Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Slides:



Advertisements
Presentazioni simili
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
La sicurezza dei sistemi informatici
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Microsoft Education Academic Licensing Annalisa Guerriero.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Le tecnologie informatiche per l'azienda
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.
INTERNET FIREWALL Bastion host Laura Ricci.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
RETI INFORMATICHE.
Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.
Sicurezza e Policy in Active Directory
Organizzazione di una rete Windows 2003
Amministrazione di una rete con Active Directory
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Introduzione all’analisi forense: metodologie e strumenti
Le strategie di collaborazione
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
DAGLI ARCHIVI AI DATABASE
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
La sicurezza delle reti informatiche : la legge sulla Privacy
Un problema importante
ECDL per TUTTI con I Simpson Azzurra & Silvia.
Configurazione di una rete Windows
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione 1.5 Sicurezza.
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
BPR-T Business Process Reengineering – Information Technology
Istituto Comprensivo “ Eleonora Duse” Questionario di gradimento rivolto ai genitori relativo ai livelli standard e ai livelli di qualità Anno Scolastico.
Introduzione alla ICT Security Appunti per la cl. V sez. H A cura del prof. Ing. Mario Catalano.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Creato da Riccardo Nuzzone
1 Il Servizio di Posta Elettronica Relatori Gianpiero Guerrieri Francesco Baldini S.C. Information and Communication Technology.
Certificati e VPN.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Sicurezza delle reti informatiche: come, dove e perchè
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
UNITA’ 03 Sicurezza in rete.
L’ACCESSIBILITA’ DEL WEB NEI NEGOZI DI VENDITA ONLINE: TRE SITI A CONFRONTO Relatore: Prof. Marco Porta Correlatore: Prof. Lidia Falomo Tesi di: Laura.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Cloud SIA V anno.
SICUREZZA E PROTEZIONE DATI Sicurezza nei sistemi informatici significa non permettere la violazione o la lettura dei dati memorizzati in un computer.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
ECDL European Computer Driving Licence
Le basi di dati.
5 marzo Come affrontare il problema Contromisure organizzative e tecnologiche.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
L'ICT Le tecnologie dell'informazione e della comunicazione, in acronimo TIC (in inglese Information and Communications Technology, in acronimo ICT), sono.
Sicurezza nei sistemi aziendali. La complessità dei sistemi informatici, la sempre maggiore integrazione tra elementi eterogenei, la crescita dell’accessibilità.
Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/2 Site Security Handbook RFC 2196 – Sept Guida alla definizione di policy e procedure di sicurezza per siti connessi a Internet. Si rivolge agli amministratori della rete, dei sistemi e dei servizi, non agli sviluppatori di programmi o di sistemi operativi.

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/3 Site Security Handbook Definizione di SITO Organizzazione che possieda computer o altre risorse di rete usate da utenti e che possano accedere a Internet.

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/4 Site Security Handbook Altre definizioni: Internet – Cfr. FYI4, RFC Administrator – responsabile del funzionamento quotidiano dei sistemi e delle reti Security administrator – responsabile della sicurezza delle informazioni o dei sistemi informatici

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/5 Site Security Handbook Passi fondamentali nel processo di sicurezza: Identificazione interna Identificazione esterna Valutazione dei rischi Realizzazione delle misure Miglioramento continuo

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/6 Site Security Handbook 1 - Analisi dei rischi Osservazione fondamentale: la ragione principale per cui si ha bisogno di una buona security policy è assicurarsi che ciò che si spende per la sicurezza produca benefici economicamente giustificabili Che cosa abbiamo bisogno di proteggere? Da chi è necessario proteggere che cosa? Come realizziamo le protezioni?

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/7 Site Security Handbook 1 - Analisi dei rischi Identificazione delle entità da proteggere Hardware, Software, Dati, Persone, Documentazione, Forniture varie Identificazione dei pericoli Per ogni entità si identificano problemi associati. Tipicamente: Accesso non autorizzato a informazioni Diffusione imprevista o non autorizzata di informazioni Interruzione di servizio

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/8 Site Security Handbook 2 - Politiche di sicurezza Una security policy è una guida per prendere decisioni Mediante la dettagliata esposizione di precisi obiettivi relativi alla sicurezza, consente di utilizzare al meglio gli strumenti (informatici e non) a disposizione per l’analisi e il controllo delle risorse e la realizzazione di misure e contromisure di sicurezza. Attenzione alle security policies fornite, per default, dagli strumenti informatici e assunte dagli utenti

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/9 Site Security Handbook 2 - Politiche di sicurezza Dovendo definire politiche di sicurezza, ci si scontra solitamente con la necessità di scegliere nell’ambito dei seguenti compromessi Servizi / sicurezza Facilità d’uso / sicurezza Controllo dei costi / rischi

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/10 Site Security Handbook 2 - Politiche di sicurezza “A security policy is a formal statement of the rules by which people who are given access to an organization’s technology and information assets must abide.” I destinatari sono: gli utenti, i responsabili, il management. Devono essere coinvolti: l’amministratore della sicurezza, staff tecnico IT/EDP, coordinatori di gruppi di utenti, il “security incident response team”, rappresentazne degli utenti, management, ufficio legale

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/11 Site Security Handbook 2 - Politiche di sicurezza Alcune caratteristiche Deve essere realizzabile Deve poter essere imposta Deve distinguere le responsabilità Deve essere flessibile

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/12 Site Security Handbook 2 - Politiche di sicurezza Alcuni elementi chiave Linee guida per l’acquisto di sistemi e software Privacy Accesso ai sistemi Autenticazione Disponibilità delle risorse Manutenzione di reti e sistemi Segnalazione di violazioni Documentazione di supporto

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/13 Site Security Handbook 3 - Applicazioni Definire un piano di sicurezza completo (framework). Se le politiche di sicurezza non sono stabilite all’interno di un piano generale, che tiene conto dell’intera organizzazione, esse possono fallire. Occorre definire una lista dei servizi disponibili, stabilire chi avrà accesso ad essi, come avviene l’accesso, chi amministra i servizi. Occorre anche stabilire come classificare e gestire i possibili incidenti.

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/14 Site Security Handbook 3 - Applicazioni Occorre separare i servizi? Le modalità di realizzazione dei servizi influenzano la sicurezza: in generale i diversi servizi che occorre fornire hanno modelli di accesso (autenticazione, autorizzazione) e di fiducia (accessibilità, controllo) diversi. Servizi con differenti modelli di accesso e fiducia vanno realizzati con sistemi separati. Servizi critici per sicurezza Servizi critici per disponibilità Servizi critici per accessibilità Servizi critici per funzionalità

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/15 Site Security Handbook 3 - Applicazioni Un po’ di filosofia… Vi sono due punti di vista diametralmente opposti per prendere le decisioni che permettono di comporre un piano per la sicurezza completo. Approccio del “permettere tutto” Approccio del “negare tutto” Di volta in volta occorre scegliere quello più opportuno per il componente del piano o il settore del sito che si sta realizzando. Il primo approccio richiede poco sforzo e tempo; il secondo più lavoro e conoscenza, ma è più sicuro del primo.

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/16 Site Security Handbook 3 - Applicazioni Un po’ di filosofia… Ciascun modello (“permettere tutto” o “negare tutto”) può essere adottato a parti differenti del sito, a seconda dei requisiti di funzionalità, accessibilità, disponibilità, controllabilità ecc. e alle politiche (di sicurezza e non). Come esempio comunemente usato, “permettere tutto” si applicare sempre ai computer standard degli utenti, mentre “negare tutto” è opportuno per i server. Attenzione, in questo mix, a non creare dei “biscotti ripieni”, ossia delle strutture molto rigide e controllate in periferia e molto rilassate e libere all’interno. Per motivi economici questo approccio è assai diffuso, ma è rischioso non avere alcuna difesa interna una volta che il perimetro è stato violato…

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/17 Site Security Handbook 3 - Applicazioni Identificare i veri bisogni I servizi informatici, sia interni che esterni, rispondono in vari modi alle numerose necessità degli utenti. Gestire i servizi in sicurezza significa il più delle volte gestire l’accesso ai servizi interni e gestire come gli utenti possano accedere a sistemi esterni al sito. Analizzare di volta in volta le richieste di accesso a nuovi servizi, interni o esterni, è costoso e realizzarle sempre e comunque fa crescere a dismisura le complessità di gestione e diminuire la la sicurezza complessiva del sito. Concentrarsi sul minimo dei servizi che forniscono il massimo delle necessità

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/18 Site Security Handbook 3 - Applicazioni Protezione della rete e dei servizi Sono descritte alcune classiche vulnerabilità delle reti e dei computer, come denial of service con flood attacks e lo spoofing. Si accenna alle debolezze e alla protezione dei principali servizi di rete: DNS, NIS(+), Kerberos, Proxy servers, Electronic Mail, World Wide Web, File Transfer, File Sharing. Protezione dei firewalls (sembra ovvio, ma…)

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/19 Site Security Handbook 3 - Applicazioni Firewalls Non sono la panacea di tutti i problemi di sicurezza, anche se ne hanno la reputazione. Sono uno dei tanti strumenti a disposizione; permettono di realizzare security policy a livello rete, controllandone l’accesso. Combinazione di Filtering routers e proxy servers. Importanza del logging, centralizzazione e memorizzazione. Caratteristiche e costi.

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/20 Site Security Handbook 4 – Servizi e Procedure Autenticazione Meccanismo generale per l’identificazione degli utenti nei sistemi isolati e nei sistemi in rete. Username + reusable passwords. Tradizionalmente in uso da sempre, anche se sono preferibili altri meccanismi: One-time passwords Kerberos Tokens User e password si continuano ad usare  Password assurance policy! Password robuste, no default, protette, scadenza, blocco.

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/21 Site Security Handbook 4 – Servizi e Procedure Accesso L'accesso fisico ai sistemi deve essere controllato, permettendone l'accesso solamente alle persone autorizzate. Walk-up network connection. Gestione dei modem e delle linee telefoniche. Occorre un'autenticazione sia in ingresso che in uscita. Call-back. Tutti i login devono essere registrati nei log. Banners. Cenni alle procedure di auditing. Cosa raccogliere e cosa non. Valore legale.

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/22 Site Security Handbook 4 – Servizi e Procedure Backup Il sito deve creare copie di backup Occorre tenere copie off-site, valutando la sicurezza e la disponibilità del posto scelto (disaster recovery) Backup crittografati. Attenzione alla gestione delle chiavi e del software Non assumere che i backup siano validi Procedure di verifica periodica

Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/23 Site Security Handbook 5 – 9 Altri contenuti Gestione dell'incidente Attività da fare di continuo Mailing lists e risorse Riferimenti