Gestione, monitoraggio e criticità della sicurezza in INFN e IGI

Slides:



Advertisements
Presentazioni simili
Introduzione ad Active Directory
Advertisements

La sicurezza nelle Griglie
DNS: Il Servizio Directory di Internet
DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Fare clic per modificare lo stile del titolo Fare clic per modificare stili del testo dello schema – Secondo livello Terzo livello – Quarto livello » Quinto.
Università degli Studi G. dAnnunzio Chieti-Pescara Corso di Laurea Specialistica in Economia Informatica Seminario per il corso di Reti di calcolatori.
Secure Socket Layer (SSL) Transport Layer Security (TLS)
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
IPSec Fabrizio Grossi.
Analisi e sperimentazione di una Certification Authority
Database Elaborato da: Claudio Ciavarella & Marco Salvati.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
DNSSEC Sicurezza & Windows Frascati Febbraio 2012 Fulvia Costa Infn Padova.
Aggiornamento attivita’ gruppo Windows Gian Piero Siroli, Dip. di Fisica, Università di Bologna e INFN CCR, ottobre 2007.
EGEE is a project funded by the European Union under contract IST L'infrastruttura di produzione attuale A. Cavalli - INFN- CNAF D. Cesini.
Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.
Mag La Firma Digitale Sommaruga Andrea Guido Collegio dei Geometri e Geometri Laureati della Provincia di Lodi.
Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;
Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●
Universita` degli studi di Perugia Corso di Laurea Magistrale in Informatica NetCash Antonio Cestari Pietro Palazzo.
D. Masini – La privacy e le comunicazioni digitali Firenze, 9 Mag 2008 – e-privacy La privacy e le comunicazioni digitali Daniele Masini
Progetto: memorizzazione dello stato nel database Accesso Nome Anno N. accediNegozio.html negozio Seleziona oggetto1 oggetto2 oggetto conferma.
Attività gruppo Sicurezza CCR, 3 Ottobre CCR, 3/10/07 Attività del gruppo Sicurezza 2 Topologia LAN Configurazioni ottimali rete e monitoraggio,
AFS NELLA SEZIONE DI PADOVA aree_utenti: attualmente nessuno ha la proria home in AFS e quasi nessuno utilizza l'area utenti di AFS. /usr/local: si preferisce.
Crittografia e Posta Elettronica Asimmetria con GnuPG/Thunderbird/WOT
Archivi in Digitale: Firma Digitale
Configurazione Router IR794- IG601
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
DNS Domain Name Server.
Conformità agli standard ufficiali
Arkoon Network Security 2010
Office WPC049 Strumenti di supporto e analisi per Office 365
WPC069 Il deployment automatizzato di Windows 10
Come accedere ai servizi di Trigrid
Riunione INFN – Bologna, 17 January 2013
Bologna – CNAF – 9 Ottobre 2015
Breve report su corso RedHat Enterprise Virtualization (RH318)
Risultati ultimi mesi Piano di lavoro prossimi mesi Reclutamento
Universita’ di Milano Bicocca Corso di Basi di dati 1 in eLearning C
Terza Lezione → Navigare nel file System → parte 2
Script Marco D. Santambrogio –
ACNP e NILDE: insieme per un sistema integrato dei periodici Bologna, 30 Settembre 2011 Save the time of the reader and of the librarian L'integrazione.
Come accedere ai servizi Trigrid e ottenere Supporto
Integrità referenziale
File hash.
Giordano Scuderi Unico SRL - Messina,
Installazione in spamassassin Qualche dato Firma dei mail Note
LA GESTIONE DEI PACCHETTI
Organizzazione fisica
Sviluppo di server web e sistema di caching per contenuti dinamici
OLPC-Italia Brescia 16 Ottobre 2008.
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Creare un server casalingo - 2
Situazione attuale CSN4
AUDITING DEI SISTEMI DI POSTA ELETTRONICA Prima fase: definizione della procedura, politiche di sicurezza Workshop maggio 2009 Ombretta Pinazza,
Studente : Andrea Cassarà Classe: 5AII A.S. 2014/2015 Link Sito
Recupero polizze assicurative
Rete Regionale Veneta per le Casse Edili
Marcello Iacono-Manno Catania, 6 maggio 2010
Mille modi per immettere i periodici elettronici in ACNP
SQL per la modifica di basi di dati
Scambio dati integrazione Specifiche DATEX II
CHE NOVITA‘ ALL’orizzonte?
389 Directory Server Dael Maselli.
Svolgimento della Sezione 5: CONTROLLORI
Ebsco HLM2ACNP: l’esportazione dei dati “chiavi in mano”
PowerShell di Windows PowerShell è un shell che mette a disposizione un prompt interattivo e un interprete a riga di comando , per le sue caratteristiche.
PowerDNS + Zabbix soluzione HA per servizi core di INFN-CC
Transcript della presentazione:

Gestione, monitoraggio e criticità della sicurezza in INFN e IGI DNSSEC Gestione, monitoraggio e criticità della sicurezza in INFN e IGI Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova DNS - Sicuro? Servizio essenziale Aperto sulla rete Usato da tutti Intrusioni DoS Poisoning Appetibile Progetto DNSSEC Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Progetto DNSSEC Si propone di certificare le risposte dei DNS con l’uso delle chiavi asimmetriche Richiesta esplicita per dnssec Risposta deve contenere le firme per ogni RR (answer, authority) Verifica della correttezza del record contenente la firma Convalida della chiave pubblica a partire da una trusted anchor scendendo lungo la gerarchia dei domini Uso della chiave convalidata per verificare la firma della risposta Rispettare la compatibilità Risposta standard Comunque non cifrata Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Il prezzo da pagare File di zona grandi + firme Più dati scambiati Verifica di chiavi e firme Catena di trust Manutenzione delle chiavi e problemi di cache DoS Meno lavoro per il server Modifica del protocollo per udp > 512 bytes bit DO bit cd e ad Parzialmente risolto Tools vari Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Generazione delle chiavi Servono due coppie di chiavi per ogni zona: ZSK per firmare tutti i Resource Record Set KSK per la catena di trust Il comando dnssec-keygen richiede il nome della zona e genera due file: K<zona>+<algoritmo>+<label>.key/private Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Generazione delle chiavi (2) La chiave pubblica va inserita nel file della zona ; This is a zone-signing key, keyid 35727, for rete-27.lan. ; Created: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Publish: 20111104102319 (Fri Nov 4 11:23:19 2011) ; Activate: 20111104102319 (Fri Nov 4 11:23:19 2011) rete-27.lan. IN DNSKEY 256 3 5 AwEAAa2CBASsi+cpOLhiwZ8wzFQrwlDdW0zQZjDiImN8VZCvglQdhrbI 6t2NKAlzujPSbJJXbXIXKvs3klU5X+dMRTM3G/icXwj1/DzlQ1mSEny0 P0j6tYrlpU21iKTKPyypHQ== This is a key-signing key, keyid 27698, for rete-27.lan. ; Created: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Publish: 20111104102828 (Fri Nov 4 11:28:28 2011) ; Activate: 20111104102828 (Fri Nov 4 11:28:28 2011) rete-27.lan. IN DNSKEY 257 3 3 CP/Hd6xGaZYuFbiL/iAKnRca9K+DqL2vYMgmEaShsh4Pl1JkMjFwuGOZ ReSCaAx29IN7oh4WjLJT9ySe8ppmBD4LLVHI12morSMDG7yNmbIXZVHw UKQrg22i6ZysnR919+S8KZOXx6XPhpTJzL2fVx1Catf8uajrz4n5iCok VHc/Xeq3ol5R858YeCCyGWpIZ/7GwQWjeXH7SiEBvoVxHMM3VK2twF3O dCa9IBFmbMgpAg2yP7MTEOjIEFdF+p/OaYMf29FlBlv8V/hNBbHCbRne RFHmiT9GTlZ/lVtIhdOvSDx6ZDTIE0n2s/YwbwNSEmRA7XRTb0AwV+4B WHuB0wPRZX9h9vlKKvU/2durBhZ+n+x3sjbVZACEEdY8m4ayvY69Cgoq mC6z++roAX3vYySvsul4EHd2Lx5UqmK+oDedZegJBt8Z5w5UD+79/G/D KNP+gl5GWRHMLg+wp+5BJqPVa0lZCnossr0vdstrjxpwhFD8X8ATJH2f +8ek4hiXjklD79/pJxvAzZuyHoNFm+qb2BJa Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Firma della zona Ogni Resource Record Set ( nome, classe, tipo) deve essere firmato. Sistema manuale: copio la chiave pubblica nel file di zona firmo con dnssec-signzone con il nome della zona e il nome del file crea .signed Sostituisco nella configurazione il nome del file di zona Per ogni record nuovo si deve rifirmare Sistema automatico se ho abilitato gli update automatici: key-directory "dynamic/27“; Allo start carica le chiavi e firma nsupdate per gestione In ogni caso Abilito dnssec  dnssec-enable yes; Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Firma della zona (2) calib-1.rete-27.lan. A 192.168.39.131 RRSIG A 5 3 3600 20111204114901 ( 20111104114438 35727 rete-27.lan. nYVoKZcTN2u9jhZ+2ReU+MPxSyFXiTs4Z7+fiW2+091H 1WGgQSpxqKfH1udAJSeFD7Dun/RVkGml6RpUFEwFDLDM X8qLdHXGxCsX8u8tQwaNlYlUW7NWe5EzeMAgg6TTVLec qsRLuZaCDDemjs+3L1kRtNOe9khSz+Wwv5IbYFg= ) NSEC calib-3.rete-27.lan. A RRSIG NSEC RRSIG NSEC 5 3 3600 20111204114901 ( UovRIpfO8DBfeId+t4/wyu7Z0jj60aNJXWuc36jy97MJ pq/oAnw0a0hhNNwVK4TzD1jgq9nep6KaQsjC/z4sl/XH zyetwrts03KVIehpQzFE+NUMcmVndioIC/FlRlgHBEg2 symMHpdXrZBOA9UwDZPYJ45ZdmK61Yhj6J0CkDk= ) calib-3.rete-27.lan. A 192.168.39.132 NMvAfYSTJghdcc5DIjGUMddB593Bgaug/xUTPMnXUvmi Yohb3vzofA/chSURcYJRsUSGyMqFOSBkUfeaYqfnTPEI HI0EGTxNwAysgnzfe5GK9bLCCEo0xkbKNt4TiCwW9KVT Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Associarsi alla catena Resource Record DS Pubblicato nel dominio padre Firmato dnssec-dsfromkey Krete-27.lan.+005+11026 rete-27.lan. IN DS 11026 5 1 E46C91BAF057E91E68E2236E6F56520FD9293D2E rete-27.lan. IN DS 11026 5 2 F2C12D6DE5DAD10D3F722EF29394D70346BF7302FCB7C4239B0E3BBC BC0D8653 Hash della KSK pubblica Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Il cammino della convalida RRSIG RRSIG DS RRSIG RR + ZSK + KSK + ZSK-P. ecc…. Dove mi fermo? Trusted anchor – nel file di configurazione dnssec-validation yes trusted-keys {… Chiave pubblica Root firmata Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Root firmata 16 Giugno 2010 Secure data center in Culpeper, VA - location of first DNSSEC key signing ceremony dnssec-validation auto Isc Bind dalla 9.8 chiave delle root fornita Isc Bind dalla 9.7 istruzione managed-keys { “.” initial-key Isc Bind dalla 9.6 definizione statica della root trusted-keys dal sito http://data.iana.org/root-anchors/ Versioni precedenti root non supportata Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Key Rollover e cache Nuove chiavi di zona: Opzioni nella creazione: Stessi parametri della chiave precedente Data di pubblicazione sul DNS in stand by Data di attivazione usata per firmare Data di disattivazione valida ma non più usata Data di cancellazione tolta dal DNS auto-dnssec maintain Idem per KSK, stand by per chi usa managed-keys. Database delle trusted anchor in managed-keys.bind Record DS secondo le politiche del dominio padre Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Situazione http://stats.research.icann.org/dns/tld_report TLD DNSSEC Report (2011-12-11) 310 TLDs in the root zone in total 86 TLDs are signed; 80 TLDs have trust anchors published as DS records in the root zone; 3 TLDs have trust anchors published in the ISC DLV Repository. Il dominio it non è firmato Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Dati di Ripe Agosto 2011 Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Dati di Ripe Agosto 2011 Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Dati di Ripe Agosto 2011 Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Fulvia Costa Infn Padova Conclusioni Dati di fatto: Per implementare dnssec servirebbe la firma di it Firmato circa un quarto dei TLD Un anno fa era un quinto Firmati org, com, net, biz, edu, gov, ecc. Lavoro di semplificazione, root firmata, tools, appliance Dubbi: Necessario ? Efficace ? Affidabile ? Alternative ? Bologna 13-14 Dicembre 2011 Fulvia Costa Infn Padova

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.