Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it



Documenti analoghi
Sicurezza nelle reti

Prof. Filippo Lanubile

Informatica per la comunicazione" - lezione 13 -

La firma digitale CHE COSA E'?

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Sicurezza in Internet. Criteri di sicurezza. Firewall

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Firma digitale Definizione

Sicurezza in Internet

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

IDS: Intrusion detection systems

Firma digitale: aspetti tecnologici e normativi. Milano,

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Progettare un Firewall

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

La sicurezza nelle reti di calcolatori

Introduzione alla crittografia con OpenPGP

Lo scenario: la definizione di Internet

Sicurezza e rispetto della privacy, finalmente non in conflitto.

La sicurezza nel Web

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Protezione delle informazioni in SMart esolutions

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Reti di Telecomunicazione Lezione 8

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Guida di Pro PC Secure

Dal protocollo IP ai livelli superiori

La sicurezza nelle comunicazioni Internet

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Crittografia. Appunti a cura del prof. Ing. Mario Catalano

Aspetti di sicurezza in Internet e Intranet. arcipelago

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB.

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

RETI DI CALCOLATORI. Crittografia. La crittografia

Approfondimento di Marco Mulas

IT Security 3 LA SICUREZZA IN RETE

! La crittoanalisi è invece la scienza che cerca di aggirare o superare le protezioni crittografiche, accedendo alle informazioni protette

Quasar Sistemi S.r.l.

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Aruba Sign 2 Guida rapida

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Elementi sull uso dei firewall

Sicurezza applicata in rete

e-government La Posta Elettronica Certificata

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

La sicurezza delle reti

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

La gestione di rete OSI

Firewall e Abilitazioni porte (Port Forwarding)

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

RETI INFORMATICHE Client-Server e reti paritetiche

Dire, fare, azienda digitale

Configurazione di Outlook Express

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

Sommario. Introduzione alla Sicurezza Web

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Tipologie e metodi di attacco

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante

Identità e autenticazione

Simulazione seconda prova Sistemi e reti Marzo 2016

Sicurezza a livello IP: IPsec e le reti private virtuali

Domande e risposte su Avira ProActiv Community

Faber System è certificata WAM School

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Client - Server. Client Web: il BROWSER

Manuale Utente del Portale CA. Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS. Sistema Operativo Windows

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

Firma Digitale. dott. Andrea Mazzini

La firma digitale e le sue possibili applicazioni

Reti di Telecomunicazione Lezione 7

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite Windows 2000 Server

PEC un obbligo che semplifica

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

Cognome: Nome: Matricola: Sicurezza dei sistemi informatici e delle reti 20 febbraio Usa questa pagina per la brutta, staccala, non consegnarla.

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Creare connessioni cifrate con stunnel

da chi proviene un messaggio?

Offerta Enterprise. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS.

RADIUS - ACCESSO DA TELNET E DA CONSOLE

Crittografia e sicurezza delle reti. Firewall

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Transcript:

Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati I principali aspetti di protezione del dato sono Confidenzialità Integrità Disponibilità La protezione dagli attacchi informatici viene ottenuta agendo su più livelli: a livello fisico e materiale, ponendo i server in luoghi il più possibile sicuri, dotati di sorveglianza e/o di controllo degli accessi a livello logico che prevede l'autenticazione e l'autorizzazione di un entità che rappresenta l'utente nel sistema successivamente al processo di autenticazione, le operazioni effettuate dall'utente sono tracciate in file di log questo processo di monitoraggio delle attività è detto audit o accountability 2 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Tipi di sicurezza Sicurezza passiva (usata contro gli attacchi passivi ): tecniche e strumenti di tipo difensivo il cui scopo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata Salvaguardano riservatezza e autenticazione È più facile un intervento preventivo, che rilevare la presenza di un attacco Spesso gli attacchi passivi sono effettuati per ottenere informazioni necessarie per un attacco attivo Sicurezza attiva (usata contro gli attacchi attivi ): tecniche e strumenti mediante i quali le informazioni ed i dati di natura riservata sono resi intrinsecamente sicuri, proteggendo gli stessi dalla possibilità che un utente non autorizzato possa accedervi (confidenzialità) dalla possibilità che un utente non autorizzato possa modificarli (integrità) 3 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Alcuni esempi di attacchi Attacchi passivi Mapping e port scanning (esplorazione della rete) Es mapping: uso del ping o di altre utility basate su ICMP per l esplorazione di una rete Es port scanning: uso di telnet o di di altre utility per la scansione delle porte Sniffing (analisi del traffico) Attacchi attivi Spoofing (sostituzione) Es: Falsificazione dell indirizzo di rete del mittente o falsificazione del nome simbolico Exploit (sfruttamento dei bug dei software) Malicious software Es: Virus, Worm, Cavalli di Troia DoS: Denial of Service (negazione del servizio) Es: mail bombing (saturazione della posta 4 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Come difendersi? Alcune contromisure: Linee guida per la prevenzione dei problemi Sistemi di protezione di rete Sistemi di protezione a livello di host ciascun host viene protetto separatamente, attraverso il sistema operativo o altro software locale Sistemi di protezione a livello applicativo protezione dei dati attraverso meccanismi delle applicazioni stesse 5 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Linee guida per la prevenzione dei problemi Aggiornamenti frequenti del software: patch e service pack Monitoraggio tramite log Scansione delle porte Chiudere i processi in ascolto che non si intende utilizzare Politica di accessi autorizzati alle risorse Politica di gestione delle password Non operare quando non serve con diritti di root (administrator) 6 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

La Crittografia e l autenticazione Sono tecniche fondamentali nelle strategie di protezione a livello di host e di applicazione Crittografia garantisce: Riservatezza delle informazioni Integrità dei dati Autenticazione garantisce: Identità dell interlocutore remoto Autenticità delle informazioni Paternità delle informazioni 7 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Crittografia Cos è? Arte antica, e scienza moderna: fino al 1600 1700: sostituzioni monoalfabetiche sostituzioni polialfabetiche e sistemi simmetrici fino al 1975-76 crittografia a chiave pubblica e moderna Scopo della crittografia: studiare metodi che consentano di memorizzare, elaborare e trasmettere informazioni in presenza di agenti ostili 8 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Idea base della crittografia L idea di base è quella di trasformare un messaggio in modo tale che solo utenti autorizzati riescano a leggerlo P: testo in chiaro (plain text), comprensibile a tutti C: testo cifrato (ciphertext), comprensibile solo al destinatario E: funzione di cifratura, capace di rendere il messaggio decifrabile solo dal destinatario D: funzione di decifrazione utilizzata dal destinatario per leggere il messaggio cifrato (solo il destinatario la conosce) 9 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Tipi di algoritmi di cifratura L algoritmo di cifratura è la funzione matematica usata per cifrare e decifrare il messaggio Algoritmi basati su carattere sostituzione ogni simbolo si trasforma in un altro simbolo dell alfabeto cambiano i simboli ma non il loro ordine nel testo trasposizione i simboli vengono permutati in base ad una permutazione stabilita i simboli dell alfabeto non cambiano ma cambia l ordine in cui compaiono nel messaggio Algoritmi basati su chiave oltre a definire l algoritmo, si usa una chiave per cifrare/decifrare lo stesso algoritmo, con chiavi diverse, produce testi cifrati diversi a partire dallo stesso testo in chiaro 10 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Algoritmi a chiave segreta (simmetrica) La chiave K è la stessa per cifrare e decifrare il testo e deve essere nota contemporaneamente a chi invia e a chi riceve il messaggio Le funzioni di cifratura e decifrazione sono una l inversa dell altra: D( E(P,K), K ) = P E( D(C,K), K ) = C Alcuni algoritmi a chiave segreta DES (1977): chiave a 56 bit, ormai insicuro Triple DES (1979): chiave a 168 bit AES (1997): chiave a 128, 192 o 256 bit 11 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Crittografia a chiave pubblica (asimmetrica) Si usano due chiavi K 1 e K 2, una usata per cifrare l altra per decifrare: La chiave di cifratura K 1 è resa nota (chiave pubblica) La chiave di decifrazione K 2 è segreta (chiave privata) E praticamente impossibile dedurre K 2 da K 1 Naturalmente deve valere D( E(P,K 1 ), K 2 ) = P L algoritmo più noto è conosciuto con l acronimo RSA (da Rivest, Shamir, Adleman - 1978) 12 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Certificazione La chiave pubblica può essere pubblicata in un apposito elenco oppure semplicemente inviata all inizio della comunicazione L elenco delle chiavi pubbliche è un potenziale punto debole per la sicurezza del sistema Esiste il problema della autenticità delle chiavi pubbliche un utente può in malafede pubblicare una chiave a nome di un altro ed utilizzarla per sostituirsi a lui Si ricorre a terze parti, dette Certification Authority, che garantiscono l integrità e l autenticità dell elenco delle chiavi pubbliche (racc. ITU X.509) la Certification Authority deve essere al di sopra di ogni sospetto, compatibilmente con il livello di sicurezza desiderato la Certification Authority genera un certificato contenente la chiave pubblica dell utente e lo firma con la propria chiave privata qualunque altro utente può verificare che il certificato sia stato effettivamente firmato dall Authority 13 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Controllo degli accessi: sistemi di autenticazione Utilizzano meccanismi differenti (che possono anche essere combinati tra loro) qualcosa che io so password, pin qualcosa che io posseggo carta magnetica, smart card qualcosa che io sono (sistemi biometrici) impronta digitale, retina, voce, viso L affidabilità di un sistema di autenticazione è tanto più alta quanto più l'elemento identificativo è unico e riservato falsificare una firma è più semplice che indovinare una password e, nello stesso ambito, password complicate sono più difficili da indovinare di password semplici La combinazione di più sistemi ne aumenta la sicurezza bancomat = possesso + conoscenza 14 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Controllo degli accessi: sistemi di autenticazione L accesso ad informazioni protette deve essere ristretto alle sole persone autorizzate Questo vale anche per i programmi che processano tali informazioni Questo richiede che vengano messi in atto meccanismi di controllo degli accessi per proteggere l informazione La sofisticatezza dipende dal valore delle informazioni I meccanismi di controllo degli accessi si basano su identificazione e autenticazione Identificazione: è un asserzione sull identità di una persona. Salve, sono il sig. Pippo Ma sarà vero? Autenticazione: è l atto di verificare la veridicità di una identificazione Verifico che chi dichiara di essere il Sig. Pippo sia veramente lui 15 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Password In Internet sono più diffusi sistemi basati sulla conoscenza di qualcosa che sul possesso difficoltà verificare se possesso e lecito o legato a sottrazione Password statiche (nome account e password fissa) in genere memorizzate nei sistemi sotto forma di hash debolezze scelta di password semplici (date nascita, matrimonio, nome figli, mogli,.) furto per scrittura in luoghi accessibili (tastiera, cassetto,...) contromisure: regole sulla complessità, aging, pwd history Password one time (password usate una sola volta in una comunicazione e poi scartate) furto della password non consente utilizzi successivi differenti modalità di generazione: a partire da una chiave segreta S-key a partire da una Smart Card) 16 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

NAS (Network Access Server) Un NAS è un singolo punto di accesso ad una risorsa remota Un NAS ha il compito di proteggere l accesso a risorse Esempi: stampanti, pc, Internet Funzionamento: Un client si connette ad un NAS Il NAS si appoggia ad un altra entità per validare le credenziali fornite del client Sulla base della risposta, il NAS permette o meno l accesso alla risorsa protetta Il NAS non contiene pertanto nessuna informazione riguardo a Quali client possono connettersi Quali credenziali sono valide Il NAS si limita ad inviare ad un altra entità in grado di processare le credenziali ma chi è l entità che certifica? 17 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Radius generalmente un AAA server! Un AAA server è una entità che utilizza il protocollo AAA (Authentication, Authorization, Accounting) per effettuare autenticazione Per l autenticazione remota, sia nei nuovi sistemi (mobili) che in quelli già esistenti, attualmente lo standard de-facto del protocollo AAA è RADIUS (Remote Access Dial-In User Service) RADIUS è utilizzato in applicazioni di accesso alle reti o di mobilità IP è comunemente usato per dispositivi di rete integrati come router, server modem, switch, ecc utilizza pacchetti UDP RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing Nonostante il suo buon funzionamento, è stato messo a punto un nuovo protocollo, Diameter, candidato a rimpiazzare RADIUS utilizza infatti TCP anziché UDP ed è di conseguenza considerato più sicuro ed affidabile. 18 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Funzionamento 19 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Processo che filtra il traffico in ingresso e in uscita da una rete E una barriera tra due reti Se si tratta di un programma installato sul proprio PC che protegge quest ultimo da attacchi esterni, allora è considerabile come protezione di un host 20 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Firewall Viene considerato una protezione di rete se il firewall è una macchina dedicata che filtra tutto il traffico da e per una rete locale 21 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Packet Filter / Proxy Server Tutto il traffico fra la rete locale ed Internet deve essere filtrato dal firewall Solo il traffico autorizzato deve attraversare il firewall Un firewall può essere implementato come packet filter si interpone un router fra la rete locale ed Internet sul router si configura un filtro sui datagrammi IP da trasferire attraverso le varie interfacce proxy server esempio: nella rete protetta l accesso ad Internet è consentito solo ad alcuni host si interpone un server apposito detto proxy server per realizzare la comunicazione per tutti gli host il proxy server evita un flusso diretto di datagrammi fra Internet e le macchine della rete locale 22 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Esempio di configurazione firewall Quando una rete deve comprendere anche dei server che ospitano servizi pubblici (web, ftp, etc.), questi server sono collocati in una zona della rete chiamata DMZ (de-militarized zone ) Una DMZ permette di creare un area sicura della rete (su cui sono posti i server pubblici ) in cui far accedere il traffico esterno in maniera sicura e di evitare che questo traffico si diriga verso la rete di computer interna 23 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

I sistemi di rilevamento delle intrusioni (IDS) Studiati per rilevare attacchi tipici di Internet Forniscono diversi livelli di allarmi Possono bloccare i processi pericolosi Possono modificare la configurazione dei firewall Funzionamento: Informazioni prelevate da sensori e da LOG Rilevamento degli attacchi mediante il confronto con informazioni su data base (attack signature) Rilevamento di situazioni anomale eccessivo traffico di rete protocolli anomali atipica distribuzione statistica di valori (ad es.lunghezza pacchetti) 24 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Considerazioni Classificazioni: Network Intrusion Detection System (NIDS) sono dotati di sensori sulla rete esterna analizzano in tempo reale il traffico non intercettano il traffico cifrato Host Intrusion Detection System (HIDS) sono installati sul sistema stesso analizzano in tempo reale le attività Distributed Intrusion Detection System (DIDS) utilizzano vari tipi di sensori (reti, sistemi, LOG ) individuano gli attacchi correlando informazioni di varia natura Limiti degli IDS Grande quantità di informazioni aggiuntive E necessario un esperto che sia in grado di intraprendere opportune azioni Possibili disservizi per falsi positivi I sensori devono essere opportunamente protetti 25 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

Fine 26 Sicurezza - Concetti di base su reti dati - IZ3MEZ Francesco Canova

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back