Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGraziella Pavan Modificato 10 anni fa
1
1 La sicurezza Corso di Perfezionamento in e-learning Gestione e Tutoring – ICT per le-learning
2
2 Cosa accade sulla rete? Social Network (Facebook, Linkedin,..) Social Network (Facebook, Linkedin,..) Blog (Wordpress,..) e microblog (Twitter,..) Blog (Wordpress,..) e microblog (Twitter,..) Social bookmarking (Delicious, Digg..) Social bookmarking (Delicious, Digg..) Chat (ICQ, MSN Messenger, …) Chat (ICQ, MSN Messenger, …) File sharing (Gnutella, Bittorrent, Napster) File sharing (Gnutella, Bittorrent, Napster) Condivisione di documenti (Google,..), video (Youtube,..), biblioteche (Anubi,..), presentazioni (Slideshare,..) Condivisione di documenti (Google,..), video (Youtube,..), biblioteche (Anubi,..), presentazioni (Slideshare,..) …… ……
3
3 Un repository condiviso
4
4 Chi può accedere?
5
5 Un Social Network
6
6 E la Privacy ?
7
7 Un altro Social Network
8
8 Ma i furti di identità?
9
9 E-mail: attenti ai link!!
10
10 Io non uso il web 2.0! Ma ho un servizio ADSL flat e la sera lascio il computer collegato ad Internet Ma ho un servizio ADSL flat e la sera lascio il computer collegato ad Internet una mattina, allalba, la Polizia Postale mi bussa e sequestra il computer per aver scaricato materiale illegale una mattina, allalba, la Polizia Postale mi bussa e sequestra il computer per aver scaricato materiale illegale
11
11 Io chiudo il Pc la sera! Ma vivo in una zona dove la linea elettrica ha balzi di tensione. Ma vivo in una zona dove la linea elettrica ha balzi di tensione. un giorno non leggo più lhard disk dove conservo tutto il mio lavoro e non ho un salvataggio recente dei dati un giorno non leggo più lhard disk dove conservo tutto il mio lavoro e non ho un salvataggio recente dei dati
12
12 Io salvo i dati e proteggo il PC! Ma tra antivirus, antispyware, antispam e firewall il mio portatile si è troppo rallentato e così ho disattivato diverse funzioni. Ma tra antivirus, antispyware, antispam e firewall il mio portatile si è troppo rallentato e così ho disattivato diverse funzioni. finché non riesco più ad accedere ad Internet e il computer inizia a riavviarsi lanciando strani messaggi di errore finché non riesco più ad accedere ad Internet e il computer inizia a riavviarsi lanciando strani messaggi di errore
13
13 Io uso il PC della scuola! Ho preparato i compiti in classe a scuola e ne ho lasciata una copia sul file server. Ho preparato i compiti in classe a scuola e ne ho lasciata una copia sul file server. a quella verifica prendono tutti ottimi voti !! a quella verifica prendono tutti ottimi voti !!
14
14 E voi?
15
15 RIVEDIAMO LE RETI !! PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server E-mail router Server WEB, E-mail Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico
16
16 E distinguiamo i casi visti in Sicurezza logica Sicurezza logica –Protezione da pericoli e violazioni software, sia interni che esterni Sicurezza fisica Sicurezza fisica –Protezione da accessi non autorizzati, incidenti e rotture, eventi calamitosi
17
17 Pc domestico Ma un computer completamente isolato (standalone) è scevro da rischi? Ma un computer completamente isolato (standalone) è scevro da rischi?
18
18 Pc in WAN E può esserlo un computer connesso a Internet, magari in WI-FI? E può esserlo un computer connesso a Internet, magari in WI-FI?
19
19 Chi cè dallaltra parte? PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server E-mail router Server WEB, E-mail Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico
20
20 Pc in LAN E un computer connesso ad una LAN? E un computer connesso ad una LAN?
21
21 Chi è collegato? PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server E-mail router Server WEB, E-mail Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico
22
22 Reti e sicurezza logica La rete ha come fine la comunicazione La rete ha come fine la comunicazione Posso solo pensare ad una riduzione dei rischi con: Posso solo pensare ad una riduzione dei rischi con: –Adozione di adeguati accorgimenti operativi –Adozione di adeguate tecnologie
23
23 Sicurezza vs utilità E necessario attuare scelte mediate tra sicurezza e utilità: E necessario attuare scelte mediate tra sicurezza e utilità: –massima sicurezza/computer spento –massima utilità/computer che condivide e accede alle risorse delle rete La sicurezza è un compromesso tra gli amministratori di rete e gli utenti La sicurezza è un compromesso tra gli amministratori di rete e gli utenti
24
24 Rischi - Denial of Service Azione che blocca i servizi di un server Azione che blocca i servizi di un server –SYN Flooding: invio di numerosi messaggi di sincronizzazione da parte di un client inesistente –Smurf Attack: Invio di un ping a numerosi server presentandosi con lIP (numero identificativo) del server oggetto dellattacco –…. Sfrutta i bugs (bachi, errori) del sistema operativo Sfrutta i bugs (bachi, errori) del sistema operativo
25
25 Rischi - Malware Sono programmi, immagini, e-mail, pagine html, apparentemente utili che nascondono codice minaccioso Sono programmi, immagini, e-mail, pagine html, apparentemente utili che nascondono codice minaccioso Possono: Possono: –danneggiare il contenuto del computer –aprire una porta di servizio (backdoor) –spiare le operazioni dellutente (password) –inviare informazioni ad altri computer –…
26
26 Rischi - Network Sniffer Intercettano tutti i pacchetti sulla rete Intercettano tutti i pacchetti sulla rete Una password inviata in chiaro (non cifrata) sulla rete può essere intercettata Una password inviata in chiaro (non cifrata) sulla rete può essere intercettata
27
27 Rischi - Social Engineering Consiste nellottenere informazioni direttamente dagli utenti Consiste nellottenere informazioni direttamente dagli utenti Larte dellinganno di K.D. Mitnick e W. Simon – Feltrinelli Larte dellinganno di K.D. Mitnick e W. Simon – Feltrinelli (nelle foto Mitnick il giorno dellarresto e oggi)
28
28 Accorgimenti operativi Mantenere sempre aggiornati il sistema operativo, i software di base e lantivirus Mantenere sempre aggiornati il sistema operativo, i software di base e lantivirus Installare solo software sicuro Installare solo software sicuro Usare programmi (network scanner), che scandiscono la rete e cercano debolezze conosciute Usare programmi (network scanner), che scandiscono la rete e cercano debolezze conosciute
29
29 Accorgimenti operativi Accertare lidentità dellutente tramite username e password Accertare lidentità dellutente tramite username e password Utilizzare le seguenti regole minime per la password: Utilizzare le seguenti regole minime per la password: –Diversa dallo username –Da modificare periodicamente (scadenza) –Costituita da N caratteri alfanumerici (più di 8) –Non ripetibile (storico)
30
30 Accorgimenti operativi Per sistemi critici, usare automatismi di modifica costante della password : Per sistemi critici, usare automatismi di modifica costante della password : –Lhost cambia costantemente la password dellutente –Per autenticarsi lutente usa un token (smart card o periferica USB), che aggiorna la password parallelamente allhost.
31
31 Accorgimenti operativi Cosa non si deve fare: Cosa non si deve fare: –Non rendere nota la password –Non aprire accessi ad utenti esterni –Non utilizzare password troppo comuni –Non aprire file allegati a e-mail sospette –Non modificare le impostazioni di rete del computer –Non installare software non autorizzati
32
32 Tecnologie da utilizzare Firewall Firewall Proxy Proxy Router NAT Router NAT VPN VPN
33
33 ARCHITETTURA RETI PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server E-mail router Server WEB, E-mail Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico
34
34 Firewall (1) Software o Hardware dedicato posto nellunico punto di accesso alla rete WAN Software o Hardware dedicato posto nellunico punto di accesso alla rete WAN Analizza e blocca tutti i pacchetti che transitano tra la rete interna e lesterno, esclusa una lista di eccezioni Analizza e blocca tutti i pacchetti che transitano tra la rete interna e lesterno, esclusa una lista di eccezioni
35
35 Firewall (2) Compromesso tra sicurezza e convenienza: Compromesso tra sicurezza e convenienza: –Arrestando tutto il traffico in entrata e uscita si rende la rete sicura, ma del tutto inutilizzabile –Consentendo tutto il traffico in entrata e uscita si rende la rete insicura, ma del tutto utilizzabile
36
36 Firewall (3) Il compromesso è: Il compromesso è: –Configurare il firewall in modo che blocchi tutto il traffico –Aprire le porte gradualmente, per consentire solo il traffico necessario (Es. aprire a qualsiasi richiesta interna la porta 80 significa permettere a tutti gli utenti della rete di accedere al Web, ma non a giochi che richiedono altre porte applicative)
37
37 Firewall (4) Il firewall impedisce traffico di rete non autorizzato Il firewall impedisce traffico di rete non autorizzato Può quindi prevenire unincursione dovuta a un trojan horse su un computer della rete Può quindi prevenire unincursione dovuta a un trojan horse su un computer della rete Non è infallibile: Non è infallibile: –Alcuni trojan usano le porte amichevoli –Può essere aggirato da altri dispositivi (modem nella rete che si collegano senza passare per il firewall)
38
38 Reti DMZ Il firewall deve essere lunico punto di accesso tra la rete interna e la rete pubblica Il firewall deve essere lunico punto di accesso tra la rete interna e la rete pubblica Una terza rete, la zona demilitarizzata (DMZ), si utilizza per disporre i server che offrono servizi alla rete pubblica ( web server, mail server, ftp server) Una terza rete, la zona demilitarizzata (DMZ), si utilizza per disporre i server che offrono servizi alla rete pubblica ( web server, mail server, ftp server) In questo caso il firewall deve avere tre adattatori di rete In questo caso il firewall deve avere tre adattatori di rete
39
39 Proxy Firewall Non permette il traffico diretto tra le reti Non permette il traffico diretto tra le reti Accetta il traffico dallapplicazione di un client interno e predispone un collegamento separato con la rete pubblica Accetta il traffico dallapplicazione di un client interno e predispone un collegamento separato con la rete pubblica Isola il client della rete interna dal server esterni Isola il client della rete interna dal server esterni Rifiuta collegamenti non espressamente configurati Rifiuta collegamenti non espressamente configurati
40
40 Proxy Firewall Vantaggi: Vantaggi: –Effettua un controllo sui collegamenti, autorizzandoli o rifiutandoli –Restringe le richieste di uscita a determinati servizi (solo richieste HTTP e non FTP) limitando il rischio di attacchi –Mantenendo la registrazione dei collegamenti, è utile per tracciare attacchi o richieste di accesso non autorizzate
41
41 Proxy Firewall Svantaggi: Svantaggi: –Rende necessaria una specifica configurazione delle applicazioni (es. browser) sui client, in funzione del proxy utilizzato –Da solo non è sufficiente ad assicurare la protezione della rete
42
42 Router NAT Network Address Translation Network Address Translation Traduce indirizzi IP multipli della rete interna in un unico indirizzo IP pubblico Traduce indirizzi IP multipli della rete interna in un unico indirizzo IP pubblico Un collegamento in entrata, non precedentemente richiesto da un client, viene trattato con regole definite o scartato Un collegamento in entrata, non precedentemente richiesto da un client, viene trattato con regole definite o scartato
43
43 VPN Permette la connessione sicura di un client remoto a una rete LAN e luso dei servizi di rete in modo trasparente Permette la connessione sicura di un client remoto a una rete LAN e luso dei servizi di rete in modo trasparente –Deve essere affiancata da un sistema di autenticazione Permette di connettere due reti LAN attraverso la rete pubblica Permette di connettere due reti LAN attraverso la rete pubblica –Quando il firewall locale riceve dati per una Lan remota, cripta i dati e linvia al firewall remoto, che li decripta e linvia a destinazione
44
44
45
45 Sicurezza fisica - Misure preventive Controllo accessi (badge o rilevatori biometrici e log) e blindatura porte Controllo accessi (badge o rilevatori biometrici e log) e blindatura porte Allarmi anti-intrusione e anti-incendio Allarmi anti-intrusione e anti-incendio Gruppi di continuità (UPS) e condizionatori ridondati Gruppi di continuità (UPS) e condizionatori ridondati Linee elettriche dedicate e generatori Linee elettriche dedicate e generatori Apparati e cavi di rete protetti e ridondati Apparati e cavi di rete protetti e ridondati
46
46 Sicurezza fisica - Misure preventive Ridondanza delle funzionalità dei server e degli apparati di rete Ridondanza delle funzionalità dei server e degli apparati di rete Backup centralizzato dei dati strategici, localizzato in sito diverso e protetto con le stesse misure Backup centralizzato dei dati strategici, localizzato in sito diverso e protetto con le stesse misure Conservazione di doppie copie dei backup in armadi ignifughi Conservazione di doppie copie dei backup in armadi ignifughi Definizione delle regole di Disaster recovery Definizione delle regole di Disaster recovery
47
47 Codice in materia di protezione dei dati personali D.Lgs. 196/03
48
48 D.Lgs. 196/03 - Principi Generali Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale (art.1) Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale (art.1) Il.. testo unico … garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. (art. 2 c.1) Il.. testo unico … garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. (art. 2 c.1)
49
49 D.Lgs. 196/03 - Dati Personali I dati personali riguardano qualunque informazione relativa a persona fisica o giuridica che ne permettano lidentificazione I dati personali riguardano qualunque informazione relativa a persona fisica o giuridica che ne permettano lidentificazione Es: nome, cognome, ragione sociale, codice fiscale, indirizzo, foto, impronta digitale Es: nome, cognome, ragione sociale, codice fiscale, indirizzo, foto, impronta digitale
50
50 D.Lgs. 196/03 - Dati Sensibili e Giudiziari Sono dati sensibili quelli idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, … lo stato di salute e la vita sessuale Sono dati sensibili quelli idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, … lo stato di salute e la vita sessuale Sono dati giudiziari quelli idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative, …, la qualità di imputato o di indagato Sono dati giudiziari quelli idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative, …, la qualità di imputato o di indagato
51
51 D.Lgs. 196/03 Titolo V Capo I Misure di sicurezza Art.31 : i dati personali sono custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme Art.31 : i dati personali sono custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme Art.33 : i titolari del trattamento sono tenuti ad adottare le misure minime di protezione dei dati personali Art.33 : i titolari del trattamento sono tenuti ad adottare le misure minime di protezione dei dati personali
52
52 D.Lgs. 196/03 Titolo V Capo I Misure di sicurezza Art. 34 : le misure minime da adottare per consentire il trattamento dei dati personali con strumenti elettronici sono : Art. 34 : le misure minime da adottare per consentire il trattamento dei dati personali con strumenti elettronici sono : –Autenticazione informatica –Adozione procedure di gestione delle credenziali di autenticazione –Utilizzo di un sistema di autorizzazione –Aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti –Protezione rispetto a trattamenti illeciti di dati e accessi non consentiti –Adozione di procedure per la custodia di copie di sicurezza e di ripristino dei dati e dei sistemi –Tenuta di un aggiornato Documento Programmatico sulla Sicurezza –Adozione di tecniche di cifratura o codici identificativi per trattamento di dati sensibili da parte di organismi sanitari
53
53 D.Lgs. 196/03 Titolo V Capo I Misure di sicurezza Art.35 : le misure minime da adottare per consentire il trattamento dei dati personali senza strumenti elettronici sono: Art.35 : le misure minime da adottare per consentire il trattamento dei dati personali senza strumenti elettronici sono: –Aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati –Previsione di procedure per unidonea custodia di atti e documenti affidati agli incaricati –Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata allidentificazione degli incaricati
54
54 D.Lgs. 196/03 - Sanzioni Lart.162 c.2 bis prevede che in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 è applicata la sanzione amministrativa di una somma da ventimila euro a centoventimila euro. Lart.162 c.2 bis prevede che in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 è applicata la sanzione amministrativa di una somma da ventimila euro a centoventimila euro. Lart.169 prevede che chiunque, essendovi tenuto, omette di adottare le misure minime, è punito con larresto fino a due anni o con lammenda amministrativa e lobbligo di adeguamento del proprio sistema entro 6 mesi. Lart.169 prevede che chiunque, essendovi tenuto, omette di adottare le misure minime, è punito con larresto fino a due anni o con lammenda amministrativa e lobbligo di adeguamento del proprio sistema entro 6 mesi.
55
55 Passiamo ad altro … Passiamo ad altro …
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.