Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Angelo Di Iorio



Documenti analoghi
! S/Key! Descrizione esercitazione! Alcuni sistemi S/Key-aware. " Windows " Linux. ! Inizializzazione del sistema. " S = prepare(passphrase, seed)

Esercitazione 04. Sommario. Un po di background: One-time password. Un po di background. Andrea Nuzzolese

Esercitazione 4 S/Key

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 2 Certificati

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Esercitazione 5 Firewall

Esercitazione 02. Angelo Di Iorio

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Offerta per fornitura soluzione di strong authentication

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Informatica per la comunicazione" - lezione 13 -

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Sommario. Oggetto: Istruzioni configurazione client VPN per piattaforma Mac OSX Data: 25/01/2016 Versione: 1.0

Wireless Network Esercitazioni. Alessandro Villani

Software Servizi Web UOGA

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

BACKUP APPLIANCE. User guide Rev 1.0

Indice. Indice V. Introduzione... XI

Gestione Quota. Orazio Battaglia

Sommario. Modellazione di Kerberos mediante DASM. Kerberos (1) Descrizione Kerberos. Descrizione Kerberos Modellazione Analisi di Correttezza

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Direzione Centrale per le Politiche dell Immigrazione e dell Asilo

Reti di Telecomunicazione Lezione 7

(Analisi, Estrazione ed invio via dei cedolini paga).

Il Web Server e il protocollo HTTP

Guida Utente per Web Form Cambio Password

Scuola Superiore Sant Anna. Progetto parte Unix. AA : Distributed File Repository

Aggiornamento del software

UTILIZZO DELLA RETE WIRELESS DIPARTIMENTALE

Configurazione VOIspeed IP6060

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Integrazione InfiniteCRM - MailUp

ISTRUZIONI PER IL COLLEGAMENTO AL SERVER MATLAB DALL'ESTERNO DEL DIPARTIMENTO

Application Server per sviluppare applicazioni Java Enterprise

Manuale per l utilizzo dell applicazione Client per il controllo remoto di apparecchiature da laboratorio

DEI Dipartimento di Ingegneria dell Energia Elettrica e dell Informazione G. Marconi, sede di Bologna - Università di Bologna -

Guida all installazione Command WorkStation 5.5 con Fiery Extended Applications 4.1

Intel One Boot Flash Update Utility Guida dell utente

il trasferimento di file

InitZero s.r.l. Via P. Calamandrei, Arezzo

Network Services Location Manager. Guida per amministratori di rete

Guida all utilizzo di Moodle per gli studenti

Guida ai requisiti di accesso e alla modalità operativa del sistema E.Civis ASP

2.1 Installazione e configurazione LMS [4]

Laboratorio virtuale Progetto dei dipartimenti di Astronomia, Fisica, Matematica e Scienze dell Informazione

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Manuale Utente PEC e Client di Posta tradizionale

GovPay 2.0. Manuale Installazione

Installazione di GFI LANguard Network Security Scanner


Posta Elettronica Certificata

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti

Guida rapida all uso di Moodle per gli studenti

Manuale operatore per l utilizzo dell utente di dominio

GESTIONE RICHIESTE ESTENSIONE DI GARANZIA

Come configurare il proprio client di posta elettronica Con l account di Posta Elettronica Studenti dell 'Università "Parthenope"

Elementi di Sicurezza e Privatezza Laboratorio 10 Uso di OpenSSL per generare certificati X.509. Chiara Braghin chiara.braghin@unimi.it!

FISM del Veneto. caselle di posta FISM.

SCOoffice Address Book. Guida all installazione

Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress

Sistemi Operativi IMPLEMENTAZIONE DEL FILE SYSTEM. D. Talia - UNICAL. Sistemi Operativi 9.1

Manuale Gestore. STWS Web Energy Control - Servizio di telelettura sul WEB

Configurazione client di posta elettronica per il nuovo servizio . Parametri per la Configurazione dei client di posta elettronica

Esercitazioni - 2. Corso Reti ed Applicazioni Mauro Campanella Como 2003

Riferimento rapido per l'installazione SUSE Linux Enterprise Server 11

P2-11: BOOTP e DHCP (Capitolo 23)

Il web server Apache Lezione n. 3. Introduzione

Manuale servizio

Software di gestione della stampante

Z3 B1 Message Addon Invio Massivo Documenti via e Fax per SAP Business One

INGEGNERIA DEL SOFTWARE

Configurazione posta su ios

Manuale Amministratore bloodmanagement.it

Manuale servizio SMTP autenticato

MILANO - DIJON - TVA: FR

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100)

Esercitazioni di Progettazione del Software. Esercitazione (Prova al calcolatore del 17 settembre 2010)

PLUGGABLE AUTHENTICATION MODULE

Uso e configurazione di SSH. Paolo Amendola GARR-CERT paolo.amendola@ba.infn.it

MODULO 02. Iniziamo a usare il computer

Gestione centralizzata delle utenze tramite LDAP. Giuseppe Lo Biondo INFN-MI Firenze, 19 Settembre 2000

StarShell. Autenticazione. StarShell

ALTRO. v (Aprile 2015)

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

LABORATORIO DI TELEMATICA

OwnCloud Guida all installazione e all uso

Software di crittografia per GNOME. Nicola VITUCCI POuL Politecnico Open unix Labs

Mac Application Manager 1.3 (SOLO PER TIGER)

DINAMIC: gestione assistenza tecnica

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Titolo: ASSISTENZA. Data: 18/02/2015. Referente: Omar Vezzoli

lem logic enterprise manager

Sistemi Operativi IMPLEMENTAZIONE DEL FILE SYSTEM. Implementazione del File System. Struttura del File System. Implementazione

Transcript:

Sommario Esercitazione 04 Angelo Di Iorio One-time password S/Key Descrizione esercitazione Alcuni sistemi S/Key-aware Windows Linux ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA 2 Un po di background Un po di background: One-time password Nei sistemi di autenticazione il canale attraverso il quale la password viene inserita/spedita può non essere sicuro Un utente malizioso può sniffare la password e riutilizzarla per accessi successivi La crittografia simmetrica o asimmetrica può essere usata per risolvere il problema Lo schema generale è il seguente: U dichiara l intenzione di accedere a host H H seleziona un challenge e lo spedisce a U U calcola il response al challenge e lo spedisce indietro ad H H verifica il response e permette l accesso a U Solo U possiede informazioni che gli permettono di calcolare il response Intercettare il challenge o il response non fornisce nessuna informazione all attaccante

S/Key: intro S/Key: inizializzazione S/Key è un sistema one-time-password inizialmente sviluppato in ambiente Unix S/Key è un marchio della Telcordia Technologies, nuovo nome della Bell Communication Research (Bellcore) Esistono implementazioni per Linux (via PAM), FreeBSD, OpenBSD or Windows Il modulo S/Key viene usato per abilitare questo tipo di autenticazione su servizi FTP, NNTP, SSH, etc. Il sistema memorizza per ogni utente una passphrase e un seed (numero casuale). Si usa una funzione hash one-way f(x) Il sistema calcola x 1 =f(<passphrase,seed>); x 2 =f(x 1 ); ; x n =f(x n-1 ) Il sistema memorizza f^n (<passphrase,seed>) S/Key: verifica Esercitazione Descrizione generale All i-esima autenticazione (i > 0) Il sistema presenta la challenge <seed, i> Il client calcola il response R come segue R = f^(n i)(<passphrase,seed>) Il sistema verifica il response Se f(r) fa match con il valore memorizzato, allora l autenticazione ha avuto successo ed R rimpiazza il valore attualmente memorizzato Altrimenti, l autenticazione non ha avuto successo Lo studente installa sulla propria macchina un servizio con autenticazione S/Key Riceve una coppia <username,password> Configura il server per permettere l accesso all utente <username> via S/Key Supera la fase di autenticazione S/Key e accede al servizio

Esercitazione Requisiti del servizio Esercitazione Requisiti del client Qualunque tipo: Login server ftp server ssh Supporto per autenticazione S/Key Presenza di log (serviranno per il report finale) Client testuale, e.g., Comando ssh per server ssh Comando ftp per server ftp Esercitazione Requisiti per username e password http://labsicurezza.nws.cs.unibo.it/cgi-bin/ esercitazione04/index.php Compilare la form Nome, cognome, matricola (10 cifre) Indirizzo mail del dominio cs.unibo.it o studio.unibo.it In risposta si riceve all indirizzo specificato una mail di conferma con I dati inseriti Uno username e una password generati casualmente [Laboratorio Sicurezza 2010/2011: Esercitazione 04]: Mail di conferma per Cognome Nome Matricola! Mail inviata in copia anche al tutor Esercitazione Cosa inserire nel report Una copia della mail ricevuta Log del server che dimostrano la riuscita autenticazione Relativi allo username ottenuto nella mail di conferma Comprensivi della challenge fornita dal server (se presente nei log) Uno screenshot relativo all autenticazione challengeresponse via terminale Il response

Esercitazione Esempio in Windows JOPT e le informazioni necessarie a S/Key Scaricare un server FTP S/Key enabled e configurarlo Secure FTP Server http://www.cuteftp.com/ Free trial version Console di amministrazione grafica Server-U (free trial) Client ftp ftp a linea di comando Nota, abilitare il command line interpreter (cmd) Web S/Key calculator: http://www.cs.umd.edu/~harry/jotp/ Esercitazione Esempio in linux Configurazione del servizio SSH OPIE PAM (1/5) Pluggable Authentication Modules for Linux Framework per rendere le applicazioni indipendenti dai meccanismi di autenticazione Politiche di autenticazione per i vari servizi settate via file di configurazione PAM Autenticazione eseguita da moduli caricati dinamicamente L API PAM si divide in 4 differenti facilities Account Management: disponibilità di un account Authentication: l effettiva procedura di autenticazione e la gestione dei permessi Session Management, apertura e chiusura di una sessione Password Management, procedure per cambiare password

(2/5) (3/5) Applicazione PAM-aware PAM API File di config. Kerberos Opie Unix auth. Directory di configurazione /etc/pam.d/ Ogni file contiene le regole di configurazione di un servizio Regole di configurazione Per ogni servizio ci possono essere più regole Ogni regola indica il modulo PAM da utilizzare per una data facility Politica di gestione del modulo L ordine delle regole è importante: Per ogni facility i relativi moduli sono eseguiti in ordine (4/5) (5/5) Direttive per la configurazione per uno stesso servizio e caricamento dei moduli: #%PAM-1.0 auth sufficient pam_myauthmod.so auth required pam_unix.so account required pam_unix.so password required pam_unix.so session required pam_unix.so Alcuni servizi PAM-aware sshd, server ssh proftpd, server ftp wu-ftpd, server ftp

Esercitazione Esempio in linux OPIE (1/2) One-Time-Password in Everything Schema di autenticazione derivato da S/Key Per renderlo disponibile in PAM (debian) si usano diversi pacchetti: opie-server: mette a disposizione le utility per la gestione lato server delle OTP opiepasswd opieinfo opie-client: utility per la generazione di OTP da usare per l autenticazione opiekey libpam-opie: pacchetto per l utilizzo di OPIE via PAM Esercitazione Esempio in linux OPIE (2/2) Lato server opiepasswd inizializza l autenticazione OTP per un utente Passphrase Username Sequence number (default 499) opieinfo fornisce informazioni sul prossimo login OPIE Sequence number Seed Lato client opiekey calcola il response associato ad una challenge Passphrase Sequence number seed Esercitazione Esempio in linux Configurazione SSH Riferimenti Nel file /etc/pam.d/ssh Commentare le eventuali regole per la facility auth Aggiungere una regola del tipo: auth required pam_opie.so Il modulo specificato permette l autenticazione OPIE! Nel file di configurazione di sshd (/etc/ssh/sshd_config) ChallengeResponseAuthentication yes UsePAM yes http://www.ietf.org/rfc/rfc1760.txt, The S/KEY One-Time Password System (RFC) Paper: The S/Key On-Time-Password System, Haller, N., Proceedings of the ISOC Symposium on Network and Distributed System Security, February 1994, San Diego, CA http://www.cs.umd.edu/~harry/jotp/, the (web) Java Calculator http://www.orange-carb.org/skeycalc/, S/Key calculator for MAC OS http://www.kernel.org/pub/linux/libs/pam/, useful for documentation material on Linux-PAM

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back