La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

UNIVERSITÀ DEGLI STUDI DI BOLOGNA Tesi di laurea di: Matteo Venerucci Relatore: Chiar.mo Prof Roberto Gorrieri Analisi di sicurezza per un portale di informazione.

Presentazioni simili


Presentazione sul tema: "UNIVERSITÀ DEGLI STUDI DI BOLOGNA Tesi di laurea di: Matteo Venerucci Relatore: Chiar.mo Prof Roberto Gorrieri Analisi di sicurezza per un portale di informazione."— Transcript della presentazione:

1 UNIVERSITÀ DEGLI STUDI DI BOLOGNA Tesi di laurea di: Matteo Venerucci Relatore: Chiar.mo Prof Roberto Gorrieri Analisi di sicurezza per un portale di informazione finanziaria: Borse.it FACOLTÀ DI SCIENZE MATEMATICHE, FISICHE E NATURALI Corso di laurea in Informatica Materia di Tesi: Metodi Formali II

2 Matteo Venerucci Progettazione, realizzazione e aggiornamento per garantire la riservatezza e lintegrità dei sistemi. Diminuzione dei rischi informatici. Analisi della sicurezza tenendo conto dei vincoli esistenti. Studio, realizzazione e proposte di soluzioni per laumento della sicurezza dellintero sistema. Introduzione

3 Matteo Venerucci Borse.it è un portale di informazione finanziaria indipendente, caratterizzato dallelevata qualità di contenuti offerti. Servizi WebServizi Servizi personali -Dati -Grafici -Notizie -Analisi -Rubriche -Guide di finanza -Forum Newsletter quotidiane -Rassegna stampa -Pagina personale -Portafoglio personale Newsletter settimanali - Il mondo dei fondi -Analisi tecnica -Capire la borsa -Pagina personale -Portafoglio personale Chi è Borse.it

4 Matteo Venerucci Nt Feeder : richiede i dati finanziari e li registra sul database (programma Feeder). Main : Database server, web server. Dell: Database server, web server, nuovo Feeder. Il corretto funzionamento dei servizi. I dati che riguardano gli utenti. I dati che riguardano i titoli. I dati dello storico dei titoli del mercato. I portafogli degli utenti. Ciò Che Deve Essere Garantito: Scenario

5 Matteo Venerucci Sviluppo e Redazione NT Feeder Cluster Login: /password Server Farm Dell Grafici dei Titoli Main Utenti Server esterni Banner/Pubblicità Invest.net Main, Dell, Nt Feeder Architettura del Sistema Traffico HTTP Traffico FTP VNC MySQL TAL

6 Matteo Venerucci Architettura del Sistema Sviluppo e Redazione NT Feeder Cluster Login: /password Server Farm Dell Grafici dei Titoli Main Utenti Server esterni Banner/Pubblicità Invest.net Main, Dell, Nt Feeder Traffico HTTP Traffico FTP VNC MySQL TAL

7 Matteo Venerucci Sviluppo e Redazione NT Feeder Cluster Login: /password Server Farm Dell Grafici dei Titoli Main Utenti Server esterni Banner/Pubblicità Invest.net Main, Dell, Nt Feeder Traffico HTTP Traffico FTP VNC MySQL TAL Architettura del Sistema

8 Matteo Venerucci Sviluppo e Redazione NT Feeder Cluster Login: /password Server Farm Dell Grafici dei Titoli Main Utenti Server esterni Banner/Pubblicità Invest.net Main, Dell, Nt Feeder Traffico HTTP Traffico FTP VNC MySQL TAL Architettura del Sistema

9 Matteo Venerucci Sviluppo e Redazione NT Feeder Cluster Login: /password Server Farm Dell Grafici dei Titoli Main Utenti Server esterni Banner/Pubblicità Invest.net Main, Dell, Nt Feeder Traffico HTTP Traffico FTP VNC MySQL TAL Architettura del Sistema

10 Matteo Venerucci Architettura del Sistema Sviluppo e Redazione NT Feeder Cluster Login: /password Server Farm Dell Grafici dei Titoli Main Utenti Server esterni Banner/Pubblicità Main, Dell, Nt Feeder Invest.net

11 Matteo Venerucci Carenze e Necessità 1.Test per il corretto funzionamento del nuovo Feeder. 2.Linstallazione di un nuovo servizio Feeder sulla macchina Main avrebbe portato ad una temporanea interruzione del servizio. 3.Installare programmi come SSH e Apache-ssl sulla macchina Main. 4.Avere un sistema di riserva qualora Main risultasse bloccata o non accessibile, garantendo una sorta di tolleranza ai guasti. 5.Esecuzione di script per lanalisi statistica presso Dada. 1.La macchina Main raggiungibile solo con protocolli non sicuri (TELNET, FTP e HTTP). 2.Autenticazione MySQL (basato su nome utente e password). 3.Menù di amministrazione (gruppi tra gli utenti). 4.Meccanismo della creazione dei gruppi e appartenenza dellutente ai gruppi. 5.Autenticazione di Apache (password non codificate ). Carenze del sistema esistente Necessità del sistema esistente

12 Matteo Venerucci Si garantisce inoltre una sorta di tolleranza ai guasti dovuti per esempio ad un mal funzionamento di un programma o all intrusione di un aggressore. Modifiche al Sistema Installazione di SSH. Disabilitazione di TELNET ed FTP. Installazione di Apache-ssl. Gestione dei privilegi. Restrizione di MySQL. Modifiche script di sistema. Modifiche a Nt-Feeder. In questo modo tutte e due le macchine, Main e Dell, collaborano al mantenimento di tutti i servizi del portale. Tecnologie di SSL: Cifratura asimmetrica. Firme digitali. Certificati digitali (X509v.3). Negoziazione dei parametri. Handshake al momento della connessione. Riutilizzo di parametri negoziati in precedenza. Tecnologie di OpenSSH: Crittografia forte(3DES, Blowfish). X11 Forwarding (cifratura automatica del traffico X11). Port Forwarding (canali criptati per altri protocolli). Autenticazione Forte (Rhosts, Chiave Pubblica, Password). Compressione Dati.

13 Matteo Venerucci Apache-ssl Con linstallazione di questo web server si è pensato di rendere la comunicazione tra Client e Server più robusta di quella esistente. Le transizioni tra lo staff di Borse.it e la macchina Dell sono quindi rese sicure dalla comunicazione attraverso SSL. Apache-ssl

14 Matteo Venerucci Gestione dei Privilegi È stato inserito nel database lassociazione tra gruppo dappartenenza e utente, rendendo possibile la modifica automatica della stessa. È stato creato un metodo per linserimento di nuovi livelli e per lassociazione degli utenti a questi. Privilegi di /adm/ Access Matrix: gestisce lappartenenza dellutente ai gruppi

15 Matteo Venerucci Restrizione di MySQL Mysql prevede la possibilità di gestire vari livelli di permessi ai database. La connessione sulle macchine con il database avviene attraverso connessioni criptate utilizzando SSH. Sicurezza della connessione tra client remoto e server realizzata tramite un tunnel SSH. Creazione dei privilegi dellutente su determinate operazioni come la select, insert, update e delete (vengono controllati tutti i comandi dellutente, verificando che abbia i privilegi adeguati per poterli eseguire). Possibilità di accedere ai database solamente da IP del sistema di borse.It.

16 Matteo Venerucci Modifica a tutti gli script Modifiche a Nt Feeder È stato necessario riscrivere gli script che utilizzavano le connessioni HTTP. È stato previsto che, in caso di mal funzionamento della macchina NT Feeder, si provveda al feeding dei dati attraverso il server di sviluppo. Sono state applicate tutte le patch si sicurezza di Microsoft, gli ultimi Service Pack. Modifiche al Sistema Sono stati modificati gli script che utilizzavano FTP e sostituiti con scp (della suite dei comandi di SSH).

17 Matteo Venerucci Le soluzioni proposte e realizzate hanno migliorato la situazione, ma non sono certo da considerarsi una risposta definitiva alla sicurezza del portale, che dovrà essere affrontata in maniera continuativa e, con laumentare della complessità dei sistemi, dedicandovi sempre più risorse. Conclusioni In futuro sarà possibile realizzare un IDS. Non sono stati affrontati i problemi di Denial of Service del cluster delle macchine di Dada. Le soluzioni introdotte non degradano le prestazioni del sistema, ma ne aumentano la sicurezza. Le modifiche applicate sono trasparenti allutilizzo del sistema.


Scaricare ppt "UNIVERSITÀ DEGLI STUDI DI BOLOGNA Tesi di laurea di: Matteo Venerucci Relatore: Chiar.mo Prof Roberto Gorrieri Analisi di sicurezza per un portale di informazione."

Presentazioni simili


Annunci Google