KERBEROS IL MOSTRO DELLA RETE Di : [JARRET SCREAM] [- Hacker Alliance -]

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "KERBEROS IL MOSTRO DELLA RETE Di : [JARRET SCREAM] [- Hacker Alliance -] jarret@hackeralliance.net www.hackeralliance.net"

Transcript

1 KERBEROS IL MOSTRO DELLA RETE Di : [JARRET SCREAM] [- Hacker Alliance -]

2 Prefazione Questa guida è stata scritta originariamente nel 2000, ma non è mai stata divulgata prima. C è un motivo per il quale non ho mai voluto divulgarla prima, e ve lo spiego brevemente. Negli ultimi tempi ho notato, con rammarico, che non esiste più un identità dell Hacker inteso come uno che cerca con i suoi sforzi di migliorare e rendere più sicuro tutto quello che gli passa tra le mani. Oggi tutto è cambiato. Non interessa più a nessuno sapere cos è il TCP/IP, però tutti vogliono capire come si fa a spoofare o fare un ping Un po come se io volessi costruire una casa partendo dal tetto. Quindi, vi premetto, questa guida è per utenti piuttosto avanzati, che già conoscono le BASI. Il titolo il mostro della rete vi ha colpiti? Chissà cosa vi aspettate forse ora In realtà i mostri (come spero abbiate capito da soli) non c entrano proprio nulla, è solo un tocco per dare un po di magia alchemica a questo manuale Non mi resta altro da dire, le solite cose le sapete, e quindi non vi sto a scrivere i soliti disclaimer che tanto non servono a nulla. Scrivono migliaia di libri sulla Security, ne ho letti a centinaia. Tutti spiegano come prendere possesso di un sistema informatico. Mai trovato nessun disclaimer Quindi io perché dovrei metterlo? Nei miei tutorial e manuali non ne troverete mai, tanto so che nessuno li legge e so anche che purtroppo a nessuno frega niente Se troviamo una porta aperta, abbiamo due possibilità: scegliere di essere onesti e segnalare che qualcosa non va, e se ne abbiamo le capacità, cercare di ripararla. L altra possibilità è quella di scegliere la strada della pirateria informatica. Se scegliete la seconda, non siete degli Hacker, ma dei coglioni che devono solo vergognarsi. Spero comunque che questa guida non inciti ad atti illegali nei confronti di sistemi informatici di altri [JARRET] Hacker Alliance Ringraziamenti Prima di iniziare, vorrei ringraziare i miei amici per avermi spronato (o obbligato?!? ) a riscrivere questa guida e pubblicarla. Ringrazio quindi: AJANTY, FRANZ, VEGETA, PIRATI, Mr.MonkeyBusiness, ZEROHACK, BOSS FOX, SYDRO, DYLAN DOK, LIONHEAD, SERAK, Flavio Bernadotti, The JACKAL e tanti altri che ora non mi ricordo, ma sono tanti.. ;-)

3 KERBEROS DUE PAROLE PRIMA DI INIZIARE Sarebbe poco cortese non citare la fabbrica che ha creato KERBEROS. Kerberos è stato sviluppato al M.I.T. (Massachusetts Istitute of Technology), ed è stato, in origine, sviluppato in concomitanza del progetto Athena tra il 1980 e il 1983 in collaborazione con IBM e la Digital Equipment Corporation. Come ci narra la mitologia greca, KERBEROS era un cane enorme a tre teste (e se non ricordo male era il cagnolino che faceva la guardia alle porte dell inferno ). Il nome Kerberos per questo insieme di protocolli (o procedure), viene paragonato a questo cane a tre teste proprio perché il sistema si basa su tre procedure: - Autenticazione - Autorizzazioni - Accounting Ora inizieremo a scendere anche noi negli abissi dell inferno, alla ricerca della bestia a tre teste per capire come funziona, quali sono le su procedure, quali sono i suoi bugs La Struttura del Mostro Esistono centinaia di modi per rendere sicuro (o quasi) un sistema, ma la sicurezza è direttamente proporzionale al numero di computers collegati alla rete. Più computer sono presenti, più sono alte le possibilità che un aggressore riesca a penetrare nel sistema. Teniamo presente che molti computer utilizzano configurazioni particolari adibite al loro ruolo all interno della rete. KERBEROS è qualcosa di più di un protocollo di rete. Normalmente il protocollo è una sequenza di funzioni standardizzate che consente a più computers di dialogare tra loro e di scambiarsi dati facendo in modo che tutti utilizzino la stessa lingua. Anche per il KERBEROS è così, ma con qualche cosa in più. Partiamo con un analisi a livello fisico. Kerberos è un server sicuro (o così dovrebbe essere). Un unico server che controlla e distribuisce ad altri server di secondo livello le chiavi di accesso alle risorse di tutti gli altri computers. Se viene rilevata una richiesta da un server NON fidato o da una comune workstation, Kerberos non accetta nessuna richiesta. Ma perché prima ho detto che questo protocollo ha un qualcosa in più? Semplice, Kerberos innanzi tutto è un server chiuso dentro una stanza sorvegliata 24 ore su 24. Nessuno ha accesso alla stanza a parte l amministratore di rete. Solitamente per accedere alla stanza dove è conservato il server Kerberos si possono trovare porte con riconoscimento di impronte digitali e tessere magnetiche. In altri casi possiamo addirittura trovare più amministratori della stessa rete, e per accedere a quella stanza è necessaria la presenza dei vari amministratori che devono inserire il loro codice personale in sequenza per aprire quella famosa porta Cose di questo tipo, comunque, è facile trovarle nelle reti informatiche militari e/o governative, in reti più alla mano come quelle degli ISP è già una cosa fantascientifica Questo è Kerberos visto dalla parte fisica. In ogni caso, se siete degli ottimisti, potete liberamente immaginare che Kerberos sia un computer sicuro, ma in realtà non lo è. Pensiamo ai sistemi distribuiti, quelli con più server e computer client Ovvio che il solito bug si annidi qua e là, semi addormentato, ma presente, pronto ad essere risvegliato per compiere le sue routine

4 NEL DETTAGLIO Ed ora la faccenda inizia ad essere un po più complessa.. Il protocollo Kerberos esegue una serie di controlli prima di far si che un utente della sua rete possa raggiungere un file su un altro server. In questo modo si può garantire la sicurezza e il controllo quasi totale delle comunicazioni all interno e all esterno della rete. Analizziamo ora punto per punto cosa accade quando un utente della rete Kerberos tenta di accedere a un file su un server non fidato. C è da tener presente il discorso della crittografia con chiave pubblica e privata. Ricordiamo che Kerberos (il server) utilizza una chiave pubblica, mentre i client una chiave privata (come è ovvio che sia, ma è sempre meglio ripetere). Sulla rotta del pacchetto Bene, abbiamo la necessità di accedere a un file contenuto su un server non fidato della rete, un computer con un livello di sicurezza di secondo livello (secondo livello: sempre paragonandoci a Kerberos e alla sua struttura, non riferito alla rete globale) Nel momento della richiesta del file ecco cosa accade: - Il software di rete inserisce una firma nella richiesta di accesso della nostra workstation al file remoto. Viene quindi creato un pacchetto che contiene: Richiesta + Firma, il tutto crittografato con un algoritmo a livello di codifica di BIT molto elevato. In questo modo, solo ed esclusivamente il server fidato può leggere il messaggio e decodificarlo. - Una volta decodificato il pacchetto, il server legge la firma digitale in modo da accertarsi se il messaggio inviato al server è autentico/autorizzato. - A questo punto, il server fidato controllerà le credenziali del client che ha richiesto l accesso a quel server. Controllerà la firma a chiave privata contenuta nel pacchetto e la confronterà con quelle conosciute. Inoltre, si accerterà che quell utente abbia o meno accesso a quel file. A questo punto inizia un fitto scambio di dati Questa comunicazione tra: CLIENT SERVER FIDATO SERVER NON FIDATO avviene tramite determinate procedure. Il server fidato utilizza una chiave univoca (TICKET) e la invia al client utilizzando la chiave pubblica del client. Per fare questo, il pacchetto viene codificato per non essere intercettato. Il TICKET, in poche parole, contiene una specie di passaporto temporaneo che il client utilizzerà poi per la comunicazione con il server non fidato. Questo pacchetto (il TICKET) contiene: - Informazioni di accesso - una chiave di sessione Contemporaneamente, la stessa procedura viene fatta con il server non fidato. Il Server Kerberos invia lo stesso TICKET crittografato questa volta con la chiave pubblica del server non fidato, e la invia a quest ultimo. Ora i due computer utilizzano la stessa chiave di sessione in modo che il server non fidato possa riconoscere l accesso del client alle sue risorse. Ora, verrà instaurata una connessione tra client e server non fidato. I due confronteranno i due passaporti temporanei generati da KERBEROS. Ora accade questo, ci sono due strade. - Le chiavi corrispondono: il server accetta la comunicazione con il client - Le chiavi NON corrispondono: la comunicazione viene subito interrotta. Terminata questa procedura, il SERVER FIDATO ha già terminato il suo compito, ora saranno gli altri due computers a dialogare direttamente tra loro. Ora mettiamo il caso che tra i due accada qualcosa a livello fisico della rete (scollegamento di cavi ad esempio) la comunicazione tra i due host verrà terminata e la procedura dovrà essere riavviata dal principio (sempre che i problemi sulla rete non persistano ) Una volta terminata la sessione di comunicazione tra i due computer, il server non fidato comunica al server fidato che la procedura è stata portata a termine. Il Server Fidato distruggerà i TICKET. Una volta distrutto il TICKET, ancora una volta, la procedura dovrà essere riavviata dal principio se il client vorrà nuovamente accedere alle risorse del server non fidato. Kerberos fa una netta distinzione tra server sicuro e server non sicuro.

5 La rete, dal punto di vista di un server Kerberos, è una rete non sicura. La minaccia può arrivare da qualsiasi computer, anche dalla rete interna di cui fa parte il server Kerberos stesso. Ogni computer client potrebbe essere in realtà un Cracker pronto ad espugnare la fortezza. Proprio per questo motivo, si è indotti a pensare che questo sistema sia tra i più sicuri, anche se, come sappiamo bene, non lo è. Kerberos, come detto prima, fa un lavoro di riconoscimento, distribuzione di chiavi di sessione, quindi, attende un messaggio dal computer a cui è stato chiesto accesso, distrugge il ticket che trasporta le informazioni univoche di accesso ai dati. Da qui viene spontaneo dirvi che un computer SICURO è un computer spento. La comunicazione tra due Host è scontata all interno di una rete, quindi, dal momento in cui due PC sono collegati tra loro a livello fisico (livello di rete), nessuno dei due computers è più al sicuro Bene, dopo quest ultima frase che è il trionfo della retorica, proseguiamo e andiamo ad analizzare a livello ancora più approfondito il protocollo PROTOCOLLI, SOTTOPROTOCOLLI, SERVER E CLIENT Abbiamo visto prima come un client e il server Kerberos si comportino nel momento in cui il client deve accedere a una risorsa su un altro computer. A questo punto però esistono in realtà due diverse procedure che il protocollo (a seconda della sua configurazione) può effettuare. Il primo è quello semplice: - Il client invia la richiesta di permesso di accesso a una risorsa su un altro computer direttamente a Kerberos. - Kerberos analizza le credenziali del client Credenziali errate Richiesta respinta (accesso Negato) Credenziali Riconosciute Distribuzione del ticket contenente la chiave di sessione univoca e temporanea. - Accesso alle risorse - Distruzione della chiave di sessione (Ticket) Questa è la procedura semplificata analizzata prima, ma ne esiste una seconda. Nella seconda possibilità, il client invia al server una richiesta in chiaro, quindi, non crittografata. In poche parole, il client invia un ticket per la richiesta di un Ticket di sessione. Come avrete capito, si svolge il tutto con una serie di passaggi maggiore. Il Server dovrà prima di tutto autentificare il client, confrontare le credenziali tramite una key segreta condivisa, che nel caso può essere una password di rete. Ora il server invierà un post-ticket per la richiesta di ticket (un po burocratico come protocollo, no?) Tutto questo, in realtà potrebbe sembrare inutile, ma non lo è. Con questa procedura il client evita di utilizzare la sua chiave pubblica. In poche parole, è come se il client inviasse un certificato al server, il server lo timbra e lo restituisce. Con quel modulo timbrato (Ticket) il client potrà fare richiesta della chiave di sessione per l accesso ai dati. Con questa procedura, si può inoltre far richiesta di accedere a determinate risorse di rete utilizzando un unico Ticket contenente le credenziali per l accesso a sessioni differenti, ad esempio l accesso a un file su un altro computer e l accesso alla condivisione di stampanti. Il ticket avrà valore per la durata di tutte le sessioni convalidate da Kerberos, le altre no, e quindi queste ultime, avranno bisogno di una seconda richiesta di ticket e il gioco si ripete da capo. I REALM DI KERBEROS Ora dobbiamo abituarci a pensare a Kerberos anche in questo modo, come ad un RE, perché esistono i KERBEROS INTER-REALM che tradotto in italiano significa più o meno IL REAME DI KERBEROS Cosa significa questo? Significa che in origine, Kerberos è nato per gestire strutture informatiche sparse anche su territori piuttosto vasti. Geograficamente, una rete Kerberos potrebbe comprendere una rete in Italia e l altra in Inghilterra. Kerberos gestisce le credenziali e l accounting, distribuisce le solite chiavi di sessione esattamente come spiegato prima, ma con una variante. Immaginiamo di utilizzare una workstation all interno di una rete gestita da Kerberos. Ok, abbiamo necessità di accedere in comunicazione con un server che sta in

6 Inghilterra (ma che comunque fa sempre parte dello stesso network). A livello locale, il server Kerberos utilizzerà la procedura solita, ma il computer che ha richiesto l accesso, non potrà contattare direttamente il server Kerberos remoto. Ad esempio: Immaginiamo due reti geografiche Kerberos che si chiamano rispettivamente StoneA e StoneB. StoneA = Italia StoneB = Inghilterra Ora, uno dei client di StoneB richiede l accesso a un file presente sul sistema StoneA. Questo client contiene il nome REALM di registrazione per il riconoscimento. Abbiamo quindi il client Divisione1 nella rete StoneB con il nome REALM Divisione1:-StoneB. La richiesta di accesso alle risorse verrà fatta accertando le credenziali direttamente in remoto dalla postazione Server Kerberos di StoneA. Spieghiamo meglio I vari REALM possono comunicare tra loro solo se una chiave inter-real condivisa, oppure se tra i due realm esiste un secondo nodo realm di secondo livello che fa da tramite fra le due reti remote. In caso esistano più REALM sul percorso, il ticket con la richiesta di chiave di sessione dovrà attraversare tutti i realm connessi, ognuno dei quali darà una chiave per ogni accesso ad un altro REALM sino a giungere a quello finale. Ma ricordiamo che solitamente, la struttura di un inter-realm è strutturata in modo gerarchico. In poche parole troveremo diversi Server Kerberos con una sottostirpe di Kerberos minori i quali condividono tra loro la stessa chiave. In questo modo, le operazioni vengono svolte in modo più fluido e veloce. Il alcuni casi, invece, se in una struttura Kerberos non sono presenti sottodomini Kerberos (sempre Inter-Realm), il server dovrà di volta in volta accedere a un data-base interno per poter autentificare l effettiva appartenenza alla rete aziendale del server che richiede l accesso alle risorse. Quando KERBEROS bypassa in modo autorizzato un Inter-Realm In certe situazioni, possiamo trovarci di fronte ad una rete Kerberos a struttura gerarchica (come detto prima), ma è possibile che alcuni terminali Kerberos abbiano la possibilità di effettuare diverse connessioni tra loro senza dover necessariamente far transitare le richieste attraverso i Kerberos minori. Questi collegamenti devono essere naturalmente definiti prima dall amministratore, Kerberos non ha potere di decidere che percorso effettuare e quindi di cercare un instradamento del pacchetto migliore come nelle normali connessioni point-to-point Quindi, il famoso Ticket, viene utilizzato per certificare un intera sessione contenente le credenziali di tutti i Kerberos Principali o minori. Lo stesso Ticket viaggerà attraverso la rete una sola volta per far si che tutte le credenziali vengano accettate tutte con l ausilio di un solo Ticket. Quindi avremo un Ticket che conterrà le chiavi di sessione di tutti i Kerberos minori e maggiori. In questo modo si eviterà l uso di più Ticket che dovranno essere certificati di volta in volta dai server Kerberos minori e maggiori. Il traffico di rete viene reso più fluido e più sicuro. Se una credenziale all interno del Ticket risulterà falsa, qualsiasi Kerberos della rete sarà in grado di riconoscerlo con una fattore di errore più basso rispetto alla certificazione di sessione singola tra host e host. In più, possiamo dire che qualsiasi Kerberos della rete, una volta vista una chiave non valida, di bloccare completamente la sessione o addirittura (più rischioso) saltare il computer che non è risultato sicuro. Facendo questo, i due Kerberos (minori o maggiori) residenti alle due estremità del percorso direttamente collegati, potranno bypassare il server e distribuire il Ticket con la chiave di sessione. Naturalmente quest ultimo procedimento è una contromisura per evitare lo sniffing di un potenziale intruso sulla rete. E comunque il caso di dire che spesso, è nella natura del pirata fingersi quello che non è per fare in modo che il ragionamento del computer lo porti a escludere un determinato terminale della rete e far quindi in modo che il percorso del Ticket cambi strada. Ricordate che il Pirata, (o l Hacker) è un fantasma. Può non esistere come eseguire una sofisticatissima tecnica di DOPPELGAENGER ed essere due cose distinte al tempo stesso.

7 GESTIONE DEI NOMI REALM La faccenda si complica, ma diventa più gustosa Cosa c è a questo mondo che ci portiamo appresso come una piaga che ci affligge da millenni? Ebbene si, l incomprensione tra i popoli. Niente discorsi filosofici e alchimie strane di pensiero, ma Kerberos, dovrete imparare ad assaporarlo lentamente L analogia vista sopra usatela come uno schema, ne avrete bisogno. Entriamo ora nel vivo. Abbiamo visto prima i REALM che altro non sono che dislocazioni Kerberos sparse geograficamente e non, ma che appartengono ad un unica grande rete. Ok, ma come parlano tra loro? Vediamo bene quali sono i nomi assegnati per far si che i REALM non entrino in conflitto tra loro. Ci sono 4 diversi modi per assegnare nomi REALM, e sono: Domain Aspetto apparente sullo stile UNIX. Possono contenere i punti. Come separatori di nomi. I nomi non contengono MAI i caratteri : e /. X.500 Contengono sempre il segno di uguale = ma assolutamente mai il carattere due punti : prima del segno uguale =. Questo tipo di REALM, è la rappresentazione dei nomi componenti separati dalle barre / Mai barre iniziali e finali. Other MAI caratteri di segno uguale = o punto. Iniziale. La struttura è fatta in modo che al nome segua sempre il segno due punti : seguito dal seguito del nome. A questo stile di REALM, Internic assegna un prefisso standard. Reserved Questa categoria di REALM è, lo dice il nome, riservata, ed è l ultima possibilità considerata in caso esistano motivi per i quali non si possa utilizzare lo stile OTHER. Schema riassuntivo delle assegnazioni dei nomi: MODO o STILE ASSEGNAZIONE DEI NOMI Domain Host.subdominio.dominio X.500 C=US/O=OSF Other NOME:resto/seguito.nome=nessuna-restrizione Reserved Riservato, non da conflitti con gli altri modi Realm I PRINCIPAL DI KERBEROS Cos è il Principal? Semplice, il Principal può identificare un utente della rete Kerberos o un servizio a cui assegnare le credenziali di accesso alle risorse. Il nome di un Principal è strutturato nel seguente modo: PRIMARY = Equivale al nome dell utente o del servizio INSTANCE = Equivale alla qualifica di un utente Prima di proseguire vi farò uno schema che riassume i nomi definiti dal protocollo Kerberos, altrimenti ora andate in palla TIPI DI NOME VALORE DEFINIZIONE NT-UNKNOWN 0 Non identificato NT-PRINCIPAL 1 Identifica server/client e servizi in modo univoco NT-SRV-INST 2 Servizi e istanze univoche o ticket per la richiesta di ticket NT-SRV-HST 3 Denota un servizio con un nome host per istanza NT-SRV-XHST 4 Servizio host per i componenti non rientranti in altre categorie NT-UID 5 ID univoco

8 E importante ricordare che Kerberos definisce solo un numero limitato di Principal, e il riconoscimento di essi è dato dall assegnazione dei nomi. I nomi vengono assegnati in base ad una logica ferrea: ad esempio, al tipo di nome NT-SRV-HST sarà sempre associato un servizio con un nome Host come istanza. ANALISI DETTAGLIATA DEL TICKET Ora passiamo alla descrizione dettagliata dei Ticket di Kerberos. Ogni Ticket contiene dei FLAG con delle istruzioni ben precise che Kerberos attiva o disattiva in base alle necessità del client. Vediamo nel dettaglio: Flag di richiesta Ticket Flag INITIAL Il FLAG INITIAL segnala che il Ticket in cui è contenuto, è stato creato da un server di autenticazione e che il server non ha ancora avviato la procedura di creazione del ticket per la creazione di un ticket di validazione di sessione. Questo Flag viene utilizzato quando un server vuole richiedere al client la chiave di sessione. In questo caso il server richiede a Kerberos che venga attivato il Flag INITIAL per verificare che il client abbia ricevuto la chiave univoca nella sessione corrente. Quindi, il ticket viene inviato con protocollo AS e non servendosi di un Ticket-Granting. Un po come dire a Kerberos: Il client ha la chiave per questa sessione? Flag Pre-Autenticati In questo caso, i Flag sono due: PRE-AUTHENT e HW-AUTHENT. Questi due Flag danno al server altre specifiche sulla prima autenticazione anche se il server imputato ha già rilasciato il ticket di avvio sessione. In questo modo, il server è in grado di capire se il ticket è stato prodotto in modo diretto oppure, se il ticket è stato creato in risposta a un ticket per la richiesta di ticket. Nel primo caso abbiamo all interno del ticket anche il Flag INITIAL, mentre nel secondo caso il Flag INITIAL è associato al valore 0. Ticket con Flag INVALID Quest altro Flag denota un ticket non valido, che verrà scartato dal server. Il server di autenticazione rilascia sempre ticket postdatati, quindi a questo punto, il server di autenticazione deve convalidate il ticket INVALID per far si che il client possa utilizzare il ticket. Sino a che il ticket è INVALID, rimane solo un semplice ticket di richiesta perso nella rete senza meta, questo per farvi capire quanto sia sospettoso Kerberos. Ora il client deve convalidare il ticket INVALID rilasciandolo al server di autenticazione con inserita l opzione VALIDATE. Ora, il punto è che il server non convalida il ticket se il tempo di validità non è ancora iniziato. Esempio: Il Ticket riporta l ora di inizio validazione alle ore 16:30. Al server arriva alle ore 16:29. Il Ticket non viene autenticato. E ovvio che il pacchetto non rimane latitante per la rete per un minuto, si parla in realtà di un paio di secondi al massimo. Il fatto è che Kerberos è stato programmato anche per capire se quel pacchetto che gli viene inoltrato è in realtà un Ticket catturato da un aggressore tempo prima e poi inviato a Kerberos per ottenere le credenziali di accesso alle risorse. E inutile che sincronizzate gli orologi, fa fede anche la data. Ticket Rinnovabili Esistono alcune applicazioni di rete che richiedono un lungo periodo di conservazione dello stesso Ticket di validazione della sessione. Però pensiamoci bene Più il Ticket ha una durata estesa e più la possibilità di intercettazione del ticket da parte di un pirata diventa più pericolosa. Lo stesso ticket potrebbe esser riutilizzato così come è nato per appropriarsi delle chiavi di sessione e quindi prender possesso delle risorse del sistema. Ma c è un altro problema. I Ticket di durata molto limitata aumentano il possibile danno alla sicurezza rispetto a ticket di lunga durata. Vi spiego perché. E un po come se noi volessimo utilizzare la nostra carta di credito per fare acquisti su internet. Il rischio di intercettazione del numero della nostra carta aumenta mano a mano che noi la utilizziamo Quindi cosa succede? Che se noi utilizziamo sempre Ticket a breve scadenza, dobbiamo ripetere la richiesta di accesso alle risorse ogni volta che terminiamo una sessione.

9 Questo espone le nostre chiavi di riconoscimento a oltranza e le rende possibilmente intercettabili. A questo proposito, per ovviare al problema, si utilizzano i Ticket Rinnovabili. I Ticket Rinnovabili hanno due scadenze, la prima viene utilizzata quando scade l istanza del ticket in uso. La seconda da la possibilità di rinnovare il ticket. In questo modo viene attivata l opzione RENEW del ticket rinnovabile, ma questo solo prima che scada la copia del ticket, altrimenti questo non verrà rinnovato. Quando il server devo rinnovare il ticket, altro non fa che creare un nuovo tiket contenente una nuova chiave di sessione con una nuova data di scadenza. Il ticket morirà solo quando verrà raggiunta l ultima data di scadenza. C è dell altro Kerberos può essere configurato in modo da poter accedere a un data-base contenente tutti i ticket non più validi o che sono stati sniffati/rubati. In caso venga riscontrato un ticket precedentemente catturato da un utente non autorizzato, il server bloccherà immediatamente il rinnovo del ticket. Ticket Postdatati I Ticket Postdatati sono particolari Ticket che vengono utilizzati in quei casi in cui un determinato software di rete richiede un utilizzo dopo un tot di tempo, ad esempio accodamenti in fase di stampa o funzioni che verranno utilizzate dopo qualche tempo in automatico. Il problema è che questi ticket sono soggetti più di altri a sniffing Questi in realtà sono dei Ticket per la richiesta di ticket che hanno bisogno di una convalida dal server per essere instradati verso la solita procedura. Mettiamo il caso che qualcuno riesca a filtrare un ticket postdatato, il server non convaliderà la richiesta. C è da ricordare che i server di servizio non sono in grado di convalidare tali ticket. Solo il server di autenticazione può farlo. Le funzioni a basso livello sono semplici: il client invia un ticket di richiesta contenente il Flag MAY-POSTDATE e viene attivata la funzione ALLOW-POSTDATE. Al verificarsi della richiesta, il server di autenticazione convalida il ticket per la richiesta di ticket e invia la chiave di sessione al client. Ci vuole lo schema: CLIENT Richiesta Ticket postdatato SERVER 01/02/2002 ore 14:00 DI AUTENTICAZIONE CLIENT Ticket postdatato SERVER 02/02/2002 ore 16:00 DI AUTENTICAZIONE 3. Ticket di Accesso (2)

10 CLIENT Ticket postdatato (1) SERVER 02/02/2002 ore 16:00 DI AUTENTICAZIONE Ticket di accesso Alle risorse (3) Ticket di accesso OK (2) SERVER DI SERVIZIO L intestazione Flag MAY-POSTDATE non da la possibilità di richiedere più di un ticket postdatato per sessione, e quindi, niente nuovi ticket postdatati per altre sessioni. Ticket RENEWABLE Esiste inoltre l opzione RENEWABLE. Questo tipo di Flag del Ticket contiene due tipi di scadenza. Il primo è il tempo di scadenza associato al Ticket singolo, mentre il secondo corrisponde al tempo massimo in cui il Ticket potrà essere rinnovato. Questa è un altra tecnica che dovrebbe far si che un pirata non possa utilizzare il pacchetto intercettato. Ticket POSTDATED C è da dire che questa opzione viene spesso dimenticata o addirittura tolta dal protocollo. Errore! Vi spiego perché. Il POSTDATED indica che il ticket è stato postdatato dal server di autenticazione. All interno del POSTDATED risiede il campo AUTHTIME che denota in modo inequivocabile quando è stata dichiarata l autenticazione originale. Esiste una variabile che regola una certa flessibilità di accettazione da parte del server di atenticazione che fa in modo di calcolare un minimo e un massimo di margine per l accettazione del ticket postdatato. Quando questa certificazione è fuori dai tempi flessibili il server di autenticazione emette un ticket INVALID obbligando il client a inoltrare un ticket a Kerberos per una convalida. Ora, vi lascio immaginare cosa potrebbe accadere se un pirata avesse la possibilità di intercettare un ticket postdatato e di utilizzarlo travestendosi da client Ticket PROXYABLE e PROXY Su questo, si potrebbe parlare per ore.. Alla fine di questa guida, probabilmente tornerete in questo punto e inizierete a ragionare Ticket PROXYABLE, il ticket che assume diverse identità per eseguire operazioni associate a un servizio anziché a un Principal. E il Principal che, a seconda delle necessità, fa eseguire un operazione a un servizio. In questo modo, al servizio viene associata un identità diversa, e per la precisione, l identità del Principal che ne ha richiesto l operazione. Ora, di norma solo il server che autentica i ticket può riconoscere il Flag PROXYABLE, mentre i server di applicazioni e servizi, a seconda delle loro impostazioni, possono accettare o ignorare il Flag PROXYABLE. Il comportamento di questo Flag permette al server di autenticazione di produrre un ticket nuovo con un indirizzo IP

11 diverso sempre basandosi sul ticket pervenuto dalla richiesta (N.B.). A questo punto il meccanismo è basato su sequenze che possono, con alcuni accorgimenti, diventare potenzialmente dannosi per la sicurezza. Le impostazioni di default di Kerberos permettono di attivare questo Flag (Proxyable) all interno del ticket per la richiesta di ticket. Questo procedimento ci permetterà di oltrepassare un Proxy (che può essere sotto controllo sniffer, da non dimenticare!) per raggiungere un server facendo sì, che questo esegua una richiesta in remoto al posto suo. Questa funzione è motivo di disputa fra i vari Admin che bene o male, possono fare in modo che questa procedura sia possibile o meno. D altra parte, è abbastanza rischioso far si che un computer assuma l identità di un altro Immaginiamo di riuscire a spoofarci e assumere l identità di una macchina di una rete Kerberos. Assumiamo potenzialmente il controllo dell intera rete. Ricordo ancora che la struttura Kerberos si basa su una gerarchia, quindi a strati. E possibile in questo modo, accedere a diversi strati della rete in modo ciclico senza nessun problema. L impostazione naturalmente, è equivalente su tutti i computer della rete e quindi non troverete mai disabilitati servizi per l uso di Flag su una macchina e su altre no. Il fatto è che con questa tecnica, abbiamo già assunto due diverse identità di cui una fantasma. In rete i nostro IP apparirà come un normale indirizzo IP di rete, ma allo stesso tempo, potremo assumere diverse identità di volta in volta utilizzando pacchetti contenenti Flag PROXYABLE. Non cantate vittoria Perché per questo problema esistono contromisure difficilmente valicabili (difficile non significa impossibile). In caso vengano rubate delle credenziali, Kerberos non certifica (e quindi non da accesso) a ticket che contengono indirizzi di rete non specificati nel ticket. Ma per questo abbiamo già visto che è possibile assumere una diversa identità Attenzione! LA RICHIESTA O L INOLTRO DI TICKET SENZA INDIRIZZI DI RETE E PERO CONSENTITA IN MOLTI CASI. Per il resto, a voi le conclusioni Ticket INOLTRABILI Questi Ticket sono simili ai Ticket PROXYABLE, ma con una piccola differenza. Il server di autenticazione può in questo caso inoltrare Ticket per la richiesta di Ticket con indirizzi di rete diversi (N.B.). Questo tipo di Ticket viene utilizzato quando vi è un accesso remoto alla rete, cioè quando le richieste in remoto devono essere eseguite come se avvenissero in locale. Questo vi fa capire che il Ticket inoltrabile o FORWARDABLE associa al servizo la completa identità del client. E comunque da dire che le impostazioni di default dei ticket, non contengono il flag FORWARDABLE. Questo flag deve essere attivato selezionando l opzione FORWARDABLE delle richieste KRB_nome del server di autenticazione_req. RENEWABLE-OK ENC-TGT-IN-SKEY RENEW-TILL Queste che vedete qui sopra (RENEWABLE-OK, ENC-TGT-IN-SKEY e RENEW-TILL) sono due opzioni che possono essere aggiunte ad una richiesta al server di autenticazione. RENEWABLE-OK e ENC-TGT-IN-SKEY Questa opzione specifica che in qualsiasi caso, se il server di autenticazione non può inviare ticket con una sessione della durata richiesta (perché supera un tot di tempo prestabilito), il client dovrà automaticamente accettare un ticket RENEWABLE, appunto, modificato nel flag RENEWABLE-OK. RENEW-TILL Questa opzione nel flag permette al client di avere un accesso alla sessione anche se la durata di sessione richiesta supera quella reimpostata. Il valore assegnato a questa opzione del flag è variabile. IL DATA BASE KERBEROS Il data base di Kerberos è una parte delicata, è il cuore. All interno del data base sono contenuti tutti i dati più importanti, motivo per il quale fa molta gola ad un Cracker All interno di questo Database sono conservate tutte le chiavi e gli identificatori delle macchine collegate alla rete Kerberos. Questo Database non deve necessariamente risiedere sul server di autenticazione, può quindi

12 anche essere conservato su un altra macchina a patto però che questa macchina sia totalmente raggiungibile da Kerberos. Per non causare rallentamenti, o spiacevoli inconvenienti, il server di autenticazione non dovrebbe mai trovarsi di fronte ad un impedimento fisico o software nell attingere informazioni a questa macchina. Il più delle volte che viene utilizzato questo metodo, il server Kerberos è collegato in modo diretto alla macchina che conserva il database. Questo metodo non è privo di lati positivi come di quelli negativi. Ad esempio, se noi vogliamo collegare una macchina contenente il database direttamente a Kerberos, non sarebbe una cosa sbagliata utilizzare una seconda scheda di rete. In certi casi ho riscontrato macchine di questo tipo collegate in modo diretto al server di autenticazione attraverso l unica scheda di rete. Da qui in poi ne seguiva un collegamento a cerchio (anziché a stella). Da qui vi lascio capire da soli che ovviamente il computer contenente il database era facilmente accessibile e oltremodo sniffabile. Utilizzando una seconda scheda di rete potremo assegnare un indirizzo IP e un Subnet differente dalla rete Kerberos in modo da poter gestire due diversi processi separati su due reti differenti. Un auditing della rete sarà molto più difficile in questo modo. Anche una volta trovati tutti i computer client collegati alla rete, e potendo quindi sostituirsi fisicamente a un client della rete Kerberos, avremo le nostre difficoltà a risalire all indirizzo IP della macchina contenente il database Kerberos. Per la cronaca: la procedura delle due schede di rete si è cominciato solo di recente ad utilizzarla, prima era molto difficile, forse un caso su 100 Ma veniamo ora al contenuto del famigerato Database di Kerberos Prima di tutto si deve dire che il database di Kerberos è un file sia di lettura che di scrittura. Durante l accesso a tal file, Kerberos aggiunge e toglie record dai vari campi che compongono il database. Cosa importante da far notare, è anche la possibilità di cambiare e modificare le chiavi di un server di applicazioni, ma ricordiamoci che questa operazione non può assolutamente essere effettuata durante una sessione aperta con il server a cui noi vorremo cambiare le chiavi. La cosa è abbastanza ovvia, ma credo sia un bene ribadire i concetti due volte in più che due volte in meno Quindi, se il dialogo è attivo fra i due server, dovremo aspettare che la sessione sia chiusa e quindi scadano tutti i Ticket validi per quella sessione. Così, se invece un Principal ha più di una sessione aperta troveremo diversi record nel database, la procedura è la solita, si attende lo scadere della sessione e si procede con la modifica delle chiavi. LE VOCI DEL DATABASE All interno del database di Kerberos, troviamo 5 chiavi principali, o se preferiamo, richiami DB delle applicazioni di rete. Analizziamole una a una: NAME Questo campo contiene gli indicatori dei Principal KEY Questo campo contiene le chiavi crittografiche dei Principal. Può essere criptata utilizzando la chiave Master di KERBEROS. Operazione solitamente utilizzata per difendere dalla fuga di notizie il database. P_KVNO Versione della chiave dei Principal MAX_LIFE In questo campo viene definita la durata massima del Ticket-Principal. Teniamo presente che la durata massima non dovrebbe mai essere troppo alta. Lo scopo è quella di rendere l accesso del Principal limitato ad una minor esposizione ad uno sniffing o a furto di Ticket. MAX_RENEWABLE_LIFE Come per il MAX_LIFE questo campo contiene la durata massima di vita del TICKET, ma in questo caso si parla di Ticket Rinnovabili. Anche questo valore dovrebbe essere tenuto piuttosto basso.

13 I CAMPI DI SCRITTURA Come detto prima, il database di Kerberos è soggetto sia a lettura, sia alla scrittura. Ad esempio, ci sono opzioni avanzate impostabili dai server di autenticazione che permettono la memorizzazione dei processi eseguiti nella negoziazione tra Server di autenticazione e Principal. Possono memorizzare le durate in termini di tempo delle sezioni, registrare i nomi delle richieste, se i ticket erano ticket per la richiesta di ticket ecc.. Ora vi farò una panoramica dei campi aggiuntivi contenuti nel server di autenticazione: K_KVNO Viene inserita la versione della chiave Master di Kerberos, che viene utilizzata per criptare le chiavi dei Principal. EXPIRATION Questo campo contiene ciò che dovrebbe essere eseguito in due processi separati. Solitamente qui viene rappresentata la data di scadenza di una determinata voce. Superata la data di scadenza, il server invia un pacchetto contenente un ERROR_REQ ad ogni client che tenta di ottenere le credenziali per accedere al Principal associato alla chiave scaduta. Come detto poche righe sopra, i due processi separati sono da associare all utilizzo di due scadenze: una per la scadenza della chiave e una per la scadenza della password, questo però solo nel caso in cui il database contenga il campo KEY_EXP. ATTRIBUTES In questo campo vengono svolte operazioni che controllano i Principal. MOD_DATE Inserisce i dati che determinano l ultima modifica delle voci MOD_NAME Qui viene registrato il nome dell ultimo Principal che ha eseguito l operazione di modifica. BONES, DES e un po di C/C++ Kerberos ha un piccolo punto debole (non solo questo, state tranquilli). Avete mai sentito parlare di BONES? In poche parole Bones è quello che fornisce l interfaccia API a Kerberos senza utilizzare crittografia. La struttura di Bones non contiene algoritmi di crittografia, ed è quindi facilmente ri-programmabile, modificabile, e cancellabile E possibile disattivare la crittografia DES dal codice sorgente di Kerberos, e trovarne i richiami all interno dei listati è abbastanza semplice. Sarà sufficiente cercare la costante #NOENCRYPTION per rilevare tutte le chiamate della crittografia DES. Esempio: #if!#noencryption { (Qui trovate le chiamate e/o l algoritmo DES) Ricordiamo che se le chiamate sono vere (TRUE) la funzione di crittografia non viene eseguita. } Conclusioni: BONES è la brutta (orrenda) copia di Kerberos, ma ad un software di rete, esso apparirà come un Kerberos. Ma cosa molto importante, non utilizzerà il metodo di crittografia DES e quindi, la sicurezza è praticamente inesistente. L utilità di Bones: Quando abbiamo la necessità di utilizzare software di rete che necessitano di essere ingannati, cioè dobbiamo fare in modo che il software pensi di trovare Kerberos, quando in realtà Kerberos non c è. KERBEROS V5 Diciamo un paio di parole sui nuovi KERBEROS, si perché Kerberos si è evoluto (come tutto il resto dell informatica naturalmente) ed ora siamo alla versione n 5.

14 Quindi, facciamo una breve panoramica sul nuovo KERBEROS.. Non spaventatevi! Quello che avete letto sino ad ora non è stato tempo sprecato, anzi! I Fondamenti di KERBEROS sono e rimarranno sempre gli stessi. Ma veniamo al sacrosanto dunque Quello che leggerete ora l ho praticamente 2preso dall indirizzo: er/help/sag_seconceptsunauthkerb.htm e visto che era lì, scritto e bello comodo da copiare :D eccolo: Autenticazione Kerberos V5 Kerberos V5 rappresenta il principale protocollo di protezione per l'autenticazione in un dominio. Esso verifica l'identità dell'utente e dei servizi di rete. Questa duplice verifica viene definita anche autenticazione reciproca. Funzionamento del protocollo Kerberos V5 Il meccanismo di autenticazione Kerberos V5 rilascia dei ticket per consentire l'accesso ai servizi di rete. Questi ticket contengono dati crittografati, compresa una password crittografata, che conferma l'identità dell'utente al servizio richiesto. Ad eccezione dell'immissione di credenziali quali la password o la smart card, l'intero processo di autenticazione risulta invisibile all'utente. Un importante servizio offerto dal protocollo Kerberos V5 è il Centro distribuzione chiave (KDC, Key Distribution Center) Il KDC viene eseguito in ciascun controller di dominio come parte di Active Directory, che memorizza tutte le password dei client e altre informazioni sugli account. Il processo di autenticazione Kerberos V5 funziona come segue: 1. L'utente che si trova in un sistema client ottiene l'autenticazione al KDC utilizzando una password o una smart card. 2. Il KDC rilascia al client uno speciale ticket di concessione ticket (TGT, Ticket- Granting Ticket) Il sistema client utilizza questo TGT per accedere al servizio di concessione dei ticket (TGS, Ticket-Granting Service), che fa parte del meccanismo di autenticazione Kerberos V5 nel controller di dominio. 3. Il servizio TGS rilascia quindi al client un ticket di servizio 4. Il client presenta questo ticket al servizio di rete richiesto. Con il tagliando di servizio viene verificata l'identità dell'utente al servizio e l'identità del servizio all'utente. Per ulteriori informazioni sull'autenticazione del protocollo Kerberos V5, fare riferimento al Windows 2000 Resource Kit (informazioni in lingua inglese). Kerberos V5 e i controller di dominio I servizi Kerberos V5 vengono installati in ciascun controller di dominio e il client Kerberos viene installato in ogni workstation e server di Windows Ogni controller di dominio funge da KDC. Un sistema Windows 2000 utilizza una ricerca DNS (Domain Name Service) per individuare il controller di dominio più vicino. Tale controller di dominio funziona quindi come KDC preferito per tale utente durante la sessione di accesso. Se il KDC preferito non è più disponibile, il sistema Windows 2000 individuerà un altro KDC per fornire l'autenticazione. Delega dell'autenticazione La delega dell'autenticazione è un privilegio che un amministratore può garantire a un account utente o di computer. In base all'impostazione predefinita, questo privilegio viene assegnato solo agli amministratori di dominio. Tale privilegio deve essere assegnato in modo selettivo ai servizi che è possibile considerare attendibili. In un'applicazione di N livelli l'utente ottiene l'autenticazione a un servizio di livello intermedio. Questo servizio a sua volta ottiene l'autenticazione a un server di dati back-end per conto dell'utente. La delega dipende dal servizio di livello intermedio trusted per la delega. Trusted per la delega significa che il servizio può rappresentare un utente per utilizzare altri servizi di rete. Interoperabilità Kerberos V5 Windows 2000 supporta due tipi di interoperabilità Kerberos V5:

15 È possibile stabilire una relazione di trust tra un dominio e un'area di autenticazione Kerberos MIT. Questo significa che un client che si trova in un'area di autenticazione Kerberos può ottenere l'autenticazione a un dominio Active Directory per accedere alle risorse di rete in tale dominio. All'interno di un dominio i client e i server UNIX possono disporre di account Active Directory e di conseguenza ottenere l'autenticazione da un controller di dominio. Per ulteriori informazioni sull'interoperabilità tra le versioni MIT del protocollo Kerberos e le implementazioni di Windows 2000 di tale protocollo, fare riferimento al Windows 2000 Resource Kit. <<<[ Spero che vi sia stato chiaro ]>>> ***I PUNTI DEBOLI DI KERBEROS *** IL DOPPELGAENGER SU KERBEROS Avete presente quando si parla tra amici e ad un certo punto, tutti e due siete convinti di aver visto la stessa identica persona in due posti diversi lontani fra loro, alla stessa ora, lo stesso giorno? Nella realtà, forse, questo tipo di esperienze le possiamo spiegare in modo piuttosto semplice con somiglianze o altro Ma a livello informatico, noi possiamo essere più unità distinte sulla rete? Certo che è possibile. A questo punto, urge una premessa Questa tecnica, non so nemmeno se l ho creata io, forse qualcuno prima di me l ha già sperimentata con successo o meno, resta il fatto che in giro per la rete non vi è traccia di una tecnica simile, e ormai sono circa 5 anni che la uso ;-) Il problema è che non posso allargarmi più di tanto su questo argomento dato che se lo facessi, stavolta finisco in galera fino alla 100 generazione, se non decidono invece di eliminarmi fisicamente da questa valle di lacrime prima Come avrete notato, nelle pagine precedenti ho calcato un po la mano in alcuni punti.. spero abbiate recepito i messaggi subliminali ^_^ Ma torniamo a noi.. DOPPELGAENGER è una parola tedesca che significa sdoppiamento. Lo sdoppiamento, non è detto che sia per forza di cose un unico doppio. Il doppio può essere anche quadruplo (estremamente difficile, praticamente quasi impossibile, ho detto QUASI ). Su questa tecnica potrei scrivere un libro di 1000 pagine, ma non è il caso. Inoltre, è una tecnica applicabile a tutti i sistemi, e non solo a KERBEROS. E applicabile a reti promiscue, e multi protocollo. Altra cosa, con questa tecnica (altrimenti, o vi verrà spontanea la domanda, o non capirete) secondo voi è possibile avere più di un indirizzo IP dinamico allo stesso tempo? Risposta: SI. A questo punto immagino che corriate subito all indietro di questa guida alla ricerca di quei punti un po più calcati Fate con comodo, studiate Però ora è giusto entrare nei dettagli più importanti, e cioè definire chiaramente i veri e propri punti deboli di KERBEROS. Come sappiamo, KERBEROS opera sui Ticket e sulle certificazioni dei computer che interagiscono con lui nella rete. Su questa procedura esiste la possibilità per un pirata di inserirsi all interno della rete KERBEROS spoofandosi facendosi credere un client della rete. Una volta abbattuta questa barriera, la rete KERBEROS è completamente in balia del pirata. Ma come avviene questo? Il tutto avviene tramite intercettazione dei pacchetti. Un pirata può filtrare i pacchetti che circolano sulla rete e estrapolare il contenuto di un Ticket. Ora sorgerà spontanea la domanda: ma come faccio a sniffare su una rete remota? Ok, domanda molto pertinente Ma l argomento è estremamente vasto. Vi darò le dritte per procurarvi comunque le informazioni giuste. Prima di prendere possesso di una rete, il pirata deve per forza di cose prendere possesso di almeno un computer della rete. Per questo tipo di attacco vengono utilizzate le Back Door, Non vi sto a spiegare cosa sono le Back Door, perché spero sappiate cosa siano se non lo sapete, deduco che almeno i 9/10 di questa guida non l avete capita Torniamo a noi. Le Back Door permettono di prendere possesso della macchina e da questo cosa se ne deduce? Semplice, il pirata a questo punto potrebbe benissimo installare uno sniffer

16 di rete invisibile all utente reale della workstation. Esistono sniffer in C/C++ programmati appositamente per sniffare determinati pacchetti, ad esempio quelli contenenti all interno dei pacchetti le intestazioni PASSWORD, ARP, ICMP_PROTOCOL, ecc In questo modo, una volta installato lo sniffer, avremo la possibilità di accedere senza problemi ai log file generati dallo sniffer. All interno troveremo tutti i pacchetti catturati con tutte le informazioni che cerchiamo e i più bravi potranno riutilizzare il pacchetto riscrivendone il codice. Da qui in poi sta a voi.. ^_^ Esiste un secondo metodo per utilizzare i pacchetti catturati ed è quello di riutilizzarli subito, entro 5 minuti (il TIMESTAMP, tempo programmato dopo il quale il server di autenticazione non accetta più il ticket). Ovviamente, ricevendo tale ticket per tempo, il server di autenticazione vi darà accesso alle risorse. Altro bel problema di KERBEROS è che è possibile decodificare la risposta che uno dei server KERBEROS ha inviato a un Principal mettendolo sotto torchio usando Brute Force alla ricerca della chiave privata rilasciata. Se siete oltremodo interessati ai BUGS di KERBEROS, eccovi alcuni link: mentre se avete la necessità di configurare un sistema KERBEROS in ambiente NT, un ottimo manuale lo trovate direttamente a questo indirizzo: Come avrete certamente capito, Kerberos, non è un sistema estremamente sicuro. Al massimo, Kerberos permette di definire soltanto alcuni computer dei quali la sicurezza può essere garantita in modo più robusto rispetto ad altri, ma nulla di più. Kerberos rimane comunque uno dei protocolli più utilizzati specialmente all interno di reti governative. Riassumendo i principi di Kerberos, potremmo dire che: - Solo una macchina è da considerare veramente sicura, ed è il Server centrale, il cuore, KERBEROS, o server di autenticazione. Alcuni server della rete KERBEROS sono semi-sicuri, gli altri sono considerati computer NON sicuri, pur facendo parte della stessa rete. - L accesso dei server viene controllato tramite Ticket - Kerberos utilizza 6 tipi di Ticket, questi sono: INITIAL, RENEWABLE, POSTDATED, INVALID, PRE-AUTENTICATE, FORWARDABLE. - Kerberos utilizza i nomi REALM per definire reti geografiche o locali anch esse utilizzanti il protocollo Kerberos. Ragazzi, siamo alla fine. Spero che questa guida vi possa servire a qualcosa, almeno per capire come funziona il protocollo Kerberos Pensavo di inserire qui anche degli esempi e dei capture di alcuni ticket sniffati, ma a dire il vero, sono troppo ansioso di pubblicare questa guida ^_^ In ogni caso prevedo un update di questa guida dove spiegherò nel dettaglio la programmazione a basso livello di Kerberos, e tutta un altra serie di cose molto tecniche simpatiche simpatiche Per il resto che dirvi? Siate prudenti, non commettete atti criminali a sistemi informatici e soprattutto non siate Lamer. L hacking non è un crimine, l hacking è studiare, e mettere in pratica in continuazione le proprie conoscenze, alla ricerca della perfezione. Ora vi saluto!!! Alla prossima. [JARRET] +++

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on Antonio Mattioli Seminario G@SL 5/12/2006 Windows Single Sign-on Cos è il Single Sing-on? Il Single sign-on è una speciale forma di autenticazione che permette ad un utente di autenticarsi una volta sola

Dettagli

Sistemi avanzati di gestione dei Sistemi Informativi

Sistemi avanzati di gestione dei Sistemi Informativi Esperti nella gestione dei sistemi informativi e tecnologie informatiche Sistemi avanzati di gestione dei Sistemi Informativi Docente: Email: Sito: Eduard Roccatello eduard@roccatello.it http://www.roccatello.it/teaching/gsi/

Dettagli

Introduzione ad Active Directory. Orazio Battaglia

Introduzione ad Active Directory. Orazio Battaglia Introduzione ad Active Directory Orazio Battaglia Introduzione al DNS Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Dettagli

Windows XP - Account utente e gruppi

Windows XP - Account utente e gruppi Windows XP - Account utente e gruppi Cos è un account utente In Windows XP il controllo di accesso è essenziale per la sicurezza del computer e dipende in gran parte dalla capacità del sistema di identificare

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Al prompt inserire il seguente comando per installare le applicazioni server di SAMBA:

Al prompt inserire il seguente comando per installare le applicazioni server di SAMBA: Server Samba Reti Windows Sommario Introduzione Installare SAMBA Configurare SAMBA Server Client Spesso le reti di computer sono costituite da sistemi eterogenei e, sebbene gestire una rete composta interamente

Dettagli

Sistemi di autenticazione. Sistemi di autenticazione

Sistemi di autenticazione. Sistemi di autenticazione Sistemi di autenticazione Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Metodologie di autenticazione basate su meccanismi diversi ( 1/2/3-factors authentication

Dettagli

Client VPN Manuale d uso. 9235970 Edizione 1

Client VPN Manuale d uso. 9235970 Edizione 1 Client VPN Manuale d uso 9235970 Edizione 1 Copyright 2004 Nokia. Tutti i diritti sono riservati. Il contenuto del presente documento, né parte di esso, potrà essere riprodotto, trasferito, distribuito

Dettagli

Auditing di Eventi. Daniele Di Lucente

Auditing di Eventi. Daniele Di Lucente Auditing di Eventi Daniele Di Lucente Un caso che potrebbe essere reale Un intruso è riuscito a penetrare nella rete informatica della società XYZ. Chi è l intruso? Come ha fatto ad entrare? Quali informazioni

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

SUBNET MASK. Classe A 255.0.0.0 Classe B 255.255.0.0 Classe C 255.255.255.0

SUBNET MASK. Classe A 255.0.0.0 Classe B 255.255.0.0 Classe C 255.255.255.0 SUBNET MASK In informatica e telecomunicazioni, nell'ambito delle reti di telecomunicazioni, la subnet mask o "maschera di sottorete" è il metodo utilizzato per definire il range di appartenenza di un

Dettagli

File System Distribuiti

File System Distribuiti File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema 20.1 Introduzione File System Distribuito

Dettagli

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema Introduzione File System Distribuito

Dettagli

Come creare una rete domestica con Windows XP

Come creare una rete domestica con Windows XP Lunedì 13 Aprile 2009 - ore: 12:49 Pagina Reti www.google.it www.virgilio.it www.tim.it www.omnitel.it Come creare una rete domestica con Windows XP Introduzione Una rete locale (LAN,

Dettagli

L'architettura di rete TCP/IP OSI: Fisico - Data link

L'architettura di rete TCP/IP OSI: Fisico - Data link Pagina 1 di 11 L'architettura di rete TCP/IP OSI: Fisico - Data link Per poter rendere sicura una rete bisogna prima aver capito molto bene in quale modo funziona. Ecco quindi che in questa breve lezione

Dettagli

La nuova Posta Elettronica IMAP del C.S.B.N.O. di Restelli Paolo. Appendice 2 : Protocolli sicuri, autenticazione sicura e certificati ( P.

La nuova Posta Elettronica IMAP del C.S.B.N.O. di Restelli Paolo. Appendice 2 : Protocolli sicuri, autenticazione sicura e certificati ( P. Rho, Luglio 07, 2006 CORSI ON-LINE La nuova Posta Elettronica IMAP del C.S.B.N.O. di Restelli Paolo Appendice 2 : Protocolli sicuri, autenticazione sicura e certificati ( P. Restelli) Attualmente la maggior

Dettagli

Autenticazione ed integrità dei dati Firewall

Autenticazione ed integrità dei dati Firewall Pagina 1 di 9 Autenticazione ed integrità dei dati Firewall Per proteggere una rete dagli attacchi provenienti dall'esterno si utilizza normalmente un sistema denominato Firewall. Firewall è un termine

Dettagli

Guida rapida - rete casalinga (con router)

Guida rapida - rete casalinga (con router) Guida rapida - rete casalinga (con router) Questa breve guida, si pone come obiettivo la creazione di una piccola rete ad uso domestico per la navigazione in internet e la condivisione di files e cartelle.

Dettagli

Guida rapida - rete casalinga (con router) Configurazione schede di rete con PC

Guida rapida - rete casalinga (con router) Configurazione schede di rete con PC Guida rapida - rete casalinga (con router) Questa breve guida, si pone come obiettivo la creazione di una piccola rete ad uso domestico per la navigazione in internet e la condivisione di files e cartelle.

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

DUAL BOOT WINDOWS-LINUX.

DUAL BOOT WINDOWS-LINUX. DUAL BOOT WINDOWS-LINUX. Realizzato da Jona Lelmi Nickname PyLinx Iniziato il giorno 5 Luglio 2010 - terminato il giorno 8 Luglio 2010 email autore: jona.jona@ymail.com Canale Youtube http://www.youtube.com/user/pylinx

Dettagli

Consulenza Informatica =======================================================================

Consulenza Informatica ======================================================================= E' oramai da più di un anno che Microsoft ha cominciato a distribuire e commercializzare Windows Server 2008, l ultimo sistema operativo per l ambiente server, così come sicuramente tanti altri tecnici

Dettagli

Windows Live OneCare Introduzione e installazione

Windows Live OneCare Introduzione e installazione Windows Live OneCare Introduzione e installazione La sicurezza e la manutenzione del proprio computer è di fondamentale importanza per tenerlo sempre efficiente e al riparo dalle minacce provenienti dalla

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

hottimo procedura di installazione

hottimo procedura di installazione hottimo procedura di installazione LATO SERVER Per un corretto funzionamento di hottimo è necessario in primis installare all interno del server, Microsoft Sql Server 2008 (Versione minima Express Edition)

Dettagli

Il DNS e la gestione degli indirizzi IP. Appunti a cura del prof. ing. Mario Catalano

Il DNS e la gestione degli indirizzi IP. Appunti a cura del prof. ing. Mario Catalano Il DNS e la gestione degli indirizzi IP Appunti a cura del prof. ing. Mario Catalano Indirizzi fisici e indirizzi astratti Ogni macchina all interno di una rete è identificata da un indirizzo hardware

Dettagli

Guida pratica all utilizzo di Zeroshell

Guida pratica all utilizzo di Zeroshell Guida pratica all utilizzo di Zeroshell Il sistema operativo multifunzionale creato da Fulvio.Ricciardi@zeroshell.net www.zeroshell.net Proteggere una piccola rete con stile ( Autore: cristiancolombini@libero.it

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

4. AUTENTICAZIONE DI DOMINIO

4. AUTENTICAZIONE DI DOMINIO 4. AUTENTICAZIONE DI DOMINIO I computer di alcuni laboratori dell'istituto sono configurati in modo da consentire l'accesso solo o anche ad utenti registrati (Workstation con autenticazione di dominio).

Dettagli

Migrazione da Windows Server 2003 a Windows Server 2008 Scritto da: admin in data: maggio 27, 2009 12.27

Migrazione da Windows Server 2003 a Windows Server 2008 Scritto da: admin in data: maggio 27, 2009 12.27 Migrazione da Windows Server 2003 a Windows Server 2008 Scritto da: admin in data: maggio 27, 2009 12.27 E' oramai da più di un anno che Microsoft ha cominciato a distribuire e commercializzare Windows

Dettagli

GUIDA ALLA RETE DOMESTICA: NETWORKING!

GUIDA ALLA RETE DOMESTICA: NETWORKING! GUIDA ALLA RETE DOMESTICA: NETWORKING Premessa: Questa guida è volutamente semplificata al fine di rendere più comprensibili e pratici molti concetti di networking. Molti particolari sono stati omessi,

Dettagli

Progettazione di reti AirPort

Progettazione di reti AirPort apple Progettazione di reti AirPort Indice 1 Per iniziare con AirPort 5 Utilizzo di questo documento 5 Impostazione Assistita AirPort 6 Caratteristiche di AirPort Admin Utility 6 2 Creazione di reti AirPort

Dettagli

BIMPublisher Manuale Tecnico

BIMPublisher Manuale Tecnico Manuale Tecnico Sommario 1 Cos è BIMPublisher...3 2 BIM Services Console...4 3 Installazione e prima configurazione...5 3.1 Configurazione...5 3.2 File di amministrazione...7 3.3 Database...7 3.4 Altre

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

GUIDA UTENTE INTERNET CAFE MANAGER (Vers. 5.2.0)

GUIDA UTENTE INTERNET CAFE MANAGER (Vers. 5.2.0) GUIDA UTENTE INTERNET CAFE MANAGER (Vers. 5.2.0) GUIDA UTENTE INTERNET CAFE MANAGER (Vers. 5.2.0)...1 Installazione e configurazione...2 Installazione ICM Server...3 Primo avvio e configurazione di ICM

Dettagli

Migrazione da Windows Server 2003 a Windows Server 2008

Migrazione da Windows Server 2003 a Windows Server 2008 Migrazione da Windows Server 2003 a Windows Server 2008 E' oramai da più di un anno che Microsoft ha cominciato a distribuire e commercializzare Windows Server 2008, l ultimo sistema operativo per l ambiente

Dettagli

StarShell. Autenticazione. StarShell

StarShell. Autenticazione. StarShell Autenticazione 1 Autenticazione Verifica dell'identità di qualcuno (utente) o qualcosa (host) in un contesto definito Componenti: Oggetto dell'autenticazione Autenticatore Informazione di autenticazione

Dettagli

Progettare una Rete Locale "Client/Server

Progettare una Rete Locale Client/Server Progettare una Rete Locale "Client/Server Premessa - Cos'è una rete Locale o LAN (Local Area Network)? Le reti locali si estendono su di un'area geografica piuttosto limitata; si tratta per lo più di reti

Dettagli

La Document Orientation. Come implementare un interfaccia

La Document Orientation. Come implementare un interfaccia La Document Orientation Come implementare un interfaccia Per eliminare l implementazione di una interfaccia da parte di una classe o documento, occorre tirarla su di esso tenendo premuto il tasto ctrl.

Dettagli

Kerberos - autenticazione centralizzata

Kerberos - autenticazione centralizzata - autenticazione centralizzata Iniziamo con Kerberos... Kerberos Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli

[- IL SISTEMA BINARIO -]

[- IL SISTEMA BINARIO -] [- IL SISTEMA BINARIO -] di: - -[JARRET]- - jarret@hackeralliance.net http://www.hackeralliance.net Copyright Hacker Alliance 2002-2003 hackeralliance.net All Right Reserved Il pensiero virtuale e il pensiero

Dettagli

Implementare i Read Only Domain Controller

Implementare i Read Only Domain Controller Implementare i Read Only Domain Controller di Nicola Ferrini MCT MCSA MCSE MCTS MCITP Introduzione I Read Only Domain Controller (RODC) sono dei domain controller che hanno una copia in sola lettura del

Dettagli

Local Area Network. Topologia di rete

Local Area Network. Topologia di rete Introduzione In questa guida illustreremo come installare un piccola rete domestica di 2 o più computer. Inizieremo spiegando velocemente cosa è una LAN e cosa ci serve per crearla, senza addentrarci profondamente

Dettagli

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X In questa guida saranno analizzati i semplici passaggi per la messa in opera del motore di e-commerce LIDRASHOP. Prima però ecco alcuni accorgimenti

Dettagli

Le reti Sicurezza in rete

Le reti Sicurezza in rete Le reti Sicurezza in rete Tipi di reti Con il termine rete si intende un insieme di componenti, sistemi o entità interconnessi tra loro. Nell ambito dell informatica, una rete è un complesso sistema di

Dettagli

Notifica sul Copyright

Notifica sul Copyright Parallels Panel Notifica sul Copyright ISBN: N/A Parallels 660 SW 39 th Street Suite 205 Renton, Washington 98057 USA Telefono: +1 (425) 282 6400 Fax: +1 (425) 282 6444 Copyright 1999-2009, Parallels,

Dettagli

Protocol Level: Sicurezza nelle reti Samba

Protocol Level: Sicurezza nelle reti Samba Vi spaventerò elencandovi alcuni dei problemi delle reti Microsoft Diego Fantoma fantoma@units.it Dissertazioni preliminari Questo lavoro non è a carattere tecnico ma è una ricerca bibliografica con alcuni

Dettagli

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it)

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Centro Infosapienza Ufficio gestione sistemi Settore sistemi centrali e per l office automation Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Sommario 1. Premessa...

Dettagli

Installazione SQL Server 2005 Express Edition

Installazione SQL Server 2005 Express Edition Supporto On Line Allegato FAQ FAQ n.ro MAN-6S4ALG7637 Data ultima modifica 25/08/2010 Prodotto Tutti Modulo Tutti Oggetto Installazione SQL Server 2005 Express Edition In giallo sono evidenziate le modifiche/integrazioni

Dettagli

Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress

Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress Copyright Andrea Giavara wppratico.com Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress 1. Il pannello amministrativo 2. I dati importanti 3. Creare il database - Cpanel - Plesk

Dettagli

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni, specifiche,

Dettagli

Guida in linea di Symantec pcanywhere Web Remote

Guida in linea di Symantec pcanywhere Web Remote Guida in linea di Symantec pcanywhere Web Remote Connessione da un browser Web Il documento contiene i seguenti argomenti: Informazioni su Symantec pcanywhere Web Remote Metodi per la protezione della

Dettagli

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali Università degli Studi di Milano Polo di Crema Corso di laurea in Scienze Matematiche, Fisiche e Naturali INFORMATICA Corso di Ingegneria del Software progetto IL SISTEMA CALENDAR Presentato al dott. Paolo

Dettagli

A cura di: Dott. Ing. Elisabetta Visciotti. e.visciotti@gmail.com

A cura di: Dott. Ing. Elisabetta Visciotti. e.visciotti@gmail.com A cura di: Dott. Ing. Elisabetta Visciotti e.visciotti@gmail.com Il termine generico rete (network) definisce un insieme di entità (oggetti, persone, ecc.) interconnesse le une alle altre. Una rete permette

Dettagli

Articolo di spiegazione FileMaker Replica di un ambiente di autenticazione esterna per lo sviluppo

Articolo di spiegazione FileMaker Replica di un ambiente di autenticazione esterna per lo sviluppo Articolo di spiegazione FileMaker Replica di un ambiente di autenticazione esterna per lo sviluppo Pagina 1 Replica di un ambiente di autenticazione esterna per lo sviluppo La sfida Replicare un ambiente

Dettagli

V 1.00b. by ReBunk. per suggerimenti e critiche mi trovate nell hub locarno.no-ip.org. Guida di base IDC ++1.072

V 1.00b. by ReBunk. per suggerimenti e critiche mi trovate nell hub locarno.no-ip.org. Guida di base IDC ++1.072 V 1.00b by ReBunk per suggerimenti e critiche mi trovate nell hub locarno.no-ip.org Guida di base IDC ++1.072 Thanks To SicKb0y (autore del idc++) staff (per sopportarmi tutti i giorni) Versione definitiva

Dettagli

Presentazione. La guida è ben realizzata ed è ricca di immagini che aiutano la comprensione di diversi passaggi e delle configurazioni richieste.

Presentazione. La guida è ben realizzata ed è ricca di immagini che aiutano la comprensione di diversi passaggi e delle configurazioni richieste. Presentazione L amico e bravo Guido G. è l'autore di questa bella e semplice guida per la realizzazione di una rete VPN, che potrebbe essere utile a molte persone. Ringrazio Guido che ha voluto mettere

Dettagli

INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA

INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA INSTALLAZIONE JOOMLA SU SPAZIO WEB FREE ALTERVISTA Questa vuole essere una breve tutorial su come installare Joomla su uno spazio Web gratuito, in particolare faremo riferimento ai sottodomini gratuitamente

Dettagli

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3 ver 2.0 Log Manager Quick Start Guide 1 Connessione dell apparato 2 2 Prima configurazione 2 2.1 Impostazioni di fabbrica 2 2.2 Configurazione indirizzo IP e gateway 3 2.3 Configurazione DNS e Nome Host

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

HORIZON SQL CONFIGURAZIONE DI RETE

HORIZON SQL CONFIGURAZIONE DI RETE 1-1/9 HORIZON SQL CONFIGURAZIONE DI RETE 1 CARATTERISTICHE DI UN DATABASE SQL...1-2 Considerazioni generali... 1-2 Concetto di Server... 1-2 Concetto di Client... 1-2 Concetto di database SQL... 1-2 Vantaggi...

Dettagli

Manuale d uso Mercurio

Manuale d uso Mercurio Manuale d uso Mercurio SOMMARIO Pagina Capitolo 1 Caratteristiche e Funzionamento Capitolo 2 Vantaggi 3 3 Capitolo 3 Cosa Occorre Capitolo 4 Prerequisiti Hardware e Software Prerequisiti hardware Prerequisiti

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

I.T.I.S. E. MAJORANA MARTINA FRANCA(TA)

I.T.I.S. E. MAJORANA MARTINA FRANCA(TA) I.T.I.S. E. MAJORANA MARTINA FRANCA(TA) ----------------------------------------------------------------- TESINA: SICUREZZA RETI MATERIA: SISTEMI DATA EMISSIONE: 20-06-2005 AUTORI: ANGELO SPALLUTO INDICE:

Dettagli

Uso sicuro del web Navigare in siti sicuri

Uso sicuro del web Navigare in siti sicuri Uso sicuro del web Navigare in siti sicuri La rete internet, inizialmente, era concepita come strumento di ricerca di informazioni. L utente esercitava un ruolo passivo. Non interagiva con le pagine web

Dettagli

LABORATORIO DI TELEMATICA

LABORATORIO DI TELEMATICA LABORATORIO DI TELEMATICA COGNOME: Ronchi NOME: Valerio NUMERO MATRICOLA: 41210 CORSO DI LAUREA: Ingegneria Informatica TEMA: Analisi del protocollo FTP File Transfer Protocol File Transfer Protocol (FTP)

Dettagli

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation 9243057 Edizione 1 IT Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation VPN Client Manuale d'uso 9243057 Edizione 1 Copyright 2005 Nokia. Tutti i diritti sono riservati. Il contenuto

Dettagli

Sistemi Web! per il turismo! - lezione 6 -

Sistemi Web! per il turismo! - lezione 6 - Sistemi Web! per il turismo! - lezione 6 - A proposito di social network! Osserviamo due esempi di pagine Facebook." Cercate di pensare a qual è la differenza principale tra queste due pagine." Esempio

Dettagli

Sistemi Operativi di Rete. Sistemi Operativi di rete. Sistemi Operativi di rete

Sistemi Operativi di Rete. Sistemi Operativi di rete. Sistemi Operativi di rete Sistemi Operativi di Rete Estensione dei Sistemi Operativi standard con servizi per la gestione di risorse in rete locale Risorse gestite: uno o più server di rete più stampanti di rete una o più reti

Dettagli

Capitolo 2 Risoluzione di problemi

Capitolo 2 Risoluzione di problemi Capitolo 2 Risoluzione di problemi Questo capitolo fornisce informazioni per risolvere eventuali problemi del modem router ADSL wireless. Dopo la descrizione di ogni problema, vengono fornite istruzioni

Dettagli

COME CREARE UNA LAN DOMESTICA

COME CREARE UNA LAN DOMESTICA COME CREARE UNA LAN DOMESTICA Breve Introduzione con la sigla LAN, si intende Local Area Network, una rete virtuale che permette la comunicazione tra più computer tramite collegamento via cavo. Ciò permette

Dettagli

IT Security 3 LA SICUREZZA IN RETE

IT Security 3 LA SICUREZZA IN RETE 1 IT Security 3 LA SICUREZZA IN RETE Una RETE INFORMATICA è costituita da un insieme di computer collegati tra di loro e in grado di condividere sia le risorse hardware (stampanti, Hard Disk,..), che le

Dettagli

Istruzioni per l'accesso alla casella di posta elettronica del dominio "liceomamiani.it"

Istruzioni per l'accesso alla casella di posta elettronica del dominio liceomamiani.it Istruzioni per l'accesso alla casella di posta elettronica del dominio "liceomamiani.it" N.B. Non stampate questo documento: Risparmiamo qualche albero! 1 - Credenziali di accesso Ad ogni titolare di casella

Dettagli

INSTALLAZIONE ed USO VUZE per DOWNLOAD FILE TORRENT

INSTALLAZIONE ed USO VUZE per DOWNLOAD FILE TORRENT INSTALLAZIONE ed USO VUZE per DOWNLOAD FILE TORRENT Questa guida vuole essere un breve tutorial su come installare VUZE sul proprio PC in modo da riuscire a scaricare i file torrent che troviamo su Internet.

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

INTRODUZIONE AI SISTEMI OPERATIVI

INTRODUZIONE AI SISTEMI OPERATIVI INTRODUZIONE AI SISTEMI OPERATIVI Il sistema operativo è il software che permette l esecuzione di programmi applicativi e lo sviluppo di nuovi programmi. CARATTERISTICHE Gestisce le risorse hardware e

Dettagli

Reti e Domini Windows 2000. Corso di Amministrazione di Reti A.A. 2002/2003

Reti e Domini Windows 2000. Corso di Amministrazione di Reti A.A. 2002/2003 Reti e Domini Windows 2000 Corso di Amministrazione di Reti A.A. 2002/2003 Materiale preparato utilizzando dove possibile materiale AIPA http://www.aipa.it/attivita[2/formazione[6/corsi[2/materiali/reti%20di%20calcolatori/welcome.htm

Dettagli

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di NOKIA 9500 COMMUNICATOR. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni,

Dettagli

Novell ZENworks Configuration Management in ambiente Microsoft * Windows *

Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Guida GESTIONE SISTEMI www.novell.com Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Novell ZENworks Configuration Management in ambiente Microsoft Windows Indice: 2..... Benvenuti

Dettagli

Manuale Utente Archivierete Novembre 2008 Pagina 2 di 17

Manuale Utente Archivierete Novembre 2008 Pagina 2 di 17 Manuale utente 1. Introduzione ad Archivierete... 3 1.1. Il salvataggio dei dati... 3 1.2. Come funziona Archivierete... 3 1.3. Primo salvataggio e salvataggi successivi... 5 1.4. Versioni dei salvataggi...

Dettagli

TEMA. Tesseramento Online. [Manuale versione 1.0 2 agosto 2009] [Aggiornamento 30 gennaio 2013 Gestione della Prima Affiliazione]

TEMA. Tesseramento Online. [Manuale versione 1.0 2 agosto 2009] [Aggiornamento 30 gennaio 2013 Gestione della Prima Affiliazione] TEMA Tesseramento Online http://www.federscacchi.it/tema tema@federscacchi.it [Manuale versione 1.0 2 agosto 2009] [Aggiornamento 30 gennaio 2013 Gestione della Prima Affiliazione] 1/27 Indice TEMA in

Dettagli

Protezione dei dati INTRODUZIONE

Protezione dei dati INTRODUZIONE Protezione dei dati INTRODUZIONE Le reti LAN senza filo sono in una fase di rapida crescita. Un ambiente aziendale in continua trasformazione richiede una maggiore flessibilità sia alle persone che alle

Dettagli

Innanzitutto andiamo sul sito http://www.dropbox.com/ ed eseguiamo il download del programma cliccando su Download Dropbox.

Innanzitutto andiamo sul sito http://www.dropbox.com/ ed eseguiamo il download del programma cliccando su Download Dropbox. Oggi parlerò di qualcosa che ha a che fare relativamente con la tecnica fotografica, ma che ci può dare una mano nella gestione dei nostri archivi digitali, soprattutto nel rapporto professionale con altre

Dettagli

CFR 21 PARTE 11 con FDS Factory DataStorage

CFR 21 PARTE 11 con FDS Factory DataStorage CFR 21 PARTE 11 con FDS Factory DataStorage Pagina 1 di 27 I REQUISITI RICHIESTI A UN SISTEMA PER ESSERE CONFORME AL CFR 21 PARTE 11. 1. COSA E IL CFR 21 PARTE 11 Il Cfr 21 parte 11 definisce dei criteri

Dettagli

Aggiunte alla documentazione

Aggiunte alla documentazione Aggiunte alla documentazione Software di sicurezza Zone Alarm versione 7.1 Nel presente documento vengono trattate le nuove funzionalità non incluse nelle versioni localizzate del manuale utente. Fare

Dettagli

Installare Windows Xp Guida scritta da CroX

Installare Windows Xp Guida scritta da CroX Installare Windows Xp Guida scritta da CroX INTRODUZIONE: 2 PREPARAZIONE 2 BOOT DA CD 2 BIOS 3 PASSAGGI FONDAMENTALI 4 SCEGLIERE COSA FARE TRA RIPRISTINO O INSTALLARE UNA NUOVA COPIA 5 ACCETTARE CONTRATTO

Dettagli

Introduzione alla Sicurezza Informatica

Introduzione alla Sicurezza Informatica Introduzione alla Sicurezza Informatica Prof. Francesco Buccafurri Università Mediterranea di Reggio Calabria Crescita di Internet 0.000 570.937.7 0.000 439.286.364 489.774.269 0.000 0.000 233.101.481

Dettagli

NGM Area Privè Summary

NGM Area Privè Summary Area Privè Summary Installazione e accesso... 3 Foto... 4 Video... 4 Messaggi... 5 Contatti privati... 5 Registro chiamate... 8 Dati personali... 8 Tentativi di accesso... 9 Impostazioni... 9 Ripristino

Dettagli

Internet in due parole

Internet in due parole Internet in due parole Versione 1.1 18-9-2002 INTERNET IN DUE PAROLE...1 VERSIONE 1.1 18-9-2002...1 COSA È INTERNET?... 2 TIPI DI CONNESSIONE.... 2 Cosa è un modem...2 ADSL...2 Linee dedicate...2 CONNESSIONE

Dettagli

Programma per la gestione associativa Versione 5.3.x. Gestione SMS

Programma per la gestione associativa Versione 5.3.x. Gestione SMS Associazione Volontari Italiani del Sangue Viale E. Forlanini, 23 20134 Milano Tel. 02/70006786 Fax. 02/70006643 Sito Internet: www.avis.it - Email: avis.nazionale@avis.it Programma per la gestione associativa

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Manuale. Gestione biblioteca scolastica by Rosset Pier Angelo is licensed under a Creative Commons

Manuale. Gestione biblioteca scolastica by Rosset Pier Angelo is licensed under a Creative Commons Manuale Gestione biblioteca scolastica by Rosset Pier Angelo is licensed under a Creative Commons Premessa Gestione Biblioteca scolastica è un software che permette di gestire in maniera sufficientemente

Dettagli

La Rete. In una rete, però si può anche andare incontro ad inconvenienti:

La Rete. In una rete, però si può anche andare incontro ad inconvenienti: Una rete è una connessione tra diversi computer. Ogni computer è indipendente dagli altri, cioè può lavorare anche se "non è in rete" o se gli altri computer della rete sono spenti (in questo caso naturalmente

Dettagli

SMART CARD-APPLICAZIONI

SMART CARD-APPLICAZIONI SMART CARD-APPLICAZIONI Le applicazioni pratiche delle Smart Card possono essere suddivise in 3 categorie principali: 1- Trasporto Dati: la Smart Card e usata come mezzo per memorizzare informazioni; 2-

Dettagli