La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La sicurezza nell’ICT – Gaetano Maretto La sicurezza nell’Information and Communication Technology (ICT) Gaetano Maretto – Mainframe IT Specialist.

Presentazioni simili


Presentazione sul tema: "La sicurezza nell’ICT – Gaetano Maretto La sicurezza nell’Information and Communication Technology (ICT) Gaetano Maretto – Mainframe IT Specialist."— Transcript della presentazione:

1 La sicurezza nell’ICT – Gaetano Maretto La sicurezza nell’Information and Communication Technology (ICT) Gaetano Maretto – Mainframe IT Specialist

2 La sicurezza nell’ICT – Gaetano Maretto 2 Agenda  Una transazione di e-Commerce  Client, Server  C. I. A.  Intranet, Extranet, Internet  La sicurezza del commercio Online  Log On  La crittografia  Il Data Base della sicurezza  Domande e risposte

3 La sicurezza nell’ICT – Gaetano Maretto 3 Internet Book store: Attori Store server Acquirente (Client) Delivery server Payment server

4 La sicurezza nell’ICT – Gaetano Maretto 4 Client – Server 1 Acquirente (Client) Client Svolge prevalentemente un’operazione alla volta Può definire più utenti Con attributi diversi (administrator, user… ) Solo un utente alla volta può essere attivo HW e SW sono orientati all’interazione umana Il Capacity Planning non è essenziale

5 La sicurezza nell’ICT – Gaetano Maretto 5 Client – Server 2 … Server Server E’ costruito per svolgere molte operazioni insieme Gli utenti definiti possono essere milioni Possono essere tutti contemporaneamente attivi HW e SW non prevedono l’interazione umana Il Capacity Planning è essenziale Il controllo dei livelli di servizio è molto sofisticato La gestione operativa è effettuata mediante PC ad hoc Può occupare solo una porzione di un dato HW (Virtualizzazione) Può essere costituito da più HW (Clustering)

6 La sicurezza nell’ICT – Gaetano Maretto 6 Client – Server 3 … Server La sicurezza sul client Vi sono pochi utenti definiti L’utente LogOn ha il controllo del client Massima preoccupazione per attacchi virali Per client ‘aziendali’ può essere gestita centralmente La sicurezza sul server E’ gestita da uno staff dedicato E’ costruita partendo dall’architettura HW e SW del Server Coinvolge anche aspetti non informatici; ad esempio:  Sicurezza degli edifici  Assegnazione delle responsabilità dei gestori Client

7 La sicurezza nell’ICT – Gaetano Maretto 7 Come si acquista un libro – 1 Store server Client – Book store Server Acquirente (Client) ① Connessione ② Consultazione ③ LogOn ④ Riempimento carrello ⑤ Ammontare ⑥ Accettazione pagamento ⑦ ⑧ ⑨ Ricevuta; ⑩ Ordine di spedizione Delivery server

8 La sicurezza nell’ICT – Gaetano Maretto 8 Come si acquista un libro - 2 Payment server Book store Server – Payment server ① ② ③ ④ ⑤ ⑥ ⑦ Dati pagamento ⑧ Pagamento OK ⑨ ⑩ Store server

9 La sicurezza nell’ICT – Gaetano Maretto 9 La sfida dell’e-Commerce Store server Accesso il più facile possibile Accesso il più controllato possibile ‘Your competitor is only one click away’

10 La sicurezza nell’ICT – Gaetano Maretto 10 Il modello C.I.A. Confidentiality: La transazione deve avvenire in modo confidenziale Integrity: I dati coinvolti non devono subire danneggiamenti, cioè devono restare integri prima, durante e dopo lo svolgersi della transazione Availability: I dati devono essere disponibili per la transazione in qualunque momento questa debba avvenire

11 La sicurezza nell’ICT – Gaetano Maretto 11 … net Intranet: Tutti i server interni ad un’azienda Extranet: I server che svolgono funzioni che implicano la collaborazione con i business partner Internet: Tutti i server che sono disponibili per offrire funzioni agli utenti esterni

12 La sicurezza nell’ICT – Gaetano Maretto 12 Firewall Intranet IP packet filtering ‘ Internet Application gateway protocol Network Address Translation

13 La sicurezza nell’ICT – Gaetano Maretto 13 Virtual private Network (VPN) Intranet - 2 Virtual Private Network ‘ Intranet - 1 Mediante la crittografia si realizza un tunnel che protegge la comunicazione fra le due Intranet

14 La sicurezza nell’ICT – Gaetano Maretto 14 Transazione sicura - 1 Store server Client – Book store Server Acquirente (Client) ① Connessione ② Consultazione ③ LogOn ④ Riempimento carrello ⑤ Ammontare ⑥ Accettazione pagamento ⑦ ⑧ ⑨ Ricevuta; ⑩ Ordine di spedizione Delivery server

15 La sicurezza nell’ICT – Gaetano Maretto 15 Transazione sicura - 1 Store server Acquirente (Client) Connessione Consultazione Sono veramente connesso alla libreria online? Affidabilità del Domain Name System Come impedire accessi malintenzionati alle funzioni aziendali critiche? Separazione fra Intranet e Internet server

16 La sicurezza nell’ICT – Gaetano Maretto 16 Transazione sicura - 2 Store server Client – Book store Server Acquirente (Client) ① Connessione ② Consultazione ③ LogOn ④ Riempimento carrello ⑤ Ammontare ⑥ Accettazione pagamento ⑦ ⑧ ⑨ Ricevuta; ⑩ Ordine di spedizione Delivery server

17 La sicurezza nell’ICT – Gaetano Maretto 17 Transazione sicura - 2 Store server Acquirente (Client) LogOn Tutte le operazioni devono essere imputabili L’acquirente deve essere registrato allo Store server Security data base Dati per l’identificazione Identificazione interna (Userid) Identità dell’acquirente Categoria di utente (Informazioni utili al marketing) (Modalità preferita di pagamento) Le informazioni sono cifrate

18 La sicurezza nell’ICT – Gaetano Maretto 18 Classificazione degli utenti Store server Standard Operations Auditor Special Protected (No logon)

19 La sicurezza nell’ICT – Gaetano Maretto 19 La crittografia - 1 Il problema Enrico vuole chattare con Anna in modo che nessun altro capisca cosa si stanno dicendo Anche se chiunque è in grado di intercettare le battute della loro conversazione La soluzione Enrico/Anna trasformano il testo prima di inviarlo in modo da renderlo incomprensibile a chiunque (cifratura); solo loro sanno come è stato trasformato Al ricevimento lo trasformano al contrario in modo da farlo tornare comprensibile (decifratura)

20 La sicurezza nell’ICT – Gaetano Maretto 20 La crittografia - 2 Un esempio CASA Cifratur a FDVD CASA Decifratura L’algoritmo: Sostituire ogni lettera con un'altra lettera dell'alfabeto, In cifratura prendendo fra quelle che seguono In decifratura prendendo fra quelle che precedono Il parametro: Per trovare la lettera da sostituire bisogna salire o scendere di tre posizioni

21 La sicurezza nell’ICT – Gaetano Maretto 21 La crittografia - 3 La crittografia informatica Ci sono vari algoritmi Data Encryption Standard (DES) Advanced Encryption Standard (AES) Il parametro (Chiave) Viene scelto da chi vuole usare la crittografia Gli algoritmi sono di pubblico dominio Le chiavi sono rigorosamente segrete Gli algoritmi sono implementati SW o HW

22 La sicurezza nell’ICT – Gaetano Maretto 22 Store server Flusso del LogOn Acquirente (Client) ① Schermata di LogOn ② Dati per identificazione ③ Verifica con Data base ④ LogOn OK ⑤ Associazione Process-Userid

23 La sicurezza nell’ICT – Gaetano Maretto 23 Store server Acquirente (Client) Modalità di LogOn Userid/Password scelte dall’utente (Userid scelto dall’utente, Password imposta dal server) (Userid imposto dal server, Password scelta dall’utente) Userid imposto dal server, Password scelta dall’utente, One-Time Password Userid imposto dal server, Password scelta dall’utente, caratteri casuali Certificati digitali

24 La sicurezza nell’ICT – Gaetano Maretto 24 One time password Generatore di password casuali Ogni utente ne ha uno Il dispositivo è inizializzato con i dati dell’utente E’ dotato di RAM e di un clock Il clock è tenuto sincronizzato con il clock del Server Premendo il pulsante arancione si genera un numero di sei cifre che dipende da: I dati utente L’istante in cui si è premuto il pulsante Il numero è valido per un minuto Va immesso durante la finestra di validità Il server ripete il processo di generazione Se ottiene lo stesso numero immesso dall’utente, identificazione OK

25 La sicurezza nell’ICT – Gaetano Maretto 25 Dati casuali Tabella alfanumerica Il server assegna ad ogni utente registrato una tabella alfanumerica Il contenuto è diverso per ogni utente Il contenuto della tabella è memorizzato assieme agli altri dati che servono per l’identificazione dell’utente All’ultimo passo del LogOn il server chiede al client ‘Del numero “x” (da 1 a 16) dammi le posizioni “a” e “b” (da 1 a 6)’ L’utente li immette prendendoli dalla tabella in suo possesso Il server le confronta con le stesse posizioni nella tabella del Data Base Se sono uguali, identificazione OK ‘x’, ‘a’, ‘b’ vengono calcolati dal server in modo casuale ad ogni richiesta di LogOn 1 - DC91BG5 - 9EH3A1 9 - M29H L7XAQ 2 - CF7B3J6 - FE13A710 - NES G91E I3C7 - 6SW TF93X15 - M68TS T P3Z28X12 - W49DG FY5

26 La sicurezza nell’ICT – Gaetano Maretto 26 Certificato digitale E’ la carta d’identità informatica Carta d’identitàCertificato digitale Dati del titolareDati dell’utente Dati biometrici (foto)Chiave pubblica dell’utente Timbro del comuneSigillo dalla CA Fiducia nel comuneFiducia nella CA CA: Certification Authority

27 La sicurezza nell’ICT – Gaetano Maretto 27 La crittografia asimmetrica Ci sono coppie di numeri (privato/pubblico) tali che Ciò che cifra il privato solo il pubblico può decifrare Ciò che cifra il pubblico solo il privato può decifrare Dato un numero esiste solo un altro numero che possa unirsi in una coppia asimmetrica. I due numeri si chiamano Chiave privata Chiave pubblica

28 La sicurezza nell’ICT – Gaetano Maretto 28 Come si ottiene il certificato digitale 1.Si sceglie una Certification Authority 2.Il Client genera una chiave asimmetrica random 3.La chiave privata resta segreta sul client 4.Richiesta di certificato digitale con la chiave pubblica inviata alla CA 5.La CA verifica; se OK 6.Invia al client il certificato digitale 'timbrato’ 7.Il certificato digitale viene memorizzato nel 'Key ring file' 8.Il certificato digitale è costruito in modo da poter essere distribuito a chiunque, anche se contiene la chiave pubblica

29 La sicurezza nell’ICT – Gaetano Maretto 29 Certificate: Data: Version: 1 (0x0) Serial Number : 7829 (0x1e95) Signature Algorithm : md5WithRSAEncryption Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server Validity Not Before: Jul 9 16:04: GMT Not After : Jul 9 16:04: GMT Subject: C=US, ST=Maryland, L=Pasadena, O=Brent Baccala, OU=FreeSoft, Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b4:31:98:0a:c4:bc:62:c1:88:aa:dc:b0:c8:bb: …… d2:75:6b:c1:ea:9e:5c:5c:ea:7d:c1:a1:10:bc:b8: e8:35:1c:9e:27:52:7e:41:8f Exponent : (0x10001) Signature Algorithm: md5WithRSAEncryption 93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d: ….. 8f:0e:fc:ba:1f:34:e9:96:6e:6c:cf:f2:ef:9b:bf:de:b5:22: 68:9f Il certificato digitale - 1 Un certificato X509

30 La sicurezza nell’ICT – Gaetano Maretto 30 Certificate: Data: Version: 1 (0x0) Serial Number : 1 (0x1) Signature Algorithm : md5WithRSAEncryption Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server Validity Not Before: Aug 1 00:00: GMT Not After : Dec 31 23:59: GMT Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division,CN=Thawte Server Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:d3:a4:50:6e:c8:ff:56:6b:e6:cf:5d:b6:ea:0c: ….. 3a:c2:b5:66:22:12:d6:87:0d Exponent : (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE Signature Algorithm: md5WithRSAEncryption 07:fa:4c:69:5c:fb:95:cc:46:ee:85:83:4d:21:30:8e:ca:d9: …….. 70:47 Il certificato digitale - 2 Il certificato X509 della CA

31 La sicurezza nell’ICT – Gaetano Maretto 31 La CA ha firmato il certificato che ha emesso: 1.Calcolando l‘MD5 del testo del certificato (MD5-A) 2.Cifrandolo con la propria chiave privata (segreta) 3.Mettendo il risultato nel certificato La verifica avviene: 1.Calcolando ex-novo MD5 del certificato che si vuole verificare (MD5-B) 2.Decifrando la firma del certificato con la chiave pubblica della CA. Si ottiene di nuovo MD5-A 3.Se MD5-A = MD5-B, certificato OK Il certificato digitale - 3 Verifica di un certificato digitale

32 La sicurezza nell’ICT – Gaetano Maretto 32 Logon mediante certificato digitale 32 Store server Acquirente (Client) ① Certificato digitale ② CA registrata? ③ Certificato non scaduto? ④ Certificato non in CRL? ⑤ LogOn OK

33 La sicurezza nell’ICT – Gaetano Maretto 33 La transazione sicura – 3 Store server Client – Book store Server Acquirente (Client) ① Connessione ② Consultazione ③ LogOn ④ Riempimento carrello ⑤ Ammontare ⑥ Accettazione pagamento ⑦ ⑧ ⑨ Ricevuta; ⑩ Ordine di spedizione Delivery server

34 La sicurezza nell’ICT – Gaetano Maretto 34 All’interno del server PID_32 User process Userid DA004 Risorsa: File_7 File Manager Security Manager Security DB PID_32: DA004 vuole accedere a File_7 per aggiornarlo 2.File Manager: Può DA004 accedere a File_7 in aggiornamento? 3.Security Manager: Può 4.File Manager: Accesso consentito DA004 e File_7 sono descritti da profili nel Security DB

35 La sicurezza nell’ICT – Gaetano Maretto 35 Risorse da proteggere File La/Le directory che comprendono il file Transazioni: Riempire il carrello Effettuare il pagamento. Funzioni (sia HW che SW) Tutte le informazioni all'interno di un Data Base che fanno riferimento ad un solo utente. La possibilità di modificare i profili nel Security DB Risorsa è tutto ciò che un processo può usare e il cui uso si vuole controllare

36 La sicurezza nell’ICT – Gaetano Maretto 36 Per ogni risorsa che si vuole proteggere Nome della risorsa Natura della risorsa Lista degli utenti abilitati ad accedere alla risorsa, con i relativi livelli di accesso (Access list) Quali informazioni raccogliere nel log degli accessi (Audit) Definizione nel Data Base – 1

37 La sicurezza nell’ICT – Gaetano Maretto 37 Nome della risorsa File: Filename Directory: Directory name A discrezione del Resource Manager Esempio: Modifica file di configurazione di I/O Accesso in ‘Update’ alla risorsa ‘CBD.CPC.IOCDS’ Definizione nel Data Base - 2

38 La sicurezza nell’ICT – Gaetano Maretto 38 Access list: Userid Tipo di accesso Definizione nel Data Base - 3 UNIX R: Read W: Write X: Execute z/OS Execute Read Update Alter

39 La sicurezza nell’ICT – Gaetano Maretto 39 Definizione nel Data Base - 4 Risorse, Utenti, Gruppi di utenti Resource Access List Userid Access E032 Alter ….. Z917 Update Groupid Access Dept03 Read Userid D03001 D03002 D03007 …. D03713

40 La sicurezza nell’ICT – Gaetano Maretto 40 Il pagamento Payment server Store Server (quasi Client) – Payment server ① ② ③ ④ ⑤ ⑥ ⑦ Dati pagamento ⑧ Pagamento OK ⑨ ⑩ Store server

41 La sicurezza nell’ICT – Gaetano Maretto 41 Payment server La connessione è fra processi (demon) Lo store server fa logon una tantum Si stabilisce un VPN Fra i due processi avviene una conversazione 7, 8 fanno parte di questa conversazione La connessione fra server Store server PID_163 Store process Userid ST_1003 PID_3903 Payment process Userid PA_1003 VPN


Scaricare ppt "La sicurezza nell’ICT – Gaetano Maretto La sicurezza nell’Information and Communication Technology (ICT) Gaetano Maretto – Mainframe IT Specialist."

Presentazioni simili


Annunci Google