NETWORK SECURITY. Seminario. Sommario

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "NETWORK SECURITY. Seminario. gianluca.vadruccio@cryptonet.it. Sommario"

Transcript

1 NETWORK SECURITY Seminario Gianluca Vadruccio Security Project Manager Giugno 2001 Sommario 1 - ATTACCHI INFORMATICI Classificazione degli attacchi Azioni di Hacking e Penetration Test Vulnerabilita' di rete Vulnerabilita' di sistema Vulnerabilita' del software 2 - DIFESA e SICUREZZA INFORMATICA Sicurezza a livello rete: SWITCH e VLAN, ROUTER e HSRP, ADVANCED ROUTING Sicurezza a livello sistema: FW, IDS, VPN Crittografia a chiave pubblica Sicurezza a livello applicativo: PKI e CERTIFICATI DIGITALI 1

2 1 ATTACCHI INFORMATICI Prima parte: Cosa si rischia? Dati Statistici Origine degli attacchi Perdite economiche Andamento del mercato 2

3 Origine degli attacchi Attacchi piu gettonati 3

4 Perdite economiche Perdite economiche dovute ad attacchi: $ 377,828,700 nel 2000 $ 265,589,940 nel 1999 $ 120,240,180 nei 3 anni precedenti il 1999 Di cui: $ 151,230,100 per furto di informazioni private $ 92,935,500 per frodi finanziarie [Dati CSI (Computer Security Institute) Computer Crime and Security Survey 12 Marzo 2001] Andamento Rispetto al 1999: - 25,3% di dichiarazioni di furto + 30% di perdite economiche I dati sono falsati dal fatto che la maggior parte delle compagnie tendono a non denunciare gli attacchi! Pubblicità negativa! Vantaggio ai concorrenti! Orgoglio! Si preferisce il rimedio fatto in casa [Dati CSI (Computer Security Institute) Computer Crime and Security Survey 12 Marzo 2001] 4

5 Esempio 1: NetBus E un tentativo di accesso non autorizzato. NetBus, come NetBus Pro, sono programmi backdoor che abilitano un utente remoto a prendere possesso della macchina dove il NetBus server e installato Backdoor.exe HACKER commands TARGET NetBus-Server Comandi per ridirigere il TCP output, cancellare files, shutdown windows, etc Esempio 2: IP Half Scan E un indice di pre-attacco Offre la possibilita ad un Hacker di determinare quali servizi sono in funzione su un determinato host. (1)SYN (3)ACK/RST HACKER Connection Established (4) TARGET Host 5

6 Attacchi Generalità Obiettivi e Mezzi Classificazione Politica di Sicurezza Attacchi: Chi attacca Chi? Per gioco/scherzo Organizzazioni Competitor Attacks Nemici Proteste e/o Mosse Politiche Criminalità e/o Scopi Terroristici Chiunque Competitor 6

7 Attacchi: Obiettivo Danneggiare Modificare Ottenere l accesso ponte per un altro sistema Ottenere permessi maggiori PENETRARE IN UN SISTEMA Ottenere un account Ottenere informazioni riservate Ostacolare un servizio Attacchi: Mezzi Servizi non disabilitati Permessi e regole poco restrittive Errori di configurazione Debolezze intrinseche di TCP/IP SFRUTTANDO Leggerezze nelle procedure e/o nell amministrazione Gestione da remoto e non da console Password di root e/o di account banali Bugs di SO, programmi e servizi 7

8 Attacchi: Classificazione (1) Denial Of Service: compromettere/dannegiare un servizio. Solitamente consiste in un sovraccaricamento di parti critiche del sistema. Unauthorized Access Attemps: comprende tutti quei tentativi di leggere/modificare/eseguire file per i quali non si ha il permesso oppure cercare di acquisire più diritti (ad esempio administrator) di quelli che si hanno. Attacchi: Classificazione (2) Pre-Attack Probe: Minaccia che cerca di reperire le maggiori informazioni possibili sul sistema e la sua struttura, in modo tale da poter studiare un futuro attacco sfruttando le sue vulnerabilità. Suspicious Activity: Traffico di rete che si discosta in maniera significativa dal comportamento usuale e che potrebbe essere sintomo di esecuzione di atti indesiderati. Protocol Decodes: Responsabili della decodifica o della richiesta di informazioni riservate. 8

9 Attacchi: Classificazione (3) Distributed Attacks: " Gli Hackers acquisiscono il controllo di un gruppo di macchine e le sfruttano per attaccare le altre " Controllo non sequenziale ad esempio nei port scan Perche? " accelerano gli attacchi " e piu difficoltoso rilevarli Denial of Service Richieste TARGET LAND Loop FLOODING Chargen Echo Syn Ping SMURF Pacchetto verso un IP di broadcast Risposte Broadcast MAIL Posta enorme Tante mail PING OF DEATH Ping enorme DISK FULL ftp put 9

10 Unauthorized Access Attemps FTP arg Richieste di login TARGET URL HTTP-IIS-2e 2e al posto di. FIREWALL Contenuto Server IP Hijacking Intromissione tramite ISN IP Fragmentation Bypass del FW TARGET Comunicazione Pre-Attack Probe Port Scanning HTTP-CGI Analisi direttorio cgi Vulnerabilità e Servizi TARGET Bachi e Servizi Attaccabili Verifica esistenza utente Informazioni utente VRFY EXPN vrfy server 25 expn server 25 Portmapper Program Dump Programmi RPC esistenti 10

11 Suspicious Activity Pacchetto con errato protocollo Richiesta remota di lettura dei registry TARGET Source Routing Opzione di pacchetto usata per tenere traccia del routing seguito HTTP Shell Se ci sono interpreti shell nel direttorio cgi-bin una particolare richiesta http può far eseguire comandi IP Duplicate Solo una macchina può spedire pacchetti con un certo IP Protocol Decodes Finger User FTP get-put FTP password FTP user Eventuali finger presenti TARGET File trasferiti e Account/Password di una connessione Permesso esecuzione di ulteriori comandi HTTP Authentication FTP Site Log di username/password usate per l autenticazione su un Web Server 11

12 Distributed Attacks HACKER CLIENT CLIENT Zombie Zombie Zombie Zombie Zombie VICTIM Altri attacchi: Trojan Horse Sostituzione (da parte di chi attacca o dell inconsapevole utente stesso) di un file associato ad un comando (i.e. un file.exe) con un altro file, che esegue delle operazioni aggiuntive rispetto a quelle originali TARGET File.exe Attacco Solito comportamento 12

13 Altri attacchi: Backdoor Tecnica utilizzata per ottenere una via di accesso al sistema che non passi per l account dell amministratore. L hacker riesce quindi a disporre dei privilegi dell amministratore del sistema senza necessariamente collegarsi ed autenticarsi Lock Intruder TARGET Root Administrator Altri attacchi: Sniffing Utilizzata dagli hacker per risalire alla password di un utente e ad altre informazioni riservate. Sfrutta la debolezza intrinseca di alcune applicazioni e servizi TCP/IP, che fanno viaggiare in chiaro i pacchetti relativi ad un intera sessione REQUISITO adattatore di rete in modalità Promiscua TOOL DISPONIBILI tcpdump, tcpshow iptrace, ipformat, etherfind Unico mezzo di difesa: CRITTOGRAFIA 13

14 Altri attacchi: Guessing Attack Permette di ottenere la password di un utente che dispone di un account su di una stazione di lavoro Scoprire la password attraverso stringhe candidate TARGET MEZZI dizionari termini correlati all utente regole di produzione LOGGING METODI Brute Force Attack: prova esaustiva Cracking Attack: matching fra gli hash dei termini Unico mezzo di difesa: CONTROLLO PASSWORD DEBOLI Altri attacchi: Spoofing(1) Camuffare una entità di rete (pacchetto TCP/IP, postazione, programma, indirizzo IP,...) ritenuta untrusted in un altra entità, ritenuta dallo stesso sistema trusted Inserimento con modifica del proprio IP, fingendo quindi di essere A A HACKER IP Address Spoofing Attack B TARGET 14

15 Altri attacchi: Spoofing(2) Camuffare una entità di rete (pacchetto TCP/IP, postazione, programma, indirizzo IP,...) ritenuta untrusted in un altra entità, ritenuta dallo stesso sistema trusted ISN A HACKER Inviando dei pacchetti caratterizzati da una corretta sequenza di SN, ci si inserisce nella comunicazione B Sequence Number Attack TARGET Altri attacchi: Spoofing(3) Camuffare una entità di rete (pacchetto TCP/IP, postazione, programma, indirizzo IP,...) ritenuta untrusted in un altra entità, ritenuta dallo stesso sistema trusted A Inserimento su sessione telnet HACKER Invio di pacchetti cammuffati contenenti i comandi desiderati. L utente B vedrà comparire sul terminale delle sequenze di caratteri non digitati B Session Hijacking Attack TARGET 15

16 Top Ten Computer Threats External Attacks Internet Intellectual Property Router FW Sensitive Sendmail Server TearDrop DoS Unix Server Generic Server DMZ NT Server FireWall Misconfigured RootKit Sniffing statd GetAdmin LAN File Share Internal Attacks LAN Necessità di una Politica di sicurezza Consiste in un insieme di regole con cui affrontare la protezione del sistema Risorse da proteggere, modalità e tecniche di protezione e livello di criticita associato Diritti di accesso associati ad ogni risorsa una volta superata la fase di autenticazione LE REGOLE DEVONO STABILIRE Persone responsabili del mantenimento della sicurezza del sistema Modalita di accesso alle risorse protette 16

17 Meccanismi di protezione Meccanismi e Sistemi di Autenticazione e di Autorizzazione (PKI - PMI) Firewall IDS - VLAN TCP Wrapper: sostituto iniziale di un demone User Name: Password: ***** Password e One-Time password Tunnelling e VPN Crittografia Penetration Test Obiettivi Metodologia Strumenti 17

18 Obiettivi: che cosa ha in mente chi esegue un PT Sottrarre informazioni Sniffing Danneggiare un servizio Eseguire DoS In/Out di files Cracking Crashing Ostacolare operazioni Diventare Root o Administrator Ottenere permessi maggiori Trovare vulnerabilità Penetrare nel sistema Ottenere un account valido www, nslookup, users, mailing lists Metodologia di Firewall Testing Collezione di informazioni indirette (1) SCAN TEST Non rilevabili Scanning Collezione di informazioni dirette Spesso rilevabili (2) PENETRATION TEST Attacks Attacco dall esterno Rilevabili, a volte per danno subito Scanning e Configuration Attacco dall interno Spesso rilevabili se presente IDS 18

19 Mezzi: con cosa eseguire il PT Tools di scan automatici Grande esperienza e conoscenza Programmi e script di hacking Intuito ed elevate capacità Architettura Internet Penetration Testing ROUTER FW Target LAN DMZ 19

20 Azione di Pre-Attacco Ottenimento permesso Pre-Attacco Pianificazione Attacco Collezione del maggior numero di informazioni 1. Modalità indiretta: informazioni pubbliche Web, FTP anonymous Indirizzi non mascherati: svelano server della posta e account Banner di alcuni servizi Messaggi delle mailing-list, chat e news Comandi: nslookup, traceroute, ping,... Log e Report 2. Modalità diretta: vero e proprio attacco che può quindi essere rilevato da un buon IDS Probe di una rete Raccolta di Informazioni Host Scan e Port Scan Determinazione delle vulnerabilità Verifiche Manuali 20

21 Scan Test Deduzione del maggior numero di informazioni riguardante la configurazione HW, SW e di rete della stazione firewall SCAN TEST Dati della Stazione Informazioni HW e SW Dati della Rete Stazione: IP, Host Name... Rete: Classe della rete IP, informazioni di routing Servizi: elenco di quelli abilitati... FIREWALL Dati Ricevuti Stato dell arte degli attacchi esistenti Vulnerabilità Elenco completo delle potenziali vulnerabilità della stazione esaminata Penetration Test Sottoporre il firewall ad una serie significativa di attacchi, finalizzati all intrusione nelle stazioni che compongono il firewall stesso e progettati sulla base delle informazioni dello Scan Test Vulnerabilità Elenco delle vulnerabilità provenienti dalla precedente fase di SCAN TEST PENETRATION TEST Attacchi discreti e finalizzati LOG Notifica della avvenuta intrusione FIREWALL 21

22 Host Scan e Port Scan nmap strobe netcat ping Host attivi e Porte attive IP Port Lista di Host Lista di Porte ( IP) Determinazione delle Vulnerabilità ISS Nessus Satan Indagine di eventuali vulnerabilità attraverso tools automatici Saint IP Elenco delle vulnerabilità 22

23 Verifiche manuali Web/Ftp SMTP Authentication Router/FW Esperienza Know-how Verifiche e probe manuali Bachi noti Rete Penetration Testing Vulnerabilità del Sistema Quando Verificare Nuove vulnerabilità Nuove versioni SW Cambiamento IP Nuovo Hardware Nuovo Software Cambiamento Policy Studio e nuovo PT 23

24 Le vulnerabilita di rete di sistema di software Vulnerabilita di rete Nessun progetto di corretto instradamento dei pacchetti Routing dinamici: RIP e OSPF Mancanza di ACL per i segmenti di rete Assenza di Controllo sulle porte switch Nessun meccanismo di Alta affidabilita e Load Balancing Pericolosita di Flooding/Spoofing VLAN e Spanning Tree 24

25 Vulnerabilita di sistema Scorrette politiche/regole sui firewall e sui sistemi di autenticazione Assenza di un sistema di accesso alle zone critiche mediante VPN Mancanza di un sistema IDS come seconda linea di difesa Nessun controllo/auditing su password e azioni Mancanza di crittografia dei canali e di autenticazione dei sistemi Assenza di una Security Policy Vulnerabilita di software Configurazioni errate Buffer overflow Allocazione di tipi differenti di variabili Errata deallocazione di memoria Assenza di controllo sulle operazioni e sui puntatori Cicli infiniti Compatibilita /Interoperabilita Easter eggs 25

26 26

27 2 DIFESA E SICUREZZA INFORMATICA Seconda parte: Come ci si difende? Le tecnologie Application Integrity User Integrity Data Integrity System Integrity Network Integrity Authorization VPD Users/Group SSO Authentication Token e SmartCard Encryption Hashing Digital Signature Virus Intrusion Auditing Prevention Detection Firewall VPN Router Virtual LAN R i s k A s s e s s m e n t R i s k A n a l y s i s C C e I T S E C 27

28 Sicurezza a livello rete Switch e VLAN Router e HSRP Progettazione di reti avanzate Dispositivi attuali 28

29 Dispositivi del futuro Funzionamento HUB Frame Flusso Dati Frame Flusso Dati Frame Flusso Dati Frame Flusso Dati 29

30 Banda condivisa Banda dedicata 30

31 Funzionamento SWITCH Packet Frame Packet Frame Frame in Memoria CRC Check Filtering Database Assegnamento Porta FilteringDB completo 31

32 Port Secure Configurare, in modo permanente, per ogni porta dello switch l indirizzo di mac della scheda di rete ad esso associato Limitare ad 1 il numero di indirizzi acquisibili per la sola interfaccia Stabilire l azione da prendere in caso di violazione del mac-address Link Aggregation SWITCH 1 SWITCH Mbps 100 Mbps 100 Mbps 100 Mbps Canale Virtuale a 400 Mbps User Priority: canali con diversa banda e stazioni prioritarie sui canali piu veloci HA: riconfigurazione dinamica in caso di fault LB: solo statico => partiziono le stazioni sui canali (il dinamico non e possibile per standard: riordino pacchetti non permesso!) (IEEE 802.3ad) 32

33 Broadcast Storm A B SW1 SW2 C Ambiente: accensione dei dispositivi e C che invia un pacchetto ad A SW1 ha la tabella di switching vuota e quindi fa un flood sulle due porte rimanenti Il pacchetto arriva ad A ma anche ad SW2 che si comporta esattamente come SW1 (flood sulle porte) Si innesca il ciclo segnato in rosso Siamo a livello 2 quindi non esiste il check sul TTL dei pacchetti!!! MAC Address Instability A B SW1 SW2 C Ambiente: C invia un pacchetto a B SW1 ha le due possibilita di smistamento del pacchetto segnate in rosso SW1 e SW2 non sono dei router, per cui non hanno configurazioni di costo sui PATH o altre tecniche decisionali B riceve due pacchetti identici con lo stesso SN La tabella di switching di SW1 contiene due porte linkate allo stesso mac address 33

34 Problema delle maglie Spanning Tree Protocol (STP) IEEE 802.1D Protocollo standard utilizzato dagli switch per evitare loop all interno di una rete 2 Ogni porta a regime può trovarsi nello stato di forwarding o di blocking Un qualsiasi cambio nella topologia della rete provoca uno scambio di informazioni (STP) 34

35 Esempio di Spanning Tree Protocol (STP) Cosa risolvono le VLAN Partizionamento logico del livello 2 Limitano il traffico di broadcast Con il Trunk posso estendere le VLAN all intera rete Security? Aggiunta di un TAG alla trama (4 byte): la trama passa da 1518 byte a 1522 byte (frame Baby Giant) ISL (Cisco) 802.1Q (standard IEEE) Il routing e comunque affidato al livello 3 35

36 Appartenenza alle VLAN L appartenenza di una stazione ad una VLAN puo essere statica per porta (unico tipo di VLAN standard, mobilita bassa) dinamica per indirizzo MAC (grande mobilita ) per protocollo per indirizzo di livello3 per indirizzo multicast policy-based (per applicazione, per utente ) Una stazione puo appartenere ad una o piu VLANs Scheda VLAN-aware (supporto del VLAN-tagging): tipica dei server, generalmente multi-vlan Scheda VLAN-unaware (non supporta il VLAN-tagging): tipica delle stazioni, generalmente single-vlan Trunking (1) Soprattutto a livello di dorsale 36

37 Funzionamento ROUTER Packet Frame Frame in Memoria CRC Check Packet Frame Routing Table ACL Da Frame a Packet Decisioni di Routing Decisioni di Security Da Packet a Frame Packet Dentro un layer 3 switch A, B, C: default gateway rispettivamente delle VLAN #1, #2 e #3 37

38 Load Balancing a livello 3 Qual e il default gateway? Ogni stazione ha uno ed un solo default gateway Se si guasta il default gateway scelto => stazioni bloccate Soluzioni: VRRP (RFC 2338), HSRP (proprietario Cisco, RFC 2281) Hot Standby Routing Protocol Consente al router di assumere le funzioni di un altro router appartenente allo stesso gruppo (HA) Monitor continuo dei router per verificarne lo stato Meccanismo di stand-by è del tutto trasparente al client Le stazioni vedono un solo DG (Ip virtuale e MAC virtuale) Il router attivo si prende carico di effettuare il FW dei pacchetti In caso di fault del pimo router quello in standby si fa carico di smistare il traffico 38

39 HSRP: la soluzione Rete di livello 2 39

40 Rete di livello 3 Piccola Rete di Campus 40

41 Livello 2 o Livello 3? Livello 2 PRO: elevata velocita semplicita di gestione basso costo CONTRO: bassa scalabilita basso livello di sicurezza tempi di convergenza: 30sec Se si aggiungono le VLAN: aumenta la sicurezza aumenta il costo diminuisca la semplicita Livello 3 PRO: alta scalabilita alto livello di sicurezza tempi di convergenza: 2sec CONTRO: velocita limitata complessita di gestione alto costo Se ho un layer 3 switch: aumenta la velocita diminuisce il costo Per le reti di Campus: UTILIZZO COMBINATO La dorsale della rete Backbone di livello 3 se si vuole separare i domini di broadcast e fare filtering fra palazzi 41

42 Sicurezza a livello sistema FireWall Virtual Private Network (VPN) Intrusion Detection System (IDS) Firewall: funzionalita Protegge la rete da intrusioni non volute Nasconde la rete Autentica utenti/macchine e filtra i servizi Difende da attacchi di tipo DoS, Spoofing, relaying Implementa un Proxy applicativo 42

43 Semplice Firewall Internet DMZ Public Servers FireWall-1 Management Server and Firewall Module FireWall-1 GUI Client Corporate Site Le regole 43

44 Sistema Firewall semplice Internet Public Servers DMZ Human Resources Network FireWall-1 Secure Server Corporate Site SAP Server Sistema Firewall complesso Finance Sales & Marketing Public Servers World Wide Web File Transfer Customers Partners IT Internet Gateway Corporate Network Internet Mobile User Remote Site Virtual Private Network 44

45 Autenticazione Finance Sales & Marketing Public Server digital certificate + smartcards IT FireWall-1 Internet IP address and port User ID> Willy Loman Passcode> 921 abcde PIN + SecurID Alta affidabilita Corporate Intranet Primary FireWall-1 Gateway Secondary FireWall-1 Gateway Internet Dynamic Synchronization 45

46 Attacchi interni Internet Outside Intruders FW Inside Intruders DMZ LAN IDS: funzionalita Aiuta a prevenire gli attacchi ad un singolo computer o ad un sistema di computer. Raccoglie le informazioni da una molteplicita di sistemi e sorgenti della rete. Analizza le informazioni raccolte per individuare eventuali problemi di sicurezza. In alcuni casi permette all utente di specificare in tempo reale le risposte agli attacchi. 46

47 IDS: politiche Una Security Policy definisce cosa è permesso/vietato in un sistema Proibitive:tutto ciò che non è espressamente permesso è vietato (generalmente, i FW) Permessi Permissive: tutto ciò non è espressamente vietato è permesso (generalmente, gli IDS) Divieti IDS: classificazione Qualsiasi insieme di azioni che tentano di compromettere l integrità, la confidenzialità e la disponibilità delle risorse di un sistema Misuse intrusion: attacchi a punti ben definiti del sistema. Rilevabili dall identificazione di certe azioni eseguite su certi oggetti. Anomaly intrusion: basati sull osservazione di comportamenti deviati rispetto al normale. Rilevabili dall analisi del profilo originale con quelli che vengono costruiti dal monitoring. Data Source Based: basati su azioni di audit del sistema 47

48 Network Sensor OS Sensor Internet Sistema IDS Network Sensor OS Sensor FW CONSOLE Router DMZ Network Sensor OS Sensor LAN-1 Network Sensor OS Sensor LAN-2 IDS: secure mode Network Sensor OS Sensor Internet Network Sensor OS Sensor FW DMZ Network Sensor OS Sensor CONSOLE Router LAN-1 Network Sensor OS Sensor LAN-2 48

49 IDS: stealth mode Network Sensor OS Sensor Internet Network Sensor OS Sensor FW DMZ Network Sensor OS Sensor CONSOLE H U B Router LAN-1 Network Sensor OS Sensor LAN-2 VPN: funzionalita Confidenzialita : cifratura del canale e tunnelling Autenticazione strong Accesso Remoto Branch Office (IntraNet) Partner (ExtraNet) 49

50 Standard IPSec All applications are tunnelled Application TCP/UDP IP IPSec IP Ethernet/PPP 4 2 Unsecured network 1 IKE (formerly ISAKMP/Oakley) ESP/AH 3 Application TCP/UDP IP IPSec IP Ethernet/PPP Internet Remote Access Corporate LAN Branch office LAN Alcatel 713x Secure VPN Gateway INTERNET Alcatel 713x Secure VPN Gateway Partners, customers and suppliers Internet POP Mobile users Alcatel Secure VPN Client Alcatel 713x Secure VPN Gateway Secure Unsecure 50

51 RAS Remote Access Corporate LAN RAS Server RAS Server Branch office LAN Alcatel 713x Secure VPN Gateway SWITCHED LAN Alcatel 713x Secure VPN Gateway RAS Server Partners, customers and suppliers Mobile users Alcatel Secure VPN Client Alcatel 713x Secure VPN Gateway Secure Unsecure Secure Intranet Branch office Corporate LAN INTERNET or CDN Alcatel 713x Secure VPN Gateways Alcatel 713x Secure VPN Gateway AlcatelSecure VPN Management Suite Branch office Alcatel 713x Secure VPN Gateways Secure Unsecure 51

52 Secure Extranet Partner Corporate LAN INTERNET or CDN Alcatel 713x Secure VPN Gateways Alcatel 713x Secure VPN Gateway AlcatelSecure VPN Management Suite Supplier Alcatel Secure VPN Clients Secure Unsecure Secure VPN Groups Engineering VPN group User A Engineering subnet User A Engineering subnet Finance VPN group User B Finance subnet User B Internet VPN gateway Finance subnet Inventory VPN group User B User C Inventory subnet User C Inventory subnet 52

53 Redundant Connectivity National bank Alcatel Secure VPN Management suite Regional office of National Bank Cluster of Alcatel 713x Secure VPN Gateways Frame relay Cluster of Alcatel 713x Secure VPN Gateways Alcatel 713x Secure VPN Gateway ISDN backup Alcatel 713x Secure VPN Gateway Secure Unsecure Crittografia a chiave pubblica Chiave simmetrica e chiave pubblica Caratteristiche degli algoritmi Cifratura e firma digitale 53

54 Security Requirements Problem Confidentiality Access Control Integrity Authentication Non-Repudiation Definition Privacy of Data Authorisation to access data Data has not been subsequently modified Person / object is genuine Proof that transaction was authorised (e.g. originator cannot deny an instruction) Security Mechanisms Problem Confidentiality Access Control Integrity Authentication Non-Repudiation Solution Mechanism Encryption Encryption Message Digest Digital signature Digital signature with timestamping 54

55 Symmetric Key Encryption Shared Key Key Key Cleartext ENCRYPTION Ciphertext DECRYPTION Original Cleartext Alice Bob Algorithm Algorithm Symmetric Characteristics High speed Suitable for bulk encryption of data Key management is very challenging Makes symmetric algorithms impractical for large-scale deployment when not integrated with public-key technology 55

56 Public Key Encryption Public Key Private Key Cleartext Bob s Public Key ENCRYPTION Ciphertext Bob s Private Key DECRYPTION Original Cleartext Alice Bob Algorithm Algorithm Public-key Characteristics Slower than symmetric cryptosystems Not suitable for bulk encryption operation Transparent key management is possible Public keys are circulated in certificate format to ensure integrity and authenticity Private keys may be securely delivered to and stored in the user profile Digital signature is possible 56

57 The Result - A Hybrid Approach Encrypt the data using symmetric cryptography: Very fast encryption and decryption Encrypt the symmetric key using public-key cryptography: Large key size provides excellent security Automatic Key Management Combining Symmetric and Public Key Cryptography ENCRYPTION Directory of Public Keys Alice Hi Bob CAST RSA = Confidentiality + Access Control *?r8=ik 57

58 Combining Symmetric and Public Key Cryptography DECRYPTION Pri. Key RSA Bob Hi Bob CAST *?r8=ik Digital Signature Combining Hash Functions and Public Key Cryptography Use hash functions to produce digital fingerprint of data (Message Digest). Use public key encryption to protect digital fingerprint. Result = Digital Signature 58

59 Hash Functions Hash functions are applied to a message to produce a hash result The hash result may be thought of as a digital fingerprint Hash Functions are used along with public-key cryptography to perform digital signature File Hash function (e.g. SHA-1) = Hash Value (Digital Fingerprint) Combining Hash Functions and Public Key Cryptography The security requirements for a good cryptographic checksum algorithm are: Must be a one way function. Must be sensitive to single bit change. Must be... SHA-1 Alice Pri. Key T%*l)8khj DSA Orig. Hash The security requirements for a good cryptographic checksum algorithm are: Must be a one way function. Must be sensitive to single bit change. Must be... T%*l)8khj Encrypted Hash Pub. Key = Integrity + Authentication 59

60 Combining Hash Functions and Public Key Cryptography Bob Fresh Hash T%*l)8khj SHA-1 The security requirements for a good cryptographic checksum algorithm are: Must be a one way function. Must be sensitive to single bit change. Must be... Compare T%*l)8khj Orig. Hash T%*l)8khj DSA 2 Sicurezza a livello applicativo Certificati X.509 Public Key Infrastructure (PKI) 60

61 What is in an X509 certificate? Subject DN: cn=bob Smith, o=acme, c=us Serial #: Start:1/5/97 1:02 End:7/5/98 1:02 CRL:cn=CRL2, o=acme, c=us SubjectAltName: IP, DNS, Key: CA DN: o=acme, c=us Unique name of owner Unique serial number Period of validity Revocation information Alternate Subject identifiers Public key CA s digital signature on the certificate Name of issuing CA What is in a CRL? DN: cn=crl2, o=acme, c=us Start: 1/5/97 1:02 End: 1/6/97 1:02 Revoked: CA DN: o=acme, c=us Unique name of CRL Period of validity Serial numbers of revoked certificates Name of issuing CA CA s digital signature on the CRL 61

62 Protecting Certificates Certificate Hash Function (e.g. SHA-1) = Hash Value The CA creates a hash value using the selected certificate hash function Hash Value = CA Signing Private Key The CA s signing private key is used to encrypt the hash value Verifying Certificates Certificate Hash function (e.g. SHA-1) = Fresh Hash Entrust/Engine runs the same hash function on the certificate to produce a fresh hash value Verification Public Key? = The original hash value is decrypted using the CA verification public key contained in the user profile The original hash and the fresh hash are compared. If they are equal, the CA signature is deemed to be valid, and the certificate has integrity and authenticity 62

63 Verifying Certificates The certificate must be evaluated: The CA name must be the distinguished name of the CA Directory Entry The time and date are checked to ensure that Bob is using Alice s certificate during its validity period The owner name must be Alice s distinguished name The CA digital signature is represented by the encrypted hash value. The CA digital signature must be verified All certificates contain a certificate serial number and a crldistributionpoint. These are used to check the revocation status of the certificate Owner: Alice Jones : Encryption public key Issued By: CA Name Issue & expiration dates Certificate Serial Number crldistributionpoint CA Timestamping What s PKI? Certification Authority Cross-certification Non Repudiation Support Key Backup & Key Recovery Certificate Repository Applications Software Automatic Key Update & Key Histories Certificates revocation 63

64 Applicazioni sicure Web Secure Desktop E-forms Digital Sign PKI E-Trading Home Banking VPN WAP E-Commerce SingleSignOn 64

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33 .ind g/p.vii-xii 26-06-2002 12:18 Pagina VII Indice Capitolo 1 Introduzione 1 Capitolo 2 Le reti Ethernet e IEEE 802.3 5 2.1 Il progetto IEEE 802 6 2.2 Protocolli di livello MAC 7 2.3 Indirizzi 8 2.4 Ethernet

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Principi di Sicurezza nelle Reti di Telecomunicazioni

Principi di Sicurezza nelle Reti di Telecomunicazioni Principi di Sicurezza nelle Reti di Telecomunicazioni Copyright Università degli Studi di Firenze - Disponibile per usi didattici Vedere i termini di uso in appendice ed a: http://mmedia5.det.unifi.it/license.txt

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

I firewall. I firewall

I firewall. I firewall I firewall Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di

Dettagli

Attacchi e Contromisure

Attacchi e Contromisure Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2 Attacchi e Contromisure Sniffing Connection

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13 Elementi di Sicurezza e Privatezza Proteggere la rete: tecnologie Lez. 13 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa Un Internet firewall,

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza.

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza. HP Consulting Claudio De Paoli Security Solution Lead filename\location Page 1 AGENDA Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza filename\location Page

Dettagli

Sicurezza. Ing. Daniele Tarchi. Telematica nei Sistemi di Trasporto - L10 1. Sicurezza: cosa si intende

Sicurezza. Ing. Daniele Tarchi. Telematica nei Sistemi di Trasporto - L10 1. Sicurezza: cosa si intende Sicurezza Ing. Daniele Tarchi Telematica nei Sistemi di Trasporto - L10 1 Sicurezza: cosa si intende Sicurezza Fisica: accesso controllato ai locali, conservazione delle chiavi di accesso alle sale dati,

Dettagli

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità Chiara Braghin Dalle news 1 Internet ISP Backbone ISP Routing locale e tra domini TCP/IP: routing, connessioni BGP (Border

Dettagli

Testi del Syllabus. Docente VELTRI LUCA Matricola: 006125

Testi del Syllabus. Docente VELTRI LUCA Matricola: 006125 Testi del Syllabus Docente VELTRI LUCA Matricola: 006125 Anno offerta: 2013/2014 Insegnamento: 1005252 - NETWORK SECURITY + LABORATORY Corso di studio: 5052 - COMMUNICATION ENGINEERING - INGEGNERIA DELLE

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Firegate SSL 5 - Release notes

Firegate SSL 5 - Release notes Firmware Versione: 3.19 Versione di rilascio ufficiale Aggiunto menu Diagnostics per Ping e Traceroute Aggiunto modalità NAT in DMZ Supporto per VoIP SIP in QoS Aggiunto Traffic Collector per analisi tipologia

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS.

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. BOOT CAMP CISCO CERTIFIED NETWORK ASSOCIATE SECURITY (CCNA SECURITY) CCNA SECURITY_B La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. Prerequsiti Certificazione

Dettagli

ANALISI DELL INFRASTRUTTURA IT

ANALISI DELL INFRASTRUTTURA IT ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Making the Internet Secure TM

Making the Internet Secure TM Making the Internet Secure TM e-security DAY 3 luglio 2003, Milano Kenneth Udd Senior Sales Manager SSH Communications Security Corp. SSH Communications Security Corp Storia Fondata nel 1995 Ideatrice

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

EUCIP IT Administrator - Modulo 4 IT Security Syllabus Version 3.0

EUCIP IT Administrator - Modulo 4 IT Security Syllabus Version 3.0 EUCIP IT Administrator - Modulo 4 IT Security Syllabus Version 3.0 Copyright 2011 ECDL Foundation Tutti i diritti riservati. Questa pubblicazione non può essere riprodotta in alcuna forma se non dietro

Dettagli

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/

Panoramica di Microsoft ISA Server 2004. Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ Panoramica di Microsoft ISA Server 2004 Pubblicato: Giugno 2004 Per maggiori informazioni, visitare il sito Web: www.microsoft.com/italy/isaserver/ ISA Server 2004 - Introduzione ISA Server 2004 offre

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Connessione in rete: sicurezza informatica e riservatezza

Connessione in rete: sicurezza informatica e riservatezza Quinta Conferenza Nazionale di Statistica WORKSHOP Connessione in rete: sicurezza informatica e riservatezza coordinatore Antonio Lioy docente del Politecnico di Torino 5@ S Roma 15, 16, 17 novembre 2000

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30 Prefazione XI Capitolo 1 Introduzione 1 1.1 Internet: una panoramica 2 1.1.1 Le reti 2 1.1.2 Commutazione (switching) 4 1.1.3 Internet 6 1.1.4 L accesso a Internet 6 1.1.5 Capacità e prestazioni delle

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

Protezione dei dati INTRODUZIONE

Protezione dei dati INTRODUZIONE Protezione dei dati INTRODUZIONE Le reti LAN senza filo sono in una fase di rapida crescita. Un ambiente aziendale in continua trasformazione richiede una maggiore flessibilità sia alle persone che alle

Dettagli

Intrusion Detection System

Intrusion Detection System Intrusion Detection System Snort Giampaolo Fresi Roglia gianz@security.dico.unimi.it Sommario Collocazione in rete Scenari di installazione Snort Installazione e Configurazione su Debian Rete di esempio

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

SBSAfg.exe nella cartella Tools del DVD Opzioni avanzate: Migration Mode Unattend Mode Attended Mode con dati pre-caricati

SBSAfg.exe nella cartella Tools del DVD Opzioni avanzate: Migration Mode Unattend Mode Attended Mode con dati pre-caricati SBSAfg.exe nella cartella Tools del DVD Opzioni avanzate: Migration Mode Unattend Mode Attended Mode con dati pre-caricati Collegare il router e tutti i devices interni a Internet ISP connection device

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Il Livello delle Applicazioni 2 Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

IPSec. Internet Protocol Security. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. IPSec - 1 M. Baldi: nota a pagina 2

IPSec. Internet Protocol Security. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. IPSec - 1 M. Baldi: nota a pagina 2 IPSec Internet Procol Security Mario Baldi Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com IPSec - 1 M. Baldi: nota a pagina 2 Nota di Copyright Ques insieme di trasparenze (det nel segui slide) è

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Prefazione all edizione italiana

Prefazione all edizione italiana Sommario Prefazione all edizione italiana XIII Capitolo 1 Introduzione 1.1 Applicazioni delle reti di calcolatori 2 1.1.1 Applicazioni aziendali 3 1.1.2 Applicazioni domestiche 5 1.1.3 Utenti mobili 8

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

La sicurezza aziendale a 360 La protezione delle reti Roberto Covati

La sicurezza aziendale a 360 La protezione delle reti Roberto Covati Università degli Studi di Parma Dipartimento di Fisica http://www.fis.unipr.it La sicurezza aziendale a 360 La protezione delle reti Roberto Covati http://www.eleusysgroup.com La protezione delle reti

Dettagli

Sicurezza in Internet. Criteri di sicurezza. Firewall

Sicurezza in Internet. Criteri di sicurezza. Firewall Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,

Dettagli

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009 La sicurezza nelle comunicazioni fra PC Prof. Mauro Giacomini A.A. 2008-2009 Sommario Cosa significa sicurezza? Crittografia Integrità dei messaggi e firma digitale Autenticazione Distribuzione delle chiavi

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA PROGRAMMAZIONE MODULARE 2015-2016 Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA Docenti: Gualdi (teoria), Travaglioni (laboratorio) Ore settimanali previste: 2 TEORIA +

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali.

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali. Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi Introduzione Molte aziende possiedono informazioni

Dettagli

Sicurezza. Sistemi Operativi 17.1

Sicurezza. Sistemi Operativi 17.1 Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi 17.1 Introduzione Molte aziende possiedono

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014

PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014 Classe 5^ PROGRAMMAZIONE DIDATTICA DI SISTEMI Indirizzo: Informatica Progetto Abacus Anno scolastico 2013-2014 MODULI CONTENUTI OBIETTIVI METODOLOGIE DI LAVORO I primi elementi sulle reti e i mezzi di

Dettagli

PKI PUBLIC KEY INFRASTRUCTURES

PKI PUBLIC KEY INFRASTRUCTURES Premesse PKI PUBLIC KEY INFRASTRUCTURES Problemi Come distribuire in modo sicuro le chiavi pubbliche? Come conservare e proteggere le chiavi private? Come garantire l utilizzo corretto dei meccanismi crittografici?

Dettagli

Firegate SSL 5 - Release notes

Firegate SSL 5 - Release notes Firmware Versione: 3.24u Aggiunto supporto NE per Windows 7 32/64bit Problemi noti: Rimosso NE_WEB. Usare prima NE e poi aprire nuova sessione/pagina/tab http verso il server desiderato Non supportato

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

Criticità dei servizi di telecomunicazione nella convergenza voce/dati. Colloquia sulla infrastrutture critiche AIIC Univ. Roma Tre, 27 Febbraio 2008

Criticità dei servizi di telecomunicazione nella convergenza voce/dati. Colloquia sulla infrastrutture critiche AIIC Univ. Roma Tre, 27 Febbraio 2008 Criticità dei servizi di telecomunicazione nella convergenza voce/dati Colloquia sulla infrastrutture critiche AIIC Univ. Roma Tre, 27 Febbraio 2008 Agenda Analisi introduttiva Univocità del problema sicurezza-voip

Dettagli

Attacchi - panoramica

Attacchi - panoramica Attacchi - panoramica Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@telmon.org Tecniche di attacco Più passaggi prima del destinatario (stepstones) Accesso da sistemi poco controllati

Dettagli

Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise

Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise Nasce nel 1990 come distributore esclusivo della tecnologia F-Prot (ora F-Secure) Da più di 15 anni focalizzata SOLO nell ambito

Dettagli

Introduzione alla Sicurezza Informatica

Introduzione alla Sicurezza Informatica Introduzione alla Sicurezza Informatica Prof. Francesco Buccafurri Università Mediterranea di Reggio Calabria Crescita di Internet 0.000 570.937.7 0.000 439.286.364 489.774.269 0.000 0.000 233.101.481

Dettagli

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011 Paola Zamperlin Internet. Parte prima 1 Definizioni-1 Una rete di calcolatori è costituita da computer e altri

Dettagli

STP Spanning Tree Protocol

STP Spanning Tree Protocol STP Spanning Tree Protocol Introduzione Sviluppato da Perlman nel 1985 per la Digital Equipment Corporation (DEC); in seguito standardizzato dal IEEE come 802.1d Una LAN di grandi dimensioni deve essere

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

LA TECNOLOGIA CONTRO L HACKING

LA TECNOLOGIA CONTRO L HACKING LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

Indice. Prefazione XIII

Indice. Prefazione XIII Indice Prefazione XIII 1 Introduzione 1 1.1 Breve storia della rete Internet 1 1.2 Protocolli e standard 6 1.3 Le organizzazioni che definiscono gli standard 7 1.4 Gli standard Internet 10 1.5 Amministrazione

Dettagli

Sicurezza delle email, del livello di trasporto e delle wireless LAN

Sicurezza delle email, del livello di trasporto e delle wireless LAN Sicurezza delle email, del livello di trasporto e delle wireless LAN Damiano Carra Università degli Studi di Verona Dipartimento di Informatica La sicurezza nello stack protocollare TCP/IP Livello di rete

Dettagli

Gestione e sicurezza nelle reti di calcolatori

Gestione e sicurezza nelle reti di calcolatori Reti di calcolatori Gestione e sicurezza nelle reti di calcolatori Samuel Rota Bulò DAIS Università Ca Foscari di Venezia Gestione e sicurezza R14.1 Gestione della rete Controllo e monitoring della rete,

Dettagli

2 DESCRIZIONE DEI SERVIZI

2 DESCRIZIONE DEI SERVIZI Premessa In generale i servizi di un Full Service Provider sono più o meno paragonabili. Qui di seguito viene descritto il servizio di Firewalling specifico di un fornitore ma di contenuto assolutamente

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet Gruppo Reti TLC nome.cognome@polito.it http://www.telematica.polito.it/ INTRODUZIONE A INTERNET - 1 Internet: nomenclatura Host: calcolatore collegato a Internet ogni host

Dettagli

Router VPN Cisco RV180

Router VPN Cisco RV180 Data Sheet Router VPN Cisco RV180 Connettività sicura e ad alte prestazioni a un prezzo conveniente. Figura 1. Router VPN Cisco RV180 (pannello anteriore) Caratteristiche Le convenienti porte Gigabit Ethernet

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio

Dettagli

Programmazione modulare 2015-2016

Programmazione modulare 2015-2016 Programmazione modulare 05-06 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 4 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore ( teoria + ) Totale ore previste: 4 ore per 33 settimane

Dettagli

Le mutazioni genetiche della sicurezza informatica nel tempo

Le mutazioni genetiche della sicurezza informatica nel tempo 1 Le mutazioni genetiche della sicurezza informatica nel tempo Angelo Consoli Docente e ricercatore in Sicurezza e Data Communication Responsabile Laboratorio Sicurezza della SUPSI 2 La SICUREZZA é Y2K

Dettagli

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C.

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C. Definizione La crittografia è la scienza che utilizza algoritmi matematici per cifrare e decifrare i dati. La criptoanalisi è la scienza che analizza e decifra i dati crittografati senza conoscerne a priori

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Sicurezza delle Informazioni. Carmina Saracco Country Manager +39 335 5391770 csaracco@safenet-inc.com

Sicurezza delle Informazioni. Carmina Saracco Country Manager +39 335 5391770 csaracco@safenet-inc.com Sicurezza delle Informazioni Carmina Saracco Country Manager +39 335 5391770 csaracco@safenet-inc.com The Foundation of Information Security Esperti di encryption con 23 anni di storia proteggendo: Comunicazioni

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli