Sicurezza dei sistemi e delle reti Introduzione



Похожие документы
La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Introduzione al data base

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Informatica per la comunicazione" - lezione 13 -

Identità e autenticazione

Software Servizi Web UOGA

Lezione 4 La Struttura dei Sistemi Operativi. Introduzione

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Database. Si ringrazia Marco Bertini per le slides

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Introduzione. Corso di Informatica giuridica (corso propedeutico) Facoltà di Giurisprudenza LIUC

La firma digitale CHE COSA E'?

Informatica 3. Informatica 3. LEZIONE 10: Introduzione agli algoritmi e alle strutture dati. Lezione 10 - Modulo 1. Importanza delle strutture dati

Faber System è certificata WAM School

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Organizzazione degli archivi

Si applica a: Windows Server 2008

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

Una minaccia dovuta all uso dell SNMP su WLAN

Generazione Automatica di Asserzioni da Modelli di Specifica

Via Mazzini, Candia Canavese (TO)

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Fattura Facile. In questo menù sono raggruppati, per tipologia, tutti i comandi che permettono di gestire la manutenzione degli archivi.

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

2 Dipendenza da Internet Tipi di dipendenza Fasi di approccio al Web Fine del corso... 7

Elementi di Sicurezza e Privatezza Lezione 1 - Introduzione

POSTA ELETTRONICA CERTIFICATA

Firma digitale: aspetti tecnologici e normativi. Milano,

Strutturazione logica dei dati: i file

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Protezione. Protezione. Protezione. Obiettivi della protezione

DOCUMENTO ELETTRONICO E FIRMA DIGITALE

RETI DI CALCOLATORI. Crittografia. La crittografia

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Data protection. Cos è

Informativa ex art. 13 D.lgs. 196/2003

MODULO 02. Iniziamo a usare il computer

Sistema operativo: Gestione della memoria

Concetti di base di ingegneria del software

Domande frequenti su Phoenix FailSafe

Politica del WHOIS relativa al nome a dominio.eu

Procedura SMS. Manuale Utente

Progettare un Firewall

CONTENT MANAGEMENT SY STEM

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)

Il Sistema Operativo

Progettaz. e sviluppo Data Base

ATEX ed Ambienti Confinanti DCS Safety System Sistemi di Sicurezza e Controllo in ambienti a rischio esplosione

Banca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste

Il seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo

FIRMA DIGITALE Cos'è e come funziona

SOFTWARE. Aprendo il SW la prima schermata che appare è la seguente:

penetration test (ipotesi di sviluppo)

Protocollo Informatico (D.p.r. 445/2000)

Airone Gestione Rifiuti Funzioni di Esportazione e Importazione

Infostat-UIF. Istruzioni per l accesso e le autorizzazioni

Hub-PA Versione Manuale utente

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Gestione della Sicurezza Informatica

Modulo Antivirus per Petra 3.3. Guida Utente

Programma del Corso. Dati e DBMS SQL. Progettazione di una. Normalizzazione

introduzione alla sicurezza informatica maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

La Metodologia adottata nel Corso

STRUTTURE DEI SISTEMI DI CALCOLO

ƒ Gli standard e la gestione documentale

InfiXor. il programma facile e versatile per preventivi veloci e completi. il software di preventivazione per produttori e rivenditori di infissi

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

PROCEDURA DI CHIUSURA ANNO FISCALE 2006 CON E-SHOP

P2-11: BOOTP e DHCP (Capitolo 23)

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL

Protezione della propria rete

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

e-government La Posta Elettronica Certificata

Sistema Operativo. Fondamenti di Informatica 1. Il Sistema Operativo

Sistemi Informativi e Sistemi ERP

Reti di Telecomunicazione Lezione 8

CitySoftware PROTOCOLLO. Info-Mark srl

Direzione Centrale per le Politiche dell Immigrazione e dell Asilo

L avvocato hacker. Genova, 15 marzo Prof. Giovanni Ziccardi Università degli Studi di Milano

Allegato 5. Definizione delle procedure operative

Le Infrastrutture Software ed il Sistema Operativo

Funzioni in C. Violetta Lonati

Protocollo Informatico (D.p.r. 445/2000)

Avviso 1/2014 Procedura Caricamento Documentazione con Firma Digitale

Quaderni di formazione Nuova Informatica

Транскрипт:

Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J. Kurose, K. Ross! Dispense su Internet http://infomsearchdata.wikispaces.com/file/view/myios.pdf/300514424/myios.pdf http://www.provincia.foggia.it/upload_delibere/9/2007000002.pdf capitoli 1-4 e 20 2

Domande fondamentali 1. Quali risorse (o asset) vogliamo proteggere? 2. In che modo tali risorse sono minacciate? 3. Cosa bisogna fare per contrastare tali minacce? 3 1- Quali risorse (o asset) vogliamo proteggere?! Hardware Sistemi, componenti, dischi Sicurezza fisica! Software! Dati Sistema Operativo e Applicativi File, database! Rete Collegamenti e apparati 4

Cosa vuol dire proteggere?! Garantire le proprietà di Confidenzialità Integrità Disponibilità! In aggiunta Autenticità Tracciabilità (Accountability) 5 Confidenzialità! Nessun utente deve poter ottenere o dedurre dal sistema informazioni che non è autorizzato a conoscere! Riservatezza dei dati Le informazioni confidenziali non devono essere rivelate o rilevabili da utenti non autorizzati! Privacy L utente controlla o influenza quali informazioni possono essere collezionate e memorizzate 6

Integrità! Impedire l alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi accidentali Se i dati vengono alterati è necessario fornire strumenti per poterlo verificare facilmente! Integrità dei dati Le informazioni e i programmi possono essere modificati solo se autorizzati! Integrità del sistema Il sistema funziona e non è compromesso 7 Disponibilità! Rendere disponibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi previsti in determinate condizioni, in un preciso istante, in un intervallo di tempo! Nei sistemi informatici, i requisiti di disponibilità includono prestazioni e robustezza 8

Autenticità! Ciascun utente deve poter verificare l'autenticità delle informazioni messaggi, mittenti, destinatari! Si richiede di poter verificare se una informazione è stata manipolata vale anche per informazioni non riservate 9 Tracciabilità! Le azioni di un'entità devono essere tracciate in modo univoco in modo tale da supportare la non-ripudiabilità e l isolamento delle responsabilità Ad es., nessun utente deve poter ripudiare o negare in tempi successivi messaggi da lui spediti o firmati 10

2- In che modo le risorse sono minacciate?! Le minacce compromettono le proprietà di Confidenzialità Integrità Disponibilità! Esempi Confidenzialità Integrità Disponibilità HW Calcolatore rubato SW Copia non autorizzata Eseguibile modificato Eseguibili cancellati Dati Lettura non autorizzata File modificati File cancellati Rete Lettura messaggi inviati Messaggi modificati / ritardati / duplicati Messaggi distrutti Rete fuori uso 11 Minacce e attacchi 12

Minacce e attacchi! Una minaccia è una possibile violazione della sicurezza! La violazione effettiva è chiamata attacco! Gli attacchi possono essere Attivi Tentativi di alterare le risorse o modificare il funzionamento dei sistemi Passivi Tentativi di carpire informazioni e utilizzarle senza intaccare le risorse Interni Iniziati da un'entità interna al sistema Esterni Iniziati da un'entità esterna, tipicamente attraverso la rete 13 Attacchi: esempi 14

Classi di minacce / attacchi! Disclosure Accesso non autorizzato alle informazioni! Deception Accettazione di dati falsi! Disruption Interruzione o prevenzione di operazioni corrette! Usurpation Controllo non autorizzato di alcune parti del sistema 15 3- Cosa bisogna fare per contrastare le minacce?! Questa è la domanda più difficile La complessità della sicurezza sta proprio qui Non esiste una risposta unica Le risposte cambiano nel tempo! Sistemi complessi Le risorse da proteggere sono sistemi composti da sotto-sistemi Sicurezza di un sistema vs sicurezza dei suoi componenti Teoria vs pratica Condizioni ideali e prevedibili / reali e imprevedibili 16

Sfide poste dalla sicurezza! Attacchi potenziali 17 Nella progettazione dei sistemi serve considerare i possibili attacchi! Soluzioni contro-intuitive Nello sviluppo dei meccanismi di sicurezza, dovuto alla complessita del sistema e alle possibili minacce! Dove usare i meccanismi di sicurezza? Sia a livello fisico che logico (protocollare)! La sicurezza dipende non solo algoritmi o protocolli, ma anche dagli utenti informazioni possedute (ad es., password) creazione, distribuzione e protezione di tali informazioni Sfide poste dalla sicurezza (cont d)! Continua battaglia tra amministratori e attaccanti Per l attaccante è sufficiente sfruttare una singola vulnerabilità, mentre gli amministratori si devono prevederle ed eliminarle tutte! La sicurezza non viene percepita come un beneficio Fino a quando non avviene un incidente di sicurezza! La sicurezza richiede un controllo continuo delle risorse! Meccanismi di sicurezza come elementi aggiuntivi Invece che parte integrante della progettazione! La sicurezza è vista come un impedimento / rallentamento del normale funzionamento dei sistemi 18

Principi fondamentali di progettazione della sicurezza! Nonostante anni di ricerca, è difficile progettare sistemi che prevengono completamente le falle nella sicurezza! Tuttavia, insiemi di pratiche e regole sono state codificate Analogamente a quanto succede per ingegneria del software Aspetti economici dei meccanismi, fail-safe default, progettazione aperta, tracciabilità delle operazioni, separazione dei privilegi, separazione delle funzionalità, isolamento dei sottosistemi, modularità 19 Principi fondamentali di progettazione della sicurezza! Aspetti economici dei meccanismi 20 La progettazione delle misure di sicurezza deve essere il piu semplice possibile Da implementare e verificare! Fail-safe default Comportamenti non specificati devono prevedere un default sicuro Ad es. permessi di accesso! Progettazione aperta Preferibile rispetto a codice segreto! Tracciabilità delle operazioni Qualsiasi operazione può essere ricostruita e il sistema ripristinato

Principi fondamentali di progettazione della sicurezza! Separazione dei privilegi Differenziazione degli accessi Alle risorse create da ciascun utente (file) Alle risorse critiche! Separazione delle funzionalità Distinzione dei ruoli nei diversi punti del sistema fisico e logico! Isolamento dei sottosistemi Un sistema compromesso non dovrebbe compromettere gli altri! Modularità Meccanismi di sicurezza indipendenti, sostituibili, riusabili 21 Politiche di sicurezza! Una politica di sicurezza è un indicazione di cosa è e cosa non è permesso! Le regole possono riguardare: I dati Protezione Le operazioni possibili Controllo Gli utenti singoli e i profili Controllo 22

Politiche e meccanismi! Un meccanismo di sicurezza è un metodo (strumento/ procedura) per garantire una politica di sicurezza! Data una politica, che distingue le azioni sicure da quelle non sicure, i meccanismi di sicurezza devono prevenire, scoprire o recuperare da un attacco! Prevenzione: il meccanismo deve rendere impossibile l attacco Spesso sono pesanti ed interferiscono con il sistema al punto da renderlo scomodo da usare Esempio: richiesta di password come modo di autenticazione 23 Politiche e meccanismi! Scoperta: il meccanismo è in grado di scoprire che un attacco è in corso E utile quando non è possibile prevenire l attacco, ma può servire anche a valutare le misure preventive Si usa solitamente un monitoraggio delle risorse del sistema, cercando eventuali tracce di attacchi! Recupero da un attacco: si può fare in due modi Fermare l attacco e recuperare/ricostruire la situazione pre-attacco, ad esempio attraverso copie di backup Continuare a far funzionare il sistema correttamente durante l attacco (fault-tolerant) 24

Meccanismi e livelli! In quale livello del computer conviene inserire un determinato meccanismo?! Livelli bassi Meccanismi generali, semplici, grossolani, ma dimostrabili corretti! Livelli alti Meccanismi ad hoc per gli utenti, sofisticati, difficili da dimostrare corretti applicazioni servizi SO kernel del SO hardware 25 Meccanismi di sicurezza Esempi! Meccanismi specifici Legati ad uno specifico livello OSI Crittografia Trasformazione dei dati in un formato non intellegibile Firma digitale e Integrità dei dati Usata per provare la sorgente e l'integrità di dati o messaggi Autenticazione e Controllo degli accessi Gestione dei diritti degli utenti rispetto le risorse! Meccanismi generali Rilevamento degli eventi Gestione degli Audit Recovery 26

Come ottenere un sistema sicuro! Fasi Specifica: descrizione del funzionamento desiderato del sistema Progetto: traduzione delle specifiche in componenti che le implementeranno Implementazione: creazione del sistema che soddisfa le specifiche! E indispensabile verificare continuamente la correttezza dell implementazione 27 Considerazioni implementative! Analisi costi-benefici della sicurezza! Analisi dei rischi (valutare le probabilità di subire attacchi e i danni che possono causare)! Aspetti legali (ad esempio uso della crittografia negli USA) e morali! Problemi organizzativi (ad esempio la sicurezza non produce nuova ricchezza, riduce solo le perdite)! Aspetti comportamentali delle persone coinvolte 28

Cosa vedremo nelle prossime lezioni! Panoramica di alcuni dei principali meccanismi Crittografia, firma digitale, controllo degli accessi, autenticazione,! Qualche esempio di possibile attacco Oggetto dell esercitazione di laboratorio! Cosa NON vedremo Come i meccanismi possono essere usati per creare una politica di sicurezza 29

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back