Master Almaweb in Sicurezza dell'informazione
|
|
- Giulio Nardi
- 8 anni fa
- Visualizzazioni
Transcript
1 Master Almaweb in Sicurezza dell'informazione Sicurezza nei Sistemi Operativi Lezione 4 Intrusion Detection Incident Response Alberto Montresor 1
2 Introduzione Obiettivi dell'amministrazione sicura di un s.o. ridurre la probabilità, la severità e le conseguenze delle intrusioni Come abbiamo visto Attività preventive possono ridurre ognuno di questi parametri Ma non è possibile eliminare completamente il rischio 2
3 Alcune definizioni Un'intrusione (o incidente) può essere definita come: qualsiasi insieme di azioni che cercano di compromettere la confidenzialità, l'integrità o la disponibilità di una risorsa by-passare i meccanismi di sicurezza di una risorsa Tutte le intrusioni sono definite rispetto a una politica di sicurezza la politica di sicurezza definisce ciò che è permesso e ciò che è proibito in un sistema senza una politica di sicurezza, è impossibile cercare di capire se un sistema è stato compromesso 3
4 Tipi di intrusione Esterne Tentativi di accedere ad un sistema dall'esterno Interne Utenti che cercano di acquisire un insieme di privilegi di cui normalmente non disponongono Utenti privilegiati che utilizzano scorrettamente i loro privilegi 4
5 Caratteristiche delle intrusioni Caratteristiche di un sistema normale Le azioni di utenti, processi non sono conformi a pattern statisticamente predicibili Le azioni di utenti, processi non includono sequenze di azioni che modificano la politica di sicurezza Le azioni dei processi corrispondono ad insiemi di azioni che descrivono cosa un processo può fare I sistemi sotto attacco non soddisfano almeno una di queste condizioni 5
6 Esempio di intrusione Un tool di attacco è uno script automatico progettato per violare una politica di sicurezza Esempio: rootkit Include on sniffer di password Progettato per nascondersi utilizzando versioni Trojan di vari programmi: ps, ls, find, netstat, etc. Aggiunge back doors (login, telnetd, etc.) Possiede tool per la pulizia dei log (zapper, etc.) 6
7 Esempio di detection Rootkit fa in modo che ls, du, etc. nascondano informazioni ls lista tutti i file in una directory, eccetto quelli installati dal rootkit dirdump (programma locale può fare lo stesso) Detection Esegui entrambi i programmi e confronta i risultati Se differenti, ls è stato alterato Solo uno dei possibili approcci... Nota: basato sul fatto che rootkit non modifica il kernel 7
8 Intrusion Prevention, Detection and Response Proteggere un sistema dalle intrusioni è un processo composto da tre fasi: 1. Intrusion prevention Se la prevenzione non ha successo il sistema è compromesso vai al passo 2 2. Intrusion detection Se il rilevamento ha successo vai al passo 3 3. Intrusion response 8
9 Intrusion Detection Intrusion Detection (ID) L'arte di rilevare intrusioni all'interno di un singolo host, di una rete o in generale di un sistema distribuito ID può essere: Automatica (IDS, Intrusion Detection System) Manuale (amministratore di sistema) Alcune considerazioni: Gli IDS hanno acquisito una importanza fondamentale nel campo della sicurezza Tuttavia, può essere ancora necessario dover giustificare l'acquisto di un IDS 9
10 Motivazioni per utilizzare IDS Alcune motivazioni Per prevenire le intrusioni, incrementando la percezione del rischio di scoperta e punizione Come secondo bastione dietro al principale (firewall) Per rilevare e gestire i preamboli degli attacchi (network probe) Per documentare i rischi Come controllo di qualità per il modello di sicurezza (specialmente in grandi organizzazioni) Per motivi "forensici": ovvero, per raccogliere informazioni sulle intrusioni e sugli attaccanti 10
11 Esempi Esempio di attività di intrusion detection 1. Examine all the files that are run by 'cron' and 'at.' Intruders leave back doors in files run from 'cron' or submitted to 'at.' These techniques can let an intruder back on the system (even after you believe you had addressed the original compromise) 2. Check for unauthorized services. Inspect /etc/inetd.conf for unauthorized additions or changes. In particular, search for entries that execute a shell program (for example, /bin/sh or /bin/csh) and check all programs that are specified in /etc/inetd.conf to verify that they are correct and haven't been replaced by Trojan horse programs 3. Examine the /etc/passwd file on the system and check for modifications to that file. In particular, look for the unauthorized creation of new accounts, accounts with no passwords, or UID changes (especially UID 0) to existing accounts 4. Check your system and network configuration files for unauthorized entries 5. Look everywhere on the system for unusual or hidden files (files that start with a period and are normally not shown by 'ls') (From Cert advisory) 11
12 Esempi Esempi di attività di intrusion detection 1. Examine log files for connections from unusual locations or other unusual activity. For example, look at your 'last' log, process accounting, all logs created by syslog, and other security logs 2. Look for setuid and setgid files (especially setuid root files) everywhere on your system. Intruders often leave setuid copies of /bin/sh or /bin/time around to allow them root access at a later time 3. Check your system binaries to make sure that they haven't been altered. We've seen intruders change programs on UNIX systems such as login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync, any binaries referenced in /etc/inetd.conf, and other critical network and system programs and shared object libraries 4. Check your systems for unauthorized use of a network monitoring program, commonly called a sniffer or packet sniffer (From Cert advisory) 12
13 Intrusion Detection Non è possibile utilizzare solo approcci automatici solo approcci manuali Infatti: nel primo caso è possibile che l'analisi effettuata dagli IDS non copra tutti i possibili attacchi nel secondo caso: la mole di informazioni da guardare è troppo elevata 13
14 Errori associati a IDS Falsi positivi E' una situazione in cui l'ids notifica l'amministratore di un evento eccezionale, ma: non è un'intrusione Troppi falsi positivi l'amministratore smette di "ascoltare" l'ids a causa del rumore Falso negativo E' una situazione in cui un'intrusione è in corso, ma: l'ids non riesce a rilevare l'intrusione Un falso negativo il sistema è compromesso 14
15 Errori associati a IDS Subversion In italiano manomissione, avviene quando un attaccante modifica il funzionamento di un IDS al fine di causare un falso negativo L'IDS deve essere in grado di proteggere se stesso Possibili segnali: Precursori: Suggeriscono che un possibile attacco è in corso Indicatori Indicano che un attacco è stato effettuato 15
16 Intrusion Detection Systems (IDS) Obiettivi di un IDS (revisited) Minimizzare sia il numero di falsi negativi che il numero di falsi positivi Considerazioni Minimizzare il numero di falsi negativi può comportare un numero di falsi positivi non nullo non può essere l'obiettivo primario Ma minimizzare il numero di falsi positivi può comportare un elevato numero di falsi negativi Quanto "rumore" è possibile sopportare? 16
17 Componenti di un IDS Sensori Compito dei sensori è raccogliere informazioni Ad esempio: pacchetti di rete, log file, system call Meccanismi di analisi Il suo compito è determinare se è avvenuta un'intrusione L'output dell'analisi può contenere prove dell'avvenuta intrusione Interfaccia utente Permette di interagire con l'ids 17
18 Componenti di un IDS Honeypot Componente addizionale, sostanzialmente un sensore E' una trappola: un sistema "fintamente" debole che offre finti servizi e serve ad attirare gli attaccanti Esempi Deception Tool Kit Honeynet 18
19 Componenti di un IDS Motivazioni per utilizzare honeypot Possono raccogliere informazioni sugli attaccanti su nuovi possibili attacchi sui trend di attacco Incrementano il workload degli attaccanti ad es: password file "finti" Funzionano da campanello di allarme Incrementano l'insicurezza degli attaccanti Utilizzo della porta 365 di Deception Toolkit 19
20 Classificare e valutare gli IDS Gli IDS possono essere classificati in base ad alcuni parametri Architettura utilizzata Temporizzazione Sorgente delle informazioni Tipo di analisi svolta Tipo di risposta 20
21 Architettura Definizioni Host: il dispositivo in cui l'ids viene eseguito Target: il dispositivo che deve essere analizzato Co-locazione Host-Target In molti casi, host e target coincidono. Questo aumenta il rischio di subversion Comune in ambiente mainframe Separazione Host-Target Host e target sono separati. Per manomettere l'ids, l'attaccante deve compiere una seconda intrusione 21
22 Architettura In caso di separazione host-target: Architettura centralizzata Tutto il monitoraggio, l'analisi e i report vengono effettuati da una posizione centralizzata Architettura parzialmente distribuita Il monitoraggio e l'analisi vengono effettuati da un nodo centrale e riportati ad un insieme di nodi Architettura totalmente distribuita Monitoraggio, analisi e i report vengono effettuati in vari punti del sistema 22
23 Temporizzazione Definizione Il tempo che intercorre fra gli eventi che vengono monitorati e l'analisi su tali eventi Analisi periodica (batch mode) Basata su log e tracce ottenute dal sistema operativo Non permette risposte attive Analisi continua (real-time) Basata su un flusso costante di informazioni Può influire sull'esito dell'attacco 23
24 Sorgente dei dati Host-based (HIDS) effettua l'audit dei dati provenienti da un singolo host Network-based (NIDS) effettua l'audit del traffico di rete Application-based IDS specializzato per applicazioni specifiche Approccio "distribuito" (DIDS) combina HIDS, NIDS e application IDS al fine di scoprire intrusioni più complesse 24
25 Network-Based IDS - Vantaggi TCO (total cost of ownership) più basso Sono richiesti un numero minore di componenti Possono monitorare una rete molto grande Più semplicemente configurabili, non intrusivi In grado di rilevare attacchi che un sistema basato su host non è in grado di rilevare IP-based Denial of Service Packet Content Possono operare in real-time Notifica e risposta veloce Possono bloccare un attacco prima di subire danni 25
26 Network-Based IDS - Posizione DMZ Internet IDS Firewall DNS Server Mail Server Web Server Router Outer Firewall SW IDS IDS Firewall SW Inner Firewall Intra1 26
27 Network-Based Systems - Vantaggi Più difficile per un attaccante rimuovere le tracce Utilizza il traffico di rete catturato Possono essere resi invisibili agli attaccanti (modalità stealth delle schede ethernet) Possono vivere fuori dalla DMZ Possono vedere attacchi bloccati dai firewall / falliti Possono vedere attacchi falliti Possono ottenere informazioni critiche (raffinamento delle politiche) Indipendenza dal sistema operativo 27
28 Network-Based IDS - Svantaggi Possono avere difficoltà a processare tutti i pacchetti in una rete con molto traffico Molti dei vantaggi dei network IDS non si applicano alle reti basate su switch Non possono analizzare pacchetti crittografati Non possono discernere fra un attacco riuscito o fallito 28
29 Host-Based System - Vantaggi Possono rilevare attacchi "invisibili" ai NIDS, verificando attività interne all'host Attività di accesso ai file Attività di logon/logoff (attacchi di forza bruta) Cambiamenti negli account Cambiamenti di politiche Possono verificare se un attacco ha avuto successo Verifica dei log Possono operare in ambienti in cui il traffico è criptato (a livello rete/trasporto) Possono rilevare Trojan Horse e altri attacchi che coinvolgono l'integrità del software 29
30 Host-Based System - Svantaggi Più difficili da gestire, in quanto ogni host deve essere configurato separatemente Sono parzialmente basati su co-locazione host-target, quindi sensibili a subversion Non rilevano attacchi preventivi (network scan) La quantità di informazioni da analizzare può essere molto elevata Performance penalty 30
31 Valutazione di Application-Based IDS Vantaggi Permettono di tracciare attività non autorizzate a livello di utente Possono operare in ambienti in cui il traffico è criptato (a livello session/application) Svantaggi: più vulnerabili a subversion, in quanto i loro log sono meno protetti di quelli originati dal sistema operativo spesso sono vulnerabili ad attacchi di tipo trojan horse 31
32 Gerarchia e flusso di informazione Distributed IDS Network IDS Flusso di informazione Host IDS IDS Application IDS IDS 32
33 Modello di intrusione Anomaly detection What is usual, is know; What is unusual, is bad. Le intrusioni sono rilevate cercando di scoprire attività insolite Misuse detection What is bad, is known; What is not bad, is good Le intrusioni sono rilevate cercando di scoprire attività che corrispondano a tecniche note di intrusione Esempio: tentativi di creare file di tipo setuid letture del file /etc/passwd 33
34 Anomaly detection Modello classico per Anomaly Detection [Denning 87] infrangere la sicurezza di un sistema comporta spesso un uso anormale del sistema le violazioni di sicurezza possono essere rilevate osservando variazioni nel comportamento del sistema Esempio: errori nella digitazione di una password più frequenti 34
35 Anomaly detection Profilo per utente / macchina / rete Viene costruito un modello per ognuna delle entità attive nel sistema, che contiene metriche basate sul funzionamento dell'entità Una metrica è definita come: una variabile che rappresenta una misura quantitativa accumulata su un periodo Esempi: carico medio della CPU, n. di processi per utente, n. di connessioni di rete, etc. 35
36 Anomaly detection Tecniche utilizzate Threshold Viene stabilita una soglia, che può essere statica o dinamica, per ognuna delle metriche considerate Esempio: Tre tentativi per il login Misure statistiche Analisi della distribuzione statistica delle richieste Un caso particolare del successivo Rule-based Il comportamento accettabile non viene stabilito tramite una soglia precisa, ma in base a regole complesse 36
37 Anomaly detection Determinare una threshold può essere difficile Può dipendere da parametri non ovvi Ad esempio, abilità di battitura degli utenti; tastiere diverse Profilo statistico può variare Il meccanismo deve essere adattivo Attenzione però a sistemi che si adattano troppo facilmente 37
38 Esempio: Haystack Informazioni su base statistica: Sia A n l' n-esimo valore statistico calcolato in un intervallo di tempo Si definisce T L e T U in modo tale che 90% dei valori A i risiedono nell'intervallo [T L, T U ] (intervallo di confidenza) Haystack calcola A n+1 Quindi verifica se T L A n+1 T U Se falso, comportamento anomalo Altrimenti tutto ok. 38
39 Anomaly detection Tecniche più moderne Reti neurali Sistemi di classificazione basati su machine learning Algoritmi genetici Sistema immunitario 39
40 Anomaly Detection Vantaggi e svantaggi Vantaggi Sono in grado di rilevare i "sintomi" di un attacco, senza conoscerne esattamente i dettagli Possono essere utilizzati al fine di rilevare nuovi attacchi per i misuse detector Svantaggi Alto numero di falsi positivi Possono richiedere una grande quantità di training da parte dell'amministratore di sistema 40
41 Misuse detection Misuse detection Si basa sulla conoscenza di un dizionario di attacchi Corrisponde ad eseguire pattern matching si "loggano" gli eventi eseguiti dal sistema il meccanismo di analisi cerca i segni di un attacco negli eventi contenuti nei log Tassonomia: misuse detection Signature-based ID State-based ID 41
42 Signature-based misuse detection Signature detection la forma più comune utilizzata nei prodotti commerciali specifica ogni attacco come un pattern di eventi (signature) ogni possibile attacco è caratterizzato dalla sua signature Nota: spesso le signature sono definite in modo (troppo) preciso leggere varianti dello stesso attacco non vengono rilevate 42
43 State-based misuse detection State-transition analysis Un attacco è visto come una sequenza di stati a partire da uno stato iniziale non compromesso fino ad uno stato finale compromesso attraverso una serie di stati intermedi passando da uno stato all'altro attraverso transizioni di stato I possibili attacchi possono essere rappresentati come un grafo Tutti i possibili percorsi sul grafo sono analizzati, non solo le sequenze di azioni note 43
44 Esempio STAT Esempio: un processo ha ottenuto privilegi di root; come li ha ottenuti? Possibile attacco: setuid to root shell ln target./ s s 44
45 Esempio Note: Le condizioni devono essere rispettate quando il sistema entra negli stati s1 e s2 USER è l'effective UID del processo link(f1,f2) S1 exec(f1) name(f1)= -* EUID!= USER not owner(f1) = USER shell_script(f1) permitted(suid, F1) permitted(xgroup, f1) or permitted(xworld, f1) S2 n o t 45
46 Misuse detection - Vantaggi/svantaggi Vantaggi Efficace nel rilevare attacchi senza generare un numero enorme di falsi positivi Permette di identificare velocemente e affidabilmente una tecnica/tool di attacco precisa Il grado di conoscenza del sistema richiesto agli amministratori di sistema è ridotto Svantaggi Il sistema è in grado di rilevare solo attacchi già noti 46
47 Misuse detection vs anomaly detection Il problema della "knowledge base": Anomaly detection: Il sistema deve essere istruito sul comportamento normale E' compito dell'amministratore del sistema Può essere automatizzato Misuse detection Il sistema deve essere istruito sul comportamento anormale E' compito del produttore dell'ids 47
48 Misuse detection vs anomaly detection Sistemi commerciali Gran parte basati su misuse detection Integrano alcune tecniche di anomaly detection Sistemi "di ricerca" Affermano che le tecniche di anomaly detection sono superiori, perchè è possibile automatizzare la fase di training 48
49 Oltre gli host-based IDS: DIDS Nè i sistemi network-based nè i sistemi host-based sono sufficienti per rilevare alcuni attacchi uso di ssh in vari sistemi utilizzando diversi account name; NIDS può rilevare l'attacco, HIDS no uso di ssh con login senza password; HIDS può rilevare l'attaco, NIDS no Distributed IDS raccolgono informazioni da diverse sorgenti e cercano di correlare i dati Esempio: Un attaccante entra in un sistema A come Alice L'attaccante passa al sistema B come Bob HIDS non può correlare questi attacchi 49
50 Caratteristiche di un buon IDS Non deve essere una "scatola nera" Il suo funzionamento interno deve essere analizzabile dall'esterno Deve essere fault-tolerant Deve essere in grado di resistere ai guasti, senza che sia necessario ristabilire la sua knowledge base Deve resistere alle manomissioni Deve essere in grado di monitorare se stesso in modo da verificare che non sia stato modificato 50
51 Caratteristiche di un buon IDS Deve imporre un overhead minimo sul sistema target Un IDS che rallenta troppo il funzionamento di un computer o di una rete non verrà tollerato dagli utenti Deve essere possibile customizzare il suo comportamento in base al sistema target Ogni sistema ha un pattern di utilizzazione differente Deve essere in grado di adattare il proprio comportamento ad un sistema target in evoluzione Il profilo del sistema target può cambiare durante gli anni (nuove applicazioni aggiunte, etc.) 51
52 Come funziona un HIDS Host Based IDS Generalmente, monitora i log di sistema Controllano file ed eseguibili chiave del sistema attraverso checksum e informano di cambiamente inattesi Alcuni prodotti controllano l'attività sulle porte di rete e avvisano l'amministratore quando porte specifiche vengono accedute Possono utilizzare espressioni regolari molto potenti per definire signature 52
53 IDS Aspetti da considerare Quando si utilizza un IDS, è necessario considerare i seguenti aspetti: L integrità del software che si utilizza per rilevare le intrusioni il controllo dei comportamenti degli host connessi in rete e della rete stessa le forme fisiche di intrusione nei sistemi 53
54 IDS Integrità del software Regola da seguire: Quando si cercano segni di intrusione sui propri sistemi, si dovrebbe utilizzare un insieme di software verificato contenente solo copie sicure non modificate Software da considerare: Software IDS Sistema operativo kernel librerie di sistema file di dati e di configurazione utility di sistema da cui dipende l'ids 54
55 IDS Integrità del software Aspetti da tenere in considerazione: Si dovrebbe evitare di fare affidamento sul software del sistema che viene analizzato La rilevazione delle intrusioni dipende molto dall affidabilità delle informazioni che si raccolgono sullo stato e sul comportamento dei sistemi Esempi: programma rootkit ( sostituire il comando ps su un sistema UNIX con uno che non visualizza il processo dell attaccante modifica dei file log per eliminare tracce Mascherando la loro presenza, gli attaccanti prolungano il periodo che hanno a disposizione per usare quel sistema per i loro scopi eventualmente anche per molti mesi 55
56 IDS Cinque modi per assicurare l integrità Spostamento fisico del disco: Si sposti il disco dal sistema sospettato ad un sistema protetto e si esamini il contenuto usando il software del secondo sistema Pro: il più affidabile Contro: non automatizzabile, comporta interruzione di servizio Quando usarlo: quando si ha una ragionevole certezza che un sistema è stato compromesso Note: Quando si chiude il sistema sospetto, questa azione può cancellare le prove che si stava cercando 56
57 IDS Cinque modi per assicurare l integrità Collegamento di un disco verificato Si colleghi al sistema sospetto un disco verificato, protetto da scrittura, contenente il sistema operativo e tutto il software necessario Vantaggi e svantaggi simili al metodo precedente Nota: si basa sull attendibilità dell hardware del sistema sospetto 57
58 IDS Cinque modi per assicurare l integrità Creazione di immagine del disco del sistema sospetto Vantaggi: non influenza l attività del sistema preserva la prova originale per procedimenti legali successivi Svantaggi Come creare un immagine verificata del sistema? Può richiedere hardware dedicato, su cui bisogna fare affidamento 58
59 IDS Cinque modi per assicurare l integrità Utilizzazione di strumenti esterni Si utilizza strumenti esterni (ad es. CD-ROM) che contengano un insieme verificato di strumenti software Vantaggi: Semplice da effettuare Non influenza l attività del sistema Svantaggi Si utilizza sistema operativo della macchina sospetta, il che è potenzialmente pericoloso Il CD-ROM può contenere anche il sistema operativo (Live-CD) 59
60 IDS Cinque modi per assicurare l integrità Verifica del software installato Si confronta il software sul sistema sospetto con una copia di riferimento confronto su file completi confronto su somme di controllo crittografiche Gli strumenti di controllo dovrebbero essere posti su un meccanismo esterno verificabile Stessi vantaggi/svantaggi del metodo precedente 60
61 IDS Esame del comportamento dei sistemi Aspetti da considerare: L esame dei processi è complesso, richiede tempo e molte risorse Il grado di accuratezza con cui si riescono ad individuare comportamenti sospetti dipende dalla conoscenza del comportamento dei processi che ci si aspetta di eseguire Elementi da ricercare: processi mancanti processi extra processi con un identificazione utente insolita 61
62 IDS Esame del comportamento dei sistemi Elementi da ricercare Processi attivi in orari imprevisti Processi che terminano prematuramente Processi che consumano troppe risorse Attacchi DoS, sniffer E formattato insolitamente nel nome e negli argomenti Es: /sshd invece di /usr/sbin/sshd processi che compaiono in un numero insolitamente elevato 62
63 IDS Notifiche agli utenti Informare gli utenti Gli utenti di un sistema devono essere informati dello scopo e dei tipi di controlli che si eseguiranno le conseguenze di un comportamento non autorizzato Metodo comune: presentazione di un messaggio a video Esempio: Chiunque utilizzi questo sistema consente espressamente tale controllo ed è avvisato che se il controllo rivelerà possibili prove di attività criminose, il personale del sistema lo comunicherà alle autorità competenti 63
64 Sistemi IDS esistenti Ricerca su IDS EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances) STAT (State Transition Analysis Tool) Altri (solo alcuni esempi) AID (Adaptive Intrusion Detection system) ASAX (Advanced Security audit trail Analysis on unix Autonomous Agents for Intrusion Detection GASSATA (Genetic Alg. for Simplified Security Audit Trail Analysis) 64
65 Sistemi IDS esistenti HOST IDS Commerciali e OpenSource Generici: ISS RealSecure Server Sensor. Controllo del file system: Tripwire, AIDE Controllo delle connessioni di rete di un host: BlackICE, PortSentry Controllo dei log file di un host: LogSentry, Swatch 65
66 Emerald Event Monitoring Enabling Response to Anomalous Live Disturbance (!) Sviluppato da SRI International Parte dall'esperienza accumulata nei prodotti di ricerca IDES/NIDES Caratteristiche Fully-distributed: basato su Application-Host-Network Basato su una struttura gerarchica Una rete è suddivisa in un insieme di domini, ognuno dei quali contiene uno o più servizi "Divide and conquer" 66
67 Emerald Tre livelli di analisi Monitor di servizio Effettuano intrusion detection per componenti individuali e servizi di rete all'interno di un dominio Analisi statistica e di signature locale Monitor di dominio Integrano l'informazione all'interno di un dominio per cercare attacchi più generali Monitor di enterprise Analisi inter-dominio Utile per attacchi di larga-scala come worm 67
68 Emerald L'architettura di ogni monitor Profiler engines (anomaly detection) Signature engines (signature analysis) Resolver component integrazione dei risultati provenienti dagli engine 68
69 STAT Basato su state-analysis (ne è il precursore) Sviluppato presso UCSB Un'intera "linea di sviluppo": USTAT Basato su host singolo Specializzato per sistemi UNIX NSTAT In grado di analizzare più host Abstraction layer che permette di astrarre qualunque tipo di evento e analizzare solo gli eventi astratti Netstat Basato su network 69
70 STAT Un sistema STAT è composto da: un preprocessore una knowledge-base, composta di fact-base rule-base inference engine decision engine Pre-processore Il preprocessore analizza i dati provenienti dai sensori e li trasforma in audit-independent trace 70
71 STAT Fact-base Contiene informazioni sugli oggetti del sistema (queste informazioni descrivono lo stato del sistema) Ad esempio: descrizione dei file critici dal punto di vista di sicurezza Rule-base Contiene informazioni sulle transizioni di stato Signature action Stati collegati Inference engine Il meccanismo di analisi che combina l'input del preprocessore alle informazioni della knowledge base 71
72 STAT Decision engine Informa l'amministratore sui risultati provenienti dall'inference engine Il tipo di informazione può assumere una delle seguenti forme: Informa l'amministratore che un attacco è riuscito Informa l'amministratore che un attaccante è riuscito a raggiungere un punto critico nel diagramma degli stati Suggerisce eventuali azioni di risposta Osserva un ruolo attivo nel rispondere 72
73 ISS RealSecure Real-time IDS con architettura basata su tre componenti: Administrator module console di gestione in grado di monitorare qualunque numero di host Windows-Unix Host-based recognition engine installato su ogni macchina da monitorare analizza i log e determina se un attacco ha avuto successo reagisce terminando account "uccidendo" processi avvisando l'amministratore (paging/sms) 73
74 ISS RealSecure Real-time IDS con architettura basata su tre componenti: Network-based recognition engine viene eseguito su macchina separata signature-based in caso di attacco, può reagire terminando la connessione registrando la connessione (forensics) avvisando l'amministratore (paging/sms) riconfigurando i firewall con azioni definite dall'amministratore 74
75 Tripwire Tool di analisi del file system Versioni Commerciali: Windows, Linux/UNIX Open-source: Linux/Unix Calcola checksum crittografici di un file system Deve essere inizializzato in modo "sicuro" (prima di connettere la macchina alla rete) Si crea un database di checksum Periodicamente, i checksum vengono verificati Ogni modifica viene rilevata 75
76 Tripwire Windows File modificato 76
77 Security incident response Security Incident Response Team (SIRT) L'insieme di persone responsabili per l'individuazione e la reazione ad un incidente di sicurezza Sostanzialmente, una caserma di pompieri... Attività di un SIRT Individuare rapidamente gli incidenti Minimizzare e contenere le perdite Ripristinare i servizi colpiti Intraprendere opportune azioni legali (e.g., in collaborazione con polizia postale) Mitigare i punti deboli che sono stati sfruttati 77
78 SIRT: Procedure Elementi generali per stabilire una procedura di risposta agli incidenti Obiettivi e applicabilità Definizione del concetto di "incidente di sicurezza" relativamente alla propria organizzazione Struttura organizzativa ruoli, responsabilità, livelli di autorità "Severity ratings" o prioritizzazione Misure di performance e di costo Raccolta di informazioni 78
79 SIRT: Comunicazione Gestire la comunicazione con entità esterne all'organizzazione Media Terze parti Polizia postale Produttore Software Organizzazione ISP dell' organizz. Altri SIRT CERT ISP attaccante 79
80 SIRT: Modelli Architettura Staff Centralizzato Personale interno organizzazioni piccole ridotta estens. geografica Distribuito gerarchico organizzazioni grandi e geografic. distribuite Parzialmente in outsorcing Totalmente in outsorcing SIRT centrale con autorità sui SIRT locali Organizzazione Distribuito Collaborazione senza autorità SIRT Security Team 80
81 SIRT: Modelli Parametri da considerare: In caso di outsorcing: Necessità di supporto 24/7 Divisione delle responsabilità Full-time vs tempo parziale Informazioni sensibili rivelate all'esterno Morale del team Costo Esperienza dello staff Mancanza di conoscenze dipendenti dall'organizzazione Gestione degli incidenti presso locazioni multiple 81
82 SIRT: Servizi La risposta alle intrusioni non è l'unico servizio offerto da un SIRT Filtro e distribuzione di avvisi di sicurezza Valutazione delle vulnerabilità Intrusion detection Educazione Aggiornamento continuo Gestione degli update 82
83 Security incident response Il ciclo di vita dell'incident response Preparazione Detection e analisi Contenimento e recovery Analisi postincidente Analisi incidenti terze parti Report incidenti 83
84 Preparazione Jump kit Un insieme di elementi hw, sw ed informazioni utili per effettuare incident response Ad esempio workstation, software e dispositivi di backup x computer forensics portatili x packet sniffing, doc. floppy e CD con versioni trusted del sw doc. su porte usate da trojan, worm, etc. diagrammi di rete informazioni sulla normale attività di rete hash crittografico dei file principali 84
85 Preparazione Auditing La produzione di log, un elenco sequenziale di eventi significativi, corredati con annotazioni temporali E' una componente fondamentale della preparazione E' necessario configurare gli host al fine di raccogliere informazioni utili (IDS) Quali eventi Tentativi di accesso agli account del sistema Tentativi di accesso non autorizzato a file Utilizzazione di protocolli,... 85
86 Auditing - Alcuni dettagli Linux Due meccanismi: syslogd e klogd Una directory con i file di log: /var/log messages, syslog, kernlog,... Un file di configurazione E' possibile Separare in maniera più fine gli eventi Spedire gli eventi ad una macchina remota Configurare dimensione massima dei file di log... 86
87 Auditing - Alcuni dettagli Windows "Normalmente" il logging è disabilitato E' possibile configurare l'auditing tramite "Impostazioni locali di sicurezza" quali eventi monitorare dimensione massima dei file di log etc. 87
88 Auditing - Alcuni dettagli Cosa farà un hacker? In caso di compromissione di root: Cercherà di rimuovere le proprie tracce Come? Eliminando righe dai file di log Come difendersi? Utilizzando un meccanismo di log che si appoggi a nodi esterni Cercando le tracce dell'eliminazione dei log stessi 88
89 Analisi Attività necessarie per l'analisi Confrontare l'attuale comportamento del sistema con il normale comportamento Utilizzare un punto centrale di raccolta audit log Eseguire "event correlation" Sincronizzare gli orologi dei vari elementi coinvolti Utilizzare packet sniffer per ottenere dati addizionali Creare una "matrice di diagnosi" per il personale con meno esperienza Mantenere una "knowledge base", utilizzare Internet 89
90 Analisi Prioritizzazione E' il secondo passo dell'analisi Consiste nel valutare la gravità di precursori/indicatori La rapidità della risposta dipende dalla priorità Come valutare: Dal punto di vista tecnico: situazione attuale e potenziale Dal punto di vista organizzativo: criticalità delle risorse coinvolte Matrice di priorità Alto Basso Alto 1 2 Basso
91 Contenimento Perchè "contenere"? Un incidente può crescere in gravità se non viene contenuto per tempo Strategie di contenimento Differiscono a seconda del tipo di attacco subito DoS, Worm, hacker intrusion, etc. Devono essere decise in anticipo E' possibile associarle alla matrice di priorità vista prima 91
92 Contenimento Criteri per la selezione di una strategia di contenimento Danni potenziali e furto di risorse Necessità di conservare le prove Disponibilità del servizio Tempo e risorse necessarie per implementare la strategia Efficacia (contenimento parziale, totale) Durata della soluzione 92
93 Contenimento Raccolta delle prove Può essere necessario ritardare il contenimento per raccogliere ulteriori prove Attenta valutazione dei rischi Valutazione dal punto di vista legale Azioni dopo il contenimento - e.g. interrompere la rete Non è sempre necessaria Molti attacchi non meritano un tentativo di risolvere la cosa legalmente La raccolta delle prove è un attività rischiosa Può distruggere le prove stesse 93
94 Contenimento Alcuni dettagli Necessità di catturare informazioni "volatili" (RAM) Esempio: connessioni, processi in esecuzione Ancora una volta, potenzialmente rischioso Il gestore dell'incidente può essere notato Richiede l'esecuzione di software sicuro Necessità di preservare l'immagine dell'hard disk Non un semplice backup Software per computer forensics permettono di realizzare immagini del file system permettono di analizzare in profondità le immagini 94
95 Sanitization Cosa succede al termine del ciclo di vita di un computer (e del suo hard disk?) Distruzione fisica, nei rifiuti, rivenduto o donato ad altri I dati personali contenuti all'interno dell'hard disk costituiscono un rischio per la privacy Aneddoto: United States Veterans Medical Center Cosa si può fare? Sanitization: L'operazione di eliminazione dei dati contenuti 95
96 Sanitization Quali tecniche utilizzare? Cancellazione dei file Formattazione rapida / completa Wiping con byte 0 indicazioni DoD Guttman's erase pattern Degauss Distruzione fisica incenerimento, fusione,... Totalmente inefficaci Efficaci, richiedono tool appositi Distruttive 96
97 Sanitization (e Forensics!) Tool per sanitization: Alcuni tool per forensics CyberScrub The Coroner's Toolkit Wipe commer., Windows, full wipe o singoli file open-source, Linux, full wipe o singoli file open-source, UNIX Norton Utilities commerc., Windows Autoclave open-source, per PC, floppy-based, full wipe 97
98 Per concludere... Sicurezza nei sistemi operativi: Pochi principi fondamentali Privilegio minimo Separazione politica da meccanismi Necessità di meccanismi di autenticazione forti Tanti dettagli... Qual'è il meccanismo che viene utilizzato per implementare una particolare politica di sicurezza? E' un meccanismo sicuro? 98
di prevenzione (ad es. controllo accesso, crittografia) di rilevazione di tolleranza
Meccanismi per la Gestione degli Attacchi di prevenzione (ad es. controllo accesso, crittografia) di rilevazione di tolleranza Rollback recovery Rollforward recovery Intrusion Detection Intrusion Detection
DettagliIntrusion Detection System
Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo
DettagliIDS: Intrusion detection systems
IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo
DettagliSICUREZZA. Sistemi Operativi. Sicurezza
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
DettagliSistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
DettagliArchitetture e strumenti per la sicurezza informatica
Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti
DettagliAgenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.
Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri. Roma, 25 ottobre 2010 Ing. Antonio Salomè Ing. Luca Lezzerini
DettagliIdentità e autenticazione
Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliCon il termine Sistema operativo si fa riferimento all insieme dei moduli software di un sistema di elaborazione dati dedicati alla sua gestione.
Con il termine Sistema operativo si fa riferimento all insieme dei moduli software di un sistema di elaborazione dati dedicati alla sua gestione. Compito fondamentale di un S.O. è infatti la gestione dell
DettagliIl Sistema Operativo
Il Sistema Operativo Il Sistema Operativo Il Sistema Operativo (S.O.) è un insieme di programmi interagenti che consente agli utenti e ai programmi applicativi di utilizzare al meglio le risorse del Sistema
DettagliMService La soluzione per ottimizzare le prestazioni dell impianto
MService La soluzione per ottimizzare le prestazioni dell impianto Il segreto del successo di un azienda sta nel tenere sotto controllo lo stato di salute delle apparecchiature degli impianti. Dati industriali
DettagliMac Application Manager 1.3 (SOLO PER TIGER)
Mac Application Manager 1.3 (SOLO PER TIGER) MacApplicationManager ha lo scopo di raccogliere in maniera centralizzata le informazioni piu salienti dei nostri Mac in rete e di associare a ciascun Mac i
DettagliProtezione della propria rete
Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione
DettagliIl Software. Il software del PC. Il BIOS
Il Software Il software del PC Il computer ha grandi potenzialità ma non può funzionare senza il software. Il software essenziale per fare funzionare il PC può essere diviso nelle seguenti componenti:
DettagliAltre misure di sicurezza
Altre misure di sicurezza Prevenzione dei danni e backup Ombretta Pinazza Altre misure di sicurezza Prevenzione dei danni e backup : Strumenti di protezione hardware Sistemi anti intrusione Backup: supporti
DettagliSistema Operativo. Fondamenti di Informatica 1. Il Sistema Operativo
Sistema Operativo Fondamenti di Informatica 1 Il Sistema Operativo Il Sistema Operativo (S.O.) è un insieme di programmi interagenti che consente agli utenti e ai programmi applicativi di utilizzare al
DettagliIndice generale. OOA Analisi Orientata agli Oggetti. Introduzione. Analisi
Indice generale OOA Analisi Orientata agli Oggetti Introduzione Analisi Metodi d' analisi Analisi funzionale Analisi del flusso dei dati Analisi delle informazioni Analisi Orientata agli Oggetti (OOA)
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliIl Sistema Operativo (1)
E il software fondamentale del computer, gestisce tutto il suo funzionamento e crea un interfaccia con l utente. Le sue funzioni principali sono: Il Sistema Operativo (1) La gestione dell unità centrale
DettagliTITLE Sistemi Operativi 1
TITLE Sistemi Operativi 1 Cos'è un sistema operativo Definizione: Un sistema operativo è un programma che controlla l'esecuzione di programmi applicativi e agisce come interfaccia tra le applicazioni e
DettagliSoftware di base. Corso di Fondamenti di Informatica
Dipartimento di Informatica e Sistemistica Antonio Ruberti Sapienza Università di Roma Software di base Corso di Fondamenti di Informatica Laurea in Ingegneria Informatica (Canale di Ingegneria delle Reti
DettagliGHPPEditor è un software realizzato per produrre in modo rapido e guidato un part program per controlli numerici Heidenhain.
*+33(GLWRU GHPPEditor è un software realizzato per produrre in modo rapido e guidato un part program per controlli numerici Heidenhain. Il programma si basa su un architettura di tasti funzionali presenti
DettagliDomande frequenti su Phoenix FailSafe
Domande frequenti su Phoenix FailSafe Phoenix Technologies Ltd, leader riconosciuto per la produzione di piattaforme software, strumenti e applicazioni per sistemi strategici di livello mondiale, introduce
DettagliGuida di Pro PC Secure
1) SOMMARIO 2) ISTRUZIONI DI BASE 3) CONFIGURAZIONE 4) INFORMAZIONI AGGIUNTIVE 1) SOMMARIO Guida di Pro PC Secure Pro PC Secure è un programma che si occupa della protezione dagli attacchi provenienti
DettagliChe cosa è un VIRUS?
Virus & Antivirus Virus Nella sicurezza informatica un virus è un software, appartenente alla categoria dei malware, che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo
DettagliSicurezza dei sistemi e delle reti Introduzione
Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.
DettagliANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48
ANALISI FORENSE irecovery_analisi_forence.indd 1 21/01/14 17:48 COSA è L informatica forense è la scienza che studia l individuazione, la conservazione, la protezione, l estrazione, la documentazione,
DettagliCapire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.
LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright
DettagliFirewall applicativo per la protezione di portali intranet/extranet
Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)
DettagliIncident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Incident Management Obiettivi Obiettivo dell Incident Management e di ripristinare le normali operazioni di servizio nel piu breve tempo possibbile e con il minimo impatto sul business, garantendo il mantenimento
DettagliProblem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli
DettagliNOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0
Prodotto Inaz Download Manager Release 1.3.0 Tipo release COMPLETA RIEPILOGO ARGOMENTI 1. Introduzione... 2 2. Architettura... 3 3. Configurazione... 4 3.1 Parametri di connessione a Internet... 4 3.2
Dettagli11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0
11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0 PAG. 2 DI 38 INDICE 1. PREMESSA 3 2. SCARICO DEL SOFTWARE 4 2.1 AMBIENTE WINDOWS 5 2.2 AMBIENTE MACINTOSH 6 2.3 AMBIENTE
DettagliAutomazione Industriale (scheduling+mms) scheduling+mms. adacher@dia.uniroma3.it
Automazione Industriale (scheduling+mms) scheduling+mms adacher@dia.uniroma3.it Introduzione Sistemi e Modelli Lo studio e l analisi di sistemi tramite una rappresentazione astratta o una sua formalizzazione
DettagliMODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it
MODELLO CLIENT/SERVER Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it POSSIBILI STRUTTURE DEL SISTEMA INFORMATIVO La struttura di un sistema informativo
DettagliIl software impiegato su un computer si distingue in: Sistema Operativo Compilatori per produrre programmi
Il Software Il software impiegato su un computer si distingue in: Software di sistema Sistema Operativo Compilatori per produrre programmi Software applicativo Elaborazione testi Fogli elettronici Basi
DettagliSistemi Operativi GESTIONE DELLA MEMORIA SECONDARIA. D. Talia - UNICAL. Sistemi Operativi 11.1
GESTIONE DELLA MEMORIA SECONDARIA 11.1 Memoria Secondaria Struttura del disco Scheduling del disco Gestione del disco Gestione dello spazio di swap Struttura RAID Affidabilità Implementazione della memoria
DettagliSistemi Operativi. Memoria Secondaria GESTIONE DELLA MEMORIA SECONDARIA. Struttura del disco. Scheduling del disco. Gestione del disco
GESTIONE DELLA MEMORIA SECONDARIA 11.1 Memoria Secondaria Struttura del disco Scheduling del disco Gestione del disco Gestione dello spazio di swap Struttura RAID Affidabilità Implementazione della memoria
DettagliServizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi
Servizi di Sicurezza Informatica Antivirus Centralizzato per Intranet CEI-Diocesi Messina, Settembre 2005 Indice degli argomenti 1 Antivirus Centralizzato...3 1.1 Descrizione del servizio...3 1.2 Architettura...4
DettagliInstallazione LINUX 10.0
Installazione LINUX 10.0 1 Principali passi Prima di iniziare con l'installazione è necessario entrare nel menu di configurazione del PC (F2 durante lo start-up) e selezionare nel menu di set-up il boot
DettagliCorso di Amministrazione di Reti A.A. 2002/2003
Struttura di Active Directory Corso di Amministrazione di Reti A.A. 2002/2003 Materiale preparato utilizzando dove possibile materiale AIPA http://www.aipa.it/attivita[2/formazione[6/corsi[2/materiali/reti%20di%20calcolatori/welcome.htm
DettagliModulo Antivirus per Petra 3.3. Guida Utente
Modulo Antivirus per Petra 3.3 Guida Utente Modulo Antivirus per Petra 3.3: Guida Utente Copyright 1996, 2005 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata,
DettagliProgramma applicativo di protezione LOCK Manuale per l utente V2.22-T05
Programma applicativo di protezione LOCK Manuale per l utente V2.22-T05 Sommario A. Introduzione... 2 B. Descrizione generale... 2 C. Caratteristiche... 3 D. Prima di utilizzare il programma applicativo
DettagliLe Infrastrutture Software ed il Sistema Operativo
Le Infrastrutture Software ed il Sistema Operativo Corso di Informatica CdL: Chimica Claudia d'amato claudia.damato@di.uniba.it Il Sistema Operativo (S0) (Inf.) E' l'insieme dei programmi che consentono
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Introduzione In questa mini-guida illustreremo come realizzare un collegamento tramite VPN(Virtual Private Network) tra due FRITZ!Box, in modo da mettere in comunicazioni
DettagliSistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL
STRUTTURA DEI SISTEMI OPERATIVI 3.1 Struttura dei Componenti Servizi di un sistema operativo System Call Programmi di sistema Struttura del sistema operativo Macchine virtuali Progettazione e Realizzazione
DettagliSoftware di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche
Software di sistema e software applicativo I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche Software soft ware soffice componente è la parte logica
DettagliSoluzione dell esercizio del 2 Febbraio 2004
Soluzione dell esercizio del 2 Febbraio 2004 1. Casi d uso I casi d uso sono riportati in Figura 1. Figura 1: Diagramma dei casi d uso. E evidenziato un sotto caso di uso. 2. Modello concettuale Osserviamo
DettagliConsole di Monitoraggio Centralizzata
BackupAssist Console di Monitoraggio Centralizzata Cos'è il monitoraggio centralizzato?... 2 Esempi di report e schermate... 3 Quali report sono inviati tramite email? Quali sono visualizzati su Web?...
DettagliI dati : patrimonio aziendale da proteggere
Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza
DettagliSistemi Operativi MECCANISMI E POLITICHE DI PROTEZIONE. D. Talia - UNICAL. Sistemi Operativi 13.1
MECCANISMI E POLITICHE DI PROTEZIONE 13.1 Protezione Obiettivi della Protezione Dominio di Protezione Matrice di Accesso Implementazione della Matrice di Accesso Revoca dei Diritti di Accesso Sistemi basati
DettagliMECCANISMI E POLITICHE DI PROTEZIONE 13.1
MECCANISMI E POLITICHE DI PROTEZIONE 13.1 Protezione Obiettivi della Protezione Dominio di Protezione Matrice di Accesso Implementazione della Matrice di Accesso Revoca dei Diritti di Accesso Sistemi basati
DettagliAcronis License Server. Manuale utente
Acronis License Server Manuale utente INDICE 1. INTRODUZIONE... 3 1.1 Panoramica... 3 1.2 Politica della licenza... 3 2. SISTEMI OPERATIVI SUPPORTATI... 4 3. INSTALLAZIONE DI ACRONIS LICENSE SERVER...
DettagliDispensa di Informatica I.1
IL COMPUTER: CONCETTI GENERALI Il Computer (o elaboratore) è un insieme di dispositivi di diversa natura in grado di acquisire dall'esterno dati e algoritmi e produrre in uscita i risultati dell'elaborazione.
DettagliManuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise
Manuale Amministratore Legalmail Enterprise Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise Pagina 2 di 16 Manuale Amministratore Legalmail Enterprise Introduzione a Legalmail Enterprise...3
DettagliDistribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"
Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite" I dispositivi utilizzati si occupano di redistribuire la connettività nelle camere o in altri spazi prestabiliti
DettagliInstallazione di Sophos Antivirus 5.1 su piattaforma Windows XP
Servizio Calcolo e Reti 1 Febbraio 2006 Installazione di Sophos Antivirus 5.1 su piattaforma Windows XP A. Rappoldi 1 Premessa La presente guida descrive in modo conciso le fasi essenziali necessarie per
DettagliGestione Turni. Introduzione
Gestione Turni Introduzione La gestione dei turni di lavoro si rende necessaria quando, per garantire la continuità del servizio di una determinata struttura, è necessario che tutto il personale afferente
DettagliServizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti
20120300 INDICE 1. Introduzione... 3 2. Consultazione... 4 2.1 Consultazione Server Fidati... 4 2.2 Consultazione Servizi Client... 5 2.3 Consultazione Stato richieste... 5 3. Amministrazione... 6 3.1
DettagliGestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)
Contromisure Contromisure Gestione degli accessi al sistema(autenticazione) e ai locali Antivirus Analisi del traffico di rete (Firewall, IDS/IPS) Analisi utilizzo delle risorse di sistema, accessi (IDS/IPS)
DettagliWindows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza
Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.
DettagliSi applica a: Windows Server 2008
Questo argomento non è stato ancora valutato Si applica a: Windows Server 2008 Protezione accesso alla rete è una tecnologia per la creazione, l'imposizione, il monitoraggio e l'aggiornamento dei criteri
DettagliSTRUTTURE DEI SISTEMI DI CALCOLO
STRUTTURE DEI SISTEMI DI CALCOLO 2.1 Strutture dei sistemi di calcolo Funzionamento Struttura dell I/O Struttura della memoria Gerarchia delle memorie Protezione Hardware Architettura di un generico sistema
Dettaglilem logic enterprise manager
logic enterprise manager lem lem Logic Enterprise Manager Grazie all esperienza decennale in sistemi gestionali, Logic offre una soluzione modulare altamente configurabile pensata per la gestione delle
DettagliSistemi Operativi. Interfaccia del File System FILE SYSTEM : INTERFACCIA. Concetto di File. Metodi di Accesso. Struttura delle Directory
FILE SYSTEM : INTERFACCIA 8.1 Interfaccia del File System Concetto di File Metodi di Accesso Struttura delle Directory Montaggio del File System Condivisione di File Protezione 8.2 Concetto di File File
DettagliServizio on-line di Analisi e Refertazione Elettrocardiografica
Servizio on-line di Analisi e Refertazione Elettrocardiografica Guida utente Scopo del servizio... 2 Prerequisiti hardware e software... 3 Accesso all applicazione... 4 Modifica della password... 7 Struttura
DettagliLA GESTIONE DELLE VISITE CLIENTI VIA WEB
LA GESTIONE DELLE VISITE CLIENTI VIA WEB L applicazione realizzata ha lo scopo di consentire agli agenti l inserimento via web dei dati relativi alle visite effettuate alla clientela. I requisiti informatici
DettagliA intervalli regolari ogni router manda la sua tabella a tutti i vicini, e riceve quelle dei vicini.
Algoritmi di routing dinamici (pag.89) UdA2_L5 Nelle moderne reti si usano algoritmi dinamici, che si adattano automaticamente ai cambiamenti della rete. Questi algoritmi non sono eseguiti solo all'avvio
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliNetwork Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale
Network Monitoring & Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale Nicholas Pocher Poker SpA - Settimo Torinese, Novembre 2013 1 Indice Il Network Monitoring:
DettagliSicurezza Reti: Problematiche
Problematiche LA SICUREZZA DELLE RETI: LE VULNERABILITA' 27 marzo 2007 Fondazione Ordine degli Ingegneri di Milano Corso Venezia Relatore Ing. Sommaruga Andrea Guido presentazione realizzata con OpenOffice
DettagliSistemi Operativi IMPLEMENTAZIONE DEL FILE SYSTEM. D. Talia - UNICAL. Sistemi Operativi 9.1
IMPLEMENTAZIONE DEL FILE SYSTEM 9.1 Implementazione del File System Struttura del File System Implementazione Implementazione delle Directory Metodi di Allocazione Gestione dello spazio libero Efficienza
DettagliInizializzazione degli Host. BOOTP e DHCP
BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un
DettagliIL SERVIZIO DI POSTA ELETTRONICA
IL SERVIZIO DI POSTA ELETTRONICA Premessa Il servizio di posta elettronica della RUN, entrato in esercizio nel novembre del 1999, si è, in questi anni, notevolmente incrementato a causa di: aumento nell
DettagliAirone Gestione Rifiuti Funzioni di Esportazione e Importazione
Airone Gestione Rifiuti Funzioni di Esportazione e Importazione Airone Funzioni di Esportazione Importazione 1 Indice AIRONE GESTIONE RIFIUTI... 1 FUNZIONI DI ESPORTAZIONE E IMPORTAZIONE... 1 INDICE...
DettagliI MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale
La soluzione modulare di gestione del Sistema Qualità Aziendale I MODULI Q.A.T. - Gestione clienti / fornitori - Gestione strumenti di misura - Gestione verifiche ispettive - Gestione documentazione del
DettagliProtezione. Protezione. Protezione. Obiettivi della protezione
Protezione Protezione La protezione riguarda i meccanismi per il controllo dell accesso alle risorse in un sistema di calcolo da parte degli utenti e dei processi. Meccanismi di imposizione fissati in
DettagliSoluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG
Soluzioni per archiviazione sicura di log di accesso server Windows PrivacyLOG Perché mi devo occupare di questo problema? Il provvedimento del Garante Privacy - 27 novembre 2008 ("Misure e accorgimenti
DettagliInstallazione di GFI Network Server Monitor
Installazione di GFI Network Server Monitor Requisiti di Sistema Le macchine che eseguono GFI Network Server Monitor richiedono: I sistemi operativi Windows 2000 (SP4 o superiore), 2003 o XP Pro. Windows
DettagliInstallazione di GFI Network Server Monitor
Installazione di GFI Network Server Monitor Requisiti di sistema I computer che eseguono GFI Network Server Monitor richiedono: i sistemi operativi Windows 2000 (SP4 o superiore), 2003 o XP Pro Windows
DettagliGestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy
Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 1
DettagliApprofondimenti. Contenuti
Approfondimenti dott. Stefano D. Fratepietro steve@stevelab.net C I R S F I D Università degli studi di Bologna stevelab.net Creative Commons license Stefano Fratepietro - www.stevelab.net 1 Contenuti
DettagliFirewall, Proxy e VPN. L' accesso sicuro da e verso Internet
L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico
DettagliSistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano
Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano Sistemi di Antivirus CEFRIEL Politecnico di Milano Antivirus I sistemi di antivirus sono dei software che
DettagliGUARINI PATRIMONIO CULTURALE VERSIONE MSDE/SQL SERVER MANUALE DI INSTALLAZIONE GUARINI PATRIMONIO CULTURALE VERSIONE MSDE/SQL SERVER
MANUALE DI INSTALLAZIONE GUARINI PATRIMONIO CULTURALE SOMMARIO 1. Installazione guarini patrimonio culturale MSDE... 3 1.1 INSTALLAZIONE MOTORE MSDE...4 1.2 INSTALLAZIONE DATABASE GUARINI PATRIMONIO CULTURALE
DettagliPSNET UC RUPAR PIEMONTE MANUALE OPERATIVO
Pag. 1 di 17 VERIFICHE E APPROVAZIONI VERSIONE V01 REDAZIONE CONTROLLO APPROVAZIONE AUTORIZZAZIONE EMISSIONE NOME DATA NOME DATA NOME DATA PRATESI STATO DELLE VARIAZIONI VERSIONE PARAGRAFO O DESCRIZIONE
DettagliUtilizzare Event Viewer
Utilizzare Event Viewer Visualizzare lo storico di tutti gli eventi della macchina 1s 2s 1. Cenni Generali 1.1. Cos è Event Viewer Event Viewer (Visualizzatore di eventi) è un tool molto utile di amministrazione
DettagliFile system II. Sistemi Operativi Lez. 20
File system II Sistemi Operativi Lez. 20 Gestione spazi su disco Esiste un trade-off,tra spreco dello spazio e velocità di trasferimento in base alla dimensione del blocco fisico Gestione spazio su disco
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliLaCie Ethernet Disk mini Domande frequenti (FAQ)
LaCie Ethernet Disk mini Domande frequenti (FAQ) Installazione Che cosa occorre fare per installare l unità LaCie Ethernet Disk mini? A. Collegare il cavo Ethernet alla porta LAN sul retro dell unità LaCie
DettagliIstruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)
Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito) Le seguenti istruzioni sono relative all installazione di IBM SPSS Modeler Text Analytics versione 15 mediante un licenza
DettagliProgetto NoiPA per la gestione giuridicoeconomica del personale delle Aziende e degli Enti del Servizio Sanitario della Regione Lazio
Progetto NoiPA per la gestione giuridicoeconomica del personale delle Aziende e degli Enti del Servizio Sanitario della Regione Lazio Pillola operativa Integrazione Generazione Dettagli Contabili INFORMAZIONI
DettagliOnline Help StruxureWare Data Center Expert
Online Help StruxureWare Data Center Expert Version 7.2.7 StruxureWare Data Center ExpertDispositivo virtuale Il server StruxureWare Data Center Expert 7.2 è disponibile come dispositivo virtuale, supportato
DettagliSCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow
SCHEDA PRODOTTO PAG. 1 J O B T I M E W F Variazioni mensili al cartellino presenze Versione 6.1 SCHEDA PRODOTTO PAG. 2 INTRODUZIONE Il mercato degli applicativi informatici si sta consolidando sempre più
DettagliSicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall
I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della
DettagliLa manutenzione come elemento di garanzia della sicurezza di macchine e impianti
La manutenzione come elemento di garanzia della sicurezza di macchine e impianti Alessandro Mazzeranghi, Rossano Rossetti MECQ S.r.l. Quanto è importante la manutenzione negli ambienti di lavoro? E cosa
DettagliCiclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto
DettagliLa gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)
La gestione di un calcolatore Sistemi Operativi primo modulo Introduzione Augusto Celentano Università Ca Foscari Venezia Corso di Laurea in Informatica Un calcolatore (sistema di elaborazione) è un sistema
Dettagli