Sicurezza in Internet

Transcript

1 Sicurezza in Internet Mario Cannataro 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni Auditing e gestione accessi non autorizzati 2

2 Internet, Intranet, Extranet Internet rete globale basata su IP browser=strumento universale di accesso Intranet utilizzo dei protocolli/strumenti Internet per accedere alla rete aziendale Extranet estensione del concetto Intranet per reti geografiche aziendali apertura delle Intranet ai partner aziendali, che adoperano strumenti Internet (VPN) 3 Criteri di sicurezza Se non è permesso, è proibito maggiore sicurezza meno flessibile da configurare Se non è proibito, è permesso minore sicurezza più facile da configurare 4

3 Firewall Processo che filtra il traffico in ingresso e in uscita da una rete E l unica strozzatura del sistema da proteggere E una barriera tra due reti 5 InterNet Siti particolari Telnet Rlogin Accesso a Internet (WWW, ftp) Accesso a FTP server aziendale Mail in uscita verso Internet FW Accesso a WWW aziendale Accesso a FTP server aziendale Mail in ingresso da Internet WWW server Intranet DB server 6

4 Usi tipici di un firewall Controllo sugli accessi Misurazione del traffico e rilevazione di situazioni anomali Limitazione degli accessi da/a particolari aree (es. domini IP, utenti, ecc.) Realizzazione di VPN 7 Tipi di firewall A livello rete (HW) controllo solo sul pacchetto screening router (es. Cisco) A livello applicazione (HW+SW) controllo sul pacchetto e correlazione con l applicazione che lo genera/usa residente su macchina (dedicata o general purpose), es. FireWall 1 su Sun 8

5 Controllo di accesso I meccanismi di controllo assicurano che l accesso (rete, database, applicazioone) venga concesso in base ad una certa policy di sicurezza prestabilita Differenti approcci: username e password token crittografia biometrica 9 Autenticazione Riconoscimento di un utente che si presenta al sistema Processo attraverso il quale il sistema si assicura che l utente richiedente è veramente chi sostiene di essere, usando: le credenziali presentate dall utente le informazione possedute dal sistema 10

6 Autenticazione Username e password Certificati digitali Strong authentication Token: password dinamiche con timestamp challenge-response utente: richiesta connessione server: invia challenge (ogni volta diverso) utente: calcola il response, mediante il token, usando il challenge, e lo invia al server server: controlla se response è corretto 11 Sicurezza nelle comunicazioni Integrità dei dati garanzia che i dati non sono stati manipolati tra mittente e destinatario Riservatezza dei dati garanzia che i dati sono intelleggibili solo da mittente e destinatario Non ripudio garanzia contro il possibile disconoscimento sull effettiva occorrenza delle comunicazioni 12

7 Crittografia simmetrica (es. di documento cifrato) Mittente Destinatario DES DES CHIAVE SEGRETA CONDIVISA FRA MITTENTE E DESTINATARIO Problema: la distribuzione e gestione sicura delle chiavi è complessa 13 Crittografia asimmetrica Uso di due chiavi, uniche e complementari, tali che ciò che può essere fatto con una chiave (es. codifica), può essere invertito (es. decodifica) solo con la seconda chiave: la chiave privata, generata localmente sul sistema utente, deve rimanere segreta la chiave pubblica, invece, è resa pubblica attraverso Directory server e Certificati Digitali 14

8 Certificati Digitali Un certificato digitale (Digital ID) è l equivalente elettronico di un documento di identità: esso contiene le informazioni di identità del possessore (Mario Cannataro, ) contiene la chiave pubblica del possessore è emesso da una trusted authority (Certification Authority) che garantisce sull identità del possessore assegnando il certificato solo dopo avere appurato l identità del richiedente cifrando il certificato con la sua chiave privata 15 Crittografia asimmetrica (es. di documento cifrato) Mittente Destinatario RSA RSA Codifica Decodifica CHIAVE PUBBLICA DEL DESTINATARIO CHIAVE PRIVATA DEL DESTINATARIO Mario Cannataro Mimmo Paolo Francesco Directory server delle chievi pubbliche (c/o Certification Authority) 16

9 Crittografia asimmetrica (es. di documento firmato ) Mittente Destinatario RSA RSA Codifica Decodifica CHIAVE PRIVATA DEL MITTENTE CHIAVE PUBBLICA DEL MITTENTE Mario Cannataro Mimmo Paolo Francesco Directory server delle chievi pubbliche (c/o Certification Authority) 17 Certification Authority Directory Mario Cannataro Mimmo Paolo Francesco controfirmato da C.A. controfirmato da C.A. Mario Cannataro RSA Mario Cannataro controfirmato da C.A. CHIAVE PRIVATA DELLA CERTIFICATION AUTHORITY 18

10 Sicurezza nelle comunicazioni tra Browser e Web server Secure Socket Layer (SSL) sistema sviluppato da Netscape basato sull uso dei certificati digitali mutua autenticazione tra web server e browser (utente) riservatezza comunicazioni traffico cifrato usando un unica "sessionkey. (per utente e connessione), a sua volta è cifrata con la chiave pubblica del server integrità delle comunicazioni 19 Sessione SSL 20

11 Auditing e gestione allarmi Non è sufficiente predisporre solo strumenti di filtraggio e controllo E necessario monitorare periodicamente il traffico tra le reti per evidenziare situazioni anomale e possibili attacchi Occorre predisporre un insieme di contromisure per gestire tali situazioni 21