferati i DoS che prendono di mira gli stacks TCP/IP dei sistemi operativi: Il tipo DoS (winnuke, land, teardrop ecc.) è facilmente sfruttabile dall attaccante. - Le energie richieste sono minime; - le possibilità di essere identificati molto basse. Un altro DoS remoto importante è il SYN flood. 08/09/2002 SSH 105 Stack TCP/IP, SYN flood e firewalls SYN floodspedisce una grande quantità di pacchetti SYN provenienti da una sorgente che non è in grado di resettareil SYN/ACK. L host attaccato riserverà molte risorse a queste connessioni che non verranno mai completate. L attacco non permette a nessun altro di effettuare connessioni verso la vittima. VITTIMA Management 08/09/2002 SSH 106 Questo problema è stato risolto grazie all aiuto aiuto della crittografia, ma concettualmente rimane. Svariate regole dei firewalls (che tengono traccia delle connessioni) sono vulnerabili a questo attacco. Alcuni servizi di rete mal progettati generano un nuovo processo per ogni nuova connessione da parte del client. Concetto di amplificatore. Esempio tipico: smurf L attaccante esegue lo spoofing utilizzando l indirizzo della vittima come indirizzo sorgente e spedisce un ICMP di echo-request sull indirizzo di broadcast di una rete mal configurata. Tutti gli host appartenenti al broadcast risponderanno assieme allo stesso pacchetto, ma le risposte saranno indirizzate alla vittima. Un attaccante con una connessione da 10K/s può facilmente raggiungere una potenza di attacco pari a 1000K/s! 08/09/2002 SSH /09/2002 SSH 108

19 Soluzioni: In teoria la classe di DoS che sfrutta errori vari di programmazione è debellabile. In pratica è impossibile evitare che nuovi errori di programmazione siano introdotti nelle nuove versioni dei programmi. Evitare lo spoofing stroncherebbe all origine molti problemi. La maggior sicurezza si paga in perdita di performance. Fino a quando il TCP/IP e il modello client/server saranno alla base di Internet ci saranno dei DoS. Si può solo costringere l attaccante ad utilizzare sempre più risorse per ottenere lo stesso effetto. 08/09/2002 SSH 109 ALTRI TIPI DI ATTACCHI Man in the middle: sniffing, tcp connection hijacking, spoofing Un attacco dalla rete, nel quale l'aggressore prende posizione fra due interlocutori: man-in-the-middle-attack. Questi attacchi hanno tutti un fattore in comune: la vittima non si accorge di niente. La vittima, senza saperlo, apre un collegamento di rete con il computer errato. 08/09/2002 SSH 110 ALTRI TIPI DI ATTACCHI Man in the middle: sniffing, tcp connection hijacking, spoofing 1. Sniffing: origlia ai collegamenti di rete che gli passano davanti. 2. Hijacking: l'attaccante cerca di rapire un collegamento già esistente. Analizza per un certo periodo di tempo i pacchetti che gli passano davanti per poter predire i numeri giusti di sequenza del collegamento TCP. Approfitta soprattutto di quei protocolli che non sono assicurati in modo crittografico e nei quali all'inizio del collegamento avviene un'autenticazione. 08/09/2002 SSH 111 ALTRI TIPI DI ATTACCHI Man in the middle: sniffing, tcp connection hijacking, spoofing 3. Spoofing: invio di pacchetti con i dati del mittente modificati. Quasi tutte le varianti richiedono l'invio di pacchetti falsificati. ati. Sotto UNIX/Linux l invio può essere eseguito solo dal superuser. Molte possibilità di attacco appaiono solo in combinazione con un DoS. 08/09/2002 SSH 112 ALTRI TIPI DI ATTACCHI DNS poisoning (1) L'attaccante cerca, con i pacchetti risposta DNS falsificati, di avvelenare la cache di un server. Il server DNS avvelenato inoltra l'informazione a chi la richiede. Normalmente l'attaccante deve ricevere ed analizzare alcuni pacchetti del server. ALTRI TIPI DI ATTACCHI DNS poisoning (2) Molti server hanno creato un rapporto di fiducia verso altri computer: l attacco può funzionare molto rapidamente. Un DoS cronologicamente sintonizzato contro un server DNS nella maggior parte dei casi non è evitabile. Si può ricevere aiuto da un collegamento criptato che può verificare l'identità della meta del collegamento. 08/09/2002 SSH /09/2002 SSH 114

20 ALTRI TIPI DI ATTACCHI Worms Sono spesso comparati ai virus anche se vi è una notevole differenza tra essi. Un worm non deve contagiare alcun programma ospite ed è specializzato a diffondersi rapidamente nella rete. Vermi noti (Ramen, Lion o Adore) utilizzano alcune lacune di sicurezza ben note dei programmi dei server (bind8 o lprng). Dal momento in cui si viene a conoscenza della lacuna utilizzata ta e l'arrivo dei vermi passano alcuni giorni. Per difendersi l'amministratore deve integrare le security update nei suoi sistemi. 08/09/2002 SSH 115 Consigli ed espedienti (1) Una buona protezione contro gli errori di tutti i tipi è la veloce integrazione di pacchetti di update annunciati da un security announcement. REGOLE PRINCIPALI PER MIGLIORARE LA SICUREZZA DEL SISTEMA: Lavorare il meno possibile come utente root Usare sempre collegamenti criptati per eseguire lavori in remoto Non usare metodi di autenticazione basati solo sull'indirizzo IP Tenere sempre aggiornati i pacchetti più importanti per la rete Abbonarsi alle mailing list per gli avvisi dei relativi software 08/09/2002 SSH 116 Consigli ed espedienti (2) Ottimizzare i diritti di accesso ai file di sistema critici per la sicurezza Disattivare ogni servizio di rete non strettamente necessario sul server Criptare la banca dati per proteggerla contro accessi atti a manipolarla Fare molta attenzione quando si installa nuovo software Controllare regolarmente il backup dei dati e del sistema Controllare i file "log". Conclusioni: L installazione e la configurazione di Secure Shell è relativamente veloce e semplice. VShell e SecureCRT mettono a disposizione una piattaforma di tunneling general-purpose che può essere usata per implementare un ampia varietà di politiche di sicurezza garantendo: - privatezza, - integrità, - autenticità. 08/09/2002 SSH /09/2002 SSH 118 A cura di: Carotenuto Francesco, D Antuono Massimiliano, De Vito Nadia, Nicolino Alessio 08/09/2002 SSH 119

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova Dipartimento di Informatica e Scienze dell Informazione OpenSSH Simon Lepore Corso di Sicurezza DISI, Universita di Genova Via Dodecaneso 35, 16146 Genova, Italia http://www.disi.unige.it 1 Contenuti Introduzione...3

Dettagli

Uso e configurazione di SSH. Paolo Amendola GARR-CERT paolo.amendola@ba.infn.it

Uso e configurazione di SSH. Paolo Amendola GARR-CERT paolo.amendola@ba.infn.it Uso e configurazione di SSH GARR-CERT paolo.amendola@ba.infn.it Uso e configurazione di SSH Perche SSH Cenni sulla crittografia Come funziona SSH Installazione, configurazione ed uso Disponibilita per

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

SECURE SHELL (SSH) Giulia Carboni

SECURE SHELL (SSH) Giulia Carboni SECURE SHELL (SSH) Giulia Carboni Breve introduzione. Nell epoca moderna l accesso ad un sistema remoto è una cosa normalissima. Con l avvento di Internet nascono i protocolli della suite TCP/IP, ad esempio

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

OpenSSH. F49076, F58019, F26095, F47084, F28081 Laurea Triennale. Andrea Lanzi, Davide Marrone, Roberto Paleari

OpenSSH. F49076, F58019, F26095, F47084, F28081 Laurea Triennale. Andrea Lanzi, Davide Marrone, Roberto Paleari OpenSSH F49076, F58019, F26095, F47084, F28081 Laurea Triennale Andrea Lanzi, Davide Marrone, Roberto Paleari Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Manuale d esercizio «File Transfer Client» File Delivery Services

Manuale d esercizio «File Transfer Client» File Delivery Services Manuale d esercizio «File Transfer Client» File Delivery Services Editore Posta CH SA Tecnologia dell informazione Webergutstrasse 12 CH-3030 Berna (Zollikofen) Contatto Posta CH SA Tecnologia dell informazione

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007 Modulo 8: Applicativi Parte 3: Terminale remoto 1 Sommario Premessa Telnet SSH XWindows VNC RDP Reti di Calcolatori 2 1 Premessa Necessita : controllare a distanza un dispositivo attraverso la connessione

Dettagli

Introduzione ai servizi di Linux

Introduzione ai servizi di Linux Introduzione ai servizi di Linux Premessa Adios è un interessante sistema operativo Linux basato sulla distribuzione Fedora Core 6 (ex Red Hat) distribuito come Live CD (con la possibilità di essere anche

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione XIII Capitolo 1 Introduzione agli strumenti di sicurezza Open Source 1 Strumenti utilizzati negli esempi di questo libro 2 1.1 Licenza GPL

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Sommario. 1. Introduzione. Samba - Monografia per il Corso di "Laboratorio di Sistemi Operativi".

Sommario. 1. Introduzione. Samba - Monografia per il Corso di Laboratorio di Sistemi Operativi. Sommario SAMBA Raphael Pfattner 10 Giugno 2004 Diario delle revisioni Revisione 1 10 Giugno 2004 pralph@sbox.tugraz.at Revisione 0 17 Marzo 2004 roberto.alfieri@unipr.it Samba - Monografia per il Corso

Dettagli

Indice. Indice V. Introduzione... XI

Indice. Indice V. Introduzione... XI V Introduzione........................................................ XI PARTE I Installazione di Linux come Server.............................. 1 1 Riepilogo tecnico delle distribuzioni Linux e di Windows

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

Guida in linea di Symantec pcanywhere Web Remote

Guida in linea di Symantec pcanywhere Web Remote Guida in linea di Symantec pcanywhere Web Remote Connessione da un browser Web Il documento contiene i seguenti argomenti: Informazioni su Symantec pcanywhere Web Remote Metodi per la protezione della

Dettagli

W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto)

W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto) W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto) Augusto Scatolini (webmaster@comunecampagnano.it) Ver. 1.0 Gennaio 2010 Una Virtual Private Network

Dettagli

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ Panoramica di Microsoft ISA Server 2004 Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ ISA Server 2004 - Introduzione ISA Server 2004 offre

Dettagli

Servizi di Messaggistica

Servizi di Messaggistica Servizi di Messaggistica Generalità Messaggistica Introduzione I servizi di messaggistica sono servizi di comunicazione bidirezionale sincroni tra due o più soggetti in rete. Caratteristiche. Sincronismo

Dettagli

17.2. Configurazione di un server di Samba

17.2. Configurazione di un server di Samba 17.2. Configurazione di un server di Samba Il file di configurazione di default (/etc/samba/smb.conf) consente agli utenti di visualizzare le proprie home directory di Red Hat Linux come una condivisione

Dettagli

Il Livello delle Applicazioni

Il Livello delle Applicazioni Il Livello delle Applicazioni Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione corrisponde agli ultimi tre livelli dello stack OSI. Il livello Applicazione supporta le applicazioni

Dettagli

Stunnel & port forwarding

Stunnel & port forwarding Eliminazione della trasmissione di passwords in chiaro Stunnel & port forwarding Enrico M.V. Fasanelli I.N.F.N. - Lecce Firenze, 19-20 Settembre 2000 Enrico M.V. Fasanelli - Stunnel & port forwarding Sommario

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 PROTEZIONE DEI DATI 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Sommario 1. INTRODUZIONE... 3 2. ARCHITETTURE PER L'ACCESSO REMOTO... 3 2.1 ACCESSO REMOTO TRAMITE MODEM... 3 2.2

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando Comandi di Rete Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando PING: verifica la comunicazione tra due pc Il comando ping consente di verificare la connettività a livello

Dettagli

Remote HelpDesk behind NAT

Remote HelpDesk behind NAT 1 Remote HelpDesk behind NAT Salamina Daniele pypons@libero.it VERSIONE: 0.2 20/11/2004 2 Indice Scopo dell' articolo/tutorial...3 Premessa...3 Introduzione al problema dell IP Privato...3 Alcune soluzioni(parziali)

Dettagli

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009 La sicurezza nelle comunicazioni fra PC Prof. Mauro Giacomini A.A. 2008-2009 Sommario Cosa significa sicurezza? Crittografia Integrità dei messaggi e firma digitale Autenticazione Distribuzione delle chiavi

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

La sicurezza aziendale a 360 La protezione delle reti Roberto Covati

La sicurezza aziendale a 360 La protezione delle reti Roberto Covati Università degli Studi di Parma Dipartimento di Fisica http://www.fis.unipr.it La sicurezza aziendale a 360 La protezione delle reti Roberto Covati http://www.eleusysgroup.com La protezione delle reti

Dettagli

Creare connessioni cifrate con stunnel

Creare connessioni cifrate con stunnel ICT Security n. 24, Giugno 2004 p. 1 di 5 Creare connessioni cifrate con stunnel Capita, e purtroppo anche frequentemente, di dover offrire servizi molto insicuri, utilizzando ad esempio protocolli che

Dettagli

Servizio di Posta elettronica Certificata. Procedura di configurazione dei client di posta elettronica

Servizio di Posta elettronica Certificata. Procedura di configurazione dei client di posta elettronica Pag. 1 di 42 Servizio di Posta elettronica Certificata Procedura di configurazione dei client di posta elettronica Funzione 1 7-2-08 Firma 1)Direzione Sistemi 2)Direzione Tecnologie e Governo Elettronico

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

Corso di Informatica

Corso di Informatica Corso di Informatica CL3 - Biotecnologie Orientarsi nel Web Prof. Mauro Giacomini Dott. Josiane Tcheuko Informatica - 2006-2007 1 Obiettivi Internet e WWW Usare ed impostare il browser Navigare in internet

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Man In The Middle & SSL Attack

Man In The Middle & SSL Attack Man In The Middle & SSL Attack Autore: Duffabio Provenienza: http://duffabio.altervista.org/ Ringrazio BlackLight perchè per la teoria mi sono basato sulle sue guide visto che è da li che ho studiato la

Dettagli

Morret Mobile Robot Remote Tunneling

Morret Mobile Robot Remote Tunneling UNIVERSITÀ DI BRESCIA FACOLTÀ DI INGEGNERIA Dipartimento di Elettronica per l Automazione Laboratorio di Robotica Avanzata Advanced Robotics Laboratory Corso di Robotica (Prof. Riccardo Cassinis) Morret

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Il Livello delle Applicazioni 2 Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento I protocolli del livello di applicazione Porte Nelle reti di calcolatori, le porte (traduzione impropria del termine port inglese, che in realtà significa porto) sono lo strumento utilizzato per permettere

Dettagli

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay 2014. abinsula. October 25, 2014

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay 2014. abinsula. October 25, 2014 Ettercap, analisi e sniffing nella rete Gianfranco Costamagna abinsula LinuxDay 2014 October 25, 2014 Chi siamo Abinsula un azienda specializzata in sistemi Embedded, Sicurezza Informatica e sviluppo di

Dettagli

Istruzioni per l uso del servizio VPN su sistemi Linux

Istruzioni per l uso del servizio VPN su sistemi Linux Istruzioni per l uso del servizio VPN su sistemi Linux Ver 1.0 1 Informazioni preliminari 1.1 A chi è rivolto Al personale della Sapienza che ha l esigenza di accedere direttamente alla LAN di Campus dalla

Dettagli

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer : applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Servizi di Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza Sicurezza su Sicurezza della La Globale La rete è inerentemente

Dettagli

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio Sommario Esercitazione 04 Angelo Di Iorio One-time password S/Key Descrizione esercitazione Alcuni sistemi S/Key-aware Windows Linux ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA 2 Un po di background Un

Dettagli

Tecnica per help desk remoto

Tecnica per help desk remoto Tecnica per help desk remoto Guida scritta da Stefano Coletta (Creator) il 5 ottobre 2003 Contattatemi a creator@mindcreations.com o visitando http://www.mindcreations.com In breve Una soluzione multipiattaforma,

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Principi di Sicurezza nelle Reti di Telecomunicazioni

Principi di Sicurezza nelle Reti di Telecomunicazioni Principi di Sicurezza nelle Reti di Telecomunicazioni Copyright Università degli Studi di Firenze - Disponibile per usi didattici Vedere i termini di uso in appendice ed a: http://mmedia5.det.unifi.it/license.txt

Dettagli

CORSO WEB SERVER, DBMS E SERVER FTP

CORSO WEB SERVER, DBMS E SERVER FTP CORSO WEB SERVER, DBMS E SERVER FTP DISPENSA LEZIONE 1 Autore D. Mondello Transazione di dati in una richiesta di sito web Quando viene effettuata la richiesta di un sito Internet su un browser, tramite

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli

Internet. Cos è Il Web La posta elettronica. www.vincenzocalabro.it 1

Internet. Cos è Il Web La posta elettronica. www.vincenzocalabro.it 1 Internet Cos è Il Web La posta elettronica www.vincenzocalabro.it 1 Cos è E una RETE di RETI, pubblica. Non è una rete di calcolatori. I computer che si collegano ad Internet, devono prima essere collegati

Dettagli

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE LE MINACCE I rischi della rete (virus, spyware, adware, keylogger, rootkit, phishing, spam) Gli attacchi per mezzo di software non aggiornato La tracciabilità dell indirizzo IP pubblico. 1 LE MINACCE I

Dettagli

Protocolli Applicativi in Internet

Protocolli Applicativi in Internet CdL in Ingegneria Integrazione d Impresa Corso di Reti di Calcolatori Protocolli Applicativi in Internet Franco Zambonelli A.A. 2005-2006 PROTOCOLLI APPLICATIVI Sfruttano I protocolli TCP/IP (spesso) o

Dettagli

MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com

MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com 15.03.2006 Ver. 1.0 Scarica la versione pdf ( MBytes) Nessuno si spaventi! Non voglio fare né un manuale

Dettagli

IT Security 3 LA SICUREZZA IN RETE

IT Security 3 LA SICUREZZA IN RETE 1 IT Security 3 LA SICUREZZA IN RETE Una RETE INFORMATICA è costituita da un insieme di computer collegati tra di loro e in grado di condividere sia le risorse hardware (stampanti, Hard Disk,..), che le

Dettagli

Guida rapida - rete casalinga (con router)

Guida rapida - rete casalinga (con router) Guida rapida - rete casalinga (con router) Questa breve guida, si pone come obiettivo la creazione di una piccola rete ad uso domestico per la navigazione in internet e la condivisione di files e cartelle.

Dettagli

Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD

Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD UNIVERSITA DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Triennale in Matematica Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD Studente

Dettagli

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password. INTRODUZIONE ALLA VPN (Rete virtuale privata - Virtual Private Network) Un modo sicuro di condividere il lavoro tra diverse aziende creando una rete virtuale privata Recensito da Paolo Latella paolo.latella@alice.it

Dettagli

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia ! " #! $ # % $ & 2000 1500 1000 Costo 500 0 Costo per l implentazione delle misure di sicurezza Livello di sicurezza ottimale

Dettagli

Dal protocollo IP ai livelli superiori

Dal protocollo IP ai livelli superiori Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Installazione di una rete privata virtuale (VPN) con Windows 2000

Installazione di una rete privata virtuale (VPN) con Windows 2000 Pagina 1 di 8 Microsoft.com Home Mappa del sito Cerca su Microsoft.com: Vai TechNet Home Prodotti e tecnologie Soluzioni IT Sicurezza Eventi Community TechNetWork Il programma TechNet Mappa del sito Altre

Dettagli

Guida all'amministrazione. BlackBerry Professional Software per Microsoft Exchange. Versione: 4.1 Service Pack: 4

Guida all'amministrazione. BlackBerry Professional Software per Microsoft Exchange. Versione: 4.1 Service Pack: 4 BlackBerry Professional Software per Microsoft Exchange Versione: 4.1 Service Pack: 4 SWD-313211-0911044452-004 Indice 1 Gestione degli account utente... 7 Aggiunta di un account utente... 7 Aggiunta manuale

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli