Sicurezza in Internet. Criteri di sicurezza. Firewall

Transcript

1 Sicurezza in Internet 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza, integrità, non ripudio delle comunicazioni Auditing e gestione accessi non autorizzati Crittografia simmetrica Codifica/Decodifica messaggi Crittografia asimmetrica Codifica/Decodifica messaggi Firma/Verifica_firma messaggi Certification Authority e Certificati digitali 2 Internet, Intranet, Extranet Internet rete globale basata su IP browser=strumento universale di accesso Intranet utilizzo dei protocolli/strumenti Internet per accedere alla rete aziendale Extranet estensione del concetto Intranet per reti geografiche aziendali apertura delle Intranet ai partner aziendali, che Criteri di sicurezza Se non è permesso, è proibito maggiore sicurezza meno flessibile da configurare Se non è proibito, è permesso minore sicurezza più facile da configurare adoperano strumenti Internet (VPN) 3 4 Firewall InterNet Processo che filtra il traffico in ingresso e in uscita da una rete E l unica strozzatura del sistema da proteggere E una barriera tra due reti Siti particolari Accesso a Internet (WWW, ftp) Accesso a FTP server aziendale Mail in uscita verso Internet FW Telnet Rlogin Accesso a WWW aziendale Accesso a FTP server aziendale Mail in ingresso da Internet WWW server Intranet 5 DB server 6 1

2 Usi tipici di un firewall Controllo sugli accessi Misurazione del traffico e rilevazione di situazioni anomali Limitazione degli accessi da/a particolari aree (es. domini IP, utenti, ecc.) Realizzazione di VPN Tipi di firewall A livello rete (HW) controllo solo sul pacchetto screening router (es. Cisco) A livello applicazione (HW+SW) controllo sul pacchetto e correlazione con l applicazione che lo genera/usa residente su macchina (dedicata o general purpose), es. FireWall 1 su Sun 7 8 Controllo di accesso I meccanismi di controllo assicurano che l accesso (rete, database, applicazioone) venga concesso in base ad una certa policy di sicurezza prestabilita Differenti approcci: username e password token crittografia biometrica Autenticazione Riconoscimento di un utente che si presenta al sistema Processo attraverso il quale il sistema si assicura che l utente richiedente è veramente chi sostiene di essere, usando: le credenziali presentate dall utente le informazione possedute dal sistema 9 10 Autenticazione Username e password ( cosa sai ) Strong authentication ( cosa hai ) Token: password dinamiche con timestamp challenge-response utente: richiesta connessione server: invia challenge (ogni volta diverso) utente: calcola il response, mediante il token, usando il challenge, e lo invia al server server: controlla se response è corretto Certificati digitali Crittografia biometrica ( chi sei ) fingerprint, voiceprint, eyeprint, DNA 11 Sicurezza nelle comunicazioni Integrità dei dati garanzia che i dati non sono stati manipolati tra mittente e destinatario Riservatezza dei dati garanzia che i dati sono intelleggibili solo da mittente e destinatario Non ripudio garanzia contro il possibile disconoscimento sull effettiva occorrenza delle comunicazioni 12 2

3 Crittografia simmetrica (es. di documento cifrato) Crittografia asimmetrica Mittente DES DES CHIAVE SEGRETA CONDIVISA FRA MITTENTE E DESTINATARIO Problema: la distribuzione e gestione sicura Destinatario Uso di due chiavi, uniche e complementari, tali che ciò che può essere fatto con una chiave (es. codifica), può essere invertito (es. decodifica) solo con la seconda chiave: la chiave privata, generata localmente sul sistema utente, deve rimanere segreta la chiave pubblica, invece, è resa pubblica attraverso Directory server e Certificati Digitali delle chiavi è complessa Certificati Digitali Un certificato digitale (Digital ID) è l equivalente elettronico di un documento di identità: esso contiene le informazioni di identità del possessore (, ) contiene la chiave pubblica del possessore è emesso da una trusted authority (Certification Authority) che garantisce sull identità del possessore assegnando il certificato solo dopo avere appurato l identità del richiedente cifrando il certificato con la sua chiave privata 15 Crittografia asimmetrica (es. di documento cifrato) Mittente Codifica CHIAVE PUBBLICA DEL DESTINATARIO Mimmo Paolo Francesco Destinatario CHIAVE PRIVATA DEL DESTINATARIO Decodifica Directory server delle chievi pubbliche (c/o Certification Authority) 16 Crittografia asimmetrica (es. di documento firmato ) Mittente Destinatario Directory Mimmo Paolo Francesco Certification Authority controfirmato da C.A. controfirmato da C.A. Codifica CHIAVE PRIVATA DEL MITTENTE Mimmo Paolo Francesco CHIAVE PUBBLICA DEL MITTENTE Decodifica Directory server delle chievi pubbliche (c/o Certification Authority) 17 Mario Cannataro CHIAVE PRIVATA DELLA CERTIFICATION AUTHORITY Mario Cannataro controfirmato da C.A. 18 3

4 Sicurezza nelle comunicazioni tra Browser e Web server Sessione SSL Secure Socket Layer (SSL) sistema sviluppato da Netscape basato sull uso dei certificati digitali mutua autenticazione tra web server e browser (utente) riservatezza comunicazioni traffico cifrato usando un unica "session key. (per utente e connessione), a sua volta è cifrata con la chiave pubblica del server integrità delle comunicazioni Auditing e gestione allarmi Non è sufficiente predisporre solo strumenti di filtraggio e controllo E necessario monitorare periodicamente il traffico tra le reti per evidenziare situazioni anomale e possibili attacchi Occorre predisporre un insieme di contromisure per gestire tali situazioni Approfondimenti Crittografia simmetrica Crittografia asimmetrica Codifica messaggi Firma messaggi Codifica e firma messaggi Firma digitale Certificati digitali X.509 Virus, worm, etc

5

6