La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza delle reti1 Cenni sulla sicurezza delle Reti Autore :Demarchi RobertoDocente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica.

Presentazioni simili


Presentazione sul tema: "Sicurezza delle reti1 Cenni sulla sicurezza delle Reti Autore :Demarchi RobertoDocente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica."— Transcript della presentazione:

1 sicurezza delle reti1 Cenni sulla sicurezza delle Reti Autore :Demarchi RobertoDocente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica - teledidattico

2 sicurezza delle reti2 Attacchi –tipologie 1/2 Interruzione Intercettazione

3 sicurezza delle reti3 Attacchi – tipologie 2/2 Modificazione Generazione

4 sicurezza delle reti4 Aspetti importanti nella sicurezza delle reti Autenticazione controllo di chi accede a determinate risorse Controllo dell’accesso Verifica privilegi Confidenzialità messaggi e dati Quali dati rendere visibili Integrità dei messaggi Evitare contraffazioni Non ripudio dei messaggi Certezza mittente – es:firma elettronica Disponibilita’

5 sicurezza delle reti5 Attacchi passivi monitoraggio e ascolto trasmissioni, non comportano alterazioni dell’informazione A riguardo si identificano Rilasci del contenuto di un messaggio Si vuole impedire al destinatario diapprendere l’informazione riservata. Analisi del traffico Analisi tipologie messaggi e altre informazioni per determinarel’identità degli host, frequenza e lunghezza messaggi ect.

6 sicurezza delle reti6 Attacchi attivi possibili alterazioni dati, fino alla falsificazione del flusso A riguardo si identificano : Masquerade Entità che finge di essere un’entità diversa Replay intercettazione passiva dati e successiva ritrasmssione per generazione effetto non autorizzato Modifica di messaggi Modifica parziali messagi o ritardati Negazione del servizio Impedimento normale servizio delle comunicazioni.Peggio : interruzione intera rete

7 sicurezza delle reti7 Attacchi di rete – Terminologia Spoofing Sniffing Shadow server Dos (Denial of Service)

8 sicurezza delle reti8 Spoofing Consiste nella falsificazione degli indirizzi di rete del mittente; ( Spoofing IP ) Tentativo di alterare dati e accedere a programmi ; (Spoofing dati) Spoofing cieco : Invio pacchetti TCP con indirizzi partenza falsificati:cieco perchè non si ha sempre speranza di vederli tornare Rimedi : Crittografia / Autenticazione

9 sicurezza delle reti9 Sniffing Rappresenta una lettura non autorizzata di pacchetti. Normalmente avviene in reti di tipo broadcast e nei nodi di smistamento dei pacchetti ( es. gateway) Possibile rimedio : crittografia

10 sicurezza delle reti10 Shadow Server Server ombra, macchina che si spaccia per altre e che appare essa fornitrice di un servizio. Il shadow server deve risultare più veloce del server del quale deve escluderne il servizio, per esempio con un attacco come la negazione del servizio. Rimedio : tecniche autenticazione server

11 sicurezza delle reti11 Dos (Denial of Service) Per impedire il normale funzionamento di un server, la cosa “ migliore “ è quella di tenerlo impegnato in maniera tale da comprometterne il servizio. Rimedi : monitoraggio rete.

12 sicurezza delle reti12 Rete Rete Privata Internet Router

13 sicurezza delle reti13  dispositivi indispensabili per connettere la rete locale di una azienda a Internet ;  smistano il traffico di rete, basandosi su una mappa di rete denominata “tabella di rou-ting” ;  fanno in modo che i pacchetti raggiungano le loro destinazioni attraverso i percorsi più efficaci secondo diversi algoritimi di instradamento ; Router [1/2]

14 sicurezza delle reti14 Router [2/2]  dispongono di funzioni di packet filtering per effettuare un primo filtraggio del traffico di rete ;  offrono generalmente la funzionalità NAT (Network Address Translation) per permettere di connettere alla rete pubblica [ una linea di connessione a Internet ] una alla rete privata alla quale vengono assegnati un’insieme di indirizzi privati ;

15 sicurezza delle reti15  Indirizzo IP da cui provengono i dati;  Indirizzo IP di destinazione ;  Porte sorgente e destinazione TCP/UDP;  Datagram di inizilizzazione della connessione che usa bit TCP SYN o ACK Filtraggio della rete

16 sicurezza delle reti16 Esempio filtraggio Internet Rete locale Router Tabella filtraggio

17 sicurezza delle reti17 Azione/RegoleIP SorgentePorta Sorgente Porta Destinazione ProtocolloDirezione TRAFFICO Permesso >102421TCPesterno Permesso20 interno Negato Tabella filtraggio >1024 entrambequalsiasi

18 sicurezza delle reti18 Firewall  Il router viene spesso sostituito da uno strumento, o meglio da un insieme di componenti hardware/software dedicato per assicurare la massima sicurezza che va sotto il nome di firewall;  Firewall = “muro tagliafuoco”

19 sicurezza delle reti19 Firewall e TCP/IP Application Transport TCP Network- IP Application Gateway Circuit Gateway Packet Filtering Data Payload TCP/UDP Header IP Header TCP/IP Firewall Analisi Generalmente Non controllati

20 sicurezza delle reti20 Ancora Firewall 1/2 Distinguiamo con grande generalità due tipi di firewall : Packet filter ( screen ) : regole su pacchetti IP (visto in precedenza ) Proxy o application gateway o application firewall (lievello più alto packet filter ) : separano Internet/Intranet

21 sicurezza delle reti21 Ancora Firewall 2/2 Packet filter Pregi :Veloci, flessibili, versatili Difetti : Non offrono molta sicurezza, agiscono a livello di rete e non di applicazione Stateful inspection Pregi: maggiore sicurezza (verifica rete/applicazione) Difetti : Non molto veloce; file di log migliorabili Proxy Pregi : Sicuri Difetti : Deve supportare direttamente ogni applicazione Proxy + dynamic filetring

22 sicurezza delle reti22 Internet Firewall Barriera offerta dal Firewall Impiego Firewall Rete interna Rete esterna

23 sicurezza delle reti23 Application gateway  L’ Application gateway o semplicemente proxy, è in grado, a differenza del firewall basato solo su packet filtering, di autenticare gli utenti connessi;  Generano dei report sul traffico di rete,file log;  Mascherano l’indirizzo del richiedente della rete interna

24 sicurezza delle reti24 NAT(Network Address Translation )  Il mascheramento dell’origine del collegamento è importante in quanto evita di trasmettere informazioni relative alla rete protetta dal firewall ;  Quando una macchina della rete interna apre una connessione verso un server esterno il firewall sostituisce ad essa il suo indirizzo ;  Inoltre l’indirizzo privato della rete interna è non- routable (non instradrabile dai router)

25 sicurezza delle reti25 Mascheramento IP L’operazione di mascheramento è molto importante perchè permette di non trasmettere all’esterno alcun tipo di informazione relativamente alla tipologia della rete protetta dal firewall. Nel momento in cui una macchina della rete interna richiede una connessione verso l’esterno, essa viene intercettata dal firewall che inserisce il proprio indirizzo IP, a sostituzione di questa, facendo credere all’esterno che esso sia il solo punto di cominicazione con l’esterno. Inoltre il firewall intercetterà e sarà in grado di riconoscere il traffico di ritorno destinatario dei nodi “ mascherati “ e di inoltarlo, nella maniera più corretta, ai richiedenti.

26 sicurezza delle reti26 Internet Application Gateway (PROXY)* Schema con Application Gateway Rete interna File.log Regole autenticazione Utilizzabili per la ricerca di eventuali attacchi in corso * Possono risiedere più server proxy i quali si occuperanno dell’effettivo trasferimento dei pacchetti dalla due reti, e per i vari servizi per gli utenti interni

27 sicurezza delle reti27 Proxy Cache proxy : offre un servizio che ha la capacità di memorizzare in locale i file richiesti più frequentemente ( protocolli : Http / Ftp )

28 sicurezza delle reti28 Configurazioni firewall Dual-homed host Una macchina multi-homed è un macchina dotata di più schede di rete e ognuna di esse è rivolta a un segmento distinto della rete. Se le schede di rete sono due si ha la configurazione Dual – Homed Host Bastion host Macchina con grado di criticità altissimo perchè solitamente collocata in posizione ( anche al di fuori della rete aziendale pur appartenendovi ) critica.

29 sicurezza delle reti29 Zona DMZ Zona che separa una rete non sicura da una rete sicura InternetRete privata Screening router Bastion Host DMZ

30 sicurezza delle reti30 Esempio DMZ Internet Dominio Sicurezza Host interno Server interno Firewall Interno Perimetro sicurezza Server che fornisce Informazioni Pubblicità Server E-Commerce Bastion host Firewall Uscita Zona demilitarizzata, ovvero zona più sicura di Internet ma meno meno del dominio di sicurezza

31 sicurezza delle reti31 VPN [ 1/2 ] VPN ( Virtual Private Network ) è un meccanismo per fornire comunicazioni (crittografiche) sicure, in due configurazioni fondamentali : Utente-rete Rete-Rete Rete protetta Internet Firewall Utente remoto

32 sicurezza delle reti32 VPN [ 2/2 ] Una VPN dunque permette a due reti private di essere connesse in maniera sicura attraverso reti pubbliche quale Internet. Le aziende hanno la necessità, per il fatto di avere più sedi settorialmente diverse, di connettere tra loro più reti private attarverso la rete pubblica. Internet con i suoi protocolli standard non è in grado di fornire sicurezza. VPN fornisce Privatezza Autenticazione Integrità ( Tunneling ) Protocolli usati da VPN IPSec SSL....

33 sicurezza delle reti33 KERBEROS Kerberos è un protocollo di autenticazione di rete, sviluppato negli anni 1980, con le seguenti principali caratteristiche : Segreti condivisi Se A confida un segreto a B il segreto è conoscituo solo da loro due. Qualora B rivceva cominicazioni riguardo a quel segreto deve essere sucuro che si tartti di A, perciò deve essere protetta da una password. Se però per qualche motivo qualcheduno ne viene a conoscenza ( p.es. attraverso uno sniffer ) cade la segretezza. Kerberos rIoslve questo problema grazie alla crittografia. Autenticazione multipla Sono previste tre componenti:  Applicazine/Client  Risorse di rete  KDC : controller di dominio ( DC Domain Controller )

34 sicurezza delle reti34 KERBEROS 1/3 Client KDC AS TGS Server AS =Authentication Server TGS = Ticket Granting Servers KDC=Key Distribution Center Una volta per sessione di connessione Una volta per tipologia di servizio Server=Server a cui viene richiesto un servizio

35 sicurezza delle reti35 KERBEROS 2/3 Kerberos prevede che a ogni accesso a un server da parte di un utente/client sia effettuata un’autenticazione per mezzo di una terza parte, ovvero da un server ritenuto sicuro [ KDC il distributore delle chiavi ]. KDC è formato da un server di autenticazione AS e da un validatore di Ticket (TGS). KDC contiene l’archivio degli identificativi delle entità presenti nel dominio. Fasi : 1. richiesta ticket -granting 2. Il server AS invia un ticket granting TGT ( certificato crittografato )+ chiave sessione 3. Richiesta di servizio 4. Invio ticket + chiave sessione 5. Richiesta ticket di tipo service-granting 6. Il server può fornire nuovo autenticatore

36 sicurezza delle reti36 KERBEROS 3/3 In sintesi l’utente si connette ad una postazione e richiede un servizio ad un host As verifica diritti di accesso secondo un asua base dati, emmette un ticket e una chiave di sessione (cifrati ) La workstation richiede all’utente – password e così decifra il messaggio in arrivo. Lo invia poi al TGS + autenticatore (username / indirizzo di rete client / ora sistema ) TGS decifra il ticket e l’autenticatore. Emette un ticket per il server richiesto Il server verifica ticket e autenticatore.

37 sicurezza delle reti37 KERBEROS E WINOWS 2000 Kerberos di windows 2000 supporta il meccanismo della delega della’autenticazione FIDUCIA TRANSITIVA – utlizzazione risorse altri domini Dominio ADominio BDominio C Fiducia non transitiva Fiducia

38 sicurezza delle reti38 Kerberos e Windows 2000 Kerberos supporta le realzioni di fiducia transitiva I ticket dell’utente possono essere inoltrati da una macchina all’altra Supporta il logon con le smart card Windows XP riusa se pur con modifiche Kerberos

39 sicurezza delle reti39 Conclusioni Le aziende hanno più che mai la necessità di connettersi a Internet pena, la loro stassa soppravivenza. Se da un lato si aprono ad esse grandi prospettive e opportunità, dall’altro si espongono a notevoli tentativi di intrusione. I firewall, nelle loro molteplicità d’uso, offrono un valido supporto alla sicurezza ma non rapparesentano la soluzione ad ogni problema. L’ammnistratore di rete dovrà essere attento e sensibile a monitorare continuamante la rete e aggiornare continuamente il software in uso. Non per ultimo dovrà considerare le minacce più “ temibili “ ovvero quelle interne.


Scaricare ppt "Sicurezza delle reti1 Cenni sulla sicurezza delle Reti Autore :Demarchi RobertoDocente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica."

Presentazioni simili


Annunci Google