KERBEROS IL MOSTRO DELLA RETE Di : [JARRET SCREAM] [- Hacker Alliance -]

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "KERBEROS IL MOSTRO DELLA RETE Di : [JARRET SCREAM] [- Hacker Alliance -] jarret@hackeralliance.net www.hackeralliance.net"

Transcript

1 KERBEROS IL MOSTRO DELLA RETE Di : [JARRET SCREAM] [- Hacker Alliance -]

2 Prefazione Questa guida è stata scritta originariamente nel 2000, ma non è mai stata divulgata prima. C è un motivo per il quale non ho mai voluto divulgarla prima, e ve lo spiego brevemente. Negli ultimi tempi ho notato, con rammarico, che non esiste più un identità dell Hacker inteso come uno che cerca con i suoi sforzi di migliorare e rendere più sicuro tutto quello che gli passa tra le mani. Oggi tutto è cambiato. Non interessa più a nessuno sapere cos è il TCP/IP, però tutti vogliono capire come si fa a spoofare o fare un ping Un po come se io volessi costruire una casa partendo dal tetto. Quindi, vi premetto, questa guida è per utenti piuttosto avanzati, che già conoscono le BASI. Il titolo il mostro della rete vi ha colpiti? Chissà cosa vi aspettate forse ora In realtà i mostri (come spero abbiate capito da soli) non c entrano proprio nulla, è solo un tocco per dare un po di magia alchemica a questo manuale Non mi resta altro da dire, le solite cose le sapete, e quindi non vi sto a scrivere i soliti disclaimer che tanto non servono a nulla. Scrivono migliaia di libri sulla Security, ne ho letti a centinaia. Tutti spiegano come prendere possesso di un sistema informatico. Mai trovato nessun disclaimer Quindi io perché dovrei metterlo? Nei miei tutorial e manuali non ne troverete mai, tanto so che nessuno li legge e so anche che purtroppo a nessuno frega niente Se troviamo una porta aperta, abbiamo due possibilità: scegliere di essere onesti e segnalare che qualcosa non va, e se ne abbiamo le capacità, cercare di ripararla. L altra possibilità è quella di scegliere la strada della pirateria informatica. Se scegliete la seconda, non siete degli Hacker, ma dei coglioni che devono solo vergognarsi. Spero comunque che questa guida non inciti ad atti illegali nei confronti di sistemi informatici di altri [JARRET] Hacker Alliance Ringraziamenti Prima di iniziare, vorrei ringraziare i miei amici per avermi spronato (o obbligato?!? ) a riscrivere questa guida e pubblicarla. Ringrazio quindi: AJANTY, FRANZ, VEGETA, PIRATI, Mr.MonkeyBusiness, ZEROHACK, BOSS FOX, SYDRO, DYLAN DOK, LIONHEAD, SERAK, Flavio Bernadotti, The JACKAL e tanti altri che ora non mi ricordo, ma sono tanti.. ;-)

3 KERBEROS DUE PAROLE PRIMA DI INIZIARE Sarebbe poco cortese non citare la fabbrica che ha creato KERBEROS. Kerberos è stato sviluppato al M.I.T. (Massachusetts Istitute of Technology), ed è stato, in origine, sviluppato in concomitanza del progetto Athena tra il 1980 e il 1983 in collaborazione con IBM e la Digital Equipment Corporation. Come ci narra la mitologia greca, KERBEROS era un cane enorme a tre teste (e se non ricordo male era il cagnolino che faceva la guardia alle porte dell inferno ). Il nome Kerberos per questo insieme di protocolli (o procedure), viene paragonato a questo cane a tre teste proprio perché il sistema si basa su tre procedure: - Autenticazione - Autorizzazioni - Accounting Ora inizieremo a scendere anche noi negli abissi dell inferno, alla ricerca della bestia a tre teste per capire come funziona, quali sono le su procedure, quali sono i suoi bugs La Struttura del Mostro Esistono centinaia di modi per rendere sicuro (o quasi) un sistema, ma la sicurezza è direttamente proporzionale al numero di computers collegati alla rete. Più computer sono presenti, più sono alte le possibilità che un aggressore riesca a penetrare nel sistema. Teniamo presente che molti computer utilizzano configurazioni particolari adibite al loro ruolo all interno della rete. KERBEROS è qualcosa di più di un protocollo di rete. Normalmente il protocollo è una sequenza di funzioni standardizzate che consente a più computers di dialogare tra loro e di scambiarsi dati facendo in modo che tutti utilizzino la stessa lingua. Anche per il KERBEROS è così, ma con qualche cosa in più. Partiamo con un analisi a livello fisico. Kerberos è un server sicuro (o così dovrebbe essere). Un unico server che controlla e distribuisce ad altri server di secondo livello le chiavi di accesso alle risorse di tutti gli altri computers. Se viene rilevata una richiesta da un server NON fidato o da una comune workstation, Kerberos non accetta nessuna richiesta. Ma perché prima ho detto che questo protocollo ha un qualcosa in più? Semplice, Kerberos innanzi tutto è un server chiuso dentro una stanza sorvegliata 24 ore su 24. Nessuno ha accesso alla stanza a parte l amministratore di rete. Solitamente per accedere alla stanza dove è conservato il server Kerberos si possono trovare porte con riconoscimento di impronte digitali e tessere magnetiche. In altri casi possiamo addirittura trovare più amministratori della stessa rete, e per accedere a quella stanza è necessaria la presenza dei vari amministratori che devono inserire il loro codice personale in sequenza per aprire quella famosa porta Cose di questo tipo, comunque, è facile trovarle nelle reti informatiche militari e/o governative, in reti più alla mano come quelle degli ISP è già una cosa fantascientifica Questo è Kerberos visto dalla parte fisica. In ogni caso, se siete degli ottimisti, potete liberamente immaginare che Kerberos sia un computer sicuro, ma in realtà non lo è. Pensiamo ai sistemi distribuiti, quelli con più server e computer client Ovvio che il solito bug si annidi qua e là, semi addormentato, ma presente, pronto ad essere risvegliato per compiere le sue routine

4 NEL DETTAGLIO Ed ora la faccenda inizia ad essere un po più complessa.. Il protocollo Kerberos esegue una serie di controlli prima di far si che un utente della sua rete possa raggiungere un file su un altro server. In questo modo si può garantire la sicurezza e il controllo quasi totale delle comunicazioni all interno e all esterno della rete. Analizziamo ora punto per punto cosa accade quando un utente della rete Kerberos tenta di accedere a un file su un server non fidato. C è da tener presente il discorso della crittografia con chiave pubblica e privata. Ricordiamo che Kerberos (il server) utilizza una chiave pubblica, mentre i client una chiave privata (come è ovvio che sia, ma è sempre meglio ripetere). Sulla rotta del pacchetto Bene, abbiamo la necessità di accedere a un file contenuto su un server non fidato della rete, un computer con un livello di sicurezza di secondo livello (secondo livello: sempre paragonandoci a Kerberos e alla sua struttura, non riferito alla rete globale) Nel momento della richiesta del file ecco cosa accade: - Il software di rete inserisce una firma nella richiesta di accesso della nostra workstation al file remoto. Viene quindi creato un pacchetto che contiene: Richiesta + Firma, il tutto crittografato con un algoritmo a livello di codifica di BIT molto elevato. In questo modo, solo ed esclusivamente il server fidato può leggere il messaggio e decodificarlo. - Una volta decodificato il pacchetto, il server legge la firma digitale in modo da accertarsi se il messaggio inviato al server è autentico/autorizzato. - A questo punto, il server fidato controllerà le credenziali del client che ha richiesto l accesso a quel server. Controllerà la firma a chiave privata contenuta nel pacchetto e la confronterà con quelle conosciute. Inoltre, si accerterà che quell utente abbia o meno accesso a quel file. A questo punto inizia un fitto scambio di dati Questa comunicazione tra: CLIENT SERVER FIDATO SERVER NON FIDATO avviene tramite determinate procedure. Il server fidato utilizza una chiave univoca (TICKET) e la invia al client utilizzando la chiave pubblica del client. Per fare questo, il pacchetto viene codificato per non essere intercettato. Il TICKET, in poche parole, contiene una specie di passaporto temporaneo che il client utilizzerà poi per la comunicazione con il server non fidato. Questo pacchetto (il TICKET) contiene: - Informazioni di accesso - una chiave di sessione Contemporaneamente, la stessa procedura viene fatta con il server non fidato. Il Server Kerberos invia lo stesso TICKET crittografato questa volta con la chiave pubblica del server non fidato, e la invia a quest ultimo. Ora i due computer utilizzano la stessa chiave di sessione in modo che il server non fidato possa riconoscere l accesso del client alle sue risorse. Ora, verrà instaurata una connessione tra client e server non fidato. I due confronteranno i due passaporti temporanei generati da KERBEROS. Ora accade questo, ci sono due strade. - Le chiavi corrispondono: il server accetta la comunicazione con il client - Le chiavi NON corrispondono: la comunicazione viene subito interrotta. Terminata questa procedura, il SERVER FIDATO ha già terminato il suo compito, ora saranno gli altri due computers a dialogare direttamente tra loro. Ora mettiamo il caso che tra i due accada qualcosa a livello fisico della rete (scollegamento di cavi ad esempio) la comunicazione tra i due host verrà terminata e la procedura dovrà essere riavviata dal principio (sempre che i problemi sulla rete non persistano ) Una volta terminata la sessione di comunicazione tra i due computer, il server non fidato comunica al server fidato che la procedura è stata portata a termine. Il Server Fidato distruggerà i TICKET. Una volta distrutto il TICKET, ancora una volta, la procedura dovrà essere riavviata dal principio se il client vorrà nuovamente accedere alle risorse del server non fidato. Kerberos fa una netta distinzione tra server sicuro e server non sicuro.

5 La rete, dal punto di vista di un server Kerberos, è una rete non sicura. La minaccia può arrivare da qualsiasi computer, anche dalla rete interna di cui fa parte il server Kerberos stesso. Ogni computer client potrebbe essere in realtà un Cracker pronto ad espugnare la fortezza. Proprio per questo motivo, si è indotti a pensare che questo sistema sia tra i più sicuri, anche se, come sappiamo bene, non lo è. Kerberos, come detto prima, fa un lavoro di riconoscimento, distribuzione di chiavi di sessione, quindi, attende un messaggio dal computer a cui è stato chiesto accesso, distrugge il ticket che trasporta le informazioni univoche di accesso ai dati. Da qui viene spontaneo dirvi che un computer SICURO è un computer spento. La comunicazione tra due Host è scontata all interno di una rete, quindi, dal momento in cui due PC sono collegati tra loro a livello fisico (livello di rete), nessuno dei due computers è più al sicuro Bene, dopo quest ultima frase che è il trionfo della retorica, proseguiamo e andiamo ad analizzare a livello ancora più approfondito il protocollo PROTOCOLLI, SOTTOPROTOCOLLI, SERVER E CLIENT Abbiamo visto prima come un client e il server Kerberos si comportino nel momento in cui il client deve accedere a una risorsa su un altro computer. A questo punto però esistono in realtà due diverse procedure che il protocollo (a seconda della sua configurazione) può effettuare. Il primo è quello semplice: - Il client invia la richiesta di permesso di accesso a una risorsa su un altro computer direttamente a Kerberos. - Kerberos analizza le credenziali del client Credenziali errate Richiesta respinta (accesso Negato) Credenziali Riconosciute Distribuzione del ticket contenente la chiave di sessione univoca e temporanea. - Accesso alle risorse - Distruzione della chiave di sessione (Ticket) Questa è la procedura semplificata analizzata prima, ma ne esiste una seconda. Nella seconda possibilità, il client invia al server una richiesta in chiaro, quindi, non crittografata. In poche parole, il client invia un ticket per la richiesta di un Ticket di sessione. Come avrete capito, si svolge il tutto con una serie di passaggi maggiore. Il Server dovrà prima di tutto autentificare il client, confrontare le credenziali tramite una key segreta condivisa, che nel caso può essere una password di rete. Ora il server invierà un post-ticket per la richiesta di ticket (un po burocratico come protocollo, no?) Tutto questo, in realtà potrebbe sembrare inutile, ma non lo è. Con questa procedura il client evita di utilizzare la sua chiave pubblica. In poche parole, è come se il client inviasse un certificato al server, il server lo timbra e lo restituisce. Con quel modulo timbrato (Ticket) il client potrà fare richiesta della chiave di sessione per l accesso ai dati. Con questa procedura, si può inoltre far richiesta di accedere a determinate risorse di rete utilizzando un unico Ticket contenente le credenziali per l accesso a sessioni differenti, ad esempio l accesso a un file su un altro computer e l accesso alla condivisione di stampanti. Il ticket avrà valore per la durata di tutte le sessioni convalidate da Kerberos, le altre no, e quindi queste ultime, avranno bisogno di una seconda richiesta di ticket e il gioco si ripete da capo. I REALM DI KERBEROS Ora dobbiamo abituarci a pensare a Kerberos anche in questo modo, come ad un RE, perché esistono i KERBEROS INTER-REALM che tradotto in italiano significa più o meno IL REAME DI KERBEROS Cosa significa questo? Significa che in origine, Kerberos è nato per gestire strutture informatiche sparse anche su territori piuttosto vasti. Geograficamente, una rete Kerberos potrebbe comprendere una rete in Italia e l altra in Inghilterra. Kerberos gestisce le credenziali e l accounting, distribuisce le solite chiavi di sessione esattamente come spiegato prima, ma con una variante. Immaginiamo di utilizzare una workstation all interno di una rete gestita da Kerberos. Ok, abbiamo necessità di accedere in comunicazione con un server che sta in

6 Inghilterra (ma che comunque fa sempre parte dello stesso network). A livello locale, il server Kerberos utilizzerà la procedura solita, ma il computer che ha richiesto l accesso, non potrà contattare direttamente il server Kerberos remoto. Ad esempio: Immaginiamo due reti geografiche Kerberos che si chiamano rispettivamente StoneA e StoneB. StoneA = Italia StoneB = Inghilterra Ora, uno dei client di StoneB richiede l accesso a un file presente sul sistema StoneA. Questo client contiene il nome REALM di registrazione per il riconoscimento. Abbiamo quindi il client Divisione1 nella rete StoneB con il nome REALM Divisione1:-StoneB. La richiesta di accesso alle risorse verrà fatta accertando le credenziali direttamente in remoto dalla postazione Server Kerberos di StoneA. Spieghiamo meglio I vari REALM possono comunicare tra loro solo se una chiave inter-real condivisa, oppure se tra i due realm esiste un secondo nodo realm di secondo livello che fa da tramite fra le due reti remote. In caso esistano più REALM sul percorso, il ticket con la richiesta di chiave di sessione dovrà attraversare tutti i realm connessi, ognuno dei quali darà una chiave per ogni accesso ad un altro REALM sino a giungere a quello finale. Ma ricordiamo che solitamente, la struttura di un inter-realm è strutturata in modo gerarchico. In poche parole troveremo diversi Server Kerberos con una sottostirpe di Kerberos minori i quali condividono tra loro la stessa chiave. In questo modo, le operazioni vengono svolte in modo più fluido e veloce. Il alcuni casi, invece, se in una struttura Kerberos non sono presenti sottodomini Kerberos (sempre Inter-Realm), il server dovrà di volta in volta accedere a un data-base interno per poter autentificare l effettiva appartenenza alla rete aziendale del server che richiede l accesso alle risorse. Quando KERBEROS bypassa in modo autorizzato un Inter-Realm In certe situazioni, possiamo trovarci di fronte ad una rete Kerberos a struttura gerarchica (come detto prima), ma è possibile che alcuni terminali Kerberos abbiano la possibilità di effettuare diverse connessioni tra loro senza dover necessariamente far transitare le richieste attraverso i Kerberos minori. Questi collegamenti devono essere naturalmente definiti prima dall amministratore, Kerberos non ha potere di decidere che percorso effettuare e quindi di cercare un instradamento del pacchetto migliore come nelle normali connessioni point-to-point Quindi, il famoso Ticket, viene utilizzato per certificare un intera sessione contenente le credenziali di tutti i Kerberos Principali o minori. Lo stesso Ticket viaggerà attraverso la rete una sola volta per far si che tutte le credenziali vengano accettate tutte con l ausilio di un solo Ticket. Quindi avremo un Ticket che conterrà le chiavi di sessione di tutti i Kerberos minori e maggiori. In questo modo si eviterà l uso di più Ticket che dovranno essere certificati di volta in volta dai server Kerberos minori e maggiori. Il traffico di rete viene reso più fluido e più sicuro. Se una credenziale all interno del Ticket risulterà falsa, qualsiasi Kerberos della rete sarà in grado di riconoscerlo con una fattore di errore più basso rispetto alla certificazione di sessione singola tra host e host. In più, possiamo dire che qualsiasi Kerberos della rete, una volta vista una chiave non valida, di bloccare completamente la sessione o addirittura (più rischioso) saltare il computer che non è risultato sicuro. Facendo questo, i due Kerberos (minori o maggiori) residenti alle due estremità del percorso direttamente collegati, potranno bypassare il server e distribuire il Ticket con la chiave di sessione. Naturalmente quest ultimo procedimento è una contromisura per evitare lo sniffing di un potenziale intruso sulla rete. E comunque il caso di dire che spesso, è nella natura del pirata fingersi quello che non è per fare in modo che il ragionamento del computer lo porti a escludere un determinato terminale della rete e far quindi in modo che il percorso del Ticket cambi strada. Ricordate che il Pirata, (o l Hacker) è un fantasma. Può non esistere come eseguire una sofisticatissima tecnica di DOPPELGAENGER ed essere due cose distinte al tempo stesso.

7 GESTIONE DEI NOMI REALM La faccenda si complica, ma diventa più gustosa Cosa c è a questo mondo che ci portiamo appresso come una piaga che ci affligge da millenni? Ebbene si, l incomprensione tra i popoli. Niente discorsi filosofici e alchimie strane di pensiero, ma Kerberos, dovrete imparare ad assaporarlo lentamente L analogia vista sopra usatela come uno schema, ne avrete bisogno. Entriamo ora nel vivo. Abbiamo visto prima i REALM che altro non sono che dislocazioni Kerberos sparse geograficamente e non, ma che appartengono ad un unica grande rete. Ok, ma come parlano tra loro? Vediamo bene quali sono i nomi assegnati per far si che i REALM non entrino in conflitto tra loro. Ci sono 4 diversi modi per assegnare nomi REALM, e sono: Domain Aspetto apparente sullo stile UNIX. Possono contenere i punti. Come separatori di nomi. I nomi non contengono MAI i caratteri : e /. X.500 Contengono sempre il segno di uguale = ma assolutamente mai il carattere due punti : prima del segno uguale =. Questo tipo di REALM, è la rappresentazione dei nomi componenti separati dalle barre / Mai barre iniziali e finali. Other MAI caratteri di segno uguale = o punto. Iniziale. La struttura è fatta in modo che al nome segua sempre il segno due punti : seguito dal seguito del nome. A questo stile di REALM, Internic assegna un prefisso standard. Reserved Questa categoria di REALM è, lo dice il nome, riservata, ed è l ultima possibilità considerata in caso esistano motivi per i quali non si possa utilizzare lo stile OTHER. Schema riassuntivo delle assegnazioni dei nomi: MODO o STILE ASSEGNAZIONE DEI NOMI Domain Host.subdominio.dominio X.500 C=US/O=OSF Other NOME:resto/seguito.nome=nessuna-restrizione Reserved Riservato, non da conflitti con gli altri modi Realm I PRINCIPAL DI KERBEROS Cos è il Principal? Semplice, il Principal può identificare un utente della rete Kerberos o un servizio a cui assegnare le credenziali di accesso alle risorse. Il nome di un Principal è strutturato nel seguente modo: PRIMARY = Equivale al nome dell utente o del servizio INSTANCE = Equivale alla qualifica di un utente Prima di proseguire vi farò uno schema che riassume i nomi definiti dal protocollo Kerberos, altrimenti ora andate in palla TIPI DI NOME VALORE DEFINIZIONE NT-UNKNOWN 0 Non identificato NT-PRINCIPAL 1 Identifica server/client e servizi in modo univoco NT-SRV-INST 2 Servizi e istanze univoche o ticket per la richiesta di ticket NT-SRV-HST 3 Denota un servizio con un nome host per istanza NT-SRV-XHST 4 Servizio host per i componenti non rientranti in altre categorie NT-UID 5 ID univoco

8 E importante ricordare che Kerberos definisce solo un numero limitato di Principal, e il riconoscimento di essi è dato dall assegnazione dei nomi. I nomi vengono assegnati in base ad una logica ferrea: ad esempio, al tipo di nome NT-SRV-HST sarà sempre associato un servizio con un nome Host come istanza. ANALISI DETTAGLIATA DEL TICKET Ora passiamo alla descrizione dettagliata dei Ticket di Kerberos. Ogni Ticket contiene dei FLAG con delle istruzioni ben precise che Kerberos attiva o disattiva in base alle necessità del client. Vediamo nel dettaglio: Flag di richiesta Ticket Flag INITIAL Il FLAG INITIAL segnala che il Ticket in cui è contenuto, è stato creato da un server di autenticazione e che il server non ha ancora avviato la procedura di creazione del ticket per la creazione di un ticket di validazione di sessione. Questo Flag viene utilizzato quando un server vuole richiedere al client la chiave di sessione. In questo caso il server richiede a Kerberos che venga attivato il Flag INITIAL per verificare che il client abbia ricevuto la chiave univoca nella sessione corrente. Quindi, il ticket viene inviato con protocollo AS e non servendosi di un Ticket-Granting. Un po come dire a Kerberos: Il client ha la chiave per questa sessione? Flag Pre-Autenticati In questo caso, i Flag sono due: PRE-AUTHENT e HW-AUTHENT. Questi due Flag danno al server altre specifiche sulla prima autenticazione anche se il server imputato ha già rilasciato il ticket di avvio sessione. In questo modo, il server è in grado di capire se il ticket è stato prodotto in modo diretto oppure, se il ticket è stato creato in risposta a un ticket per la richiesta di ticket. Nel primo caso abbiamo all interno del ticket anche il Flag INITIAL, mentre nel secondo caso il Flag INITIAL è associato al valore 0. Ticket con Flag INVALID Quest altro Flag denota un ticket non valido, che verrà scartato dal server. Il server di autenticazione rilascia sempre ticket postdatati, quindi a questo punto, il server di autenticazione deve convalidate il ticket INVALID per far si che il client possa utilizzare il ticket. Sino a che il ticket è INVALID, rimane solo un semplice ticket di richiesta perso nella rete senza meta, questo per farvi capire quanto sia sospettoso Kerberos. Ora il client deve convalidare il ticket INVALID rilasciandolo al server di autenticazione con inserita l opzione VALIDATE. Ora, il punto è che il server non convalida il ticket se il tempo di validità non è ancora iniziato. Esempio: Il Ticket riporta l ora di inizio validazione alle ore 16:30. Al server arriva alle ore 16:29. Il Ticket non viene autenticato. E ovvio che il pacchetto non rimane latitante per la rete per un minuto, si parla in realtà di un paio di secondi al massimo. Il fatto è che Kerberos è stato programmato anche per capire se quel pacchetto che gli viene inoltrato è in realtà un Ticket catturato da un aggressore tempo prima e poi inviato a Kerberos per ottenere le credenziali di accesso alle risorse. E inutile che sincronizzate gli orologi, fa fede anche la data. Ticket Rinnovabili Esistono alcune applicazioni di rete che richiedono un lungo periodo di conservazione dello stesso Ticket di validazione della sessione. Però pensiamoci bene Più il Ticket ha una durata estesa e più la possibilità di intercettazione del ticket da parte di un pirata diventa più pericolosa. Lo stesso ticket potrebbe esser riutilizzato così come è nato per appropriarsi delle chiavi di sessione e quindi prender possesso delle risorse del sistema. Ma c è un altro problema. I Ticket di durata molto limitata aumentano il possibile danno alla sicurezza rispetto a ticket di lunga durata. Vi spiego perché. E un po come se noi volessimo utilizzare la nostra carta di credito per fare acquisti su internet. Il rischio di intercettazione del numero della nostra carta aumenta mano a mano che noi la utilizziamo Quindi cosa succede? Che se noi utilizziamo sempre Ticket a breve scadenza, dobbiamo ripetere la richiesta di accesso alle risorse ogni volta che terminiamo una sessione.

9 Questo espone le nostre chiavi di riconoscimento a oltranza e le rende possibilmente intercettabili. A questo proposito, per ovviare al problema, si utilizzano i Ticket Rinnovabili. I Ticket Rinnovabili hanno due scadenze, la prima viene utilizzata quando scade l istanza del ticket in uso. La seconda da la possibilità di rinnovare il ticket. In questo modo viene attivata l opzione RENEW del ticket rinnovabile, ma questo solo prima che scada la copia del ticket, altrimenti questo non verrà rinnovato. Quando il server devo rinnovare il ticket, altro non fa che creare un nuovo tiket contenente una nuova chiave di sessione con una nuova data di scadenza. Il ticket morirà solo quando verrà raggiunta l ultima data di scadenza. C è dell altro Kerberos può essere configurato in modo da poter accedere a un data-base contenente tutti i ticket non più validi o che sono stati sniffati/rubati. In caso venga riscontrato un ticket precedentemente catturato da un utente non autorizzato, il server bloccherà immediatamente il rinnovo del ticket. Ticket Postdatati I Ticket Postdatati sono particolari Ticket che vengono utilizzati in quei casi in cui un determinato software di rete richiede un utilizzo dopo un tot di tempo, ad esempio accodamenti in fase di stampa o funzioni che verranno utilizzate dopo qualche tempo in automatico. Il problema è che questi ticket sono soggetti più di altri a sniffing Questi in realtà sono dei Ticket per la richiesta di ticket che hanno bisogno di una convalida dal server per essere instradati verso la solita procedura. Mettiamo il caso che qualcuno riesca a filtrare un ticket postdatato, il server non convaliderà la richiesta. C è da ricordare che i server di servizio non sono in grado di convalidare tali ticket. Solo il server di autenticazione può farlo. Le funzioni a basso livello sono semplici: il client invia un ticket di richiesta contenente il Flag MAY-POSTDATE e viene attivata la funzione ALLOW-POSTDATE. Al verificarsi della richiesta, il server di autenticazione convalida il ticket per la richiesta di ticket e invia la chiave di sessione al client. Ci vuole lo schema: CLIENT Richiesta Ticket postdatato SERVER 01/02/2002 ore 14:00 DI AUTENTICAZIONE CLIENT Ticket postdatato SERVER 02/02/2002 ore 16:00 DI AUTENTICAZIONE 3. Ticket di Accesso (2)

10 CLIENT Ticket postdatato (1) SERVER 02/02/2002 ore 16:00 DI AUTENTICAZIONE Ticket di accesso Alle risorse (3) Ticket di accesso OK (2) SERVER DI SERVIZIO L intestazione Flag MAY-POSTDATE non da la possibilità di richiedere più di un ticket postdatato per sessione, e quindi, niente nuovi ticket postdatati per altre sessioni. Ticket RENEWABLE Esiste inoltre l opzione RENEWABLE. Questo tipo di Flag del Ticket contiene due tipi di scadenza. Il primo è il tempo di scadenza associato al Ticket singolo, mentre il secondo corrisponde al tempo massimo in cui il Ticket potrà essere rinnovato. Questa è un altra tecnica che dovrebbe far si che un pirata non possa utilizzare il pacchetto intercettato. Ticket POSTDATED C è da dire che questa opzione viene spesso dimenticata o addirittura tolta dal protocollo. Errore! Vi spiego perché. Il POSTDATED indica che il ticket è stato postdatato dal server di autenticazione. All interno del POSTDATED risiede il campo AUTHTIME che denota in modo inequivocabile quando è stata dichiarata l autenticazione originale. Esiste una variabile che regola una certa flessibilità di accettazione da parte del server di atenticazione che fa in modo di calcolare un minimo e un massimo di margine per l accettazione del ticket postdatato. Quando questa certificazione è fuori dai tempi flessibili il server di autenticazione emette un ticket INVALID obbligando il client a inoltrare un ticket a Kerberos per una convalida. Ora, vi lascio immaginare cosa potrebbe accadere se un pirata avesse la possibilità di intercettare un ticket postdatato e di utilizzarlo travestendosi da client Ticket PROXYABLE e PROXY Su questo, si potrebbe parlare per ore.. Alla fine di questa guida, probabilmente tornerete in questo punto e inizierete a ragionare Ticket PROXYABLE, il ticket che assume diverse identità per eseguire operazioni associate a un servizio anziché a un Principal. E il Principal che, a seconda delle necessità, fa eseguire un operazione a un servizio. In questo modo, al servizio viene associata un identità diversa, e per la precisione, l identità del Principal che ne ha richiesto l operazione. Ora, di norma solo il server che autentica i ticket può riconoscere il Flag PROXYABLE, mentre i server di applicazioni e servizi, a seconda delle loro impostazioni, possono accettare o ignorare il Flag PROXYABLE. Il comportamento di questo Flag permette al server di autenticazione di produrre un ticket nuovo con un indirizzo IP

11 diverso sempre basandosi sul ticket pervenuto dalla richiesta (N.B.). A questo punto il meccanismo è basato su sequenze che possono, con alcuni accorgimenti, diventare potenzialmente dannosi per la sicurezza. Le impostazioni di default di Kerberos permettono di attivare questo Flag (Proxyable) all interno del ticket per la richiesta di ticket. Questo procedimento ci permetterà di oltrepassare un Proxy (che può essere sotto controllo sniffer, da non dimenticare!) per raggiungere un server facendo sì, che questo esegua una richiesta in remoto al posto suo. Questa funzione è motivo di disputa fra i vari Admin che bene o male, possono fare in modo che questa procedura sia possibile o meno. D altra parte, è abbastanza rischioso far si che un computer assuma l identità di un altro Immaginiamo di riuscire a spoofarci e assumere l identità di una macchina di una rete Kerberos. Assumiamo potenzialmente il controllo dell intera rete. Ricordo ancora che la struttura Kerberos si basa su una gerarchia, quindi a strati. E possibile in questo modo, accedere a diversi strati della rete in modo ciclico senza nessun problema. L impostazione naturalmente, è equivalente su tutti i computer della rete e quindi non troverete mai disabilitati servizi per l uso di Flag su una macchina e su altre no. Il fatto è che con questa tecnica, abbiamo già assunto due diverse identità di cui una fantasma. In rete i nostro IP apparirà come un normale indirizzo IP di rete, ma allo stesso tempo, potremo assumere diverse identità di volta in volta utilizzando pacchetti contenenti Flag PROXYABLE. Non cantate vittoria Perché per questo problema esistono contromisure difficilmente valicabili (difficile non significa impossibile). In caso vengano rubate delle credenziali, Kerberos non certifica (e quindi non da accesso) a ticket che contengono indirizzi di rete non specificati nel ticket. Ma per questo abbiamo già visto che è possibile assumere una diversa identità Attenzione! LA RICHIESTA O L INOLTRO DI TICKET SENZA INDIRIZZI DI RETE E PERO CONSENTITA IN MOLTI CASI. Per il resto, a voi le conclusioni Ticket INOLTRABILI Questi Ticket sono simili ai Ticket PROXYABLE, ma con una piccola differenza. Il server di autenticazione può in questo caso inoltrare Ticket per la richiesta di Ticket con indirizzi di rete diversi (N.B.). Questo tipo di Ticket viene utilizzato quando vi è un accesso remoto alla rete, cioè quando le richieste in remoto devono essere eseguite come se avvenissero in locale. Questo vi fa capire che il Ticket inoltrabile o FORWARDABLE associa al servizo la completa identità del client. E comunque da dire che le impostazioni di default dei ticket, non contengono il flag FORWARDABLE. Questo flag deve essere attivato selezionando l opzione FORWARDABLE delle richieste KRB_nome del server di autenticazione_req. RENEWABLE-OK ENC-TGT-IN-SKEY RENEW-TILL Queste che vedete qui sopra (RENEWABLE-OK, ENC-TGT-IN-SKEY e RENEW-TILL) sono due opzioni che possono essere aggiunte ad una richiesta al server di autenticazione. RENEWABLE-OK e ENC-TGT-IN-SKEY Questa opzione specifica che in qualsiasi caso, se il server di autenticazione non può inviare ticket con una sessione della durata richiesta (perché supera un tot di tempo prestabilito), il client dovrà automaticamente accettare un ticket RENEWABLE, appunto, modificato nel flag RENEWABLE-OK. RENEW-TILL Questa opzione nel flag permette al client di avere un accesso alla sessione anche se la durata di sessione richiesta supera quella reimpostata. Il valore assegnato a questa opzione del flag è variabile. IL DATA BASE KERBEROS Il data base di Kerberos è una parte delicata, è il cuore. All interno del data base sono contenuti tutti i dati più importanti, motivo per il quale fa molta gola ad un Cracker All interno di questo Database sono conservate tutte le chiavi e gli identificatori delle macchine collegate alla rete Kerberos. Questo Database non deve necessariamente risiedere sul server di autenticazione, può quindi

12 anche essere conservato su un altra macchina a patto però che questa macchina sia totalmente raggiungibile da Kerberos. Per non causare rallentamenti, o spiacevoli inconvenienti, il server di autenticazione non dovrebbe mai trovarsi di fronte ad un impedimento fisico o software nell attingere informazioni a questa macchina. Il più delle volte che viene utilizzato questo metodo, il server Kerberos è collegato in modo diretto alla macchina che conserva il database. Questo metodo non è privo di lati positivi come di quelli negativi. Ad esempio, se noi vogliamo collegare una macchina contenente il database direttamente a Kerberos, non sarebbe una cosa sbagliata utilizzare una seconda scheda di rete. In certi casi ho riscontrato macchine di questo tipo collegate in modo diretto al server di autenticazione attraverso l unica scheda di rete. Da qui in poi ne seguiva un collegamento a cerchio (anziché a stella). Da qui vi lascio capire da soli che ovviamente il computer contenente il database era facilmente accessibile e oltremodo sniffabile. Utilizzando una seconda scheda di rete potremo assegnare un indirizzo IP e un Subnet differente dalla rete Kerberos in modo da poter gestire due diversi processi separati su due reti differenti. Un auditing della rete sarà molto più difficile in questo modo. Anche una volta trovati tutti i computer client collegati alla rete, e potendo quindi sostituirsi fisicamente a un client della rete Kerberos, avremo le nostre difficoltà a risalire all indirizzo IP della macchina contenente il database Kerberos. Per la cronaca: la procedura delle due schede di rete si è cominciato solo di recente ad utilizzarla, prima era molto difficile, forse un caso su 100 Ma veniamo ora al contenuto del famigerato Database di Kerberos Prima di tutto si deve dire che il database di Kerberos è un file sia di lettura che di scrittura. Durante l accesso a tal file, Kerberos aggiunge e toglie record dai vari campi che compongono il database. Cosa importante da far notare, è anche la possibilità di cambiare e modificare le chiavi di un server di applicazioni, ma ricordiamoci che questa operazione non può assolutamente essere effettuata durante una sessione aperta con il server a cui noi vorremo cambiare le chiavi. La cosa è abbastanza ovvia, ma credo sia un bene ribadire i concetti due volte in più che due volte in meno Quindi, se il dialogo è attivo fra i due server, dovremo aspettare che la sessione sia chiusa e quindi scadano tutti i Ticket validi per quella sessione. Così, se invece un Principal ha più di una sessione aperta troveremo diversi record nel database, la procedura è la solita, si attende lo scadere della sessione e si procede con la modifica delle chiavi. LE VOCI DEL DATABASE All interno del database di Kerberos, troviamo 5 chiavi principali, o se preferiamo, richiami DB delle applicazioni di rete. Analizziamole una a una: NAME Questo campo contiene gli indicatori dei Principal KEY Questo campo contiene le chiavi crittografiche dei Principal. Può essere criptata utilizzando la chiave Master di KERBEROS. Operazione solitamente utilizzata per difendere dalla fuga di notizie il database. P_KVNO Versione della chiave dei Principal MAX_LIFE In questo campo viene definita la durata massima del Ticket-Principal. Teniamo presente che la durata massima non dovrebbe mai essere troppo alta. Lo scopo è quella di rendere l accesso del Principal limitato ad una minor esposizione ad uno sniffing o a furto di Ticket. MAX_RENEWABLE_LIFE Come per il MAX_LIFE questo campo contiene la durata massima di vita del TICKET, ma in questo caso si parla di Ticket Rinnovabili. Anche questo valore dovrebbe essere tenuto piuttosto basso.

13 I CAMPI DI SCRITTURA Come detto prima, il database di Kerberos è soggetto sia a lettura, sia alla scrittura. Ad esempio, ci sono opzioni avanzate impostabili dai server di autenticazione che permettono la memorizzazione dei processi eseguiti nella negoziazione tra Server di autenticazione e Principal. Possono memorizzare le durate in termini di tempo delle sezioni, registrare i nomi delle richieste, se i ticket erano ticket per la richiesta di ticket ecc.. Ora vi farò una panoramica dei campi aggiuntivi contenuti nel server di autenticazione: K_KVNO Viene inserita la versione della chiave Master di Kerberos, che viene utilizzata per criptare le chiavi dei Principal. EXPIRATION Questo campo contiene ciò che dovrebbe essere eseguito in due processi separati. Solitamente qui viene rappresentata la data di scadenza di una determinata voce. Superata la data di scadenza, il server invia un pacchetto contenente un ERROR_REQ ad ogni client che tenta di ottenere le credenziali per accedere al Principal associato alla chiave scaduta. Come detto poche righe sopra, i due processi separati sono da associare all utilizzo di due scadenze: una per la scadenza della chiave e una per la scadenza della password, questo però solo nel caso in cui il database contenga il campo KEY_EXP. ATTRIBUTES In questo campo vengono svolte operazioni che controllano i Principal. MOD_DATE Inserisce i dati che determinano l ultima modifica delle voci MOD_NAME Qui viene registrato il nome dell ultimo Principal che ha eseguito l operazione di modifica. BONES, DES e un po di C/C++ Kerberos ha un piccolo punto debole (non solo questo, state tranquilli). Avete mai sentito parlare di BONES? In poche parole Bones è quello che fornisce l interfaccia API a Kerberos senza utilizzare crittografia. La struttura di Bones non contiene algoritmi di crittografia, ed è quindi facilmente ri-programmabile, modificabile, e cancellabile E possibile disattivare la crittografia DES dal codice sorgente di Kerberos, e trovarne i richiami all interno dei listati è abbastanza semplice. Sarà sufficiente cercare la costante #NOENCRYPTION per rilevare tutte le chiamate della crittografia DES. Esempio: #if!#noencryption { (Qui trovate le chiamate e/o l algoritmo DES) Ricordiamo che se le chiamate sono vere (TRUE) la funzione di crittografia non viene eseguita. } Conclusioni: BONES è la brutta (orrenda) copia di Kerberos, ma ad un software di rete, esso apparirà come un Kerberos. Ma cosa molto importante, non utilizzerà il metodo di crittografia DES e quindi, la sicurezza è praticamente inesistente. L utilità di Bones: Quando abbiamo la necessità di utilizzare software di rete che necessitano di essere ingannati, cioè dobbiamo fare in modo che il software pensi di trovare Kerberos, quando in realtà Kerberos non c è. KERBEROS V5 Diciamo un paio di parole sui nuovi KERBEROS, si perché Kerberos si è evoluto (come tutto il resto dell informatica naturalmente) ed ora siamo alla versione n 5.

14 Quindi, facciamo una breve panoramica sul nuovo KERBEROS.. Non spaventatevi! Quello che avete letto sino ad ora non è stato tempo sprecato, anzi! I Fondamenti di KERBEROS sono e rimarranno sempre gli stessi. Ma veniamo al sacrosanto dunque Quello che leggerete ora l ho praticamente 2preso dall indirizzo: er/help/sag_seconceptsunauthkerb.htm e visto che era lì, scritto e bello comodo da copiare :D eccolo: Autenticazione Kerberos V5 Kerberos V5 rappresenta il principale protocollo di protezione per l'autenticazione in un dominio. Esso verifica l'identità dell'utente e dei servizi di rete. Questa duplice verifica viene definita anche autenticazione reciproca. Funzionamento del protocollo Kerberos V5 Il meccanismo di autenticazione Kerberos V5 rilascia dei ticket per consentire l'accesso ai servizi di rete. Questi ticket contengono dati crittografati, compresa una password crittografata, che conferma l'identità dell'utente al servizio richiesto. Ad eccezione dell'immissione di credenziali quali la password o la smart card, l'intero processo di autenticazione risulta invisibile all'utente. Un importante servizio offerto dal protocollo Kerberos V5 è il Centro distribuzione chiave (KDC, Key Distribution Center) Il KDC viene eseguito in ciascun controller di dominio come parte di Active Directory, che memorizza tutte le password dei client e altre informazioni sugli account. Il processo di autenticazione Kerberos V5 funziona come segue: 1. L'utente che si trova in un sistema client ottiene l'autenticazione al KDC utilizzando una password o una smart card. 2. Il KDC rilascia al client uno speciale ticket di concessione ticket (TGT, Ticket- Granting Ticket) Il sistema client utilizza questo TGT per accedere al servizio di concessione dei ticket (TGS, Ticket-Granting Service), che fa parte del meccanismo di autenticazione Kerberos V5 nel controller di dominio. 3. Il servizio TGS rilascia quindi al client un ticket di servizio 4. Il client presenta questo ticket al servizio di rete richiesto. Con il tagliando di servizio viene verificata l'identità dell'utente al servizio e l'identità del servizio all'utente. Per ulteriori informazioni sull'autenticazione del protocollo Kerberos V5, fare riferimento al Windows 2000 Resource Kit (informazioni in lingua inglese). Kerberos V5 e i controller di dominio I servizi Kerberos V5 vengono installati in ciascun controller di dominio e il client Kerberos viene installato in ogni workstation e server di Windows Ogni controller di dominio funge da KDC. Un sistema Windows 2000 utilizza una ricerca DNS (Domain Name Service) per individuare il controller di dominio più vicino. Tale controller di dominio funziona quindi come KDC preferito per tale utente durante la sessione di accesso. Se il KDC preferito non è più disponibile, il sistema Windows 2000 individuerà un altro KDC per fornire l'autenticazione. Delega dell'autenticazione La delega dell'autenticazione è un privilegio che un amministratore può garantire a un account utente o di computer. In base all'impostazione predefinita, questo privilegio viene assegnato solo agli amministratori di dominio. Tale privilegio deve essere assegnato in modo selettivo ai servizi che è possibile considerare attendibili. In un'applicazione di N livelli l'utente ottiene l'autenticazione a un servizio di livello intermedio. Questo servizio a sua volta ottiene l'autenticazione a un server di dati back-end per conto dell'utente. La delega dipende dal servizio di livello intermedio trusted per la delega. Trusted per la delega significa che il servizio può rappresentare un utente per utilizzare altri servizi di rete. Interoperabilità Kerberos V5 Windows 2000 supporta due tipi di interoperabilità Kerberos V5:

15 È possibile stabilire una relazione di trust tra un dominio e un'area di autenticazione Kerberos MIT. Questo significa che un client che si trova in un'area di autenticazione Kerberos può ottenere l'autenticazione a un dominio Active Directory per accedere alle risorse di rete in tale dominio. All'interno di un dominio i client e i server UNIX possono disporre di account Active Directory e di conseguenza ottenere l'autenticazione da un controller di dominio. Per ulteriori informazioni sull'interoperabilità tra le versioni MIT del protocollo Kerberos e le implementazioni di Windows 2000 di tale protocollo, fare riferimento al Windows 2000 Resource Kit. <<<[ Spero che vi sia stato chiaro ]>>> ***I PUNTI DEBOLI DI KERBEROS *** IL DOPPELGAENGER SU KERBEROS Avete presente quando si parla tra amici e ad un certo punto, tutti e due siete convinti di aver visto la stessa identica persona in due posti diversi lontani fra loro, alla stessa ora, lo stesso giorno? Nella realtà, forse, questo tipo di esperienze le possiamo spiegare in modo piuttosto semplice con somiglianze o altro Ma a livello informatico, noi possiamo essere più unità distinte sulla rete? Certo che è possibile. A questo punto, urge una premessa Questa tecnica, non so nemmeno se l ho creata io, forse qualcuno prima di me l ha già sperimentata con successo o meno, resta il fatto che in giro per la rete non vi è traccia di una tecnica simile, e ormai sono circa 5 anni che la uso ;-) Il problema è che non posso allargarmi più di tanto su questo argomento dato che se lo facessi, stavolta finisco in galera fino alla 100 generazione, se non decidono invece di eliminarmi fisicamente da questa valle di lacrime prima Come avrete notato, nelle pagine precedenti ho calcato un po la mano in alcuni punti.. spero abbiate recepito i messaggi subliminali ^_^ Ma torniamo a noi.. DOPPELGAENGER è una parola tedesca che significa sdoppiamento. Lo sdoppiamento, non è detto che sia per forza di cose un unico doppio. Il doppio può essere anche quadruplo (estremamente difficile, praticamente quasi impossibile, ho detto QUASI ). Su questa tecnica potrei scrivere un libro di 1000 pagine, ma non è il caso. Inoltre, è una tecnica applicabile a tutti i sistemi, e non solo a KERBEROS. E applicabile a reti promiscue, e multi protocollo. Altra cosa, con questa tecnica (altrimenti, o vi verrà spontanea la domanda, o non capirete) secondo voi è possibile avere più di un indirizzo IP dinamico allo stesso tempo? Risposta: SI. A questo punto immagino che corriate subito all indietro di questa guida alla ricerca di quei punti un po più calcati Fate con comodo, studiate Però ora è giusto entrare nei dettagli più importanti, e cioè definire chiaramente i veri e propri punti deboli di KERBEROS. Come sappiamo, KERBEROS opera sui Ticket e sulle certificazioni dei computer che interagiscono con lui nella rete. Su questa procedura esiste la possibilità per un pirata di inserirsi all interno della rete KERBEROS spoofandosi facendosi credere un client della rete. Una volta abbattuta questa barriera, la rete KERBEROS è completamente in balia del pirata. Ma come avviene questo? Il tutto avviene tramite intercettazione dei pacchetti. Un pirata può filtrare i pacchetti che circolano sulla rete e estrapolare il contenuto di un Ticket. Ora sorgerà spontanea la domanda: ma come faccio a sniffare su una rete remota? Ok, domanda molto pertinente Ma l argomento è estremamente vasto. Vi darò le dritte per procurarvi comunque le informazioni giuste. Prima di prendere possesso di una rete, il pirata deve per forza di cose prendere possesso di almeno un computer della rete. Per questo tipo di attacco vengono utilizzate le Back Door, Non vi sto a spiegare cosa sono le Back Door, perché spero sappiate cosa siano se non lo sapete, deduco che almeno i 9/10 di questa guida non l avete capita Torniamo a noi. Le Back Door permettono di prendere possesso della macchina e da questo cosa se ne deduce? Semplice, il pirata a questo punto potrebbe benissimo installare uno sniffer

16 di rete invisibile all utente reale della workstation. Esistono sniffer in C/C++ programmati appositamente per sniffare determinati pacchetti, ad esempio quelli contenenti all interno dei pacchetti le intestazioni PASSWORD, ARP, ICMP_PROTOCOL, ecc In questo modo, una volta installato lo sniffer, avremo la possibilità di accedere senza problemi ai log file generati dallo sniffer. All interno troveremo tutti i pacchetti catturati con tutte le informazioni che cerchiamo e i più bravi potranno riutilizzare il pacchetto riscrivendone il codice. Da qui in poi sta a voi.. ^_^ Esiste un secondo metodo per utilizzare i pacchetti catturati ed è quello di riutilizzarli subito, entro 5 minuti (il TIMESTAMP, tempo programmato dopo il quale il server di autenticazione non accetta più il ticket). Ovviamente, ricevendo tale ticket per tempo, il server di autenticazione vi darà accesso alle risorse. Altro bel problema di KERBEROS è che è possibile decodificare la risposta che uno dei server KERBEROS ha inviato a un Principal mettendolo sotto torchio usando Brute Force alla ricerca della chiave privata rilasciata. Se siete oltremodo interessati ai BUGS di KERBEROS, eccovi alcuni link: mentre se avete la necessità di configurare un sistema KERBEROS in ambiente NT, un ottimo manuale lo trovate direttamente a questo indirizzo: Come avrete certamente capito, Kerberos, non è un sistema estremamente sicuro. Al massimo, Kerberos permette di definire soltanto alcuni computer dei quali la sicurezza può essere garantita in modo più robusto rispetto ad altri, ma nulla di più. Kerberos rimane comunque uno dei protocolli più utilizzati specialmente all interno di reti governative. Riassumendo i principi di Kerberos, potremmo dire che: - Solo una macchina è da considerare veramente sicura, ed è il Server centrale, il cuore, KERBEROS, o server di autenticazione. Alcuni server della rete KERBEROS sono semi-sicuri, gli altri sono considerati computer NON sicuri, pur facendo parte della stessa rete. - L accesso dei server viene controllato tramite Ticket - Kerberos utilizza 6 tipi di Ticket, questi sono: INITIAL, RENEWABLE, POSTDATED, INVALID, PRE-AUTENTICATE, FORWARDABLE. - Kerberos utilizza i nomi REALM per definire reti geografiche o locali anch esse utilizzanti il protocollo Kerberos. Ragazzi, siamo alla fine. Spero che questa guida vi possa servire a qualcosa, almeno per capire come funziona il protocollo Kerberos Pensavo di inserire qui anche degli esempi e dei capture di alcuni ticket sniffati, ma a dire il vero, sono troppo ansioso di pubblicare questa guida ^_^ In ogni caso prevedo un update di questa guida dove spiegherò nel dettaglio la programmazione a basso livello di Kerberos, e tutta un altra serie di cose molto tecniche simpatiche simpatiche Per il resto che dirvi? Siate prudenti, non commettete atti criminali a sistemi informatici e soprattutto non siate Lamer. L hacking non è un crimine, l hacking è studiare, e mettere in pratica in continuazione le proprie conoscenze, alla ricerca della perfezione. Ora vi saluto!!! Alla prossima. [JARRET] +++

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

Windows XP - Account utente e gruppi

Windows XP - Account utente e gruppi Windows XP - Account utente e gruppi Cos è un account utente In Windows XP il controllo di accesso è essenziale per la sicurezza del computer e dipende in gran parte dalla capacità del sistema di identificare

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Manuale. Gestione biblioteca scolastica by Rosset Pier Angelo is licensed under a Creative Commons

Manuale. Gestione biblioteca scolastica by Rosset Pier Angelo is licensed under a Creative Commons Manuale Gestione biblioteca scolastica by Rosset Pier Angelo is licensed under a Creative Commons Premessa Gestione Biblioteca scolastica è un software che permette di gestire in maniera sufficientemente

Dettagli

Sistemi avanzati di gestione dei Sistemi Informativi

Sistemi avanzati di gestione dei Sistemi Informativi Esperti nella gestione dei sistemi informativi e tecnologie informatiche Sistemi avanzati di gestione dei Sistemi Informativi Docente: Email: Sito: Eduard Roccatello eduard@roccatello.it http://www.roccatello.it/teaching/gsi/

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

V 1.00b. by ReBunk. per suggerimenti e critiche mi trovate nell hub locarno.no-ip.org. Guida di base IDC ++1.072

V 1.00b. by ReBunk. per suggerimenti e critiche mi trovate nell hub locarno.no-ip.org. Guida di base IDC ++1.072 V 1.00b by ReBunk per suggerimenti e critiche mi trovate nell hub locarno.no-ip.org Guida di base IDC ++1.072 Thanks To SicKb0y (autore del idc++) staff (per sopportarmi tutti i giorni) Versione definitiva

Dettagli

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on Antonio Mattioli Seminario G@SL 5/12/2006 Windows Single Sign-on Cos è il Single Sing-on? Il Single sign-on è una speciale forma di autenticazione che permette ad un utente di autenticarsi una volta sola

Dettagli

Introduzione ad Active Directory. Orazio Battaglia

Introduzione ad Active Directory. Orazio Battaglia Introduzione ad Active Directory Orazio Battaglia Introduzione al DNS Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Dettagli

Come creare una rete domestica con Windows XP

Come creare una rete domestica con Windows XP Lunedì 13 Aprile 2009 - ore: 12:49 Pagina Reti www.google.it www.virgilio.it www.tim.it www.omnitel.it Come creare una rete domestica con Windows XP Introduzione Una rete locale (LAN,

Dettagli

Local Area Network. Topologia di rete

Local Area Network. Topologia di rete Introduzione In questa guida illustreremo come installare un piccola rete domestica di 2 o più computer. Inizieremo spiegando velocemente cosa è una LAN e cosa ci serve per crearla, senza addentrarci profondamente

Dettagli

Presentazione. La guida è ben realizzata ed è ricca di immagini che aiutano la comprensione di diversi passaggi e delle configurazioni richieste.

Presentazione. La guida è ben realizzata ed è ricca di immagini che aiutano la comprensione di diversi passaggi e delle configurazioni richieste. Presentazione L amico e bravo Guido G. è l'autore di questa bella e semplice guida per la realizzazione di una rete VPN, che potrebbe essere utile a molte persone. Ringrazio Guido che ha voluto mettere

Dettagli

Consulenza Informatica =======================================================================

Consulenza Informatica ======================================================================= E' oramai da più di un anno che Microsoft ha cominciato a distribuire e commercializzare Windows Server 2008, l ultimo sistema operativo per l ambiente server, così come sicuramente tanti altri tecnici

Dettagli

INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA

INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA Questa vuole essere una breve tutorial su come installare Joomla su uno spazio Web gratuito, in particolare faremo riferimento ai sottodomini gratuitamente

Dettagli

Implementare i Read Only Domain Controller

Implementare i Read Only Domain Controller Implementare i Read Only Domain Controller di Nicola Ferrini MCT MCSA MCSE MCTS MCITP Introduzione I Read Only Domain Controller (RODC) sono dei domain controller che hanno una copia in sola lettura del

Dettagli

Carta Multiservizi REGIONE BASILICATA

Carta Multiservizi REGIONE BASILICATA MANUALE OPERATIVO Outlook Firma Digitale e crittografia dei messaggi (e-mail) Firmare e cifrare una e-mail con la carta multiservizi. Per firmare digitalmente un'e-mail occorre: 1. Installare il certificato

Dettagli

NGM Area Privè Summary

NGM Area Privè Summary Area Privè Summary Installazione e accesso... 3 Foto... 4 Video... 4 Messaggi... 5 Contatti privati... 5 Registro chiamate... 8 Dati personali... 8 Tentativi di accesso... 9 Impostazioni... 9 Ripristino

Dettagli

Innanzitutto andiamo sul sito http://www.dropbox.com/ ed eseguiamo il download del programma cliccando su Download Dropbox.

Innanzitutto andiamo sul sito http://www.dropbox.com/ ed eseguiamo il download del programma cliccando su Download Dropbox. Oggi parlerò di qualcosa che ha a che fare relativamente con la tecnica fotografica, ma che ci può dare una mano nella gestione dei nostri archivi digitali, soprattutto nel rapporto professionale con altre

Dettagli

L economia: i mercati e lo Stato

L economia: i mercati e lo Stato Economia: una lezione per le scuole elementari * L economia: i mercati e lo Stato * L autore ringrazia le cavie, gli alunni della classe V B delle scuole Don Milanidi Bologna e le insegnati 1 Un breve

Dettagli

Guida pratica all utilizzo di Zeroshell

Guida pratica all utilizzo di Zeroshell Guida pratica all utilizzo di Zeroshell Il sistema operativo multifunzionale creato da Fulvio.Ricciardi@zeroshell.net www.zeroshell.net Proteggere una piccola rete con stile ( Autore: cristiancolombini@libero.it

Dettagli

IMSV 0.8. (In Media Stat Virtus) Manuale Utente

IMSV 0.8. (In Media Stat Virtus) Manuale Utente Introduzione IMSV 0.8 (In Media Stat Virtus) Manuale Utente IMSV è una applicazione che calcola che voti può'prendere uno studente negli esami che gli mancano per ottenere la media che desidera. Importante:

Dettagli

Installare Windows Xp Guida scritta da CroX

Installare Windows Xp Guida scritta da CroX Installare Windows Xp Guida scritta da CroX INTRODUZIONE: 2 PREPARAZIONE 2 BOOT DA CD 2 BIOS 3 PASSAGGI FONDAMENTALI 4 SCEGLIERE COSA FARE TRA RIPRISTINO O INSTALLARE UNA NUOVA COPIA 5 ACCETTARE CONTRATTO

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Creazione Account PEC puntozeri su Outlook Express

Creazione Account PEC puntozeri su Outlook Express Creazione Account PEC puntozeri su Outlook Express In questa guida viene spiegato come creare un account di posta elettronica certificata per gli utenti che hanno acquistato il servizio offerto da puntozeri.it

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X In questa guida saranno analizzati i semplici passaggi per la messa in opera del motore di e-commerce LIDRASHOP. Prima però ecco alcuni accorgimenti

Dettagli

Client VPN Manuale d uso. 9235970 Edizione 1

Client VPN Manuale d uso. 9235970 Edizione 1 Client VPN Manuale d uso 9235970 Edizione 1 Copyright 2004 Nokia. Tutti i diritti sono riservati. Il contenuto del presente documento, né parte di esso, potrà essere riprodotto, trasferito, distribuito

Dettagli

SUPPORTO TECNICO AI PRODOTTI:

SUPPORTO TECNICO AI PRODOTTI: SUPPORTO TECNICO AI PRODOTTI: PROCEDURA INTEGRATA GESTIONE CONDOMINIO RENT MANAGER SERVIZIO DI ASSISTENZA CLIENTI - INSTALLAZIONE DELLA PROCEDURA SU ALTRE STAZIONI DI LAVORO - SOSTITUZIONE DEL SERVER O

Dettagli

Migrazione da Windows Server 2003 a Windows Server 2008 Scritto da: admin in data: maggio 27, 2009 12.27

Migrazione da Windows Server 2003 a Windows Server 2008 Scritto da: admin in data: maggio 27, 2009 12.27 Migrazione da Windows Server 2003 a Windows Server 2008 Scritto da: admin in data: maggio 27, 2009 12.27 E' oramai da più di un anno che Microsoft ha cominciato a distribuire e commercializzare Windows

Dettagli

Il DNS e la gestione degli indirizzi IP. Appunti a cura del prof. ing. Mario Catalano

Il DNS e la gestione degli indirizzi IP. Appunti a cura del prof. ing. Mario Catalano Il DNS e la gestione degli indirizzi IP Appunti a cura del prof. ing. Mario Catalano Indirizzi fisici e indirizzi astratti Ogni macchina all interno di una rete è identificata da un indirizzo hardware

Dettagli

Quando lanciamo il programma, ci si presenterà la maschera iniziale dove decideremo cosa vogliamo fare.

Quando lanciamo il programma, ci si presenterà la maschera iniziale dove decideremo cosa vogliamo fare. SOFTWARE CELTX Con questo tutorial cercheremo di capire, e sfruttare, le potenzialità del software CELTX, il software free per la scrittura delle sceneggiature. Intanto diciamo che non è solo un software

Dettagli

Ultr@ VNC: Guida (parte 1)

Ultr@ VNC: Guida (parte 1) Ultr@ VNC: Guida (parte 1) Vi presento la guida in italiano per l installazione e l utilizzo di Ultra VNC :http://ultravnc.sourceforge.net. Le potenzialità del programma ve le abbiamo già presentate :http://www.femetal.it/9/ultravncrecensione,

Dettagli

Installazione SQL Server 2005 Express Edition

Installazione SQL Server 2005 Express Edition Supporto On Line Allegato FAQ FAQ n.ro MAN-6S4ALG7637 Data ultima modifica 25/08/2010 Prodotto Tutti Modulo Tutti Oggetto Installazione SQL Server 2005 Express Edition In giallo sono evidenziate le modifiche/integrazioni

Dettagli

INTERNET EXPLORER Breve manuale d uso

INTERNET EXPLORER Breve manuale d uso INTERNET EXPLORER Breve manuale d uso INDICE INTRODUZIONE... 3 COME IMPOSTARE LA PAGINA INIZIALE... 3 LA WORK AREA... 3 LE VOCI DI MENU... 5 IL MENU FILE... 5 IL MENU MODIFICA... 6 IL MENU VISUALIZZA...

Dettagli

LAN. Coassiale Doppino Fibra ottica

LAN. Coassiale Doppino Fibra ottica LAN Il cablaggio Tralascio la stesa dei cavi, in quanto per tale operazione basta una conoscenza di base di elettricità e tanta pazienza. Passiamo invece al tipo di supporto da utilizzare per realizzare

Dettagli

Modulo 12. Cliente di posta elettronica Di cosa abbiamo bisogno per usare la posta elettronica?

Modulo 12. Cliente di posta elettronica Di cosa abbiamo bisogno per usare la posta elettronica? Pagina 1 di 14 Cliente di posta elettronica Di cosa abbiamo bisogno per usare la posta elettronica? L'obiettivo di questo approfondimento è imparare a configurare un cliente di posta elettronica. Come

Dettagli

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato Guida all installazione e all utilizzo di un certificato personale S/MIME (GPSE) Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale

Dettagli

MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com

MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com 15.03.2006 Ver. 1.0 Scarica la versione pdf ( MBytes) Nessuno si spaventi! Non voglio fare né un manuale

Dettagli

Certificati digitali: come navigare sicuri

Certificati digitali: come navigare sicuri Certificati digitali: come navigare sicuri La sicurezza sul Web è una delle preoccupazioni che maggiormente assilla (o dovrebbe assillare) gli utenti, soprattutto quando si effettuano operazioni delicate

Dettagli

Utilizzo del server SMTP in modalità sicura

Utilizzo del server SMTP in modalità sicura Utilizzo del server SMTP in modalità sicura In questa guida forniremo alcune indicazioni sull'ottimizzazione del server SMTP di IceWarp e sul suo impiego in modalità sicura, in modo da ridurre al minimo

Dettagli

INTERNET EXPLORER. Breve manuale d'uso

INTERNET EXPLORER. Breve manuale d'uso INTERNET EXPLORER Breve manuale d'uso INDICE INTRODUZIONE... 3 COME IMPOSTARE LA PAGINA INIZIALE...3 LA WORK AREA... 3 LE VOCI DI MENU... 5 IL MENU FILE... 5 IL MENU MODIFICA... 6 IL MENU VISUALIZZA...

Dettagli

Guida per i sistemi Windows (Compatibile con altri sistemi)

Guida per i sistemi Windows (Compatibile con altri sistemi) Formulario semplificato per l uso della posta elettronica in modo cifrato e semplice. Per inviare e ricevere messaggi di posta in tutta sicurezza in un ambiente insicuro. Guida per i sistemi Windows (Compatibile

Dettagli

Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress

Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress Copyright Andrea Giavara wppratico.com Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress 1. Il pannello amministrativo 2. I dati importanti 3. Creare il database - Cpanel - Plesk

Dettagli

Non ho idea se è la prima volta che vedi un mio prodotto oppure se in passato le nostre strade si sono già incrociate, poco importa

Non ho idea se è la prima volta che vedi un mio prodotto oppure se in passato le nostre strade si sono già incrociate, poco importa Benvenuto/a o bentornato/a Non ho idea se è la prima volta che vedi un mio prodotto oppure se in passato le nostre strade si sono già incrociate, poco importa Non pensare di trovare 250 pagine da leggere,

Dettagli

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica. Tecnologie informatiche ACCESSO REMOTO CON WINDOWS Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica. Un esempio di tale servizio

Dettagli

GUIDA ALLA RETE DOMESTICA: NETWORKING!

GUIDA ALLA RETE DOMESTICA: NETWORKING! GUIDA ALLA RETE DOMESTICA: NETWORKING Premessa: Questa guida è volutamente semplificata al fine di rendere più comprensibili e pratici molti concetti di networking. Molti particolari sono stati omessi,

Dettagli

Password di Administrator in Windows 2000, XP e NT

Password di Administrator in Windows 2000, XP e NT Password di Administrator in Windows 2000, XP e NT In questa guida impareremo a ottenere la password di Administrator in un sistema basato su Windows 2000 o XP. Materiale: PC vittima con Win 2000 o Xp

Dettagli

Questa scelta è stata suggerita dal fatto che la stragrande maggioranza dei navigatori usa effettivamente IE come browser predefinito.

Questa scelta è stata suggerita dal fatto che la stragrande maggioranza dei navigatori usa effettivamente IE come browser predefinito. Pagina 1 di 17 Installazione e configurazione di applicazioni Installare e configurare un browser Come già spiegato nelle precedenti parti introduttive di questo modulo un browser è una applicazione (lato

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

MDaemon e Outlook Connector for MDaemon

MDaemon e Outlook Connector for MDaemon MDaemon e Outlook Connector for MDaemon Introduzione...2 Cos'è il groupware...2 Che cosa significa groupware?...2 Cos è WorldClient...2 MDaemon e l evoluzione delle funzionalità groupware...3 Nuove funzionalità

Dettagli

SCOoffice Mail Connector for Microsoft Outlook. Guida all installazione Outlook 97, 98 e 2000

SCOoffice Mail Connector for Microsoft Outlook. Guida all installazione Outlook 97, 98 e 2000 SCOoffice Mail Connector for Microsoft Outlook Guida all installazione Outlook 97, 98 e 2000 Rev. 1.1 4 dicembre 2002 SCOoffice Mail Connector for Microsoft Outlook Guida all installazione per Outlook

Dettagli

License Service Manuale Tecnico

License Service Manuale Tecnico Manuale Tecnico Sommario 1. BIM Services Console...3 1.1. BIM Services Console: Menu e pulsanti di configurazione...3 1.2. Menù Azioni...4 1.3. Configurazione...4 1.4. Toolbar pulsanti...5 2. Installazione

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli

INSTALLAZIONE ed USO VUZE per DOWNLOAD FILE TORRENT

INSTALLAZIONE ed USO VUZE per DOWNLOAD FILE TORRENT INSTALLAZIONE ed USO VUZE per DOWNLOAD FILE TORRENT Questa guida vuole essere un breve tutorial su come installare VUZE sul proprio PC in modo da riuscire a scaricare i file torrent che troviamo su Internet.

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

La Document Orientation. Come implementare un interfaccia

La Document Orientation. Come implementare un interfaccia La Document Orientation Come implementare un interfaccia Per eliminare l implementazione di una interfaccia da parte di una classe o documento, occorre tirarla su di esso tenendo premuto il tasto ctrl.

Dettagli

HORIZON SQL CONFIGURAZIONE DI RETE

HORIZON SQL CONFIGURAZIONE DI RETE 1-1/9 HORIZON SQL CONFIGURAZIONE DI RETE 1 CARATTERISTICHE DI UN DATABASE SQL...1-2 Considerazioni generali... 1-2 Concetto di Server... 1-2 Concetto di Client... 1-2 Concetto di database SQL... 1-2 Vantaggi...

Dettagli

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico ICT Security n. 51, Dicembre 2006 p. 1 di 7 Da IDS a IPS Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico in tempo reale e della relazione tra Intrusion

Dettagli

Quaderni di formazione Nuova Informatica

Quaderni di formazione Nuova Informatica Quaderni di formazione Nuova Informatica Airone versione 6 - Funzioni di Utilità e di Impostazione Copyright 1995,2001 Nuova Informatica S.r.l. - Corso del Popolo 411 - Rovigo Introduzione Airone Versione

Dettagli

SecurityLogWatcher Vers.1.0

SecurityLogWatcher Vers.1.0 SecurityLogWatcher Vers.1.0 1 Indice Informazioni Generali... 3 Introduzione... 3 Informazioni in materia di amministratore di sistema... 3 Informazioni sul prodotto... 5 Installazione e disinstallazione...

Dettagli

MANUALE TECNICO D'USO ACTIVE DIRECTORY

MANUALE TECNICO D'USO ACTIVE DIRECTORY MANUALE TECNICO D'USO ACTIVE DIRECTORY partiamo dalle basi, dall'installazione del server, fino ad avere un active directory funzionante. TITOLO: Installazione Windows Server 2008 SCOPO: Creare una macchina

Dettagli

LEZIONE 5. Sommario LEZIONE 5 CORSO DI COMPUTER PER SOCI CURIOSI

LEZIONE 5. Sommario LEZIONE 5 CORSO DI COMPUTER PER SOCI CURIOSI 1 LEZIONE 5 Sommario QUINTA LEZIONE... 2 POSTA ELETTRONICA... 2 COSA SIGNIFICA ACCOUNT, CLIENT, SERVER... 2 QUALE CASELLA DI POSTA SCEGLIAMO?... 2 QUANDO SI DICE GRATIS... 3 IMPOSTIAMO L ACCOUNT... 3 COME

Dettagli

Kerberos - autenticazione centralizzata

Kerberos - autenticazione centralizzata - autenticazione centralizzata Iniziamo con Kerberos... Kerberos Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica

Dettagli

SERVIZIO PEC LINEE GUIDA

SERVIZIO PEC LINEE GUIDA SERVIZIO PEC LINEE GUIDA Pagina n. 1 Premessa:: LA POSTA ELETTRONICA CERTIFICATA E UN MEZZO DI TRASPORTO, VELOCE, SICURO E CON VALIDITA LEGALE. NON E UN METODO DI AUTENTICAZIONE DEI DOCUMENTI TRASMESSI.

Dettagli

Configurare una rete con PC Window s 98

Configurare una rete con PC Window s 98 Configurare una rete con PC Window s 98 In estrema sintesi, creare una rete di computer significa: realizzare un sistema di connessione tra i PC condividere qualcosa con gli altri utenti della rete. Anche

Dettagli

GUIDA ALLA CONFIGURAZIONE DI ZONE ALARM PERSONAL FIREWALL

GUIDA ALLA CONFIGURAZIONE DI ZONE ALARM PERSONAL FIREWALL GUIDA ALLA CONFIGURAZIONE DI ZONE ALAR M PERSONAL FIREWALL 6.1 Zone Alarm personal Firewall è la versione gratuita, per uso personale, del più completo Zone Alarm Pro, firewall prodotto da Zone Labs. Questa

Dettagli

Guida all installazione di METODO

Guida all installazione di METODO Guida all installazione di METODO In questo documento sono riportate, nell ordine, tutte le operazioni da seguire per una corretta installazione di Metodo. Per procedere con l installazione è necessario

Dettagli

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del Manuale utente presente nell ambiente del Servizio Telematico Doganale.

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del Manuale utente presente nell ambiente del Servizio Telematico Doganale. GUIDA RAPIDA versione 25 febbraio 2010 SERVIIZIIO TELEMATIICO DOGANALE Avvertenze: Questa guida vuole costituire un piccolo aiuto per gli operatori che hanno già presentato richiesta di adesione al servizio

Dettagli

SUBNET MASK. Classe A 255.0.0.0 Classe B 255.255.0.0 Classe C 255.255.255.0

SUBNET MASK. Classe A 255.0.0.0 Classe B 255.255.0.0 Classe C 255.255.255.0 SUBNET MASK In informatica e telecomunicazioni, nell'ambito delle reti di telecomunicazioni, la subnet mask o "maschera di sottorete" è il metodo utilizzato per definire il range di appartenenza di un

Dettagli

"DA QUI CI RISULTA CHE VA TUTTO BENE, E' COLPA DEL COMPUTER!"

DA QUI CI RISULTA CHE VA TUTTO BENE, E' COLPA DEL COMPUTER! PREMESSA: Eh, dovessi fatturare a Telecom tutte le volte che sono andato a vedere come mai internet non funziona da qualche cliente, per poi scoprire che... E' COLPA LORO! NIU ENTRI: a un certo periodo

Dettagli

I parte Disegnare ed elaborare le informazioni con il CAD

I parte Disegnare ed elaborare le informazioni con il CAD I parte Disegnare ed elaborare le informazioni con il CAD Jacopo Russo - SISTEMI di ELABORAZIONE delle INFORMAZIONI Creare ed utilizzare un computer virtuale Per rendere più agevole il nostro lavoro insieme,

Dettagli

GUIDA DELL UTENTE IN RETE

GUIDA DELL UTENTE IN RETE GUIDA DELL UTENTE IN RETE Memorizza registro di stampa in rete Versione 0 ITA Definizione delle note Nella presente Guida dell'utente viene utilizzata la seguente icona: Le note spiegano come intervenire

Dettagli

Progettare una Rete Locale "Client/Server

Progettare una Rete Locale Client/Server Progettare una Rete Locale "Client/Server Premessa - Cos'è una rete Locale o LAN (Local Area Network)? Le reti locali si estendono su di un'area geografica piuttosto limitata; si tratta per lo più di reti

Dettagli

Consiglio dell Ordine Nazionale dei Dottori Agronomi e Dottori Forestali Ministero della Giustizia

Consiglio dell Ordine Nazionale dei Dottori Agronomi e Dottori Forestali Ministero della Giustizia 1. Che cos è? La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica (che utilizza i protocolli standard della posta elettronica tradizionale) mediante il quale al mittente viene fornita,

Dettagli

Migrazione da Windows Server 2003 a Windows Server 2008

Migrazione da Windows Server 2003 a Windows Server 2008 Migrazione da Windows Server 2003 a Windows Server 2008 E' oramai da più di un anno che Microsoft ha cominciato a distribuire e commercializzare Windows Server 2008, l ultimo sistema operativo per l ambiente

Dettagli

La nuova Posta Elettronica IMAP del C.S.B.N.O. di Restelli Paolo. Appendice 2 : Protocolli sicuri, autenticazione sicura e certificati ( P.

La nuova Posta Elettronica IMAP del C.S.B.N.O. di Restelli Paolo. Appendice 2 : Protocolli sicuri, autenticazione sicura e certificati ( P. Rho, Luglio 07, 2006 CORSI ON-LINE La nuova Posta Elettronica IMAP del C.S.B.N.O. di Restelli Paolo Appendice 2 : Protocolli sicuri, autenticazione sicura e certificati ( P. Restelli) Attualmente la maggior

Dettagli

Manuale Operativo. Istituto Nazionale Previdenza Sociale DIREZIONE CENTRALE SISTEMI INFORMATIVI E TELECOMUNICAZIONI

Manuale Operativo. Istituto Nazionale Previdenza Sociale DIREZIONE CENTRALE SISTEMI INFORMATIVI E TELECOMUNICAZIONI Manuale Operativo Istruzioni per l utilizzo del Software di controllo uniemens aggregato per l invio mensile unificato delle denunce retributive individuali (EMENS) e delle denunce contributive aziendali

Dettagli

APPROFONDIMENTO 2 METODO CICLICO

APPROFONDIMENTO 2 METODO CICLICO METODO CICLICO FS- BORSA ATTENZIONE: ATTENDI QUALCHE SECONDO PER IL CORRETTO CARICAMENTO DEL MANUALE APPROFONDIMENTO 2 METODO CICLICO METODO CHE UTILIZZO PER LE MIE ANALISI - 1 - www.fsborsa.com NOTE SUL

Dettagli

..conoscere il Servizio Volontario Europeo

..conoscere il Servizio Volontario Europeo ..conoscere il Servizio Volontario Europeo 1. LʼEDITORIALE 1. LʼEDITORIALE Cari amici, il tempo dell estate è un tempo che chiede necessariamente voglia di leggerezza. Proprio di questa abbiamo bisogno

Dettagli

5 PASSI PER COSTRUIRE UN SITO PROFESSIONALE IN WORDPRESS

5 PASSI PER COSTRUIRE UN SITO PROFESSIONALE IN WORDPRESS 5 PASSI PER COSTRUIRE UN SITO PROFESSIONALE IN WORDPRESS Breve guida per psicologi a cura di Davide Algeri 1 INDICE Cominciamo... Pag. 3 Passo 1 Crea un Database....... Pag.4 Passo 2 Scarica i file di

Dettagli

INDICE PROGRAMMA CORSO

INDICE PROGRAMMA CORSO INDICE PROGRAMMA CORSO PRIMA LEZIONE: Componenti di un computer: Hardware, Software e caratteristiche delle periferiche. SECONDA LEZIONE: Elementi principali dello schermo di Windows: Desktop, Icone, Mouse,

Dettagli

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista DNNCenter Installazione standard di DotNetNuke 5 per Windows Vista Copyright OPSI Srl www.opsi.it Pag. 1 of 28 INDICE 1. INTRODUZIONE... 3 1.1. Pre-requisiti... 3 2. DOWNLOAD DOTNETNUKE... 4 2.1. Download

Dettagli

COME CREARE UNA LAN DOMESTICA

COME CREARE UNA LAN DOMESTICA COME CREARE UNA LAN DOMESTICA Breve Introduzione con la sigla LAN, si intende Local Area Network, una rete virtuale che permette la comunicazione tra più computer tramite collegamento via cavo. Ciò permette

Dettagli

Evolution email. I. Configurazione. Percorso Menu Modifica-Preferenze. Scheda Account di Posta

Evolution email. I. Configurazione. Percorso Menu Modifica-Preferenze. Scheda Account di Posta Evolution email I. Configurazione. Percorso Menu Modifica-Preferenze. Scheda Account di Posta Durante l'installazione sicuramente avrete avuto modo di impostare l'account ma ripetiamo i passaggi e clicchiamo

Dettagli

Codici Numerici. Modifica dell'informazione. Rappresentazione dei numeri.

Codici Numerici. Modifica dell'informazione. Rappresentazione dei numeri. Codici Numerici. Modifica dell'informazione. Rappresentazione dei numeri. A partire da questa lezione, ci occuperemo di come si riescono a codificare con sequenze binarie, quindi con sequenze di 0 e 1,

Dettagli

Progettare un Firewall

Progettare un Firewall Progettare un Firewall Danilo Demarchi danilo@cuneo.linux.it GLUG Cuneo Corso Sicurezza 2006 Concetti introduttivi Come pensare un Firewall Argomenti trattati I Gli strumenti del Firewall Gli strumenti

Dettagli

Guida ragionata al troubleshooting di rete

Guida ragionata al troubleshooting di rete Adolfo Catelli Guida ragionata al troubleshooting di rete Quella che segue è una guida pratica al troubleshooting di rete in ambiente aziendale che, senza particolari avvertenze, può essere tranquillamente

Dettagli

Carta Multiservizi REGIONE BASILICATA

Carta Multiservizi REGIONE BASILICATA MANUALE OPERATIVO Outlook express Firma Digitale e crittografia dei messaggi (e-mail) Firmare e cifrare una e-mail con la carta multiservizi. Per firmare digitalmente un'e-mail occorre: 1. Installare il

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni, specifiche,

Dettagli

Amico EVO Manuale dell Installazione

Amico EVO Manuale dell Installazione Amico EVO Manuale dell Installazione Versione 1.0 del 14.05.2013 Manuale dell installazione di AMICO EVO rev. 1 del 18.05.2013 Pag. 1 Amico EVO è un software sviluppato in tecnologia NET Framework 4.0

Dettagli

Insegnamento di Informatica CdS Scienze Giuridiche A.A. 2007/8. La sicurezza

Insegnamento di Informatica CdS Scienze Giuridiche A.A. 2007/8. La sicurezza Insegnamento di Informatica CdS Scienze Giuridiche A.A. 2007/8 La sicurezza Prof. Valle D.ssa Folgieri Lez 10 del 23 11.07 Informatica e sicurezza 1 La sicurezza Connessione ad Internet diventata essenziale

Dettagli

Guida per il PGP. Scritto da Spy. Indice:

Guida per il PGP. Scritto da Spy. Indice: Indice: Introduzione Le chiavi Chiave pubblica Chiave privata Verifica del messaggio e del mittente "Finger print" Installazione Gestione chiavi Come creare le chiavi Come estrarre una chiave Come esaminare

Dettagli

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it)

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Centro Infosapienza Ufficio gestione sistemi Settore sistemi centrali e per l office automation Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Sommario 1. Premessa...

Dettagli

Installazione di GFI FAXmaker

Installazione di GFI FAXmaker Installazione di GFI FAXmaker Requisiti di sistema Prima di installare GFI FAXmaker, assicurarsi di soddisfare tutti i requisiti che seguono. Server FAX GFI FAXmaker: Una macchina server Windows 2000 o

Dettagli

DHCP... 1 Semplice sessione DHCP:... 2 Configurazione:... 3 DDNS... 8 Creazione manuale chiave per DDNS... 18

DHCP... 1 Semplice sessione DHCP:... 2 Configurazione:... 3 DDNS... 8 Creazione manuale chiave per DDNS... 18 Sommario DHCP... 1 Semplice sessione DHCP:... 2 Configurazione:... 3 DDNS... 8 Creazione manuale chiave per DDNS... 18 DHCP Dynamic Host Configuration Protocol Questo è un servizio di rete che si occupa

Dettagli

UBUNTU: gli strumenti di condivisione risorse

UBUNTU: gli strumenti di condivisione risorse UBUNTU: gli strumenti di condivisione risorse condivisione 1o1 a cura di Danio Campolunghi La condivisione di risorse Verranno qui proposti gli strumenti grafici di serie messi a disposizione da Ubuntu

Dettagli

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori Roma, 30 gennaio 2003 La realtà della carta di identità elettronica (nel seguito CIE) e della carta nazionale dei servizi (nel seguito CNS) rende ineluttabile l individuazione di servizi da erogare in

Dettagli

GUIDA AL PRIMO AVVIO E MANUALE D USO

GUIDA AL PRIMO AVVIO E MANUALE D USO GUIDA AL PRIMO AVVIO E MANUALE D USO Informazioni preliminari Il primo avvio deve essere fatto sul Server (il pc sul quale dovrà risiedere il database). Verificare di aver installato MSDE sul Server prima

Dettagli