I servizi di rete. L internet superserver. Il web server Apache. Introduzione alla posta elettronica. Condivisione dischi (nfs, samba)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "I servizi di rete. L internet superserver. Il web server Apache. Introduzione alla posta elettronica. Condivisione dischi (nfs, samba)"

Transcript

1 I servizi di rete L internet superserver Il web server Apache Introduzione alla posta elettronica Condivisione dischi (nfs, samba) Cenni di sicurezza

2 I servizi di rete I servizi di rete sotto Linux sono avviati con due meccanismi distinti: 1) Servizi stand-alone Vengono attivati manualmente o, più comunemente, al boot. Si occupano in maniera autonoma di attendere, accettare e servire le richieste TCP/IP a loro dirette Æ la scrittura del programma di gestione è più complessa Æ le prestazioni ottenibili sono più elevate in caso di alto traffico 2) Servizi attivati da inetd (Internet Daemon o Internet Superserver) inetd viene configurato per attendere le richieste di tutti questi servizi inetd si occupa di accettare le richieste e stabilire il canale di comunicazione Il programma di gestione viene attivato solo quando una richiesta è accettata, e dialoga con inetd via stdin/out Æ risparmio di risorse per i servizi poco trafficati Æ semplicità di scrittura del programma Æ possibilità di definire un controllo di accesso comune Æ maggior lentezza nella risposta 2

3 Inetd inetd viene solitamente lanciato al boot. Di default è configurato dal file /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d linuxconf stream tcp wait root /bin/linuxconf linuxconf http mount/1-2 dgram rpc/udp wait root /usr/sbin/rpc.mountd rpc.mountd mount/1-2 stream rpc/tcp wait root /usr/sbin/rpc.mountd rpc.mountd nfs/2 dgram rpc/udp wait root /usr/sbin/rpc.nfsd rpc.nfsd nfs/2 stream rpc/tcp wait root /usr/sbin/rpc.nfsd rpc.nfsd servizio 1 tipo di proto- opzioni 2 utente comando (porta) socket collo [.gruppo] (1) il servizio può essere un nome simbolico in /etc/services, una porta numerica, e se è RPC può specificare la versione dopo la / (2) wait può essere seguito da.<numero massimo di invocazioni in 60 secondi> 3

4 Il web server Apache Apache è il web server più utilizzato al mondo. Il software, oltre ad essere distribuito come pacchetto con RedHat, si trova sul sito che contiene anche la documentazione on-line e ogni altra informazione utile. Apache è studiato per funzionare standalone, anche se è possibile farlo lanciare da inetd: all avvio apache esegue un processo padre il padre genera un pool di processi figli in attesa di richieste HTTP, per fronteggiare con il minor ritardo possibile richieste multiple se ci si avvicina all esaurimento dei figli disponibili il padre ne genera di nuovi la scelta di quanti figli generare all avvio e di quanti tenerne di riserva è frutto del compromesso tra qualità del servizio e risorse disponibili, e va pianificata in funzione del carico previsto per il server 4

5 Il web server Apache web server accesso FS risposta HTTP richiesta HTTP browser interfaccia CGI Applicazione generica Applicazione CGI 5

6 Il web server Apache La configurazione di Apache coinvolge diversi file: /etc/httpd/conf/httpd.conf /etc/httpd/conf/srm.conf /etc/httpd/conf/access.conf /etc/httpd/conf/mime.types /etc/httpd/conf/magic Å configurazione generale del server Å configurazione dei parametri che influenzano la visibilità delle pagine web e il modo di servirle Å configurazione delle regole di controllo dell accesso Å mappe di corrispondenza tra estensione e MIME type Å mappe di corrispondenza tra magic number e MIME type 6

7 Il web server Apache httpd.conf Direttive generali Collocazione degli altri file ServerType { standalone inetd } Port <numero-porta> Listen <numero-porta> HostnameLookups { on off } ServerAdmin < > ServerName <nome> User { <utente> #n } Group { <gruppo> #n } ServerRoot <directory> ResourceConfig <config-srm> AccessConfig <config-access> ErrorLog <log-degli-errori> TransferLog <log-dei-trasferimenti> PidFile <file-pid> ScoreBoardFile <file-di-informazioni> 7

8 Il web server Apache srm.conf Collocazione delle informazioni DocumentRoot <directory-root-html> UserDir { <percorso-root-utenti> DISABLED [<utente>] } Alias <directory-fasulla> <directory-reale> ScriptAlias <directory-fasulla> <directory-reale> Modalità di presentazione DirectoryIndex <file-indice>... FancyIndexing { on off } AddIconByEncoding (<sigla>,<file-icona>) <tipo-codifica>... AddIconByType (<sigla>,<file-icona>) <tipo-mime>/<sottotipo> AddIcon <file-icona> <estensione>... DefaultIcon <file-icona> IndexIgnore <modello-da-ignorare>... HeaderName <file-readme-iniziale> ReadmeName <file-readme-finale> 8

9 Il web server Apache srm.conf Tipi di file DefaultType <MIME-type>... AddType <tipo>/<tipo> <estensione> AddEncoding <tipo-di-compressione> <estensione> AccessFileName.htaccess Controllo di accesso Gestione errori ErrorDocument <n-errore> <file-alternativo> ErrorDocument <n-errore> <url-esterno> ErrorDocument <n-errore> <messaggio> 9

10 Il web server Apache access.conf Sezione <Directory> - Es: <Directory "^/home/httpd/html/.*/[0-9]{3}"> Options Indexes FollowSymLinks </Directory> Opzioni Options None All Indexes ExecCGI FollowSymLinks SymLinksIfOwnerMatch Includes IncludesNOEXEC Eccezioni ammissibili AllowOverride None All Options Limit AuthConfig FileInfo Indexes Autorizzazione AuthName <nome> AuthType Basic AuthUserFile <file-di-utenti-e-password> AuthGroupFile <file-dei-gruppi> require user <utente>... require group <gruppo>... require valid-user Controllo di accesso order [allow,deny deny,allow mutual-failure] deny from { all <host>... } allow from { all <host>... } 10

11 Il web server Apache access.conf Sezione <Limit> - Es: <Limit GET POST> require valid-user </Limit> Sezione <Location> Le sezioni Location raccolgono le direttive di controllo per un particolare URL. Si tratta di qualcosa molto simile alla sezione Directory, con la differenza che il riferimento è fatto all'url piuttosto che alla directory del filesystem effettivo..htaccess I file.htaccess possono essere usati per definire delle configurazioni specifiche riferite alla directory in cui si trovano. Le possibilità loro concesse sono controllate attraverso la direttiva AllowOverride nel file access.conf. In linea di massima, i file.htaccess possono contenere le direttive: Options DefaultType ErrorDocument AuthName AuthType require order deny allow 11

12 htpasswd [-c] <file> <utente> Il web server Apache htpasswd htpasswd crea o aggiorna un file di utenti e password per l'autenticazione degli accessi a directory protette mediante le direttive AuthName, AuthType, AuthUserFile. L'opzione -c viene usata per creare il file la prima volta, mentre si inserisce il primo utente. La password viene richiesta subito dopo l'avvio del programma. 12

13 Posta elettronica MUA MTA POP, IMAP, mailbox mailbox mailbox SMTP MTA MTA (relay) SMTP POP, IMAP, mailbox mailbox mailbox SMTP MUA queue Applicazioni: MUA (Mail User Agent): Client (es. Eudora, Netscap , Outlook), per la composizione e la lettura dei messaggi. MTA (Mail Transport Agent): Server permanentemente connessi ad Internet, su cui risiedono le caselle postali. Protocolli: SMTP (Simple Mail Transfer Protocol), via TCP alla porta 25 POP (Post Office Protocol), ), via TCP alla porta 110 IMAP (Internet Mail Access Protocol), via TCP alla porta

14 Sendmail Il mail transport agent più diffuso in ambiente Unix è Sendmail. Poiché la posta elettronica è stato il primo servizio nato sulle reti informatiche, questo programma è cresciuto per decenni in dimensioni e complessità. Il file di configurazione /etc/sendmail.cf non è assolutamente modificabile manualmente, e viene generato da una serie di utility accessorie che permettono di affrontare modularmente le diverse sezioni. Linuxconf ne permette una configurazione di base, ma comunque assolutamente adatta alle due esigenze più comuni: 1. ricevere posta per gli utenti del server 2. agire da centro di smistamento della posta in una rete composta da più mail server amm.azienda.com mail.azienda.com mark.azienda.com rd.azienda.com 14

15 Sendmail Con che host di provenienza esce la posta DMing.unibo.it Accettare posta per il dominio? Cw ing.unibo.it Host a cui consegnare la posta locale DHmail.deis.unibo.it Host attraverso cui spedire la posta DSmail.ing.unibo.it DNsmtp Altri nomi di host per cui accettare posta Cw localhost maya.ing.unibo.it 15

16 Utenti e lettura della posta Perché un utente possa ricevere posta sul server Linux deve poter essere proprietario del file in cui sono depositati i messaggi deve poter essere riconosciuto per mezzo di username e password Æ è necessario che sia riconosciuto come utente del sistema. Può essere desiderabile che non abbia altri diritti Æ assegnazione di una shell ristretta o addirittura di /bin/false Una volta che l utente ha una mailbox (tipicamente /var/spool/mail/<username>), può leggere la posta attraverso uno dei servizi specifici MTAÆMUA (pop, imap). Il demone POP è disponibile gratuitamente ma su richiesta di Qualcomm, che lo produce, non può essere ridistribuito, quindi bisogna scaricarlo separatemente (vedere Æ qpopper-*.rpm) 16

17 Condivisione dei dischi - NFS La condivisione di dischi tra macchine Unix utilizza il sistema NFS (Network File System). La configurazione è molto semplice anche se ricca di opzioni: sul server: 1. devono essere attivi come minimo i servizi portmap, nfsd, rpc.mountd, avviati da /etc/rc.d/init.d/portmap e /etc/rc.d/init.d/nfs 2. i sottoalberi del filesystem da esportare devono essere dichiarati nel file /etc/exports / master(rw) trusty(rw,no_root_squash) /projects proj*.local.domain(rw) /pub (ro,insecure,all_squash) sul client 1. con showmount e <server> si può vedere cosa esporta il server 2. con mount t nfs <server>:<directory> <mount point> si mappa il disco remoto su di un mount point locale, esattamente come per un disco fisico Nota: l implementazione Linux di NFS permette di esportare contemporaneamente una directory e le sue sottodirectory. All atto del mount viene scelta la possibilità più specifica. 17

18 Condivisione delle risorse con PC Windows Il pacchetto Samba per Linux mette a disposizione entrambi gli strumenti necessari per comunicare in modo completo con PC in ambiente Windows: il server, che permette di condividere dischi e stampanti il client, che permette di utilizzare dischi e stampanti condivise da server Windows Il sito ufficiale è il mirror italiano è anche se probabilmente dall Università di Bologna è più veloce Viste le vocazioni di Windows e Linux, non stupisce che la parte server sia più complessa della parte client. Quest ultima, in pratica, si limita a pochi (comunque potenti) comandi: smbclient <service> <opzioni> attiva un interfaccia simile a quella di FTP verso il servizio specificato. Attraverso comandi come get, put, print, si possono trasferire file e compiere operazioni sul servizio. smbmount "\\server\tmp" -c 'mount /mnt' è in pratica una scorciatoia che utilizza smbclient per montare localmente un disco condiviso da una macchina Windows. smbtar è una seconda scorciatoia che utilizza smbclient per create backup sul server Linux di intere risorse Windows condivise. 18

19 Samba server è costituito da 2 demoni Samba server smbd è il vero e proprio server per la condivisione delle risorse nmbd è il server ausiliario per la risoluzione dei nomi NetBIOS su reti IP. Questo può non essere necessario nel caso si desideri utilizzare un altro server dei nomi sulla stessa rete. La configurazione dei due demoni è contenuta principalmente nel file etc/smb.conf. Esiste una pratica interfaccia web per la gestione di /etc/smb.conf, chiamata SWAT. Nell ultima release di samba è stata ufficialmente incorporata nel pacchetto, comunque una demo è visibile all indirizzo La configurazione di Samba è composta da una sezione contenente i parametri globali e più sezioni che definiscono le proprietà specifiche delle risorse da condividere. Global Shares Printers gestione dei nomi regole di autenticazione reti e protocolli controllo dell accesso gestione filename operazioni speciali al mount controllo dell accesso gestione della coda 19

20 Cenni di sicurezza La sicurezza per un server è un elemento di importanza cruciale. Gli elementi da considerare sono molteplici; in estrema sintesi si può dire che in un sistema sicuro a) Sono chiaramente definiti i diritti di ogni utente che può entrare in contatto col sistema b) Nessun utente può compiere operazioni che richiedono più diritti di quelli a lui assegnati tornando con i piedi per terra è prudente aggiungere che c) Devono essere rilevabili le violazioni delle regole (a) e (b) e le modalità con cui sono state effettuate I problemi di sicurezza derivano principalmente da errori di 3 tipi: 1) Debolezza concettuale di un algoritmo o protocollo Æ SYN attack 2) Errata implementazione di un algoritmo o protocollo Æ buffer overflows 3) Errata configurazione di un servizio anche se spesso l anello debole è la disciplina degli utenti 20

21 Cenni di sicurezza La serie di azioni con cui un entità cerca di forzare un sistema a compiere azioni in contrasto con le regole di sicurezza è detta attacco. Gli effetti più preoccupanti a cui può condurre un attacco sono: Denial Of Service (DOS) La funzionalità del server è temporaneamente compromessa, e gli utenti legittimi dei servizi soffrono di un disservizio. Compromissione della privacy Pur senza ottenere un accesso attivo al sistema, l attaccante riesce ad accedere ad informazioni private. Esecuzione di codice Pur senza ottenere un accesso interattivo al sistema, l attaccante è in grado di far eseguire un qualsiasi programma Compromissione di un account L attaccante riesce ad accedere al sistema a nome di un utente legittimo, e di conseguenza ne ha tutti i diritti Compromissione dell account di amministrazione L attaccante ha il controllo completo del sistema 21

22 Cenni di sicurezza Un attacco può essere condotto dall interno o dall esterno del sistema. I livelli di protezione da considerare possono essere quindi classificati in: Sicurezza fisica troppo spesso trascurata a causa del clamore suscitato dagli hacker! Per un sistema di importanza critica, non deve essere facile e veloce distruggere/rubare i dati direttamente attaccando il supporto materiale. Sicurezza degli account Un sistema ideale che però ha utenti che concedono troppi permessi sui propri dati, o scelgono password facili da indovinare, o le prestano ad amici e colleghi, è indifeso Æ crack (http:// Sicurezza del filesystem I device driver e gli eseguibili devono essere costantemente monitorati per rilevare la possibilità che siano accessibili da utenti non autorizzati o che siano stati indebitamente alterati. Grande cautela va usate quando si installano nuove applicazioni. Sicurezza dell accesso alla rete L argomento più di moda Il vero problema non sta necessariamente nella particolare insicurezza dei protocolli e dei programmi, quanto nella quantità spropositata di potenziali attaccanti. 22

23 Essenzialità dei servizi Linee guida per la sicurezza servizi di rete Tutti i servizi che non sono usati dovrebbero essere spenti. Si controllino sia i demoni standalone che i servizi abilitati in inetd. Se un servizio è usato con periodicità prevedibile lo si attivi automaticamente solo quando serve. Filtraggio A livello IP si utilizzi ipchains per verificare sorgente e destinazione di ogni pacchetto IP che raggiunge, lascia o attraversa il sistema, e scartare quelli indesiderati A livello TCP si utilizzi tcpd per verificare provenienza e formato di ogni richiesta di connessione ad inetd prima di attivare il servizio corrispondente Autenticazione La maggior parte dei servizi richiede il login dell utente, ed espone in chiaro sulla rete la password quando viene digitata. Si utilizzino per quanto possibile strumenti di autenticazione alternativi (ssh) e, dove non siano disponibili, si differenzino le password. 23

24 Strumenti per il controllo della sicurezza Strumenti per il controllo delle porte di rete (port scanner) verificano la presenza di punti di vulnerabilità accessibili via rete. Nessus - Internet Security Scanner - ftp://info.cert.org/pub/tools/iss SATAN - ftp://ftp.win.tue.nl/pub/security/ Strumenti per il rilevamento di attacchi riconoscono l uso di uno scanner Klaxon - Courtney - ftp://ciac.llnl.gov/pub/ciac/sectools/unix Strumenti per il controllo degli account e del filesystem verificano problemi di configurazione noti nelle macchine Unix, la presenza di password deboli, l integrità dei programmi e dei file di configurazione, Tripwire - Tiger - ftp://net.tamu.edu/pub/security/tamu/ COPS - ftp://ftp.cert.org/pub/tools/cops Crack - ftp://sable.ox.ac.uk/pub/comp/security/software/crackers Front-end Il CIAC distribuisce Merlin, un interfaccia grafica per l uso dei più popolari strumenti tra quelli sopra citati: 24

25 Sicurezza degli account e del filesystem Per proteggere al meglio gli account sono state adottate due evoluzioni del sistema di login: 1. shadow password Il file /etc/passwd contiene molte informazioni e deve essere leggibile da tutti Æ le password sono state spostate in un file separato (/etc/shadow) 2. Pluggable Authentication Modules È uno standard di programmazione che consente di scrivere applicazioni PAM che affidano l autenticazione degli utenti a moduli PAM intercambiabili, scelti mediante /etc/pam.d/* Per garantire un corretto accesso alle risorse di sistema è fondamentale che non vengano concessi diritti eccessivi agli utenti. Per questo è buona norma verificare periodicamente che i permessi dei file di sistema non siano stati alterati (rpm V), ed è stato adottato l uso dei gruppi privati. l utente collabora ad un progetto Æ gruppo Æ chgrp dei file e dir. del progetto i file devono essere del gruppo Æ directory sgid i file devono essere modificabili dal gruppo Æ umask 002 i file privati dell utente non devono essere accessibili Æ gruppo privato 25

26 TCP wrappers Il programma tcpd può essere utilizzato per monitorare richieste provenienti dalla rete e dirette a servizi forniti da un ben preciso demone. Si modifica inetd per lanciare tcpd invece del servizio, passando il demone come parametro tcpd registra la richiesta ed esegue eventualmente alcuni controlli addizionali (corrispondenza nome/indirizzo, identità utente, source routing, Se non ci sono problemi, tcpd lancia il demone ed esce di scena La configurazione di tcpd è fatta per mezzo di Access Control Lists (ACL) specificate nei file /etc/hosts.allow ed /etc/hosts.deny, secondo il formato descritto in hosts_access (5): daemon_list : client_list [ : shell_command ] Esempi: /etc/hosts.deny ALL : ALL Chiuso per default /etc/hosts.allow ALL: ALL:.foobar.edu EXCEPT ts.foobar.edu Aperto per default /etc/hosts.deny: ALL: some.host.name,.some.domain ALL EXCEPT in.fingerd: other.host.name,.other.domain /etc/hosts.allow : ridondante 26

27 Firewall Teoricamente una intranet può anche essere completamente isolata da Internet. In caso contrario si richiede: Il controllo sull accesso ad Internet Il controllo sull accesso all intranet FIREWALL Corporate server CGI Server intranet (web, mail, proxy, ftp, Server esterni (web, mail, ftp, ) Server esterni (web, mail, ftp, ) Firewall Firewall Internet 27

28 Firewall Il firewall è l intermediario tra intranet ed Internet. Può filtrare le comunicazioni sulla base di regole (es. Access Control Lists) che valutano provenienza, destinazione, tipo, orario, ecc della comunicazione. Normalmente impedisce qualunque connessione in direzione Internet intranet e nasconde gli host dell intranet (es. masquerading) Client Conn. richiesta: Web, IP Client Firewall Port/Address translation Web server IP Possibili realizzazioni: Incapsulamento (es. SOCKS) Policy routing / Packet filtering Proxy From From To To GW GW 28

29 Proxy Scopo principale: maggiore velocità dei servizi Specifico per un protocollo Usato assieme al controllo del routing può agire da firewall Esempio FTP/HTTP proxy: cache Internet Router Intranet /24 Eth0 Eth0:1 Proxy (intranet) (internet) Transazione attraverso il proxy: client GET pagina proxy GET / GET / If-modified-since: pagina www. sun. com 304 Not Modified 29

30 Spazi di IP per intranet La RFC 1918 specifica dei campi di indirizzi IP particolari: (10/8) (172.16/12) ( /16) L uso di questi IP è limitato: Lo IANA non li assegna a nessuno Nessun router di Internet dovrebbe lasciar passare pacchetti da e per uno di questi indirizzi non sono utilizzabili su host direttamente connessi ad Internet Utilizzabili nelle intranet, perché sono filtrati dal firewall Vantaggio: non serve richiedere un blocco di IP allo IANA È mantenuta l unicità globale degli IP visibili 30

31 Socks Socks è un proxy protocol, composto di un server e di una libreria per l abilitazione dei client. Socks è diffusamente utilizzato per configurare un firewall a protezione di una rete locale. La NEC ha sviluppato il protocollo, che ora è standard. Informazioni e software si possono trovare ai siti: e 31

32 Lato client Socks Socks intercetta le chiamate al sistema operativo riguardanti l uso della rete. Questo può essere fatto in due modi: 1. mediante un wrapper (runsocks per Linux, SocksCap per Win32) 2. sostituendo le librerie di sistema che implementano le funzioni di rete (winsock.dll) Lato server Il socks server accetta le connessioni dai socks client, può effettuare controlli e filtraggi, e si connette al servizio esterno richiesto dal client (il servizio esterno non vede mai il client). /etc/libsocks5.conf: noproxy socks /etc/socks5.conf: auth permit set SOCKS5_V4SUPPORT

33 IPchains ipchains è un meccanismo integrato nel kernel di Linux, dalla versione stabile 2.2, che permette di controllare e filtrare il traffico IP in ingresso al sistema, in uscita dal sistema, e che attraversa il sistema. Per attivarlo bisogna compilare il kernel con CONFIG_FIREWALL e CONFIG_IP_FIREWALL. Le funzioni di ipchains sono: il filtraggio selezione dei pacchetti IP da accettare e da scartare. il masquerading conversione dei pacchetti in transito per nascondere l origine il transparent proxying ridirezione dei pacchetti ad un proxy applicativo il port forwarding ridirezione dei pacchetti in transito per nascondere la destinazione Il sito ufficiale di ipchains, mantenuto dall autore, è: 33

34 IPchains Il concetto base di ipchains è la catena di regole. Quando un pacchetto passa attraverso la catena, viene confrontato con le regole in un ordine stabilito. Appena una regola è applicabile, viene eseguita un azione corrispondente. Se nessuna regola è applicabile, viene seguita una policy o politica di default (che per sicurezza dovrebbe essere scartare il pacchetto). Le catene predefinite sono 3: input, output e forward. C h e c k s u m S a n i t y ACCEPT/ REDIRECT Input chain D e m a s q u e r a d e N/N YES Routing decision Local Process lo interface Local? N Y Forward chain Output chain ACCEPT DENY/REJECT 34

35 IPchains L interfaccia di gestione del firewall è il comando ipchains, che consente di aggiungere e togliere regole alle catene predefinite, e di creare catene personalizzate. ipchains A <catena> <regola> ipchains F <catena> ipchains D <catena> <indice regola> aggiunge una regola in fondo alla catena rimuove tutte le regole toglie una regola (per posizione o contenuto) Una regola è composta di zero o più predicati seguiti da zero o più azioni Esempi di predicati: -p <protocollo>, -s <indirizzo sorgente>, -d <indirizzo destinatario> Esempi di azioni: -j <target> j indica un salto (jump). La catena viene abbandonata e si prosegue da target, che può essere una catena personalizzata o un azione tra: ACCEPT, REJECT, DENY, MASQ, REDIRECT, RETURN 35

36 Introduzione alla crittografia Considerazione generale: La sicurezza nasce dall applicazione coerente di strumenti tecnologici e modelli di comportamento (politiche di sicurezza). Non esistono strumenti in grado di garantire la sicurezza assoluta, ma solo combinazioni di accorgimenti tanto più complesse quanto più elevato è il livello di sicurezza desiderato per un contesto. Categorie di strumenti tecnologici: Hardware: calcolatori e linee di trasmissione immuni all intercettazione memorie a prova di effrazione (tamper-proof) Software: sistemi operativi sicuri ambienti di esecuzione controllati Metodi di trattamento dei dati algoritmi crittografici: manipolazioni matematiche mediante le quali le informazioni acquisiscono una forma particolare, utilizzabile ai fini della loro sicurezza protocolli crittografici: sequenze di operazioni eseguite da due o più entità cooperanti, che portano ad un risultato sicuro indipendentemente dalla volontà dei partecipanti 36

37 Algoritmi crittografici I cifrari sono operazioni matematiche che elaborano un dato. Due soluzioni per la sicurezza: 1. Algoritmi segreti: Testo in chiaro Testo cifrato Testo in chiaro Cifratura Decifratura inutilizzabili per grandi gruppi di utenti nessun controllo di qualità chiave chiave 2. Algoritmi pubblici a chiave Testo in chiaro Testo cifrato Testo in chiaro Cifratura Decifratura l analisi garantisce sicurezza a disposizione di tutti - La chiave è un valore scelto in all interno di un insieme (spazio delle chiavi). - La sicurezza deriva dalla difficoltà di scoprire una chiave scelta a caso in uno spazio di grandi dimensioni (es ) - La crittanalisi studia i modi di ricostruire il testo senza avere la chiave - Un tentativo di crittanalisi è detto attacco 37

38 Caratteristiche: Algoritmi simmetrici La chiave di cifratura e quella di decifratura sono identiche, o comunque possono essere calcolate l una dall altra. Il testo cifrato non mostra legami con la chiave l unico attacco possibile è tentare tutte le chiavi (brute force attack)! Sono relativamente veloci (fino al Gbps in hardware) Il loro utilizzo è limitato alla privacy L algoritmo simmetrico più diffuso è il Data Encryption Standard (DES), progettato da IBM nel 1975 per conto del governo USA. Opera su blocchi di testo di 64 bit La chiave è di 56 bit cifratura DES DES -1 DES È in uso anche una variante forte (triple DES): K 1 K 2 K 3 DES -1 DES DES -1 decifratura 38

39 Caratteristiche: Algoritmi asimmetrici Le due chiavi, dette privata e pubblica, sono differenti. Tra le due chiavi esiste un legame matematico, ma è normalmente impossibile calcolare l una data l altra Il legame matematico consente comunque un attacco più efficiente rispetto al brute force Sono relativamente lenti (1000 volte più di un alg. simmetrico) Possono fornire sia privacy sia autenticazione L algoritmo asimmetrico più diffuso è quello progettato nel 1978 da Ron Rivest, Adi Shamir, e Leonard Adleman: RSA. chiave pubblica chiave privata privacy cifratura decifratura chiave privata chiave pubblica autenticazione firma verifica RSA La lunghezza della chiave è a scelta. Oggi tipicamente 1024 bit. Opera su blocchi di dati di dimensione inferiore alla chiave L attacco più efficace è basato sulla fattorizzazione 39

40 Funzioni hash Sono elaborazioni matematiche con le seguenti proprietà Sono a senso unico (one-way) Sono resistenti alle collisioni (collision-free) Hanno risultato di dimensione fissa Risultano utili in diversi campi: Controllo dell integrità (MIC) Costruzione di algoritmi crittografici Identificazione Esempio: password di UNIX - l host deve riconoscere la password di un utente - non si vuole memorizzare la password in chiaro nel file /etc/passwd si memorizza l hash Le funzioni più usate sono RC2, RC4, RC5, SHA 40

41 Protocolli crittografici Sequenze di operazioni eseguite da due o più entità cooperanti, che portano ad un risultato sicuro indipendentemente dalla volontà dei partecipanti. Cosa si intende per risultato sicuro? Deve essere specificata in modo non ambiguo un azione per ogni possibile situazione Non deve essere possibile fare cose o acquisire informazioni al di fuori di quanto specificato nel protocollo. I protocolli si dividono in tre categorie principali: 1. Arbitrati - interviene sempre una terza parte di fiducia problemi di fiducia, costi, collo di bottiglia, vulnerabilità Esempi: - firma davanti al notaio - scambio chiavi con KDC 2. Aggiudicati - interviene una terza parte solo a risolvere eventuali dispute 3. Self-enforcing - le specifiche del protocollo sono sufficienti ad impedire abusi Esempi: - scambio chiavi DH - interlock 41

42 Protezione delle comunicazioni Due approcci alla protezione di un canale di comunicazione: End-to-end: le applicazioni che devono comunicare ai due estremi del canale cifrano i dati - sicurezza di proteggere i dati in ogni istante - visibilità delle informazioni di protocollo - necessità di accordo tra le parti Link: ogni tratto del percorso è cifrato singolarmente - ad ogni tappa decifratura e ri-cifratura - protezione delle informazioni di protocollo - trasparenza di funzionamento Uno dei protocolli sicuri più usati in ambito TCP/IP è SSL (Secure Socket Layer) si posiziona tra TCP e le applicazioni, mettendo a loro disposizione un canale cifrato utilizza la crittografia asimmetrica per autenticare le parti all apertura della connessione utilizza la crittografia simmetrica per cifrare i dati, generando ad ogni sessione una nuova chiave segreta 42

43 Problema: comunicazione sicura tra due entità 43 Infrastruttura per la chiave pubblica - crittografia simmetrica: un segreto per ogni coppia di entità - crittografia asimmetrica: un solo segreto per entità, chiave pubblica nota a tutti. Nuovo problema: l associazione tra entità e chiave pubblica Per questo vengono proposte le infrastrutture di certificazione della chiave pubblica (PKI). L associazione tra identità e chiave pubblica è contenuta in un certificato, il cui formato è descritto nello standard ITU-T X.509 L integrità del certificato è garantita dalla firma digitale apposta da una certification authority (CA) Ogni CA serve un gruppo di utenti omogeneo che le accordano fiducia (es. Comune cittadini, Azienda dipendenti, ) La CA si può avvalere di Registration Authority per la verifica iniziale dell identità dell utente I certificati vengono messi a disposizione di tutti attraverso la pubblicazione in una Directory Chi garantisce l autenticità della chiave pubblica della CA? Il certificato della CA è autofirmato, e viene consegnato all utente in modo sicuro (ad esempio all atto della sua identificazione).

Indice. Indice V. Introduzione... XI

Indice. Indice V. Introduzione... XI V Introduzione........................................................ XI PARTE I Installazione di Linux come Server.............................. 1 1 Riepilogo tecnico delle distribuzioni Linux e di Windows

Dettagli

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

CONFIGURAZIONE DEI SERVIZI (seconda parte)

CONFIGURAZIONE DEI SERVIZI (seconda parte) Corso ForTIC C2 LEZIONE n. 10 CONFIGURAZIONE DEI SERVIZI (seconda parte) WEB SERVER PROXY FIREWALL Strumenti di controllo della rete I contenuti di questo documento, salvo diversa indicazione, sono rilasciati

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

inetd (the Internet Superserver) Servizi di rete inetd (the Internet Superserver) inetd.conf

inetd (the Internet Superserver) Servizi di rete inetd (the Internet Superserver) inetd.conf Servizi di rete Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta oppure, in molti casi, che forza il demone a rileggere i file di configurazione. Questo meccanismo

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD

Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD UNIVERSITA DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Triennale in Matematica Seminario di Sicurezza Informatica Il protocollo SMTP e lo sniffer SPYD Studente

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta. /etc/init.d/nomedemone restart

Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta. /etc/init.d/nomedemone restart Servizi di rete Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta /etc/init.d/nomedemone restart oppure, in molti casi, killall -HUP nomeservizio che forza il demone

Dettagli

Sommario. 1. Introduzione. Samba - Monografia per il Corso di "Laboratorio di Sistemi Operativi".

Sommario. 1. Introduzione. Samba - Monografia per il Corso di Laboratorio di Sistemi Operativi. Sommario SAMBA Raphael Pfattner 10 Giugno 2004 Diario delle revisioni Revisione 1 10 Giugno 2004 pralph@sbox.tugraz.at Revisione 0 17 Marzo 2004 roberto.alfieri@unipr.it Samba - Monografia per il Corso

Dettagli

Web Server. Corso di Applicazioni Telematiche. A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico

Web Server. Corso di Applicazioni Telematiche. A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico Web Server Corso di Applicazioni Telematiche A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico Università degli Studi di Napoli Federico II Facoltà di Ingegneria Web Server Per realizzare un sistema web

Dettagli

sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon)

sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) sshd (secure shell daemon) ssh consente l'accesso ad una shell su di una macchina remota. I dati trasmessi sono cifrati, e per questo si può considerare l'evoluzione del servizio telnet, sempre meno utilizzato.

Dettagli

Configurazione di sicurezza di XAMPP

Configurazione di sicurezza di XAMPP Configurazione di sicurezza di XAMPP Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Siti web sicuri alcuni siti web possono

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009 La sicurezza nelle comunicazioni fra PC Prof. Mauro Giacomini A.A. 2008-2009 Sommario Cosa significa sicurezza? Crittografia Integrità dei messaggi e firma digitale Autenticazione Distribuzione delle chiavi

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Il Livello delle Applicazioni

Il Livello delle Applicazioni Il Livello delle Applicazioni Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione corrisponde agli ultimi tre livelli dello stack OSI. Il livello Applicazione supporta le applicazioni

Dettagli

Corso GNU/Linux - Lezione 6. Davide Giunchi - davidegiunchi@libero.it

Corso GNU/Linux - Lezione 6. Davide Giunchi - davidegiunchi@libero.it Corso GNU/Linux - Lezione 6 Davide Giunchi - davidegiunchi@libero.it Riepilogo TCP/IP Ogni host nella rete deve avere un proprio indirizzo ip Due o piu computer nella stessa rete, per poter comunicare

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova Dipartimento di Informatica e Scienze dell Informazione OpenSSH Simon Lepore Corso di Sicurezza DISI, Universita di Genova Via Dodecaneso 35, 16146 Genova, Italia http://www.disi.unige.it 1 Contenuti Introduzione...3

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Packet Filter in LINUX (iptables)

Packet Filter in LINUX (iptables) Packet Filter in LINUX (iptables) Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi Firewall Può essere un software che protegge il pc da attacchi esterni Host

Dettagli

Sicurezza nell'utilizzo di Internet

Sicurezza nell'utilizzo di Internet Sicurezza nell'utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1 Sicurezza: necessità Riservatezza: la comunicazione è stata intercettata? Autenticazione: l utente è veramente chi dice di essere? Autorizzazione: ogni utente può accedere solo alle risorse cui ha diritto.

Dettagli

La sicurezza nel Web

La sicurezza nel Web La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione

Dettagli

Sicurezza in Internet. Criteri di sicurezza. Firewall

Sicurezza in Internet. Criteri di sicurezza. Firewall Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Sicurezza del Web server Sicurezza Web Server (1) Perché attaccare un Web server? w Per

Dettagli

Sicurezza del Web server

Sicurezza del Web server Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Sicurezza del Web server 1 Sicurezza Web Server (1) Perché attaccare un Web server? w Per

Dettagli

Inetd e TCP Wrappers

Inetd e TCP Wrappers Inetd e TCP Wrappers Daniele Venzano 3 ottobre 2003 Indice 1 Introduzione 1 2 Inetd 2 2.1 Il file di configurazione /etc/inetd.conf.................... 2 2.1.1 Nome del servizio............................

Dettagli

Protezione delle informazioni in SMart esolutions

Protezione delle informazioni in SMart esolutions Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti

Dettagli

Download, configurazione ed installazione di apache

Download, configurazione ed installazione di apache INDICE INDICE... - 1 - Introduzione... - 3 - Caratteristiche principali... - 3 - Breve descrizione dell architettura... - 3 - Download, configurazione ed installazione di apache... - 3 - Configurazione

Dettagli

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Crittografia Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Elementi di crittografia Crittografia: procedimento

Dettagli

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma

Corso amministratore di sistema Linux. Corso amministratore di sistema Linux Programma Corso amministratore di sistema Linux Programma 1 OBIETTIVI E MODALITA DI FRUIZIONE E VALUTAZIONE 1.1 Obiettivo e modalità di fruizione L obiettivo del corso è di fornire le conoscenze tecniche e metodologiche

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato Guida all installazione e all utilizzo di un certificato personale S/MIME (GPSE) Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

RETI DI CALCOLATORI. Crittografia. La crittografia

RETI DI CALCOLATORI. Crittografia. La crittografia RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,

Dettagli

Sicurezza delle email, del livello di trasporto e delle wireless LAN

Sicurezza delle email, del livello di trasporto e delle wireless LAN Sicurezza delle email, del livello di trasporto e delle wireless LAN Damiano Carra Università degli Studi di Verona Dipartimento di Informatica La sicurezza nello stack protocollare TCP/IP Livello di rete

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Posta elettronica DEFINIZIONE

Posta elettronica DEFINIZIONE DEFINIZIONE E-mail o posta elettronica è un servizio Internet di comunicazione bidirezionale che permette lo scambio uno a uno oppure uno a molti di messaggi attraverso la rete Un messaggio di posta elettronica

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Il Livello delle Applicazioni 2 Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

CONFIGURAZIONE SERVER APACHE (XAMPP): ACCESSO SICURO A DIRECTORY DEL FILE SYSTEM.

CONFIGURAZIONE SERVER APACHE (XAMPP): ACCESSO SICURO A DIRECTORY DEL FILE SYSTEM. CONFIGURAZIONE SERVER APACHE (XAMPP): ACCESSO SICURO A DIRECTORY DEL FILE SYSTEM. A CURA DI ANTONELLA LAURINO Questa guida permette di configurare il server apache, contenuto nel software xampp, in modo

Dettagli

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di Calcolatori 1. Introduzione Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di calcolatori : Un certo numero di elaboratori

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza Esigenza della sicurezza La sicurezza nei sistemi informatici Nasce dalla evoluzione dei Sistemi Informatici e del contesto nel quale operano Maggiore importanza nei processi aziendali Dalla produzione

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione XIII Capitolo 1 Introduzione agli strumenti di sicurezza Open Source 1 Strumenti utilizzati negli esempi di questo libro 2 1.1 Licenza GPL

Dettagli

Argomenti Percorso 7 Apache HTTP

Argomenti Percorso 7 Apache HTTP Apache httpd Directory importanti File di configurazione Permessi d accesso Virtual Host Moduli ed estensioni SSL e https PHP Argomenti Percorso 7 Apache HTTP 2 httpd.apache.org Percorso 7 Apache HTTP

Dettagli

Corso Amministratore di Sistema Linux Programma

Corso Amministratore di Sistema Linux Programma Corso Amministratore di Rev. 1.0 Rev. Stato: 1.0 Approvato Stato: Approvato Amministratore Nuovo Portale di Sistema De Sanctis Amministratore di CONTROLLO DOCUMENTO TITOLO: Corso Amministratore di VERSIONE:

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Laboratorio di Progettazione Web

Laboratorio di Progettazione Web Il Server web Laboratorio di Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR - c.renso@isti.cnr.it E un programma sempre attivo che ascolta su una porta le richieste HTTP. All arrivo di una richiesta

Dettagli

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione XIX: Virtual Private Network a.a. 2015/16 1 cba 2011 15 M.. Creative Commons

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

Tecnologie Informatiche. service. Sicurezza aziendale Servizi Internet e Groupware

Tecnologie Informatiche. service. Sicurezza aziendale Servizi Internet e Groupware Tecnologie Informatiche service Sicurezza aziendale Servizi Internet e Groupware Neth Service è un sistema veloce, affidabile e potente per risolvere ogni necessità di comunicazione. Collega la rete Aziendale

Dettagli

Indice. Introduzione PARTE PRIMA ELEMENTI DI BASE DI SUSE LINUX 1

Indice. Introduzione PARTE PRIMA ELEMENTI DI BASE DI SUSE LINUX 1 Indice Introduzione XIII PARTE PRIMA ELEMENTI DI BASE DI SUSE LINUX 1 Capitolo 1 Installazione di SUSE 10 3 1.1 Scelta del metodo di installazione 3 1.2 Avvio dell installazione 5 1.3 Controllo del supporto

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

Dal protocollo IP ai livelli superiori

Dal protocollo IP ai livelli superiori Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

La sicurezza aziendale a 360 La protezione delle reti Roberto Covati

La sicurezza aziendale a 360 La protezione delle reti Roberto Covati Università degli Studi di Parma Dipartimento di Fisica http://www.fis.unipr.it La sicurezza aziendale a 360 La protezione delle reti Roberto Covati http://www.eleusysgroup.com La protezione delle reti

Dettagli

Protocolli applicativi: FTP

Protocolli applicativi: FTP Protocolli applicativi: FTP FTP: File Transfer Protocol. Implementa un meccanismo per il trasferimento di file tra due host. Prevede l accesso interattivo al file system remoto; Prevede un autenticazione

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio Sommario Esercitazione 04 Angelo Di Iorio One-time password S/Key Descrizione esercitazione Alcuni sistemi S/Key-aware Windows Linux ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA 2 Un po di background Un

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli