Gestione e sicurezza nelle reti di calcolatori

Documenti analoghi
Sicurezza in Internet

Sicurezza in Internet. Criteri di sicurezza. Firewall

Protezione delle informazioni in SMart esolutions

Reti di Telecomunicazione Lezione 8

Approfondimento di Marco Mulas

Protezione. Protezione. Protezione. Obiettivi della protezione

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Informatica per la comunicazione" - lezione 13 -

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sicurezza nelle reti

Una minaccia dovuta all uso dell SNMP su WLAN

La sicurezza nel Web

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

La firma digitale CHE COSA E'?

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Programmazione in Rete

Sistemi Operativi MECCANISMI E POLITICHE DI PROTEZIONE. D. Talia - UNICAL. Sistemi Operativi 13.1

MECCANISMI E POLITICHE DI PROTEZIONE 13.1

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Antonio Cianfrani. Extended Access Control List (ACL)

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

La sicurezza delle reti

Sistemi Operativi. Interfaccia del File System FILE SYSTEM : INTERFACCIA. Concetto di File. Metodi di Accesso. Struttura delle Directory

Prof. Filippo Lanubile

Reti di Telecomunicazione Lezione 7

Dal protocollo IP ai livelli superiori

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

La gestione di rete OSI

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

RETI DI CALCOLATORI. Crittografia. La crittografia

Gestione degli indirizzi

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Sicurezza dei dati in EGRID

Gestione degli indirizzi

ARP e instradamento IP

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

Sicurezza a livello IP: IPsec e le reti private virtuali

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

INFORMATICA PROGETTO ABACUS. Tema di : SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI

File system II. Sistemi Operativi Lez. 20

Elementi di Informatica e Programmazione

Firewall e Abilitazioni porte (Port Forwarding)

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Lo scenario: la definizione di Internet

Altre misure di sicurezza

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB.

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Acquisto con carta di credito. Acquisto con carta di credito

PROF. Filippo CAPUANI. Accesso Remoto

Inizializzazione degli Host. BOOTP e DHCP

Alberto Ferrante. Security Association caching of a dedicated IPSec crypto processor: dimensioning the cache and software interface

Reti di Calcolatori. Il software

Introduzione alle applicazioni di rete

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

IT Security 3 LA SICUREZZA IN RETE

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Reti private virtuali (VPN) con tecnologia IPsec

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite Windows 2000 Server

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

Procedure di utilizzo e di descrizione applicativa

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Maschere di sottorete a lunghezza variabile

Standard di comunicazione

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

Elementi di Informatica e Programmazione

Elementi sull uso dei firewall

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Firma digitale Definizione

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Impostare il ridirezionamento di porta

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

SNMP e RMON. Pietro Nicoletti Studio Reti s.a.s. Mario Baldi Politecnico di Torino. SNMP-RMON - 1 P. Nicoletti: si veda nota a pag.

IDS: Intrusion detection systems

! La crittoanalisi è invece la scienza che cerca di aggirare o superare le protezioni crittografiche, accedendo alle informazioni protette

La privacy e il Web 2.0: una soluzione sicura per Google Documents e Mozilla Firefox

Protocolli di Comunicazione

Reti di Telecomunicazione Lezione 6

SWITCH. 100 Mb/s (UTP cat. 5E) Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e

Wi-Fi, la libertà di navigare in rete senza fili. Introduzione.

Elementi di Sicurezza e Privatezza Lezione 1 - Introduzione

Protocollo SNMP e gestione remota delle apparecchiature

Crittografia e sicurezza delle reti. WEP: Wired Equivalent Privacy

Reti diverse: la soluzione nativa

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

Cognome: Nome: Matricola: Sicurezza dei sistemi informatici e delle reti 20 febbraio Usa questa pagina per la brutta, staccala, non consegnarla.

Il sistema di I/O. Hardware di I/O Interfacce di I/O Software di I/O. Introduzione

Stampe in rete Implementazione corretta

Funzionamento e attivazione

Transcript:

Reti di calcolatori Gestione e sicurezza nelle reti di calcolatori Samuel Rota Bulò DAIS Università Ca Foscari di Venezia Gestione e sicurezza R14.1

Gestione della rete Controllo e monitoring della rete, componenti hw e sw Identificazione di errori e delle loro cause Problemi: eterogeneità della rete dimensione errori temporanei, meno gravi, intermittenti: più difficili da identificare mascheramento degli errori da parte dei protocolli di rete -> peggiori prestazioni per l intera rete (tutti i nodi) Software di gestione di rete controllo delle componenti della rete (host, router, linee, bridges, ) raccolta di informazioni sullo stato derivazione di statistiche Gestione e sicurezza R14.2

Gestione della rete Monitor controllo basato su monitoring basato sul protocollo cliente-servente - livello applicazione manager (su client) programma del gestore di rete agent (su server) programma eseguito sulla periferica di rete da monitorare Cliente Manager Servente Agent Gestione e sicurezza R14.3

Monitor di rete Il monitor usa le stesse modalità e funzioni da testare In caso di guasto hw che interrompe la comunicazione, qualsiasi livello lo può rilevare L uso degli stessi protocolli di livello trasporto fa sì che il monitor osservi gli stessi ritardi degli altri pacchetti applicativi, rilevando eventuali ritardi anomali SNMP Simple Network Management Protocol protocollo di gestione su Internet, definisce la interazione fra manager e agent I messaggi sono in codifica ANS.1 (Abstract Syntax Notation.1) Gestione e sicurezza R14.4

Paradigma fetch-store Due operazioni basilari: fetch recupera il valore da una componente store memorizza un valore in una componente Ogni oggetto ha un nome unico ed un valore che può essere ottenuto con fetch o memorizzato con store Lo stato di una componente è descritta da oggetti con il loro valore Identificazione degli oggetti MIB Management Information Base insieme di informazioni (oggetti) utilizzate da SNMP Separazione fra protocollo di comunicazione e definizione di oggetti Gestione e sicurezza R14.5

Paradigma fetch-store SNMP non specifica le variabili MIB, ma solo il formato e la codifica Le singole variabili MIB e come accedere (fetch, store) sono definite da un altro standard -> flessibilità -> adattabilità -> possibilità di inserzioni Oggetti MIB - specifica ASN.1 Gruppi di variabili corrispondono a protocolli (es. ARP, TCP, UDP, IP,...) o ad hw di rete (Ethernet, FDDI, Token Ring, ) o hw di componenti (bridge, printer, ) Gestione e sicurezza R14.6

Sicurezza Definizione di rete sicura: - accesso alle informazioni - modifica - Definizione di politica di sicurezza cosa proteggere, non come implementare la protezione Politica di sicurezza della rete politica di sicurezza dell host Sicurezza: protezione delle risorse e delle informazioni Definizione: - del valore della informazione - priorità di protezione - complessità accettabile Compromesso fra sicurezza e facilità di uso Gestione e sicurezza R14.7

Sicurezza Esempi: integrità di dati (cambiamenti) disponibilità dei dati (guasti) riservatezza, privatezza dei dati Risorse: di esecuzione di memorizzazione di comunicazione Aspetti di sicurezza: autenticazione autorizzazione riservatezza (privacy) disponibilità (availability) integrità paternità Gestione e sicurezza R14.8

Autenticazione Autenticazione Verifica l autenticità, ovvero l identità dell utente - conoscenza di una informazione privata (password) - uso di oggetti (smart card) - uso di informazione privata personale fisiologica (impronta digitale, fondo retina, ) Mutua autenticazione Autorizzazione Specifica le azioni permesse dall utente Differenza fra autorizzazione e autenticazione. Gestione e sicurezza R14.9

Riservatezza Riservatezza Evitare l accesso non autorizzato (lettura) alle informazioni. Interpretazione delle informazioni (accesso e decodifica) Integrità Evitare la modifica non autorizzata (scrittura) delle informazioni Garantire la comunicazione corretta. Disponibilità Garantire l accesso e l uso delle risorse con continuità Paternità Il mittente non può ripudiare un messaggio che ha spedito Gestione e sicurezza R14.10

Sicurezza e organizzazione Definizione responsabilità e controllo della informazione chi è responsabile come viene controllata la responsabilità es: accounting, autorizzazione Integrità a diversi livelli sono stati introdotti i meccanismi di controllo degli errori es : CRC, checksum, -> garanzie parziali possibili falsi positivi (errore di trasmissione sul valore del checksum) possibili falsi negativi (attacco che falsifica il CRC o checksum su dati modificati) Controllo di accesso tramite password Accesso alle risorse. In un singolo host il controllo della password è più semplice rispetto alla rete Gestione e sicurezza R14.11

Sicurezza e organizzazione Esempio: LAN Host A messaggio M Host B copia di M Problema: intrusione Intruder Soluzione: cifratura del messaggio Problema: controversia di comunicazione A e B possono mentire senza che l altro possa dimostrarlo Soluzione: A firma il messaggio, leggibile da tutti Gestione e sicurezza R14.12

Tipi di intrusione Tentativi di intrusione passivi lettura di informazioni altrui analisi del sistema e del traffico di rete attivi modifica di informazioni altrui cancellazione di informazioni altrui falsificazione di identità accesso non autorizzato a risorse blocco di servizi altrui Principio minimo di sicurezza: protezione dagli attacchi passivi riconoscimento degli attacchi attivi Gestione e sicurezza R14.13

Metodi e strategie di sicurezza Accesso improprio a risorse: Leaking acquisire informazioni senza autorizzazione Browsing lettura di tutti i pacchetti Interferencing ricavare informazioni dai dati stessi Masquerading fingersi un altro utente Politiche di protezione dei dati: - accesso ai dati in base all id (user id) e al gruppo di appartenenza - livelli di protezione crescente es: unclassified, classified, secret, top secret Orange Bookriservatezza dei dati e mandatory access control, sviluppato in ambiente militare US applicazione dei criteri di sicurezza dell Orange Book Red Book a sistemi interconnessi in rete Lavander Book a sistemi di basi di gestione di basi di dati (DBMS) Definizione di criteri comuni Gestione e sicurezza R14.14

Orange Book Standard per sistemi aperti e sicurezza Livelli e protezione - struttura di progetto incrementale: ogni livello ingloba gli elementi di sicurezza dei precedenti e vi aggiunge quelli specifici del livello. Si assume che gli utenti del sistema possano essere in malafede Categorie A B C D Caratteristiche informazioni classificate, modello di sicurezza sistemi non discrezionali, protezione obbligatoria dal sistema sistemi discrezionali, protezione a discrezione dell utente non sicuri sicurezza Gestione e sicurezza R14.15

Orange Book Classe C1 Classe C2 Classe B1 Classe B2 Classe B3 Classe C (protezione possibile) autenticazione degli utenti (pw) controllo degli accessi alle risorse controllo dell accesso alla memoria controllo di accesso alle risorse con diversa granularità (utente) cancellazione della memoria prima dell assegnamento all utente auditing Classe B (protezione obbligatoria) diritti associati ad ogni oggetto (processi, risorse) controllati dal SO i dispositivi devono trattare tali diritti trusted path fra SO e utente dinamica del livello di sicurezza dei processi (notifica al SO) nucleo del SO strutturato (security kernel) canali e banda controllo stretto delle modifiche di sistema per le parti critiche alla sicurezza controllo degli accessi con overrule auditing attivo secure crashing e restaring Classe A (modello formale di sicurezza) come sopra ma con verifica di progetto Gestione e sicurezza R14.16

POSIX POSIX.6 Protection, Audit and Control Interface Standard per realizzare applicazioni portabili definizione di interfacce per la gestione delle informazioni di sicurezza auditing discretionary access control mandatory access control information labels privilege Stabilire i diritti d accesso: ACL Access Control List lista dei diritti di accesso per ogni oggetto (non specifica implementativa) Controlla i diritti di accesso alle risorse da parte dei gruppi e degli utenti Permette ad alcuni utenti di eseguire operazioni sensibili alla sicurezza solo in certe condizioni e per un tempo dato. Es: Unix super user : meccanismo di overridding dei privilegi Gestione e sicurezza R14.17

POSIX mandatory access control Il sistema (e non il processo) impone e assicura la protezione degli oggetti soggetto=processo oggetto=file, processo Ogni soggetto e oggetto ha una etichetta MAC (mandatory access control) Etichette ordinate: se L1>L2 un soggetto senza privilegi non può rendere disponibile l informazione con etichetta L1 ad un soggetto con etichetta L2 Restrizioni di accesso ai file lettura consentita solo se l etichetta del processo lettore L1>L2, etichetta del file (no read up) scrittura consentita solo se l etichetta del processo L1<L2, etichetta del file (no write down) Es: un processo secret non può leggere da un top secret, e non può scrivere su un file con etichetta confidential (confidential < secret < topsecret ) Gestione e sicurezza R14.18

Sicurezza nel modello cliente/servente Sicurezza della comunicazione : canale Comunicazione basata sul sospetto reciproco Messaggi inviati e autorizzazioni usate una volta sola per evitare/limitare le intrusioni Politiche di sicurezza Controllo d accesso Crittografia Autenticazione clienti e serventi Gestione e sicurezza R14.19

Crittografia e codici Codici di Sostituzione permutazione sull alfabeto del testo chiaro simbolo -> byte alfabeto -> 256 simboli trasformazione dei simboli; non cambia il loro ordine 256! permutazioni possibili chiave di cifratura: tabella di corrispondenza dei simboli (256x2) Es. Codice di Cesare, sostituzione monoalfabetica che sostituisce ad ogni carattere quello successivo di 3 posizioni nell ordine alfabetico Codici di Trasposizione stabilito un periodo P di trasposizione, si sceglie una permutazione su [1, P] e si fa corrispondere alla successione 1,2,,P la sua permutazione Es. P=5 la successione 1 2 3 4 5 è sostituita p.es. da 5 3 4 1 2 ad ogni carattere quello corrispondente nella permutazione i simboli non cambiano, cambia il loro ordine il testo è diviso in blocchi di P byte, anagrammando ciascuno secondo la permutazione scelta La decodifica utilizza la permutazione inversa Gestione e sicurezza R14.20

Crittoanalisi Derivare il testo in chiaro dal testo cifrato, senza conoscere la chiave di lettura Utilizza qualche conoscenza Gestione e sicurezza R14.21

Crittografia Crittografare il messaggio rendere un messaggio non intelleggibile a chiunque eccetto il destinatario Diversi metodi codifica basata su chiavi e algoritmi di codifica e decodifica a chiave segreta a chiave pubblica con funzioni hash (algoritmi simmetrici) (algoritmi asimmetrici) Problemi: segretezza della chiave segretezza dell algoritmo Gestione e sicurezza R14.22

Crittografia a chiave segreta L algoritmo di cifratura deve essere noto Nessun sistema è assolutamente sicuro (impraticabilità dei sistemi teoricamente sicuri) L attacco deve essere irrealizzabile in pratica (tempo di vita delle informazioni) Crittografia a chiave segreta condivisa A codifica il messaggio M con la funzione codifica Encrypt E = Encrypt (K, M) B decodifica il messaggio M con la funzione (inversa) Decrypt M= Decrypt(K, E) ovvero: M = Decrypt(K, Encrypt (K, M)) Gestione e sicurezza R14.23

Crittografia a chiave segreta Host A codifica M in E con K spedisci E Host B E ricevi E decodifica E in M con K copia di E (non decifrabile senza K) A e B condividono K Problemi: comunicazione della chiave segreta, autenticità del mittente Gestione e sicurezza R14.24

Crittografia a chiave pubblica chiave privata e chiave pubblica chiave privata segreta chiave pubblica, nota in associazione al nome dell utente Un messaggio codificato con chiave pubblica non si decodifica facilmente senza la chiave privata Un messaggio codificato con chiave privata si decodifica solo con chiave pubblica One way property non si riesce a falsificare la codifica di un messaggio con chiave privata anche se è nota la chiave pubblica Es. K pub-a sia la chiave pubblica e K A la chiave privata di A M = Decrypt(K pub-a, Encrypt (K A, M)) M = Decrypt(K A, Encrypt (K pub-a, M)) Gestione e sicurezza R14.25

Crittografia a chiave pubblica Host A codifica M in E con K pub-b spedisci E Tutti (anche A) condividono K pub-b E Host B ricevi E decodifica E in M con K B copia di E (non decifrabile senza K B ) Maggior costo rispetto alla cifratura simmetrica Gestione e sicurezza R14.26

Autenticazione e firma digitale Firma digitale meccanismo di autenticazione del mittente di un messaggio il mittente codifica con chiave privata (ciò garantisce l autenticazione) Per evitare copia dei messaggi, si codifica il messaggio insieme alla marca temporale con data ed ora della creazione del messaggio Per assicurare sia l autenticazione del mittente che la privatezza del messaggio si possono usare due livelli di codifica: per un messaggio M da A a B, siano K A e K B le chiavi private di A e B, K pub-b e K pub-b le chiavi pubbliche di A e B A calcola X come B decodifica X come X = Encrypt(K pub-b, Encrypt (K A, M)) M = Decript(K pub-a, Decrypt (K B, X)) Gestione e sicurezza R14.27

Autenticazione e firma digitale Host A firma M in E con K A codifica M in X con K pub-b firmato E spedisci X copia di X (non decifrabile senza K B ; non autenticata senza K A ) X Host B ricevi X decodifica X in M con K B firmato E decodifica la firma di A con K pub-a Gestione e sicurezza R14.28

Esempio di algoritmo Prodotto di due interi (grandi, >10 100 ) p e q N = p * q Z = (p-1) * (q-1) d intero primo rispetto a Z trovare i tale che i*d=1 mod Z Messaggio decomposto in blocchi di f bit, con 2 f <N calcola di ogni blocco la codifica, con K pub = (N, i), e con M= C i mod N la decodifica K priv = (N, d), e con C= M d mod N le due chiavi sono inverse, K pub pubblica, K priv privata Es. la fattorizzazione di un numero di 200 cifre richiede ca 4.000.000.000 di anni 500 cifre richiede O(10 25 ) anni Gestione e sicurezza R14.29

Filtro di pacchetti Prevenzione dell accesso libero a host o a servizi filtro dei pacchetti sw che evita che i pacchetti passino da una rete all altra tramite il router la configurazione del manager specifica a quali pacchetti si applica il filtro Rete 1 Rete 2...... filtro di pacchetti nel router Gestione e sicurezza R14.30

Filtro di pacchetti Analisi dell intestazione del pacchetto nel campo header, identificando sorgente e destinazione Per il filtro sui servizi: analisi del protocollo o del servizio di alto livello corrispondente al pacchetto Si seleziona così il traffico Es. filtro su tutti i pacchetti che richiedono uso di servizi web Anche filtri basati su espressioni booleane di sorgenti, destinazioni e servizi Gestione e sicurezza R14.31

Firewall Filtro dei pacchetti utilizzato per proteggere una rete di una organizzazione da traffico Internet qualsiasi e non desiderato Internet Intranet filtro di pacchetti di protezione Internet firewall su ogni connessione della rete verso l esterno numero limitato di host interni che accedono all esterno (minimo uno), che devono essere sicuri Gestione e sicurezza R14.32

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back