I. T. S. O. S. M. C U R I E TECNOLOGIE INFORMATICHE E SETTORE TERZIARIO

Transcript

1 I. T. S. O. S. M. C U R I E TECNOLOGIE INFORMATICHE E SETTORE TERZIARIO 1

2 I N D I C E Le Firme Digitali...3 Il PGP...4 Le Reti VPN A CHI PUÒ ESSERE UTILE SICUREZZA DELLE VPN CRITTOGRAFIA E TUNNELING PROTOCOLLI DI TUNNELING...7 I Firewall...8 Il futuro...8 2

3 Nelle grandi reti locali aziendali ed in internet, circolano grandi quantità d informazioni e, grazie alla velocità ed alla disponibilità di quest ultima, si trasferiscono file a volte anche di grandi dimensioni, ma anche molto confidenziali. Il rischio che questi file confidenziali e privati siano intercettati o visti da altri, una volta arrivati a destinazione, è sempre più alto, causa le nuove tecnologie e i nuovi programmi che utilizzano delle porte meno conosciute sul nostro PC. Proprio grazie a queste nuove tecnologie, però, è possibile prevenire questi tipi d attacchi e tutelare la privacy del singolo utente durante lo scambio d informazioni. Ecco come difendersi e preservare l integrità e la sicurezza di un documento o file scambiato con un altra persona. Le Firme Digitali Una forma di protezione semplice è costituita dalla firma digitale. La firma digitale è, come dice la parola stessa, una firma o un certificato che viene inglobato nel file che ne certifica la provenienza. Questo non ne impedisce l intercettazione o la sicurezza che il file venga aperto da qualcun altro, ma ne certifica la provenienza. Quando il destinatario riceve il file, sa esattamente da dove proviene e, se a conoscenza della presenza della firma digitale, può controllare che sia autentica, e nel caso il file sia stato modificato durante il suo percorso, la firma verrà a mancare o sarà modificata in modo da avvisare l utente che il contenuto è stato alterato o letto da qualcun altro. Per ottenere una firma digitale, è necessario richiederla ad uno degli enti certificanti. Uno di questi è la VeriSign che è in grado di fornirvi la vostra firma ad un prezzo abbastanza contenuto; infatti, l unico svantaggio di questa certificazione è nel prezzo. Le firme digitali hanno data di scadenza e durano un anno, dopo, perdono validità e bisogna rinnovarle. Il prezzo annuo del rinnovo si aggira intorno ai $15 - $20. Bisogna anche dire che le firme e i certificati digitali possono essere assegnate anche a siti Web. Esempio di avviso che certifica che il sito in questione è certificato, cliccando sopra l immagine apparirà una piccola finestra che mostrerà la certificazione del sito 3

4 Il PGP Un altro modo per evitare che i nostri file vengano intercettati e modificati è criptarli. Dato che il modo più diffuso per lo scambio di documenti sono la , nel 1991 il sig. Phil Zimmermann creò un programma che permetteva di criptare le mail e che solo il destinatario potesse leggerle. Nasce così il PGP, acronimo di Pretty Good Privacy. Ma come funziona il PGP? Per quanto semplice ed impercettibile possa essere per noi il processo di criptazione e decriptazione di un file, esso in verità e molto complesso. Quando noi spediamo una e decidiamo di usare il PGP dobbiamo assicurarci che anche il destinatario sia in grado di leggere le informazioni criptare attraverso il PGP assicurandoci che anche lui abbia questo programma installato e che siamo a conoscenza di una chiave che permette di individuarlo. Come lavora PGP? PGP combina alcune delle caratteristiche migliori della crittografia a chiave pubblica, con quelle della crittografia convenzionale. PGP è quindi un criptosistema ibrido. Quando un utente cripta un testo in chiaro con PGP, esso comincia comprimendo il documento. La compressione dei dati salva tempo di trasmissione, spazio su disco e, molto più importante, rafforza la sicurezza crittografica. Molte tecniche criptoanalitiche sfruttano strutture e dati particolari di un testo in chiaro per forzare il testo cifrato. La compressione riduce queste strutture nel testo in chiaro, aumentando notevolmente la resistenza alla criptoanalisi. Più precisamente, PGP crea una chiave di sessione che verrà utilizzata solo una volta. La chiave di sessione è impiegata per crittografare il testo in chiaro con un algoritmo di crittografia convenzionale molto sicuro; il risultato è il testo cifrato. Una volta che i dati sono crittografati, la chiave di sessione viene quindi crittografata con la chiave pubblica del destinatario (precedentemente richiesta o acquisita). Questa chiave di sessione criptata viene trasmessa insieme con il testo cifrato al destinatario. La figura seguente schematizza questo concetto: 4

5 Per decifrare si applica lo stesso procedimento al contrario. La copia di PGP del destinatario utilizza la chiave privata per recuperare la chiave di sessione. Questa decodifica il testo criptato in maniera convenzionale. La figura seguente schematizza questo concetto: Per la creazione della chiave di sessione, PGP si serve di un generatore pseudocasuale di numeri. I numeri vengono generati nel momento in cui serve la chiave simmetrica utilizzando i movimenti del mouse e la pressione dei tasti. I dati del generatore cambiano di giorno in giorno in base alla data, l ora ed altre fonti casuali. Tutti i dati casuali per la generazione della chiave di sessione risiedono in una porzione di disco chiamata file seme. Per evitare che si possano attaccare le chiavi di sessione ancora prima che queste vengano create, il file seme, quando inutilizzato, riposa sul disco in forma crittografata. Ciononostante, si consiglia di non permettere a nessun individuo di scrivere file sul vostro computer, specialmente quelli in sola lettura. La combinazione dei due metodi di crittografia unisce la convenienza di quella a chiave pubblica con la velocità di quella convenzionale. La crittografia convenzionale è circa 1000 volte più veloce della crittografia a chiave pubblica. La crittografia a chiave pubblica, a sua volta, fornisce una soluzione per la distribuzione delle chiavi. Utilizzate insieme, le prestazioni e la gestione delle chiavi sono sfruttate al massimo senza compromettere la sicurezza. Questo tipo di sicurezza è usata principalmente dai dipendenti di determinate aziende, e a volte dagli utenti privati anche perché è disponibile una copia gratuita del programma. Quella a pagamento contiene solo degli strumenti aggiuntivi per colmare le esigenze di determinate ditte, ma il metodo di criptazione non cambia, quindi pagando non si otterrà una sicurezza maggiore, ma solo un programma registrato e con più opzioni. 5

6 Le Reti VPN Ma passiamo ad un metodo di sicurezza più sicuro per le aziende. Ora è possibile per le aziende collegarsi ad altre sedi senza investire ingenti risorse in linee dedicate. Esiste un modo per permettere ai dipendenti che lavorano fuori sede di accedere ai dati o alle applicazioni contenute sui server locali dell azienda, ma soprattutto, è possibile garantire lo scambio di dati in assoluta sicurezza. Spesso le varie sedi aziendali sono collegate fra di loro per mezzo di soluzioni software installate dalla sede principale. Queste soluzioni, tuttavia, non sono in grado di garantire la massima sicurezza, vengono così adottate delle connessioni tramite reti VPN (Virtual Private Network) che offrono di fatto alle aziende la possibilità di proteggere le loro connessioni a costi notevolmente inferiori rispetto a soluzioni basate su linee dedicate (per questo, gli standard di questa tecnologia si stanno sviluppando molto rapidamente). - A CHI PUÒ ESSERE UTILE La VPN dal punto di vista operativo è un ottimo strumento di comunicazione per tutte quelle aziende con molteplici sedi, utenti remoti e partner dislocati in aree diverse che necessitano di accedere in modo sicuro ed a costi estremamente contenuti a servizi, dati o applicazioni normalmente disponibili solo quando direttamente connessi alla propria rete locale aziendale. Ad esempio la VPN risulta un ottimo strumento per tutte quelle aziende che vogliono dotare i loro dipendenti (es. personale mobile, rappresentanti commerciali etc.) di un accesso alla rete aziendale sicuro ed affidabile per consentire loro lo scarico e carico di dati riservati, l'accesso a banche dati o l'esecuzione di applicazioni dedicate. Una rete VPN (Virtual Private Network) permette a computer ubicati in sedi fisiche diverse di stabilire un collegamento protetto tramite Internet. Poiché le connessioni a Internet sono connessioni pubbliche, e quindi non protette per definizione, sono esposte al rischio che i pirati informatici possano intercettare e modificare i dati trasmessi sul Web. Con una rete VPN è tuttavia possibile crittografare i dati e inviarli solo ad un computer (o gruppo di computer) specifici o, in altre parole, di creare una rete privata che è accessibile solo agli utenti autorizzati a differenza del Web che è accessibile a tutti. La rete in questione è però una rete virtuale poiché il collegamento tra i computer remoti non è fisico ma basato sul Web. Per poter utilizzare un'applicazione installata sui sistemi della propria azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password. - SICUREZZA DELLE VPN La funzionalità VPN consente al traffico IP di viaggiare in piena sicurezza su di una rete TCP/IP Questo è possibile perché il sistema VPN provvede a cifrare i dati nel corso del passaggio da una rete ad un'altra, facendoli così transitare in una sorta di 'tunnel' virtuale di protezione. Per garantirsi rispetto a intrusioni esterne nei nodi che formano la Rete Privata è necessario proteggesi con dei firewall di accesso e con delle regole di instradamento delle informazioni molto 6

7 specifiche. E' fondamentale inoltre la realizzazione e manutenzione di un sistema di monitoraggio attivo della sicurezza al fine di individuare tentativi di intrusione ed attivare le opportune contromisure prima che eventuali malintenzionati possano raggiungere il loro scopo. Se correttamente implementata e gestita la sicurezza di un sistema basato su VPN è da considerarsi pressoché totale. - CRITTOGRAFIA E TUNNELING Per poter essere protetti, i dati scambiati sulla rete VPN devono essere incapsulati tramite un processo chiamato tunneling, che ha lo scopo di collocare i dati in pacchetti digitalizzati. Il termine tunnel è stato scelto poiché indica uno spazio protetto creato nell'ambito della connessione al Web. Naturalmente, le aziende e gli utenti remoti devono utilizzare programmi software specifici a ciascuna uscita del "tunnel" per poter crittografare e de-crittografare i dati con lo stesso formato. Nel modello di trasmissione viene spesso aggiunta una fase di compressione dei dati che ha lo scopo di evitare che la rete si saturi a causa dell'elevato numero di pacchetti crittografati. È necessario anche un server VPN, ossia il computer che gestisca le richieste di connessione degli utenti e dei router remoti (nel caso di sedi dislocate in altre ubicazioni). - PROTOCOLLI DI TUNNELING Per consentire agli utenti di ciascuna uscita del tunnel di leggere i dati, è necessario, naturalmente, che tutti i componenti della rete VPN utilizzino lo stesso protocollo. Esistono naturalmente vari protocolli con livelli di protezione diversi: PPTP (Point-to-Point Tunneling Protocol), L2F (Layer Two Forwarding), L2TP (Layer Two Tunneling Protocol) e IPSec. I protocolli PPTP e IPSec offrono il livello di protezione più elevato. Il protocollo PPTP permette di incapsulare i pacchetti dati in un datagramma IP al fine di creare una connessione punto-a-punto. In questo caso, i dati vengono protetti a due livelli poiché i dati sulla rete locale (come gli indirizzi dei PC) vengono incapsulati in un messaggio PPP che è a sua volta incapsulato in un messaggio IP. IPSec offre tre moduli (Authentication Header, Encapsulating Security Payload e Security Association) che ottimizzano la protezione, garantendo la riservatezza, l'integrità e l'autenticazione dei dati. Una connessione VPN la si può anche adottare non solo per le aziende, ma anche per le piccole reti locali private, per provare sul vostro computer la connessione in VPN basta aver installato il sistema operativo Microsoft Windows xp Professional che al suo interno include una configurazione guidata che vi permetterà di usare questa funzionalità anche sul vostro PC di casa. Come accennato prima è consigliabile utilizzare un firewall accompagnato alla connessione VPN per rendere ancora più sicuro il vostro PC, che ha il compito di filtrare e di vigilare su tutte le porte di accesso del vostro PC in modo che non transitino in entrata o in uscita informazioni non autorizzate (attacchi dall esterno, prelievo di file da parte di hackers). 7

8 I Firewall Al momento esistono due tipi di firewall: - Firewall hardware - Firewall software I firewall hardware sono dei dispositivi fisici veri e propri che permettono, attraverso un interfaccia grafica di essere configurati, e poi tutte le informazioni vengono salvate nella ROM. I firewall software, invece, sono molto più flessibili rispetto a quelli hardware perché si basano su un programma da installare o preinstallato su un sistema operativo, inoltre sono più espandibili perché danno la possibilità di creare script e configurazioni adhoc per soddisfare le esigenze delle aziende. Inoltre questi tipi di firewall sono anche più diffusi, non solo perché più flessibili, ma anche perché più economici. Un sistema operativo molto stabile e sicuro che offre all interno già preinstallato un firewall è Linux, più in particolare la distribuzione Debian, studiata appositamente per questo tipo di utilizzo. Oltretutto Debian è una distribuzione open source, ossia libera e gratuita, ma non solo open source significa che si ha la disponibilità di avere a disposizione il codice sorgente, ossia il codice con il quale si è creato il programma che, se uno è capace, è possibile modificare secondo le proprie esigenze ottenendo così un sistema ancor più stabile. Grazie a questa caratteristica, se si riscontrano difetti nel sistema operativo solitamente vengono risolti più velocemente rispetto ad un sistema operativo a pagamento, perché grazie alle varie comunità che si vengono a creare e alla libertà di condivisione del codice sempre più utenti sono in grado di analizzare e quindi di esprimere proprie opinioni e soluzioni a riguardo. Il futuro Quando parliamo di reti non parliamo solo di internet come contenitore di varie informazioni, ma anche come risorsa di condivisioni di dati. L accesso a questa grande risorsa non è sempre così semplice, difatti in alcune zone del mondo dove la tecnologia non è molto avanzata e le vie di comunicazione sono ancora in fase di sviluppo, quali paesi situati nei deserti o paesi sperduti tra le montagne, la rete internet è molto difficile da raggiungere. Grazie a delle nuove tecnologie che si stanno affermando in questi tempi sarà possibile mettere in comunicazione questi paeselli sperduti con costi più contenuti e senza necessità di tirare dei cavi per raggiungere la rete delle reti. Una di queste tecnologie si chiama OpticAir (Optical Air Transmission trough Light Amplification by Simulated Emission of Radiation) sviluppato dalla Lucent Technologies che permette attraverso l uso di raggi laser (non dannosi per l uomo) e di piccole 8

9 antenne per il rimbalzo del segnale di trasmettere grandi quantità di dati in un piccolo lasso di tempo. Questo progetto è stato sviluppato per ovviare all uso della fibra ottica ancora troppo costoso per realizzare collegamenti a lunghe distanze se non si ha a disposizione una grande quantità di fondi da investire. Inoltre in campo di sicurezza è molto sicuro perché il segnale non può essere intercettato in qualsiasi punto, perché criptato, e solo il ricevitore hardware possiede la chiave per decriptare il segnale. Questo sistema inoltre è anche molto veloce, pensare che di media viaggia ad una velocità di 10 Gbps. Schema esemplificativo della trasmissione dati con tecnologia OpticAir: Dispositivi utilizzati per le brevi distanze: Dispositivi utilizzati per le lunghe distanze: 9

10 Esempio di utilizzo all interno di una metropoli per il collegamento di sedi universitarie con un centro ricerche: Dispositivi sperimentali utilizzati per il collegamento sopra illustrato: Dario Trombin Classe V M Esami di stato A/S 2003/2004 Tesina sulla sicurezza nelle reti locali ed internet 10