NETWORK SECURITY. Seminario. Sommario
|
|
- Gastone Ferretti
- 8 anni fa
- Visualizzazioni
Transcript
1 NETWORK SECURITY Seminario Gianluca Vadruccio Security Project Manager Giugno 2001 Sommario 1 - ATTACCHI INFORMATICI Classificazione degli attacchi Azioni di Hacking e Penetration Test Vulnerabilita' di rete Vulnerabilita' di sistema Vulnerabilita' del software 2 - DIFESA e SICUREZZA INFORMATICA Sicurezza a livello rete: SWITCH e VLAN, ROUTER e HSRP, ADVANCED ROUTING Sicurezza a livello sistema: FW, IDS, VPN Crittografia a chiave pubblica Sicurezza a livello applicativo: PKI e CERTIFICATI DIGITALI 1
2 1 ATTACCHI INFORMATICI Prima parte: Cosa si rischia? Dati Statistici Origine degli attacchi Perdite economiche Andamento del mercato 2
3 Origine degli attacchi Attacchi piu gettonati 3
4 Perdite economiche Perdite economiche dovute ad attacchi: $ 377,828,700 nel 2000 $ 265,589,940 nel 1999 $ 120,240,180 nei 3 anni precedenti il 1999 Di cui: $ 151,230,100 per furto di informazioni private $ 92,935,500 per frodi finanziarie [Dati CSI (Computer Security Institute) Computer Crime and Security Survey 12 Marzo 2001] Andamento Rispetto al 1999: - 25,3% di dichiarazioni di furto + 30% di perdite economiche I dati sono falsati dal fatto che la maggior parte delle compagnie tendono a non denunciare gli attacchi! Pubblicità negativa! Vantaggio ai concorrenti! Orgoglio! Si preferisce il rimedio fatto in casa [Dati CSI (Computer Security Institute) Computer Crime and Security Survey 12 Marzo 2001] 4
5 Esempio 1: NetBus E un tentativo di accesso non autorizzato. NetBus, come NetBus Pro, sono programmi backdoor che abilitano un utente remoto a prendere possesso della macchina dove il NetBus server e installato Backdoor.exe HACKER commands TARGET NetBus-Server Comandi per ridirigere il TCP output, cancellare files, shutdown windows, etc Esempio 2: IP Half Scan E un indice di pre-attacco Offre la possibilita ad un Hacker di determinare quali servizi sono in funzione su un determinato host. (1)SYN (3)ACK/RST HACKER Connection Established (4) TARGET Host 5
6 Attacchi Generalità Obiettivi e Mezzi Classificazione Politica di Sicurezza Attacchi: Chi attacca Chi? Per gioco/scherzo Organizzazioni Competitor Attacks Nemici Proteste e/o Mosse Politiche Criminalità e/o Scopi Terroristici Chiunque Competitor 6
7 Attacchi: Obiettivo Danneggiare Modificare Ottenere l accesso ponte per un altro sistema Ottenere permessi maggiori PENETRARE IN UN SISTEMA Ottenere un account Ottenere informazioni riservate Ostacolare un servizio Attacchi: Mezzi Servizi non disabilitati Permessi e regole poco restrittive Errori di configurazione Debolezze intrinseche di TCP/IP SFRUTTANDO Leggerezze nelle procedure e/o nell amministrazione Gestione da remoto e non da console Password di root e/o di account banali Bugs di SO, programmi e servizi 7
8 Attacchi: Classificazione (1) Denial Of Service: compromettere/dannegiare un servizio. Solitamente consiste in un sovraccaricamento di parti critiche del sistema. Unauthorized Access Attemps: comprende tutti quei tentativi di leggere/modificare/eseguire file per i quali non si ha il permesso oppure cercare di acquisire più diritti (ad esempio administrator) di quelli che si hanno. Attacchi: Classificazione (2) Pre-Attack Probe: Minaccia che cerca di reperire le maggiori informazioni possibili sul sistema e la sua struttura, in modo tale da poter studiare un futuro attacco sfruttando le sue vulnerabilità. Suspicious Activity: Traffico di rete che si discosta in maniera significativa dal comportamento usuale e che potrebbe essere sintomo di esecuzione di atti indesiderati. Protocol Decodes: Responsabili della decodifica o della richiesta di informazioni riservate. 8
9 Attacchi: Classificazione (3) Distributed Attacks: " Gli Hackers acquisiscono il controllo di un gruppo di macchine e le sfruttano per attaccare le altre " Controllo non sequenziale ad esempio nei port scan Perche? " accelerano gli attacchi " e piu difficoltoso rilevarli Denial of Service Richieste TARGET LAND Loop FLOODING Chargen Echo Syn Ping SMURF Pacchetto verso un IP di broadcast Risposte Broadcast MAIL Posta enorme Tante mail PING OF DEATH Ping enorme DISK FULL ftp put 9
10 Unauthorized Access Attemps FTP arg Richieste di login TARGET URL HTTP-IIS-2e 2e al posto di. FIREWALL Contenuto Server IP Hijacking Intromissione tramite ISN IP Fragmentation Bypass del FW TARGET Comunicazione Pre-Attack Probe Port Scanning HTTP-CGI Analisi direttorio cgi Vulnerabilità e Servizi TARGET Bachi e Servizi Attaccabili Verifica esistenza utente Informazioni utente VRFY EXPN vrfy server 25 expn server 25 Portmapper Program Dump Programmi RPC esistenti 10
11 Suspicious Activity Pacchetto con errato protocollo Richiesta remota di lettura dei registry TARGET Source Routing Opzione di pacchetto usata per tenere traccia del routing seguito HTTP Shell Se ci sono interpreti shell nel direttorio cgi-bin una particolare richiesta http può far eseguire comandi IP Duplicate Solo una macchina può spedire pacchetti con un certo IP Protocol Decodes Finger User FTP get-put FTP password FTP user Eventuali finger presenti TARGET File trasferiti e Account/Password di una connessione Permesso esecuzione di ulteriori comandi HTTP Authentication FTP Site Log di username/password usate per l autenticazione su un Web Server 11
12 Distributed Attacks HACKER CLIENT CLIENT Zombie Zombie Zombie Zombie Zombie VICTIM Altri attacchi: Trojan Horse Sostituzione (da parte di chi attacca o dell inconsapevole utente stesso) di un file associato ad un comando (i.e. un file.exe) con un altro file, che esegue delle operazioni aggiuntive rispetto a quelle originali TARGET File.exe Attacco Solito comportamento 12
13 Altri attacchi: Backdoor Tecnica utilizzata per ottenere una via di accesso al sistema che non passi per l account dell amministratore. L hacker riesce quindi a disporre dei privilegi dell amministratore del sistema senza necessariamente collegarsi ed autenticarsi Lock Intruder TARGET Root Administrator Altri attacchi: Sniffing Utilizzata dagli hacker per risalire alla password di un utente e ad altre informazioni riservate. Sfrutta la debolezza intrinseca di alcune applicazioni e servizi TCP/IP, che fanno viaggiare in chiaro i pacchetti relativi ad un intera sessione REQUISITO adattatore di rete in modalità Promiscua TOOL DISPONIBILI tcpdump, tcpshow iptrace, ipformat, etherfind Unico mezzo di difesa: CRITTOGRAFIA 13
14 Altri attacchi: Guessing Attack Permette di ottenere la password di un utente che dispone di un account su di una stazione di lavoro Scoprire la password attraverso stringhe candidate TARGET MEZZI dizionari termini correlati all utente regole di produzione LOGGING METODI Brute Force Attack: prova esaustiva Cracking Attack: matching fra gli hash dei termini Unico mezzo di difesa: CONTROLLO PASSWORD DEBOLI Altri attacchi: Spoofing(1) Camuffare una entità di rete (pacchetto TCP/IP, postazione, programma, indirizzo IP,...) ritenuta untrusted in un altra entità, ritenuta dallo stesso sistema trusted Inserimento con modifica del proprio IP, fingendo quindi di essere A A HACKER IP Address Spoofing Attack B TARGET 14
15 Altri attacchi: Spoofing(2) Camuffare una entità di rete (pacchetto TCP/IP, postazione, programma, indirizzo IP,...) ritenuta untrusted in un altra entità, ritenuta dallo stesso sistema trusted ISN A HACKER Inviando dei pacchetti caratterizzati da una corretta sequenza di SN, ci si inserisce nella comunicazione B Sequence Number Attack TARGET Altri attacchi: Spoofing(3) Camuffare una entità di rete (pacchetto TCP/IP, postazione, programma, indirizzo IP,...) ritenuta untrusted in un altra entità, ritenuta dallo stesso sistema trusted A Inserimento su sessione telnet HACKER Invio di pacchetti cammuffati contenenti i comandi desiderati. L utente B vedrà comparire sul terminale delle sequenze di caratteri non digitati B Session Hijacking Attack TARGET 15
16 Top Ten Computer Threats External Attacks Internet Intellectual Property Router FW Sensitive Sendmail Server TearDrop DoS Unix Server Generic Server DMZ NT Server FireWall Misconfigured RootKit Sniffing statd GetAdmin LAN File Share Internal Attacks LAN Necessità di una Politica di sicurezza Consiste in un insieme di regole con cui affrontare la protezione del sistema Risorse da proteggere, modalità e tecniche di protezione e livello di criticita associato Diritti di accesso associati ad ogni risorsa una volta superata la fase di autenticazione LE REGOLE DEVONO STABILIRE Persone responsabili del mantenimento della sicurezza del sistema Modalita di accesso alle risorse protette 16
17 Meccanismi di protezione Meccanismi e Sistemi di Autenticazione e di Autorizzazione (PKI - PMI) Firewall IDS - VLAN TCP Wrapper: sostituto iniziale di un demone User Name: Password: ***** Password e One-Time password Tunnelling e VPN Crittografia Penetration Test Obiettivi Metodologia Strumenti 17
18 Obiettivi: che cosa ha in mente chi esegue un PT Sottrarre informazioni Sniffing Danneggiare un servizio Eseguire DoS In/Out di files Cracking Crashing Ostacolare operazioni Diventare Root o Administrator Ottenere permessi maggiori Trovare vulnerabilità Penetrare nel sistema Ottenere un account valido www, nslookup, users, mailing lists Metodologia di Firewall Testing Collezione di informazioni indirette (1) SCAN TEST Non rilevabili Scanning Collezione di informazioni dirette Spesso rilevabili (2) PENETRATION TEST Attacks Attacco dall esterno Rilevabili, a volte per danno subito Scanning e Configuration Attacco dall interno Spesso rilevabili se presente IDS 18
19 Mezzi: con cosa eseguire il PT Tools di scan automatici Grande esperienza e conoscenza Programmi e script di hacking Intuito ed elevate capacità Architettura Internet Penetration Testing ROUTER FW Target LAN DMZ 19
20 Azione di Pre-Attacco Ottenimento permesso Pre-Attacco Pianificazione Attacco Collezione del maggior numero di informazioni 1. Modalità indiretta: informazioni pubbliche Web, FTP anonymous Indirizzi non mascherati: svelano server della posta e account Banner di alcuni servizi Messaggi delle mailing-list, chat e news Comandi: nslookup, traceroute, ping,... Log e Report 2. Modalità diretta: vero e proprio attacco che può quindi essere rilevato da un buon IDS Probe di una rete Raccolta di Informazioni Host Scan e Port Scan Determinazione delle vulnerabilità Verifiche Manuali 20
21 Scan Test Deduzione del maggior numero di informazioni riguardante la configurazione HW, SW e di rete della stazione firewall SCAN TEST Dati della Stazione Informazioni HW e SW Dati della Rete Stazione: IP, Host Name... Rete: Classe della rete IP, informazioni di routing Servizi: elenco di quelli abilitati... FIREWALL Dati Ricevuti Stato dell arte degli attacchi esistenti Vulnerabilità Elenco completo delle potenziali vulnerabilità della stazione esaminata Penetration Test Sottoporre il firewall ad una serie significativa di attacchi, finalizzati all intrusione nelle stazioni che compongono il firewall stesso e progettati sulla base delle informazioni dello Scan Test Vulnerabilità Elenco delle vulnerabilità provenienti dalla precedente fase di SCAN TEST PENETRATION TEST Attacchi discreti e finalizzati LOG Notifica della avvenuta intrusione FIREWALL 21
22 Host Scan e Port Scan nmap strobe netcat ping Host attivi e Porte attive IP Port Lista di Host Lista di Porte ( IP) Determinazione delle Vulnerabilità ISS Nessus Satan Indagine di eventuali vulnerabilità attraverso tools automatici Saint IP Elenco delle vulnerabilità 22
23 Verifiche manuali Web/Ftp SMTP Authentication Router/FW Esperienza Know-how Verifiche e probe manuali Bachi noti Rete Penetration Testing Vulnerabilità del Sistema Quando Verificare Nuove vulnerabilità Nuove versioni SW Cambiamento IP Nuovo Hardware Nuovo Software Cambiamento Policy Studio e nuovo PT 23
24 Le vulnerabilita di rete di sistema di software Vulnerabilita di rete Nessun progetto di corretto instradamento dei pacchetti Routing dinamici: RIP e OSPF Mancanza di ACL per i segmenti di rete Assenza di Controllo sulle porte switch Nessun meccanismo di Alta affidabilita e Load Balancing Pericolosita di Flooding/Spoofing VLAN e Spanning Tree 24
25 Vulnerabilita di sistema Scorrette politiche/regole sui firewall e sui sistemi di autenticazione Assenza di un sistema di accesso alle zone critiche mediante VPN Mancanza di un sistema IDS come seconda linea di difesa Nessun controllo/auditing su password e azioni Mancanza di crittografia dei canali e di autenticazione dei sistemi Assenza di una Security Policy Vulnerabilita di software Configurazioni errate Buffer overflow Allocazione di tipi differenti di variabili Errata deallocazione di memoria Assenza di controllo sulle operazioni e sui puntatori Cicli infiniti Compatibilita /Interoperabilita Easter eggs 25
26 26
27 2 DIFESA E SICUREZZA INFORMATICA Seconda parte: Come ci si difende? Le tecnologie Application Integrity User Integrity Data Integrity System Integrity Network Integrity Authorization VPD Users/Group SSO Authentication Token e SmartCard Encryption Hashing Digital Signature Virus Intrusion Auditing Prevention Detection Firewall VPN Router Virtual LAN R i s k A s s e s s m e n t R i s k A n a l y s i s C C e I T S E C 27
28 Sicurezza a livello rete Switch e VLAN Router e HSRP Progettazione di reti avanzate Dispositivi attuali 28
29 Dispositivi del futuro Funzionamento HUB Frame Flusso Dati Frame Flusso Dati Frame Flusso Dati Frame Flusso Dati 29
30 Banda condivisa Banda dedicata 30
31 Funzionamento SWITCH Packet Frame Packet Frame Frame in Memoria CRC Check Filtering Database Assegnamento Porta FilteringDB completo 31
32 Port Secure Configurare, in modo permanente, per ogni porta dello switch l indirizzo di mac della scheda di rete ad esso associato Limitare ad 1 il numero di indirizzi acquisibili per la sola interfaccia Stabilire l azione da prendere in caso di violazione del mac-address Link Aggregation SWITCH 1 SWITCH Mbps 100 Mbps 100 Mbps 100 Mbps Canale Virtuale a 400 Mbps User Priority: canali con diversa banda e stazioni prioritarie sui canali piu veloci HA: riconfigurazione dinamica in caso di fault LB: solo statico => partiziono le stazioni sui canali (il dinamico non e possibile per standard: riordino pacchetti non permesso!) (IEEE 802.3ad) 32
33 Broadcast Storm A B SW1 SW2 C Ambiente: accensione dei dispositivi e C che invia un pacchetto ad A SW1 ha la tabella di switching vuota e quindi fa un flood sulle due porte rimanenti Il pacchetto arriva ad A ma anche ad SW2 che si comporta esattamente come SW1 (flood sulle porte) Si innesca il ciclo segnato in rosso Siamo a livello 2 quindi non esiste il check sul TTL dei pacchetti!!! MAC Address Instability A B SW1 SW2 C Ambiente: C invia un pacchetto a B SW1 ha le due possibilita di smistamento del pacchetto segnate in rosso SW1 e SW2 non sono dei router, per cui non hanno configurazioni di costo sui PATH o altre tecniche decisionali B riceve due pacchetti identici con lo stesso SN La tabella di switching di SW1 contiene due porte linkate allo stesso mac address 33
34 Problema delle maglie Spanning Tree Protocol (STP) IEEE 802.1D Protocollo standard utilizzato dagli switch per evitare loop all interno di una rete 2 Ogni porta a regime può trovarsi nello stato di forwarding o di blocking Un qualsiasi cambio nella topologia della rete provoca uno scambio di informazioni (STP) 34
35 Esempio di Spanning Tree Protocol (STP) Cosa risolvono le VLAN Partizionamento logico del livello 2 Limitano il traffico di broadcast Con il Trunk posso estendere le VLAN all intera rete Security? Aggiunta di un TAG alla trama (4 byte): la trama passa da 1518 byte a 1522 byte (frame Baby Giant) ISL (Cisco) 802.1Q (standard IEEE) Il routing e comunque affidato al livello 3 35
36 Appartenenza alle VLAN L appartenenza di una stazione ad una VLAN puo essere statica per porta (unico tipo di VLAN standard, mobilita bassa) dinamica per indirizzo MAC (grande mobilita ) per protocollo per indirizzo di livello3 per indirizzo multicast policy-based (per applicazione, per utente ) Una stazione puo appartenere ad una o piu VLANs Scheda VLAN-aware (supporto del VLAN-tagging): tipica dei server, generalmente multi-vlan Scheda VLAN-unaware (non supporta il VLAN-tagging): tipica delle stazioni, generalmente single-vlan Trunking (1) Soprattutto a livello di dorsale 36
37 Funzionamento ROUTER Packet Frame Frame in Memoria CRC Check Packet Frame Routing Table ACL Da Frame a Packet Decisioni di Routing Decisioni di Security Da Packet a Frame Packet Dentro un layer 3 switch A, B, C: default gateway rispettivamente delle VLAN #1, #2 e #3 37
38 Load Balancing a livello 3 Qual e il default gateway? Ogni stazione ha uno ed un solo default gateway Se si guasta il default gateway scelto => stazioni bloccate Soluzioni: VRRP (RFC 2338), HSRP (proprietario Cisco, RFC 2281) Hot Standby Routing Protocol Consente al router di assumere le funzioni di un altro router appartenente allo stesso gruppo (HA) Monitor continuo dei router per verificarne lo stato Meccanismo di stand-by è del tutto trasparente al client Le stazioni vedono un solo DG (Ip virtuale e MAC virtuale) Il router attivo si prende carico di effettuare il FW dei pacchetti In caso di fault del pimo router quello in standby si fa carico di smistare il traffico 38
39 HSRP: la soluzione Rete di livello 2 39
40 Rete di livello 3 Piccola Rete di Campus 40
41 Livello 2 o Livello 3? Livello 2 PRO: elevata velocita semplicita di gestione basso costo CONTRO: bassa scalabilita basso livello di sicurezza tempi di convergenza: 30sec Se si aggiungono le VLAN: aumenta la sicurezza aumenta il costo diminuisca la semplicita Livello 3 PRO: alta scalabilita alto livello di sicurezza tempi di convergenza: 2sec CONTRO: velocita limitata complessita di gestione alto costo Se ho un layer 3 switch: aumenta la velocita diminuisce il costo Per le reti di Campus: UTILIZZO COMBINATO La dorsale della rete Backbone di livello 3 se si vuole separare i domini di broadcast e fare filtering fra palazzi 41
42 Sicurezza a livello sistema FireWall Virtual Private Network (VPN) Intrusion Detection System (IDS) Firewall: funzionalita Protegge la rete da intrusioni non volute Nasconde la rete Autentica utenti/macchine e filtra i servizi Difende da attacchi di tipo DoS, Spoofing, relaying Implementa un Proxy applicativo 42
43 Semplice Firewall Internet DMZ Public Servers FireWall-1 Management Server and Firewall Module FireWall-1 GUI Client Corporate Site Le regole 43
44 Sistema Firewall semplice Internet Public Servers DMZ Human Resources Network FireWall-1 Secure Server Corporate Site SAP Server Sistema Firewall complesso Finance Sales & Marketing Public Servers World Wide Web File Transfer Customers Partners IT Internet Gateway Corporate Network Internet Mobile User Remote Site Virtual Private Network 44
45 Autenticazione Finance Sales & Marketing Public Server digital certificate + smartcards IT FireWall-1 Internet IP address and port User ID> Willy Loman Passcode> 921 abcde PIN + SecurID Alta affidabilita Corporate Intranet Primary FireWall-1 Gateway Secondary FireWall-1 Gateway Internet Dynamic Synchronization 45
46 Attacchi interni Internet Outside Intruders FW Inside Intruders DMZ LAN IDS: funzionalita Aiuta a prevenire gli attacchi ad un singolo computer o ad un sistema di computer. Raccoglie le informazioni da una molteplicita di sistemi e sorgenti della rete. Analizza le informazioni raccolte per individuare eventuali problemi di sicurezza. In alcuni casi permette all utente di specificare in tempo reale le risposte agli attacchi. 46
47 IDS: politiche Una Security Policy definisce cosa è permesso/vietato in un sistema Proibitive:tutto ciò che non è espressamente permesso è vietato (generalmente, i FW) Permessi Permissive: tutto ciò non è espressamente vietato è permesso (generalmente, gli IDS) Divieti IDS: classificazione Qualsiasi insieme di azioni che tentano di compromettere l integrità, la confidenzialità e la disponibilità delle risorse di un sistema Misuse intrusion: attacchi a punti ben definiti del sistema. Rilevabili dall identificazione di certe azioni eseguite su certi oggetti. Anomaly intrusion: basati sull osservazione di comportamenti deviati rispetto al normale. Rilevabili dall analisi del profilo originale con quelli che vengono costruiti dal monitoring. Data Source Based: basati su azioni di audit del sistema 47
48 Network Sensor OS Sensor Internet Sistema IDS Network Sensor OS Sensor FW CONSOLE Router DMZ Network Sensor OS Sensor LAN-1 Network Sensor OS Sensor LAN-2 IDS: secure mode Network Sensor OS Sensor Internet Network Sensor OS Sensor FW DMZ Network Sensor OS Sensor CONSOLE Router LAN-1 Network Sensor OS Sensor LAN-2 48
49 IDS: stealth mode Network Sensor OS Sensor Internet Network Sensor OS Sensor FW DMZ Network Sensor OS Sensor CONSOLE H U B Router LAN-1 Network Sensor OS Sensor LAN-2 VPN: funzionalita Confidenzialita : cifratura del canale e tunnelling Autenticazione strong Accesso Remoto Branch Office (IntraNet) Partner (ExtraNet) 49
50 Standard IPSec All applications are tunnelled Application TCP/UDP IP IPSec IP Ethernet/PPP 4 2 Unsecured network 1 IKE (formerly ISAKMP/Oakley) ESP/AH 3 Application TCP/UDP IP IPSec IP Ethernet/PPP Internet Remote Access Corporate LAN Branch office LAN Alcatel 713x Secure VPN Gateway INTERNET Alcatel 713x Secure VPN Gateway Partners, customers and suppliers Internet POP Mobile users Alcatel Secure VPN Client Alcatel 713x Secure VPN Gateway Secure Unsecure 50
51 RAS Remote Access Corporate LAN RAS Server RAS Server Branch office LAN Alcatel 713x Secure VPN Gateway SWITCHED LAN Alcatel 713x Secure VPN Gateway RAS Server Partners, customers and suppliers Mobile users Alcatel Secure VPN Client Alcatel 713x Secure VPN Gateway Secure Unsecure Secure Intranet Branch office Corporate LAN INTERNET or CDN Alcatel 713x Secure VPN Gateways Alcatel 713x Secure VPN Gateway AlcatelSecure VPN Management Suite Branch office Alcatel 713x Secure VPN Gateways Secure Unsecure 51
52 Secure Extranet Partner Corporate LAN INTERNET or CDN Alcatel 713x Secure VPN Gateways Alcatel 713x Secure VPN Gateway AlcatelSecure VPN Management Suite Supplier Alcatel Secure VPN Clients Secure Unsecure Secure VPN Groups Engineering VPN group User A Engineering subnet User A Engineering subnet Finance VPN group User B Finance subnet User B Internet VPN gateway Finance subnet Inventory VPN group User B User C Inventory subnet User C Inventory subnet 52
53 Redundant Connectivity National bank Alcatel Secure VPN Management suite Regional office of National Bank Cluster of Alcatel 713x Secure VPN Gateways Frame relay Cluster of Alcatel 713x Secure VPN Gateways Alcatel 713x Secure VPN Gateway ISDN backup Alcatel 713x Secure VPN Gateway Secure Unsecure Crittografia a chiave pubblica Chiave simmetrica e chiave pubblica Caratteristiche degli algoritmi Cifratura e firma digitale 53
54 Security Requirements Problem Confidentiality Access Control Integrity Authentication Non-Repudiation Definition Privacy of Data Authorisation to access data Data has not been subsequently modified Person / object is genuine Proof that transaction was authorised (e.g. originator cannot deny an instruction) Security Mechanisms Problem Confidentiality Access Control Integrity Authentication Non-Repudiation Solution Mechanism Encryption Encryption Message Digest Digital signature Digital signature with timestamping 54
55 Symmetric Key Encryption Shared Key Key Key Cleartext ENCRYPTION Ciphertext DECRYPTION Original Cleartext Alice Bob Algorithm Algorithm Symmetric Characteristics High speed Suitable for bulk encryption of data Key management is very challenging Makes symmetric algorithms impractical for large-scale deployment when not integrated with public-key technology 55
56 Public Key Encryption Public Key Private Key Cleartext Bob s Public Key ENCRYPTION Ciphertext Bob s Private Key DECRYPTION Original Cleartext Alice Bob Algorithm Algorithm Public-key Characteristics Slower than symmetric cryptosystems Not suitable for bulk encryption operation Transparent key management is possible Public keys are circulated in certificate format to ensure integrity and authenticity Private keys may be securely delivered to and stored in the user profile Digital signature is possible 56
57 The Result - A Hybrid Approach Encrypt the data using symmetric cryptography: Very fast encryption and decryption Encrypt the symmetric key using public-key cryptography: Large key size provides excellent security Automatic Key Management Combining Symmetric and Public Key Cryptography ENCRYPTION Directory of Public Keys Alice Hi Bob CAST RSA = Confidentiality + Access Control *?r8=ik rr#@ 57
58 Combining Symmetric and Public Key Cryptography DECRYPTION Pri. Key RSA Bob Hi Bob CAST *?r8=ik Digital Signature Combining Hash Functions and Public Key Cryptography Use hash functions to produce digital fingerprint of data (Message Digest). Use public key encryption to protect digital fingerprint. Result = Digital Signature 58
59 Hash Functions Hash functions are applied to a message to produce a hash result The hash result may be thought of as a digital fingerprint Hash Functions are used along with public-key cryptography to perform digital signature File Hash function (e.g. SHA-1) = Hash Value (Digital Fingerprint) Combining Hash Functions and Public Key Cryptography The security requirements for a good cryptographic checksum algorithm are: Must be a one way function. Must be sensitive to single bit change. Must be... SHA-1 Alice Pri. Key T%*l)8khj DSA Orig. Hash The security requirements for a good cryptographic checksum algorithm are: Must be a one way function. Must be sensitive to single bit change. Must be... T%*l)8khj Encrypted Hash Pub. Key = Integrity + Authentication 59
60 Combining Hash Functions and Public Key Cryptography Bob Fresh Hash T%*l)8khj SHA-1 The security requirements for a good cryptographic checksum algorithm are: Must be a one way function. Must be sensitive to single bit change. Must be... Compare T%*l)8khj Orig. Hash T%*l)8khj DSA 2 Sicurezza a livello applicativo Certificati X.509 Public Key Infrastructure (PKI) 60
61 What is in an X509 certificate? Subject DN: cn=bob Smith, o=acme, c=us Serial #: Start:1/5/97 1:02 End:7/5/98 1:02 CRL:cn=CRL2, o=acme, c=us SubjectAltName: IP, DNS, Key: CA DN: o=acme, c=us Unique name of owner Unique serial number Period of validity Revocation information Alternate Subject identifiers Public key CA s digital signature on the certificate Name of issuing CA What is in a CRL? DN: cn=crl2, o=acme, c=us Start: 1/5/97 1:02 End: 1/6/97 1:02 Revoked: CA DN: o=acme, c=us Unique name of CRL Period of validity Serial numbers of revoked certificates Name of issuing CA CA s digital signature on the CRL 61
62 Protecting Certificates Certificate Hash Function (e.g. SHA-1) = Hash Value The CA creates a hash value using the selected certificate hash function Hash Value = CA Signing Private Key The CA s signing private key is used to encrypt the hash value Verifying Certificates Certificate Hash function (e.g. SHA-1) = Fresh Hash Entrust/Engine runs the same hash function on the certificate to produce a fresh hash value Verification Public Key? = The original hash value is decrypted using the CA verification public key contained in the user profile The original hash and the fresh hash are compared. If they are equal, the CA signature is deemed to be valid, and the certificate has integrity and authenticity 62
63 Verifying Certificates The certificate must be evaluated: The CA name must be the distinguished name of the CA Directory Entry The time and date are checked to ensure that Bob is using Alice s certificate during its validity period The owner name must be Alice s distinguished name The CA digital signature is represented by the encrypted hash value. The CA digital signature must be verified All certificates contain a certificate serial number and a crldistributionpoint. These are used to check the revocation status of the certificate Owner: Alice Jones : Encryption public key Issued By: CA Name Issue & expiration dates Certificate Serial Number crldistributionpoint CA Timestamping What s PKI? Certification Authority Cross-certification Non Repudiation Support Key Backup & Key Recovery Certificate Repository Applications Software Automatic Key Update & Key Histories Certificates revocation 63
64 Applicazioni sicure Web Secure Desktop E-forms Digital Sign PKI E-Trading Home Banking VPN WAP E-Commerce SingleSignOn 64
La sicurezza delle reti
La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?
DettagliElementi sull uso dei firewall
Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall
DettagliSicurezza applicata in rete
Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei
DettagliSicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall
I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della
DettagliSICUREZZA. Sistemi Operativi. Sicurezza
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
DettagliSistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
DettagliSicurezza architetturale, firewall 11/04/2006
Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio
DettagliAspetti di sicurezza in Internet e Intranet. arcipelago
Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi
DettagliSicurezza in Internet. Criteri di sicurezza. Firewall
Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,
DettagliIndice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33
.ind g/p.vii-xii 26-06-2002 12:18 Pagina VII Indice Capitolo 1 Introduzione 1 Capitolo 2 Le reti Ethernet e IEEE 802.3 5 2.1 Il progetto IEEE 802 6 2.2 Protocolli di livello MAC 7 2.3 Indirizzi 8 2.4 Ethernet
DettagliFIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata
FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete
DettagliSicurezza in Internet
Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni
DettagliFirewall, Proxy e VPN. L' accesso sicuro da e verso Internet
L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico
DettagliProblematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
DettagliFirewall applicativo per la protezione di portali intranet/extranet
Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)
DettagliObiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative
Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica
DettagliProf. Filippo Lanubile
Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)
DettagliLo scenario: la definizione di Internet
1 Lo scenario: la definizione di Internet INTERNET E UN INSIEME DI RETI DI COMPUTER INTERCONNESSE TRA LORO SIA FISICAMENTE (LINEE DI COMUNICAZIONE) SIA LOGICAMENTE (PROTOCOLLI DI COMUNICAZIONE SPECIALIZZATI)
DettagliArchitetture e strumenti per la sicurezza informatica
Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti
DettagliLa sicurezza nelle reti di calcolatori
La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Introduzione In questa mini-guida illustreremo come realizzare un collegamento tramite VPN(Virtual Private Network) tra due FRITZ!Box, in modo da mettere in comunicazioni
DettagliIDS: Intrusion detection systems
IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo
DettagliFirewall e Abilitazioni porte (Port Forwarding)
Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi
DettagliFirewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall
Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può
DettagliFirewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.
Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere
DettagliPROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014
Classe 5^ PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014 MODULI CONTENUTI OBIETTIVI METODOLOGIE DI LAVORO I primi elementi sulle reti e i mezzi di
DettagliSicurezza delle reti 1
delle delle 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo
DettagliIntroduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente
Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini
DettagliLa VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II
La VPN con il FRITZ!Box Parte II 1 Introduzione In questa mini-guida mostreremo com è possibile creare un collegamento su Internet tramite VPN(Virtual Private Network) tra il FRITZ!Box di casa o dell ufficio
DettagliINFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it http://www.di.unito.it/~cgena/
INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione CRISTINA GENA cgena@di.unito.it http://www.di.unito.it/~cgena/ INTRANET & EXTRANET Intranet Con questo termine s intende l uso delle tecnologie
DettagliComunicazioni sicure su Internet: https e SSL. Fisica dell Informazione
Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text
DettagliINTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.
Laurea in INFORMATICA INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 Dynamic Host Configuration Protocol fausto.marcantoni@unicam.it Prima di iniziare... Gli indirizzi IP privati possono essere
DettagliVPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it
VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di
DettagliTecnologie Informatiche. security. Rete Aziendale Sicura
Tecnologie Informatiche security Rete Aziendale Sicura Neth Security è un sistema veloce, affidabile e potente per la gestione della sicurezza aziendale, la protezione della rete, l accesso a siti indesiderati
DettagliMeccanismi di autenticazione sicura. Paolo Amendola GARR-CERT
Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp
DettagliIndice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30
Prefazione XI Capitolo 1 Introduzione 1 1.1 Internet: una panoramica 2 1.1.1 Le reti 2 1.1.2 Commutazione (switching) 4 1.1.3 Internet 6 1.1.4 L accesso a Internet 6 1.1.5 Capacità e prestazioni delle
DettagliCos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente
Cos'è una vlan Da Wikipedia: Una LAN virtuale, comunemente detta VLAN, è un gruppo di host che comunicano tra di loro come se fossero collegati allo stesso cablaggio, a prescindere dalla loro posizione
DettagliIndirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet
Indirizzi Internet e Protocolli I livelli di trasporto delle informazioni Comunicazione e naming in Internet Tre nuovi standard Sistema di indirizzamento delle risorse (URL) Linguaggio HTML Protocollo
DettagliSicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST
Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio
DettagliDal protocollo IP ai livelli superiori
Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono
DettagliConnessione in rete: sicurezza informatica e riservatezza
Quinta Conferenza Nazionale di Statistica WORKSHOP Connessione in rete: sicurezza informatica e riservatezza coordinatore Antonio Lioy docente del Politecnico di Torino 5@ S Roma 15, 16, 17 novembre 2000
DettagliSicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio
Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle
DettagliIndice. Prefazione. Presentazione XIII. Autori
INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,
DettagliMonitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)
Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)
DettagliUniversità degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls
Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione
DettagliAllegato Tecnico. Progetto di Analisi della Sicurezza
Allegato Tecnico Progetto di Analisi della Sicurezza Obiettivo E richiesta dal cliente un analisi della sicurezza reti/sistemi del perimetro internet ed un analisi della sicurezza interna relativa al sistema
DettagliMan-in-the-middle su reti LAN
Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle
DettagliReplica di Active Directory. Orazio Battaglia
Orazio Battaglia Active Directory è una base di dati distribuita che modella il mondo reale della organizzazione. Definisce gli utenti, i computer le unità organizzative che costituiscono l organizzazione.
DettagliProf. Mario Cannataro Ing. Giuseppe Pirrò
Prof. Mario Cannataro Ing. Giuseppe Pirrò Footprinting Scansione Enumerazione Exploit Controllo del sistema Raccolta di informazioni sull obbiettivo da attaccare. Determinare il profilo di protezione della
DettagliPROF. Filippo CAPUANI. Accesso Remoto
PROF. Filippo CAPUANI Accesso Remoto Sommario Meccanismi di accesso Un po di terminologia L HW di connessione L accesso in Windows 2000 Tipi di connessione: dial-up, Internet e diretta Protocolli per l
DettagliINFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)
Antonio Cianfrani Virtual LAN (VLAN) Richiami sullo standard Ethernet Lo standard Ethernet (IEEE 802.3) è utilizzato per le Local Area Network (LAN): livello 2 della pila protocollare. Consente l utilizzo
DettagliIndice. Prefazione XIII
Indice Prefazione XIII 1 Introduzione 1 1.1 Breve storia della rete Internet 1 1.2 Protocolli e standard 6 1.3 Le organizzazioni che definiscono gli standard 7 1.4 Gli standard Internet 10 1.5 Amministrazione
Dettagli158.110.1.3 158.110.1.2 SWITCH. 100 Mb/s (UTP cat. 5E) 158.110.1.1 158.110.3.3 158.110.3.2. 10 Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.
Università degli Studi di Udine Insegnamento: Reti di Calcolatori I Docente: Pier Luca Montessoro DOMANDE DI RIEPILOGO SU: - Livello network 1. Si deve suddividere la rete 173.19.0.0 in 510 subnet. Qual
DettagliCorso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10
Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Descrizione Ogni utente di Internet può scambiare dati ed informazioni con qualunque altro utente della rete. I dati scambiati viaggiano nella nuvola attraverso una serie
DettagliLaboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima
Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011 Paola Zamperlin Internet. Parte prima 1 Definizioni-1 Una rete di calcolatori è costituita da computer e altri
DettagliReti di Calcolatori. Il software
Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla
DettagliIntroduzione alla rete Internet
Introduzione alla rete Internet Gruppo Reti TLC nome.cognome@polito.it http://www.telematica.polito.it/ INTRODUZIONE ALLE RETI TELEMATICHE - 1 Copyright Quest opera è protetta dalla licenza Creative Commons
DettagliElementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it
Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:
DettagliMyFRITZ!, Dynamic DNS e Accesso Remoto
MyFRITZ!, Dynamic DNS e Accesso Remoto 1 Introduzione In questa mini-guida illustreremo come accedere da Internet al vostro FRITZ!Box in ufficio o a casa, quando siete in mobilità o vi trovate in luogo
DettagliReti e Sistemi per l Automazione MODBUS. Stefano Panzieri Modbus - 1
MODBUS Stefano Panzieri Modbus - 1 La Storia Diventa uno STANDARD nel 1979 Nato come protocollo di comunicazione SERIALE si è successivamente adattato alle specifiche TCP/IP Permette una comunicazione
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliConfigurazione WAN (accesso internet)
D-Link G624T Per entrare nella configurazione del Router è necessario collegarlo tramite porta Ethernet (di rete). Nelle opzioni di configurazione della scheda di rete, in Protocollo TCP/IP lasciare l
DettagliPON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H
PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H Percorso formativo su Semplificazione e nuovo Codice dell Amministrazione Digitale H - 4 - FSE - 2012-1 Obblighi Dal momento
DettagliIntroduzione alla rete Internet
Introduzione alla rete Internet AA 2004-2005 Reti e Sistemi Telematici 1 Internet: nomenclatura Host: calcolatore collegato a Internet ogni host può essere client e/o server a livello applicazione Router:
DettagliSCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI. Fabrizio Cassoni Content Security Manager fc@symbolic.it
SCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI Fabrizio Cassoni Content Security Manager fc@symbolic.it Agenda: Introduzione a FSAV Client Security Nuove feature Gestione tramite Policy Manager Introduzione
DettagliApplicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009
Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette
DettagliGuida di Pro PC Secure
1) SOMMARIO 2) ISTRUZIONI DI BASE 3) CONFIGURAZIONE 4) INFORMAZIONI AGGIUNTIVE 1) SOMMARIO Guida di Pro PC Secure Pro PC Secure è un programma che si occupa della protezione dagli attacchi provenienti
DettagliStarShell. IPSec. StarShell
IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:
DettagliTransmission Control Protocol
Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione
DettagliFIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway
FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione
DettagliCUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia ! " #! $ # % $ & 2000 1500 1000 Costo 500 0 Costo per l implentazione delle misure di sicurezza Livello di sicurezza ottimale
DettagliServizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi
Servizi di Sicurezza Informatica Antivirus Centralizzato per Intranet CEI-Diocesi Messina, Settembre 2005 Indice degli argomenti 1 Antivirus Centralizzato...3 1.1 Descrizione del servizio...3 1.2 Architettura...4
DettagliMaschere di sottorete a lunghezza variabile
Sottoreti Il CIDR (Classless Inter-Domain Routing) è un nuovo schema di indirizzamento introdotto nel 1993 per sostituire lo schema classful secondo il quale tutti gli indirizzi IP appartengono ad una
DettagliFirewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.
Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti
DettagliSSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer
: applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle
DettagliNelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento
I protocolli del livello di applicazione Porte Nelle reti di calcolatori, le porte (traduzione impropria del termine port inglese, che in realtà significa porto) sono lo strumento utilizzato per permettere
DettagliFTP. Appunti a cura del prof. ing. Mario Catalano
FTP Appunti a cura del prof. ing. Mario Catalano Il protocollo FTP 1/2 Attraverso il protocollo FTP (File Transfer Protocol) è possibile trasferire uno o più files di qualsiasi tipo tra due macchine Tale
DettagliSviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali
1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:
DettagliWireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it
Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Configurazione AP CISCO Serie 1200 AP 1200: Features Col firmware 12.3(2)JA l AP supporta: SSID multipli (fino a 16), per ciascuno
DettagliProtocolli di Comunicazione
Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol
DettagliWindows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza
Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.
DettagliCORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci
CORSO DI RETI SSIS Lezione n.2. 2 Novembre 2005 Laura Ricci IL DOMAIN NAME SYSTEM (DNS) Indirizzi IP poco adatti per essere memorizzati da utenti umani è prevista la possibiltà di associare nomi simbolici
DettagliIndirizzamento privato e NAT
Indirizzamento privato e NAT Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei
DettagliEsercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)
Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-
DettagliFIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI
FIREWALL VPN RETI PRIVATE VIRTUALI: ACCESSO REMOTO Fondazione dell'ordine degli Ingegneri della Provincia di Milano Commissione per l'ingegneria dell'informazione ing. Gianluca Sironi FIREWALL: LA PROTEZIONE
DettagliSIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP
SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP Gigaset S450 IP Guida alla configurazione EUTELIAVOIP Rev1-0 pag.2 INDICE SCOPO...3 TELEFONARE CON EUTELIAVOIP...3 CONNESSIONE DEL TELEFONO
DettagliTITLE Sistemi Operativi 1
TITLE Sistemi Operativi 1 Cos'è un sistema operativo Definizione: Un sistema operativo è un programma che controlla l'esecuzione di programmi applicativi e agisce come interfaccia tra le applicazioni e
DettagliTopologia delle reti. Rete Multipoint: ogni nodo è connesso agli altri tramite nodi intermedi (rete gerarchica).
Topologia delle reti Una RETE DI COMPUTER è costituita da un insieme di elaboratori (NODI) interconnessi tra loro tramite cavi (o sostituti dei cavi come le connessioni wireless). Rete Point-to-Point:
DettagliNetwork Services Location Manager. Guida per amministratori di rete
apple Network Services Location Manager Guida per amministratori di rete Questo documento illustra le caratteristiche di Network Services Location Manager e spiega le configurazioni di rete per sfruttarne
DettagliSystem & Network Integrator. Rap 3 : suite di Identity & Access Management
System & Network Integrator Rap 3 : suite di Identity & Access Management Agenda Contesto Legislativo per i progetti IAM Impatto di una soluzione IAM in azienda La soluzione di SysNet: Rap 3 I moduli l
DettagliEsercitazione 2 Certificati
Sommario Esercitazione 2 Certificati Laboratorio di 2015/2016 Andrea Nuzzolese Certificati Descrizione esercitazione Free Secure Email Certificates (con InstantSSL) ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA
DettagliRiccardo Paterna <paterna@ntop.org>
Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release pubblica v 0.4 (GPL2)
DettagliSoftware di gestione della stampante
Questo argomento include le seguenti sezioni: "Uso del software CentreWare" a pagina 3-11 "Uso delle funzioni di gestione della stampante" a pagina 3-13 Uso del software CentreWare CentreWare Internet
DettagliCOMPLESSO SCOLASTICO INTERNAZIONALE GIOVANNI PAOLO II. Pianificazione di reti IP (subnetting)
Pianificazione di reti IP (subnetting) Avendo una rete complessa possiamo dividerla in sottoreti logiche, collegandole con dei router. Questa operazione di segmentazione prende il nome di subnetting, ed
DettagliSicurezza nei Sistemi Distribuiti
Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti
DettagliSicurezza nei Sistemi Distribuiti
Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti
DettagliDifferenziazione dei prodotti per rispondere a tutte le esigenze
Differenziazione dei prodotti per rispondere a tutte le esigenze Home Computing Aziende Protezione Anti-Virus + AntiSpyware Scansione in tempo reale Scansione delle email Scansioni pianificate Aggiornamento
Dettagli/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$
STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#
Dettagli