I servizi di rete. L internet superserver. Il web server Apache. Introduzione alla posta elettronica. Condivisione dischi (nfs, samba)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "I servizi di rete. L internet superserver. Il web server Apache. Introduzione alla posta elettronica. Condivisione dischi (nfs, samba)"

Transcript

1 I servizi di rete L internet superserver Il web server Apache Introduzione alla posta elettronica Condivisione dischi (nfs, samba) Cenni di sicurezza

2 I servizi di rete I servizi di rete sotto Linux sono avviati con due meccanismi distinti: 1) Servizi stand-alone Vengono attivati manualmente o, più comunemente, al boot. Si occupano in maniera autonoma di attendere, accettare e servire le richieste TCP/IP a loro dirette Æ la scrittura del programma di gestione è più complessa Æ le prestazioni ottenibili sono più elevate in caso di alto traffico 2) Servizi attivati da inetd (Internet Daemon o Internet Superserver) inetd viene configurato per attendere le richieste di tutti questi servizi inetd si occupa di accettare le richieste e stabilire il canale di comunicazione Il programma di gestione viene attivato solo quando una richiesta è accettata, e dialoga con inetd via stdin/out Æ risparmio di risorse per i servizi poco trafficati Æ semplicità di scrittura del programma Æ possibilità di definire un controllo di accesso comune Æ maggior lentezza nella risposta 2

3 Inetd inetd viene solitamente lanciato al boot. Di default è configurato dal file /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d linuxconf stream tcp wait root /bin/linuxconf linuxconf http mount/1-2 dgram rpc/udp wait root /usr/sbin/rpc.mountd rpc.mountd mount/1-2 stream rpc/tcp wait root /usr/sbin/rpc.mountd rpc.mountd nfs/2 dgram rpc/udp wait root /usr/sbin/rpc.nfsd rpc.nfsd nfs/2 stream rpc/tcp wait root /usr/sbin/rpc.nfsd rpc.nfsd servizio 1 tipo di proto- opzioni 2 utente comando (porta) socket collo [.gruppo] (1) il servizio può essere un nome simbolico in /etc/services, una porta numerica, e se è RPC può specificare la versione dopo la / (2) wait può essere seguito da.<numero massimo di invocazioni in 60 secondi> 3

4 Il web server Apache Apache è il web server più utilizzato al mondo. Il software, oltre ad essere distribuito come pacchetto con RedHat, si trova sul sito che contiene anche la documentazione on-line e ogni altra informazione utile. Apache è studiato per funzionare standalone, anche se è possibile farlo lanciare da inetd: all avvio apache esegue un processo padre il padre genera un pool di processi figli in attesa di richieste HTTP, per fronteggiare con il minor ritardo possibile richieste multiple se ci si avvicina all esaurimento dei figli disponibili il padre ne genera di nuovi la scelta di quanti figli generare all avvio e di quanti tenerne di riserva è frutto del compromesso tra qualità del servizio e risorse disponibili, e va pianificata in funzione del carico previsto per il server 4

5 Il web server Apache web server accesso FS risposta HTTP richiesta HTTP browser interfaccia CGI Applicazione generica Applicazione CGI 5

6 Il web server Apache La configurazione di Apache coinvolge diversi file: /etc/httpd/conf/httpd.conf /etc/httpd/conf/srm.conf /etc/httpd/conf/access.conf /etc/httpd/conf/mime.types /etc/httpd/conf/magic Å configurazione generale del server Å configurazione dei parametri che influenzano la visibilità delle pagine web e il modo di servirle Å configurazione delle regole di controllo dell accesso Å mappe di corrispondenza tra estensione e MIME type Å mappe di corrispondenza tra magic number e MIME type 6

7 Il web server Apache httpd.conf Direttive generali Collocazione degli altri file ServerType { standalone inetd } Port <numero-porta> Listen <numero-porta> HostnameLookups { on off } ServerAdmin < > ServerName <nome> User { <utente> #n } Group { <gruppo> #n } ServerRoot <directory> ResourceConfig <config-srm> AccessConfig <config-access> ErrorLog <log-degli-errori> TransferLog <log-dei-trasferimenti> PidFile <file-pid> ScoreBoardFile <file-di-informazioni> 7

8 Il web server Apache srm.conf Collocazione delle informazioni DocumentRoot <directory-root-html> UserDir { <percorso-root-utenti> DISABLED [<utente>] } Alias <directory-fasulla> <directory-reale> ScriptAlias <directory-fasulla> <directory-reale> Modalità di presentazione DirectoryIndex <file-indice>... FancyIndexing { on off } AddIconByEncoding (<sigla>,<file-icona>) <tipo-codifica>... AddIconByType (<sigla>,<file-icona>) <tipo-mime>/<sottotipo> AddIcon <file-icona> <estensione>... DefaultIcon <file-icona> IndexIgnore <modello-da-ignorare>... HeaderName <file-readme-iniziale> ReadmeName <file-readme-finale> 8

9 Il web server Apache srm.conf Tipi di file DefaultType <MIME-type>... AddType <tipo>/<tipo> <estensione> AddEncoding <tipo-di-compressione> <estensione> AccessFileName.htaccess Controllo di accesso Gestione errori ErrorDocument <n-errore> <file-alternativo> ErrorDocument <n-errore> <url-esterno> ErrorDocument <n-errore> <messaggio> 9

10 Il web server Apache access.conf Sezione <Directory> - Es: <Directory "^/home/httpd/html/.*/[0-9]{3}"> Options Indexes FollowSymLinks </Directory> Opzioni Options None All Indexes ExecCGI FollowSymLinks SymLinksIfOwnerMatch Includes IncludesNOEXEC Eccezioni ammissibili AllowOverride None All Options Limit AuthConfig FileInfo Indexes Autorizzazione AuthName <nome> AuthType Basic AuthUserFile <file-di-utenti-e-password> AuthGroupFile <file-dei-gruppi> require user <utente>... require group <gruppo>... require valid-user Controllo di accesso order [allow,deny deny,allow mutual-failure] deny from { all <host>... } allow from { all <host>... } 10

11 Il web server Apache access.conf Sezione <Limit> - Es: <Limit GET POST> require valid-user </Limit> Sezione <Location> Le sezioni Location raccolgono le direttive di controllo per un particolare URL. Si tratta di qualcosa molto simile alla sezione Directory, con la differenza che il riferimento è fatto all'url piuttosto che alla directory del filesystem effettivo..htaccess I file.htaccess possono essere usati per definire delle configurazioni specifiche riferite alla directory in cui si trovano. Le possibilità loro concesse sono controllate attraverso la direttiva AllowOverride nel file access.conf. In linea di massima, i file.htaccess possono contenere le direttive: Options DefaultType ErrorDocument AuthName AuthType require order deny allow 11

12 htpasswd [-c] <file> <utente> Il web server Apache htpasswd htpasswd crea o aggiorna un file di utenti e password per l'autenticazione degli accessi a directory protette mediante le direttive AuthName, AuthType, AuthUserFile. L'opzione -c viene usata per creare il file la prima volta, mentre si inserisce il primo utente. La password viene richiesta subito dopo l'avvio del programma. 12

13 Posta elettronica MUA MTA POP, IMAP, mailbox mailbox mailbox SMTP MTA MTA (relay) SMTP POP, IMAP, mailbox mailbox mailbox SMTP MUA queue Applicazioni: MUA (Mail User Agent): Client (es. Eudora, Netscap , Outlook), per la composizione e la lettura dei messaggi. MTA (Mail Transport Agent): Server permanentemente connessi ad Internet, su cui risiedono le caselle postali. Protocolli: SMTP (Simple Mail Transfer Protocol), via TCP alla porta 25 POP (Post Office Protocol), ), via TCP alla porta 110 IMAP (Internet Mail Access Protocol), via TCP alla porta

14 Sendmail Il mail transport agent più diffuso in ambiente Unix è Sendmail. Poiché la posta elettronica è stato il primo servizio nato sulle reti informatiche, questo programma è cresciuto per decenni in dimensioni e complessità. Il file di configurazione /etc/sendmail.cf non è assolutamente modificabile manualmente, e viene generato da una serie di utility accessorie che permettono di affrontare modularmente le diverse sezioni. Linuxconf ne permette una configurazione di base, ma comunque assolutamente adatta alle due esigenze più comuni: 1. ricevere posta per gli utenti del server 2. agire da centro di smistamento della posta in una rete composta da più mail server amm.azienda.com mail.azienda.com mark.azienda.com rd.azienda.com 14

15 Sendmail Con che host di provenienza esce la posta DMing.unibo.it Accettare posta per il dominio? Cw ing.unibo.it Host a cui consegnare la posta locale DHmail.deis.unibo.it Host attraverso cui spedire la posta DSmail.ing.unibo.it DNsmtp Altri nomi di host per cui accettare posta Cw localhost maya.ing.unibo.it 15

16 Utenti e lettura della posta Perché un utente possa ricevere posta sul server Linux deve poter essere proprietario del file in cui sono depositati i messaggi deve poter essere riconosciuto per mezzo di username e password Æ è necessario che sia riconosciuto come utente del sistema. Può essere desiderabile che non abbia altri diritti Æ assegnazione di una shell ristretta o addirittura di /bin/false Una volta che l utente ha una mailbox (tipicamente /var/spool/mail/<username>), può leggere la posta attraverso uno dei servizi specifici MTAÆMUA (pop, imap). Il demone POP è disponibile gratuitamente ma su richiesta di Qualcomm, che lo produce, non può essere ridistribuito, quindi bisogna scaricarlo separatemente (vedere Æ qpopper-*.rpm) 16

17 Condivisione dei dischi - NFS La condivisione di dischi tra macchine Unix utilizza il sistema NFS (Network File System). La configurazione è molto semplice anche se ricca di opzioni: sul server: 1. devono essere attivi come minimo i servizi portmap, nfsd, rpc.mountd, avviati da /etc/rc.d/init.d/portmap e /etc/rc.d/init.d/nfs 2. i sottoalberi del filesystem da esportare devono essere dichiarati nel file /etc/exports / master(rw) trusty(rw,no_root_squash) /projects proj*.local.domain(rw) /pub (ro,insecure,all_squash) sul client 1. con showmount e <server> si può vedere cosa esporta il server 2. con mount t nfs <server>:<directory> <mount point> si mappa il disco remoto su di un mount point locale, esattamente come per un disco fisico Nota: l implementazione Linux di NFS permette di esportare contemporaneamente una directory e le sue sottodirectory. All atto del mount viene scelta la possibilità più specifica. 17

18 Condivisione delle risorse con PC Windows Il pacchetto Samba per Linux mette a disposizione entrambi gli strumenti necessari per comunicare in modo completo con PC in ambiente Windows: il server, che permette di condividere dischi e stampanti il client, che permette di utilizzare dischi e stampanti condivise da server Windows Il sito ufficiale è il mirror italiano è anche se probabilmente dall Università di Bologna è più veloce Viste le vocazioni di Windows e Linux, non stupisce che la parte server sia più complessa della parte client. Quest ultima, in pratica, si limita a pochi (comunque potenti) comandi: smbclient <service> <opzioni> attiva un interfaccia simile a quella di FTP verso il servizio specificato. Attraverso comandi come get, put, print, si possono trasferire file e compiere operazioni sul servizio. smbmount "\\server\tmp" -c 'mount /mnt' è in pratica una scorciatoia che utilizza smbclient per montare localmente un disco condiviso da una macchina Windows. smbtar è una seconda scorciatoia che utilizza smbclient per create backup sul server Linux di intere risorse Windows condivise. 18

19 Samba server è costituito da 2 demoni Samba server smbd è il vero e proprio server per la condivisione delle risorse nmbd è il server ausiliario per la risoluzione dei nomi NetBIOS su reti IP. Questo può non essere necessario nel caso si desideri utilizzare un altro server dei nomi sulla stessa rete. La configurazione dei due demoni è contenuta principalmente nel file etc/smb.conf. Esiste una pratica interfaccia web per la gestione di /etc/smb.conf, chiamata SWAT. Nell ultima release di samba è stata ufficialmente incorporata nel pacchetto, comunque una demo è visibile all indirizzo La configurazione di Samba è composta da una sezione contenente i parametri globali e più sezioni che definiscono le proprietà specifiche delle risorse da condividere. Global Shares Printers gestione dei nomi regole di autenticazione reti e protocolli controllo dell accesso gestione filename operazioni speciali al mount controllo dell accesso gestione della coda 19

20 Cenni di sicurezza La sicurezza per un server è un elemento di importanza cruciale. Gli elementi da considerare sono molteplici; in estrema sintesi si può dire che in un sistema sicuro a) Sono chiaramente definiti i diritti di ogni utente che può entrare in contatto col sistema b) Nessun utente può compiere operazioni che richiedono più diritti di quelli a lui assegnati tornando con i piedi per terra è prudente aggiungere che c) Devono essere rilevabili le violazioni delle regole (a) e (b) e le modalità con cui sono state effettuate I problemi di sicurezza derivano principalmente da errori di 3 tipi: 1) Debolezza concettuale di un algoritmo o protocollo Æ SYN attack 2) Errata implementazione di un algoritmo o protocollo Æ buffer overflows 3) Errata configurazione di un servizio anche se spesso l anello debole è la disciplina degli utenti 20

21 Cenni di sicurezza La serie di azioni con cui un entità cerca di forzare un sistema a compiere azioni in contrasto con le regole di sicurezza è detta attacco. Gli effetti più preoccupanti a cui può condurre un attacco sono: Denial Of Service (DOS) La funzionalità del server è temporaneamente compromessa, e gli utenti legittimi dei servizi soffrono di un disservizio. Compromissione della privacy Pur senza ottenere un accesso attivo al sistema, l attaccante riesce ad accedere ad informazioni private. Esecuzione di codice Pur senza ottenere un accesso interattivo al sistema, l attaccante è in grado di far eseguire un qualsiasi programma Compromissione di un account L attaccante riesce ad accedere al sistema a nome di un utente legittimo, e di conseguenza ne ha tutti i diritti Compromissione dell account di amministrazione L attaccante ha il controllo completo del sistema 21

22 Cenni di sicurezza Un attacco può essere condotto dall interno o dall esterno del sistema. I livelli di protezione da considerare possono essere quindi classificati in: Sicurezza fisica troppo spesso trascurata a causa del clamore suscitato dagli hacker! Per un sistema di importanza critica, non deve essere facile e veloce distruggere/rubare i dati direttamente attaccando il supporto materiale. Sicurezza degli account Un sistema ideale che però ha utenti che concedono troppi permessi sui propri dati, o scelgono password facili da indovinare, o le prestano ad amici e colleghi, è indifeso Æ crack (http:// Sicurezza del filesystem I device driver e gli eseguibili devono essere costantemente monitorati per rilevare la possibilità che siano accessibili da utenti non autorizzati o che siano stati indebitamente alterati. Grande cautela va usate quando si installano nuove applicazioni. Sicurezza dell accesso alla rete L argomento più di moda Il vero problema non sta necessariamente nella particolare insicurezza dei protocolli e dei programmi, quanto nella quantità spropositata di potenziali attaccanti. 22

23 Essenzialità dei servizi Linee guida per la sicurezza servizi di rete Tutti i servizi che non sono usati dovrebbero essere spenti. Si controllino sia i demoni standalone che i servizi abilitati in inetd. Se un servizio è usato con periodicità prevedibile lo si attivi automaticamente solo quando serve. Filtraggio A livello IP si utilizzi ipchains per verificare sorgente e destinazione di ogni pacchetto IP che raggiunge, lascia o attraversa il sistema, e scartare quelli indesiderati A livello TCP si utilizzi tcpd per verificare provenienza e formato di ogni richiesta di connessione ad inetd prima di attivare il servizio corrispondente Autenticazione La maggior parte dei servizi richiede il login dell utente, ed espone in chiaro sulla rete la password quando viene digitata. Si utilizzino per quanto possibile strumenti di autenticazione alternativi (ssh) e, dove non siano disponibili, si differenzino le password. 23

24 Strumenti per il controllo della sicurezza Strumenti per il controllo delle porte di rete (port scanner) verificano la presenza di punti di vulnerabilità accessibili via rete. Nessus - Internet Security Scanner - ftp://info.cert.org/pub/tools/iss SATAN - ftp://ftp.win.tue.nl/pub/security/ Strumenti per il rilevamento di attacchi riconoscono l uso di uno scanner Klaxon - Courtney - ftp://ciac.llnl.gov/pub/ciac/sectools/unix Strumenti per il controllo degli account e del filesystem verificano problemi di configurazione noti nelle macchine Unix, la presenza di password deboli, l integrità dei programmi e dei file di configurazione, Tripwire - Tiger - ftp://net.tamu.edu/pub/security/tamu/ COPS - ftp://ftp.cert.org/pub/tools/cops Crack - ftp://sable.ox.ac.uk/pub/comp/security/software/crackers Front-end Il CIAC distribuisce Merlin, un interfaccia grafica per l uso dei più popolari strumenti tra quelli sopra citati: 24

25 Sicurezza degli account e del filesystem Per proteggere al meglio gli account sono state adottate due evoluzioni del sistema di login: 1. shadow password Il file /etc/passwd contiene molte informazioni e deve essere leggibile da tutti Æ le password sono state spostate in un file separato (/etc/shadow) 2. Pluggable Authentication Modules È uno standard di programmazione che consente di scrivere applicazioni PAM che affidano l autenticazione degli utenti a moduli PAM intercambiabili, scelti mediante /etc/pam.d/* Per garantire un corretto accesso alle risorse di sistema è fondamentale che non vengano concessi diritti eccessivi agli utenti. Per questo è buona norma verificare periodicamente che i permessi dei file di sistema non siano stati alterati (rpm V), ed è stato adottato l uso dei gruppi privati. l utente collabora ad un progetto Æ gruppo Æ chgrp dei file e dir. del progetto i file devono essere del gruppo Æ directory sgid i file devono essere modificabili dal gruppo Æ umask 002 i file privati dell utente non devono essere accessibili Æ gruppo privato 25

26 TCP wrappers Il programma tcpd può essere utilizzato per monitorare richieste provenienti dalla rete e dirette a servizi forniti da un ben preciso demone. Si modifica inetd per lanciare tcpd invece del servizio, passando il demone come parametro tcpd registra la richiesta ed esegue eventualmente alcuni controlli addizionali (corrispondenza nome/indirizzo, identità utente, source routing, Se non ci sono problemi, tcpd lancia il demone ed esce di scena La configurazione di tcpd è fatta per mezzo di Access Control Lists (ACL) specificate nei file /etc/hosts.allow ed /etc/hosts.deny, secondo il formato descritto in hosts_access (5): daemon_list : client_list [ : shell_command ] Esempi: /etc/hosts.deny ALL : ALL Chiuso per default /etc/hosts.allow ALL: ALL:.foobar.edu EXCEPT ts.foobar.edu Aperto per default /etc/hosts.deny: ALL: some.host.name,.some.domain ALL EXCEPT in.fingerd: other.host.name,.other.domain /etc/hosts.allow : ridondante 26

27 Firewall Teoricamente una intranet può anche essere completamente isolata da Internet. In caso contrario si richiede: Il controllo sull accesso ad Internet Il controllo sull accesso all intranet FIREWALL Corporate server CGI Server intranet (web, mail, proxy, ftp, Server esterni (web, mail, ftp, ) Server esterni (web, mail, ftp, ) Firewall Firewall Internet 27

28 Firewall Il firewall è l intermediario tra intranet ed Internet. Può filtrare le comunicazioni sulla base di regole (es. Access Control Lists) che valutano provenienza, destinazione, tipo, orario, ecc della comunicazione. Normalmente impedisce qualunque connessione in direzione Internet intranet e nasconde gli host dell intranet (es. masquerading) Client Conn. richiesta: Web, IP Client Firewall Port/Address translation Web server IP Possibili realizzazioni: Incapsulamento (es. SOCKS) Policy routing / Packet filtering Proxy From From To To GW GW 28

29 Proxy Scopo principale: maggiore velocità dei servizi Specifico per un protocollo Usato assieme al controllo del routing può agire da firewall Esempio FTP/HTTP proxy: cache Internet Router Intranet /24 Eth0 Eth0:1 Proxy (intranet) (internet) Transazione attraverso il proxy: client GET pagina proxy GET / GET / If-modified-since: pagina www. sun. com 304 Not Modified 29

30 Spazi di IP per intranet La RFC 1918 specifica dei campi di indirizzi IP particolari: (10/8) (172.16/12) ( /16) L uso di questi IP è limitato: Lo IANA non li assegna a nessuno Nessun router di Internet dovrebbe lasciar passare pacchetti da e per uno di questi indirizzi non sono utilizzabili su host direttamente connessi ad Internet Utilizzabili nelle intranet, perché sono filtrati dal firewall Vantaggio: non serve richiedere un blocco di IP allo IANA È mantenuta l unicità globale degli IP visibili 30

31 Socks Socks è un proxy protocol, composto di un server e di una libreria per l abilitazione dei client. Socks è diffusamente utilizzato per configurare un firewall a protezione di una rete locale. La NEC ha sviluppato il protocollo, che ora è standard. Informazioni e software si possono trovare ai siti: e 31

32 Lato client Socks Socks intercetta le chiamate al sistema operativo riguardanti l uso della rete. Questo può essere fatto in due modi: 1. mediante un wrapper (runsocks per Linux, SocksCap per Win32) 2. sostituendo le librerie di sistema che implementano le funzioni di rete (winsock.dll) Lato server Il socks server accetta le connessioni dai socks client, può effettuare controlli e filtraggi, e si connette al servizio esterno richiesto dal client (il servizio esterno non vede mai il client). /etc/libsocks5.conf: noproxy socks /etc/socks5.conf: auth permit set SOCKS5_V4SUPPORT

33 IPchains ipchains è un meccanismo integrato nel kernel di Linux, dalla versione stabile 2.2, che permette di controllare e filtrare il traffico IP in ingresso al sistema, in uscita dal sistema, e che attraversa il sistema. Per attivarlo bisogna compilare il kernel con CONFIG_FIREWALL e CONFIG_IP_FIREWALL. Le funzioni di ipchains sono: il filtraggio selezione dei pacchetti IP da accettare e da scartare. il masquerading conversione dei pacchetti in transito per nascondere l origine il transparent proxying ridirezione dei pacchetti ad un proxy applicativo il port forwarding ridirezione dei pacchetti in transito per nascondere la destinazione Il sito ufficiale di ipchains, mantenuto dall autore, è: 33

34 IPchains Il concetto base di ipchains è la catena di regole. Quando un pacchetto passa attraverso la catena, viene confrontato con le regole in un ordine stabilito. Appena una regola è applicabile, viene eseguita un azione corrispondente. Se nessuna regola è applicabile, viene seguita una policy o politica di default (che per sicurezza dovrebbe essere scartare il pacchetto). Le catene predefinite sono 3: input, output e forward. C h e c k s u m S a n i t y ACCEPT/ REDIRECT Input chain D e m a s q u e r a d e N/N YES Routing decision Local Process lo interface Local? N Y Forward chain Output chain ACCEPT DENY/REJECT 34

35 IPchains L interfaccia di gestione del firewall è il comando ipchains, che consente di aggiungere e togliere regole alle catene predefinite, e di creare catene personalizzate. ipchains A <catena> <regola> ipchains F <catena> ipchains D <catena> <indice regola> aggiunge una regola in fondo alla catena rimuove tutte le regole toglie una regola (per posizione o contenuto) Una regola è composta di zero o più predicati seguiti da zero o più azioni Esempi di predicati: -p <protocollo>, -s <indirizzo sorgente>, -d <indirizzo destinatario> Esempi di azioni: -j <target> j indica un salto (jump). La catena viene abbandonata e si prosegue da target, che può essere una catena personalizzata o un azione tra: ACCEPT, REJECT, DENY, MASQ, REDIRECT, RETURN 35

36 Introduzione alla crittografia Considerazione generale: La sicurezza nasce dall applicazione coerente di strumenti tecnologici e modelli di comportamento (politiche di sicurezza). Non esistono strumenti in grado di garantire la sicurezza assoluta, ma solo combinazioni di accorgimenti tanto più complesse quanto più elevato è il livello di sicurezza desiderato per un contesto. Categorie di strumenti tecnologici: Hardware: calcolatori e linee di trasmissione immuni all intercettazione memorie a prova di effrazione (tamper-proof) Software: sistemi operativi sicuri ambienti di esecuzione controllati Metodi di trattamento dei dati algoritmi crittografici: manipolazioni matematiche mediante le quali le informazioni acquisiscono una forma particolare, utilizzabile ai fini della loro sicurezza protocolli crittografici: sequenze di operazioni eseguite da due o più entità cooperanti, che portano ad un risultato sicuro indipendentemente dalla volontà dei partecipanti 36

37 Algoritmi crittografici I cifrari sono operazioni matematiche che elaborano un dato. Due soluzioni per la sicurezza: 1. Algoritmi segreti: Testo in chiaro Testo cifrato Testo in chiaro Cifratura Decifratura inutilizzabili per grandi gruppi di utenti nessun controllo di qualità chiave chiave 2. Algoritmi pubblici a chiave Testo in chiaro Testo cifrato Testo in chiaro Cifratura Decifratura l analisi garantisce sicurezza a disposizione di tutti - La chiave è un valore scelto in all interno di un insieme (spazio delle chiavi). - La sicurezza deriva dalla difficoltà di scoprire una chiave scelta a caso in uno spazio di grandi dimensioni (es ) - La crittanalisi studia i modi di ricostruire il testo senza avere la chiave - Un tentativo di crittanalisi è detto attacco 37

38 Caratteristiche: Algoritmi simmetrici La chiave di cifratura e quella di decifratura sono identiche, o comunque possono essere calcolate l una dall altra. Il testo cifrato non mostra legami con la chiave l unico attacco possibile è tentare tutte le chiavi (brute force attack)! Sono relativamente veloci (fino al Gbps in hardware) Il loro utilizzo è limitato alla privacy L algoritmo simmetrico più diffuso è il Data Encryption Standard (DES), progettato da IBM nel 1975 per conto del governo USA. Opera su blocchi di testo di 64 bit La chiave è di 56 bit cifratura DES DES -1 DES È in uso anche una variante forte (triple DES): K 1 K 2 K 3 DES -1 DES DES -1 decifratura 38

39 Caratteristiche: Algoritmi asimmetrici Le due chiavi, dette privata e pubblica, sono differenti. Tra le due chiavi esiste un legame matematico, ma è normalmente impossibile calcolare l una data l altra Il legame matematico consente comunque un attacco più efficiente rispetto al brute force Sono relativamente lenti (1000 volte più di un alg. simmetrico) Possono fornire sia privacy sia autenticazione L algoritmo asimmetrico più diffuso è quello progettato nel 1978 da Ron Rivest, Adi Shamir, e Leonard Adleman: RSA. chiave pubblica chiave privata privacy cifratura decifratura chiave privata chiave pubblica autenticazione firma verifica RSA La lunghezza della chiave è a scelta. Oggi tipicamente 1024 bit. Opera su blocchi di dati di dimensione inferiore alla chiave L attacco più efficace è basato sulla fattorizzazione 39

40 Funzioni hash Sono elaborazioni matematiche con le seguenti proprietà Sono a senso unico (one-way) Sono resistenti alle collisioni (collision-free) Hanno risultato di dimensione fissa Risultano utili in diversi campi: Controllo dell integrità (MIC) Costruzione di algoritmi crittografici Identificazione Esempio: password di UNIX - l host deve riconoscere la password di un utente - non si vuole memorizzare la password in chiaro nel file /etc/passwd si memorizza l hash Le funzioni più usate sono RC2, RC4, RC5, SHA 40

41 Protocolli crittografici Sequenze di operazioni eseguite da due o più entità cooperanti, che portano ad un risultato sicuro indipendentemente dalla volontà dei partecipanti. Cosa si intende per risultato sicuro? Deve essere specificata in modo non ambiguo un azione per ogni possibile situazione Non deve essere possibile fare cose o acquisire informazioni al di fuori di quanto specificato nel protocollo. I protocolli si dividono in tre categorie principali: 1. Arbitrati - interviene sempre una terza parte di fiducia problemi di fiducia, costi, collo di bottiglia, vulnerabilità Esempi: - firma davanti al notaio - scambio chiavi con KDC 2. Aggiudicati - interviene una terza parte solo a risolvere eventuali dispute 3. Self-enforcing - le specifiche del protocollo sono sufficienti ad impedire abusi Esempi: - scambio chiavi DH - interlock 41

42 Protezione delle comunicazioni Due approcci alla protezione di un canale di comunicazione: End-to-end: le applicazioni che devono comunicare ai due estremi del canale cifrano i dati - sicurezza di proteggere i dati in ogni istante - visibilità delle informazioni di protocollo - necessità di accordo tra le parti Link: ogni tratto del percorso è cifrato singolarmente - ad ogni tappa decifratura e ri-cifratura - protezione delle informazioni di protocollo - trasparenza di funzionamento Uno dei protocolli sicuri più usati in ambito TCP/IP è SSL (Secure Socket Layer) si posiziona tra TCP e le applicazioni, mettendo a loro disposizione un canale cifrato utilizza la crittografia asimmetrica per autenticare le parti all apertura della connessione utilizza la crittografia simmetrica per cifrare i dati, generando ad ogni sessione una nuova chiave segreta 42

43 Problema: comunicazione sicura tra due entità 43 Infrastruttura per la chiave pubblica - crittografia simmetrica: un segreto per ogni coppia di entità - crittografia asimmetrica: un solo segreto per entità, chiave pubblica nota a tutti. Nuovo problema: l associazione tra entità e chiave pubblica Per questo vengono proposte le infrastrutture di certificazione della chiave pubblica (PKI). L associazione tra identità e chiave pubblica è contenuta in un certificato, il cui formato è descritto nello standard ITU-T X.509 L integrità del certificato è garantita dalla firma digitale apposta da una certification authority (CA) Ogni CA serve un gruppo di utenti omogeneo che le accordano fiducia (es. Comune cittadini, Azienda dipendenti, ) La CA si può avvalere di Registration Authority per la verifica iniziale dell identità dell utente I certificati vengono messi a disposizione di tutti attraverso la pubblicazione in una Directory Chi garantisce l autenticità della chiave pubblica della CA? Il certificato della CA è autofirmato, e viene consegnato all utente in modo sicuro (ad esempio all atto della sua identificazione).

Indice. Indice V. Introduzione... XI

Indice. Indice V. Introduzione... XI V Introduzione........................................................ XI PARTE I Installazione di Linux come Server.............................. 1 1 Riepilogo tecnico delle distribuzioni Linux e di Windows

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp

Dettagli

CONFIGURAZIONE DEI SERVIZI (seconda parte)

CONFIGURAZIONE DEI SERVIZI (seconda parte) Corso ForTIC C2 LEZIONE n. 10 CONFIGURAZIONE DEI SERVIZI (seconda parte) WEB SERVER PROXY FIREWALL Strumenti di controllo della rete I contenuti di questo documento, salvo diversa indicazione, sono rilasciati

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

inetd (the Internet Superserver) Servizi di rete inetd (the Internet Superserver) inetd.conf

inetd (the Internet Superserver) Servizi di rete inetd (the Internet Superserver) inetd.conf Servizi di rete Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta oppure, in molti casi, che forza il demone a rileggere i file di configurazione. Questo meccanismo

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD

Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD UNIVERSITA DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Triennale in Matematica Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD Studente

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta. /etc/init.d/nomedemone restart

Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta. /etc/init.d/nomedemone restart Servizi di rete Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta /etc/init.d/nomedemone restart oppure, in molti casi, killall -HUP nomeservizio che forza il demone

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon)

sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) ssh consente l'accesso ad una shell su di una macchina remota. I dati trasmessi sono cifrati, e per questo si può considerare l'evoluzione del servizio telnet, sempre meno utilizzato.

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Sommario. 1. Introduzione. Samba - Monografia per il Corso di "Laboratorio di Sistemi Operativi".

Sommario. 1. Introduzione. Samba - Monografia per il Corso di Laboratorio di Sistemi Operativi. Sommario SAMBA Raphael Pfattner 10 Giugno 2004 Diario delle revisioni Revisione 1 10 Giugno 2004 pralph@sbox.tugraz.at Revisione 0 17 Marzo 2004 roberto.alfieri@unipr.it Samba - Monografia per il Corso

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Web Server. Corso di Applicazioni Telematiche. A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico

Web Server. Corso di Applicazioni Telematiche. A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico Web Server Corso di Applicazioni Telematiche A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico Università degli Studi di Napoli Federico II Facoltà di Ingegneria Web Server Per realizzare un sistema web

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

Configurazione di sicurezza di XAMPP

Configurazione di sicurezza di XAMPP Configurazione di sicurezza di XAMPP Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Siti web sicuri alcuni siti web possono

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Corso GNU/Linux - Lezione 6. Davide Giunchi - davidegiunchi@libero.it

Corso GNU/Linux - Lezione 6. Davide Giunchi - davidegiunchi@libero.it Corso GNU/Linux - Lezione 6 Davide Giunchi - davidegiunchi@libero.it Riepilogo TCP/IP Ogni host nella rete deve avere un proprio indirizzo ip Due o piu computer nella stessa rete, per poter comunicare

Dettagli

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova Dipartimento di Informatica e Scienze dell Informazione OpenSSH Simon Lepore Corso di Sicurezza DISI, Universita di Genova Via Dodecaneso 35, 16146 Genova, Italia http://www.disi.unige.it 1 Contenuti Introduzione...3

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Il Livello delle Applicazioni

Il Livello delle Applicazioni Il Livello delle Applicazioni Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione corrisponde agli ultimi tre livelli dello stack OSI. Il livello Applicazione supporta le applicazioni

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

Download, configurazione ed installazione di apache

Download, configurazione ed installazione di apache INDICE INDICE... - 1 - Introduzione... - 3 - Caratteristiche principali... - 3 - Breve descrizione dell architettura... - 3 - Download, configurazione ed installazione di apache... - 3 - Configurazione

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Sicurezza nell'utilizzo di Internet

Sicurezza nell'utilizzo di Internet Sicurezza nell'utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di Calcolatori 1. Introduzione Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di calcolatori : Un certo numero di elaboratori

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Il Livello delle Applicazioni 2 Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione

Dettagli

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1 Sicurezza: necessità Riservatezza: la comunicazione è stata intercettata? Autenticazione: l utente è veramente chi dice di essere? Autorizzazione: ogni utente può accedere solo alle risorse cui ha diritto.

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

I dati SMB possono essere incapsulati e trasportati in datagrammi TCP/IP, oppure NetBEUI e IPX/SPX.

I dati SMB possono essere incapsulati e trasportati in datagrammi TCP/IP, oppure NetBEUI e IPX/SPX. Pagina 1 di 10 Samba Integrazione UNIX-NT Questa unità didattica descrive le modalità di integrazione di un sistema UNIX all'interno di una rete in tecnologia Windows. In particolare viene presentato il

Dettagli

Sicurezza in Internet. Criteri di sicurezza. Firewall

Sicurezza in Internet. Criteri di sicurezza. Firewall Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,

Dettagli

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Crittografia Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Elementi di crittografia Crittografia: procedimento

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

La sicurezza nel Web

La sicurezza nel Web La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione

Dettagli

sshd (secure shell daemon)

sshd (secure shell daemon) sshd (secure shell daemon) ssh consente l'accesso ad una shell su di una macchina remota. I dati trasmessi sono cifrati, e per questo si può considerare l'evoluzione del servizio telnet, sempre meno utilizzato.

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

Apache e la Sicurezza

Apache e la Sicurezza Apache e la Sicurezza Introduzione Purtroppo il web server rappresenta sempre un punto di debolezza in una rete, attraverso di esso spesso si possono effettuare delle vere e proprie intrusioni sul sistema.

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Argomenti Percorso 7 Apache HTTP

Argomenti Percorso 7 Apache HTTP Apache httpd Directory importanti File di configurazione Permessi d accesso Virtual Host Moduli ed estensioni SSL e https PHP Argomenti Percorso 7 Apache HTTP 2 httpd.apache.org Percorso 7 Apache HTTP

Dettagli

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma Corso amministratore di sistema Linux Programma 1 OBIETTIVI E MODALITA DI FRUIZIONE E VALUTAZIONE 1.1 Obiettivo e modalità di fruizione L obiettivo del corso è di fornire le conoscenze tecniche e metodologiche

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS Vallarino Simone Corso di sicurezza A.A. 2003/2004 HTTPS INTRODUZIONE Per cominciare a parlare di https è necessario aprire la discussione ricordando le caratteristiche dell http: HTTP Nel sistema telematico

Dettagli

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE.

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. ENTRUST/PKI 6.0 MANUALE PER L UTENTE. A cura di: Eleonora Brioni, Direzione Informatica e Telecomunicazioni ATI

Dettagli

Protocolli applicativi: FTP

Protocolli applicativi: FTP Protocolli applicativi: FTP FTP: File Transfer Protocol. Implementa un meccanismo per il trasferimento di file tra due host. Prevede l accesso interattivo al file system remoto; Prevede un autenticazione

Dettagli

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione XIII Capitolo 1 Introduzione agli strumenti di sicurezza Open Source 1 Strumenti utilizzati negli esempi di questo libro 2 1.1 Licenza GPL

Dettagli

QUICK START GUIDE F640

QUICK START GUIDE F640 QUICK START GUIDE F640 Rev 1.0 PARAGRAFO ARGOMENTO PAGINA 1.1 Connessione dell apparato 3 1.2 Primo accesso all apparato 3 1.3 Configurazione parametri di rete 4 2 Gestioni condivisioni Windows 5 2.1 Impostazioni

Dettagli

Protocolli Applicativi in Internet

Protocolli Applicativi in Internet CdL in Ingegneria Integrazione d Impresa Corso di Reti di Calcolatori Protocolli Applicativi in Internet Franco Zambonelli A.A. 2005-2006 PROTOCOLLI APPLICATIVI Sfruttano I protocolli TCP/IP (spesso) o

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Hardening di un Sistema Operativo

Hardening di un Sistema Operativo ICT Security n.6 Novembre 2002 p. 1 di 8 Hardening di un Sistema Operativo Un computer, sistema operativo più hardware, assolutamente sicuro non esiste. Nemmeno un computer spento, disconnesso e con i

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Petra Firewall 2.8. Guida Utente

Petra Firewall 2.8. Guida Utente Petra Firewall 2.8 Guida Utente Petra Firewall 2.8: Guida Utente Copyright 1996, 2002 Link SRL (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright.

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli

RUBRICHE. Server e desktop impenetrabili

RUBRICHE. Server e desktop impenetrabili Di Marco Fioretti Server e desktop impenetrabili Per difendersi da attacchi e virus non è sufficiente aggiornare il software di sistema o installare un firewall generico. Ecco le strategie più efficaci.

Dettagli

- 1 - LINUX E le Reti. Corso Linux 2014. di Giuseppe Zingone

- 1 - LINUX E le Reti. Corso Linux 2014. di Giuseppe Zingone - 1 - LINUX E le Reti Corso Linux 2014 di Giuseppe Zingone - 2 - Cenni sulle reti Introduzione Linux e le reti vanno mano nella mano. Il kernel di Linux ha il supporto per tutti i protocolli di rete comuni

Dettagli

Introduzione Il sistema operativo Linux è oggi una delle principali distribuzioni di Unix, in grado di portare in ogni PC tutta la potenza e la flessibilità di una workstation Unix e un set completo di

Dettagli

Organizzazione della rete

Organizzazione della rete Network Security Elements of Network Security Protocols Organizzazione della rete Il firewall La zona demilitarizzata (DMZ) System security Organizzazione della rete La principale difesa contro gli attacchi

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

CONFIGURAZIONE SERVER APACHE (XAMPP): ACCESSO SICURO A DIRECTORY DEL FILE SYSTEM.

CONFIGURAZIONE SERVER APACHE (XAMPP): ACCESSO SICURO A DIRECTORY DEL FILE SYSTEM. CONFIGURAZIONE SERVER APACHE (XAMPP): ACCESSO SICURO A DIRECTORY DEL FILE SYSTEM. A CURA DI ANTONELLA LAURINO Questa guida permette di configurare il server apache, contenuto nel software xampp, in modo

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Servizi di Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza Sicurezza su Sicurezza della La Globale La rete è inerentemente

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Posta Elettronica e Web

Posta Elettronica e Web a.a. 2002/03 Posta Elettronica e Web Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Posta Elettronica

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Sicurezza del Web server Sicurezza Web Server (1) Perché attaccare un Web server? w Per

Dettagli

Sicurezza del Web server

Sicurezza del Web server Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Sicurezza del Web server 1 Sicurezza Web Server (1) Perché attaccare un Web server? w Per

Dettagli

Architetture Applicative Il Web

Architetture Applicative Il Web Architetture Applicative Il Web Alessandro Martinelli alessandro.martinelli@unipv.it 18 Marzo 2014 Architetture Architetture Web L Architettura Client-Server HTTP Protocolli di Comunicazione Fondamenti

Dettagli

Servizi Applicativi su Internet SMTP/POP/IMAP. La posta elettronica. Pierluigi Gallo, Domenico Garlisi, Fabrizio Giuliano

Servizi Applicativi su Internet SMTP/POP/IMAP. La posta elettronica. Pierluigi Gallo, Domenico Garlisi, Fabrizio Giuliano Servizi Applicativi su Internet SMTP/POP/IMAP La posta elettronica Pierluigi Gallo, Domenico Garlisi, Fabrizio Giuliano E-mail - Indice 2 Introduzione Formato del messaggio Server Protocolli Comandi SMTP

Dettagli

Fabio Burroni. Università degli Studi di Siena burronif@unisi.it

Fabio Burroni. Università degli Studi di Siena burronif@unisi.it Fabio Burroni Università degli Studi di Siena burronif@unisi.it Sistemi e Tecnologie di Rete La Sicurezza delle Reti La presentazione è scaricabile da http://www.ltt.dii.unisi.it/benelli.htm La Sicurezza

Dettagli

Università degli Studi di Bari - Aldo Moro. Corso di Reti di Calcolatori e Comunicazione Digitale

Università degli Studi di Bari - Aldo Moro. Corso di Reti di Calcolatori e Comunicazione Digitale Università degli Studi di Bari - Aldo Moro CdS in INFORMATICA e COMUNICAZIONE DIGITALE a.a. 2012-13 Corso di Reti di Calcolatori e Comunicazione Digitale Le Intranet Prof. Sebastiano Pizzutilo Dipartimento

Dettagli

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio Sommario Esercitazione 04 Angelo Di Iorio One-time password S/Key Descrizione esercitazione Alcuni sistemi S/Key-aware Windows Linux ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA 2 Un po di background Un

Dettagli

Tecnologie Informatiche. service. Sicurezza aziendale Servizi Internet e Groupware

Tecnologie Informatiche. service. Sicurezza aziendale Servizi Internet e Groupware Tecnologie Informatiche service Sicurezza aziendale Servizi Internet e Groupware Neth Service è un sistema veloce, affidabile e potente per risolvere ogni necessità di comunicazione. Collega la rete Aziendale

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C.

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C. Definizione La crittografia è la scienza che utilizza algoritmi matematici per cifrare e decifrare i dati. La criptoanalisi è la scienza che analizza e decifra i dati crittografati senza conoscerne a priori

Dettagli

RETI DI CALCOLATORI. Crittografia. La crittografia

RETI DI CALCOLATORI. Crittografia. La crittografia RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,

Dettagli