Cenni sulla sicurezza delle Reti

Slides:



Advertisements
Presentazioni simili
Informatica e Telecomunicazioni
Advertisements

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Configuring Network Access
00 AN 1 Firewall Protezione tramite firewall.
INTERNET FIREWALL Bastion host Laura Ricci.
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
I modelli di riferimento OSI e TCP/IP
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Secure Shell Giulia Carboni
SEVER RAS.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Elementi di sicurezza nelle reti
RETI E INTERNET.
Reti di Calcolatori IL LIVELLO RETE.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
Reti di calcolatori Una premessa: i sistemi di comunicazione Le reti di calcolatori Internet.
Un servizio di autenticazione per sistemi di rete aperti
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Protocollo di autenticazione KERBEROS
INTERNET FIREWALL BASTION HOST.
Corso di Informatica per Giurisprudenza Lezione 7
Il progetto di una rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
©Apogeo 2004 Gestione di una piccola rete locale.
Modulo 2 – U.D. 1 – Lez. 2 Ernesto Damiani – Sistemi di elaborazione dell'informazione.
Sistemi di elaborazione dellinformazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 - Gestione degli indirizzi Ernesto Damiani Lezione 4 – NAT.
UNIVERSITA’ DEGLI STUDI DI PERUGIA
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
Il modello di riferimento OSI
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Configurazione di una rete Windows
Corso di Laurea in Conservazione e Restauro dei Beni Culturali
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
L’architettura a strati
IPSec Fabrizio Grossi.
Internet: una panoramica
Indice Tematico Cos’è Internet Chi esegue gli attacchi e perché? Attacchi Tecniche di difesa Sicurezza nei pagamenti.
RETI DI CALCOLATORI Domande di riepilogo Prima Esercitazione.
Attivazione protocollo SSL al sistema di posta elettronica Secure Sockets Layer (SSL) è un protocollo crittografico che permette una comunicazione sicura.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
1: Introduction1 Stratificazione protocollare (Protocol “Layering”) Le reti sono complesse! r Molti elementi: m host m router m link fisici dalle caratteristiche.
Certificati e VPN.
Reti di computer Condivisione di risorse e
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Sicurezza informatica
Livello 3 Network (Rete)
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli.
Sistemi di elaborazione dell’informazione Modulo 2 - Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 3 –
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Servizi Internet Claudia Raibulet
Reti II Stefano Leonardi
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
Silvia Pasqualotto e Giulia Nanino
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Transcript della presentazione:

Cenni sulla sicurezza delle Reti Autore :Demarchi Roberto Docente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica - teledidattico sicurezza delle reti

Attacchi –tipologie 1/2 Interruzione Intercettazione sicurezza delle reti

Attacchi – tipologie 2/2 Modificazione Generazione sicurezza delle reti

Aspetti importanti nella sicurezza delle reti Autenticazione controllo di chi accede a determinate risorse Controllo dell’accesso Verifica privilegi Confidenzialità messaggi e dati Quali dati rendere visibili Integrità dei messaggi Evitare contraffazioni Non ripudio dei messaggi Certezza mittente – es:firma elettronica Disponibilita’ sicurezza delle reti

Attacchi passivi Rilasci del contenuto di un messaggio monitoraggio e ascolto trasmissioni, non comportano alterazioni dell’informazione A riguardo si identificano Rilasci del contenuto di un messaggio Si vuole impedire al destinatario diapprendere l’informazione riservata. Analisi del traffico Analisi tipologie messaggi e altre informazioni per determinarel’identità degli host, frequenza e lunghezza messaggi ect. sicurezza delle reti

Attacchi attivi Masquerade Replay Modifica di messaggi possibili alterazioni dati, fino alla falsificazione del flusso A riguardo si identificano : Masquerade Entità che finge di essere un’entità diversa Replay intercettazione passiva dati e successiva ritrasmssione per generazione effetto non autorizzato Modifica di messaggi Modifica parziali messagi o ritardati Negazione del servizio Impedimento normale servizio delle comunicazioni.Peggio : interruzione intera rete sicurezza delle reti

Attacchi di rete – Terminologia Spoofing Sniffing Shadow server Dos (Denial of Service) sicurezza delle reti

Spoofing Consiste nella falsificazione degli indirizzi di rete del mittente; ( Spoofing IP ) Tentativo di alterare dati e accedere a programmi ; (Spoofing dati) Spoofing cieco : Invio pacchetti TCP con indirizzi partenza falsificati:cieco perchè non si ha sempre speranza di vederli tornare Rimedi : Crittografia / Autenticazione sicurezza delle reti

Sniffing Rappresenta una lettura non autorizzata di pacchetti. Normalmente avviene in reti di tipo broadcast e nei nodi di smistamento dei pacchetti ( es. gateway) Possibile rimedio : crittografia sicurezza delle reti

Shadow Server Server ombra, macchina che si spaccia per altre e che appare essa fornitrice di un servizio. Il shadow server deve risultare più veloce del server del quale deve escluderne il servizio, per esempio con un attacco come la negazione del servizio. Rimedio : tecniche autenticazione server sicurezza delle reti

Dos (Denial of Service) Per impedire il normale funzionamento di un server, la cosa “ migliore “ è quella di tenerlo impegnato in maniera tale da comprometterne il servizio. Rimedi : monitoraggio rete. sicurezza delle reti

Rete Rete Privata Router Internet sicurezza delle reti

Router [1/2]   dispositivi indispensabili per connettere la rete locale di una azienda a Internet ; smistano il traffico di rete, basandosi su una mappa di rete denominata “tabella di rou-ting” ; fanno in modo che i pacchetti raggiungano le loro destinazioni attraverso i percorsi più efficaci secondo diversi algoritimi di instradamento; sicurezza delle reti

Router [2/2] dispongono di funzioni di packet filtering per effettuare un primo filtraggio del traffico di rete ; offrono generalmente la funzionalità NAT (Network Address Translation) per permettere di connettere alla rete pubblica [ una linea di connessione a Internet ] una alla rete privata alla quale vengono assegnati un’insieme di indirizzi privati ; sicurezza delle reti

Filtraggio della rete Indirizzo IP da cui provengono i dati; Indirizzo IP di destinazione ; Porte sorgente e destinazione TCP/UDP; Datagram di inizilizzazione della connessione che usa bit TCP SYN o ACK sicurezza delle reti

Esempio filtraggio Rete locale Internet Router Tabella filtraggio sicurezza delle reti

Tabella filtraggio sicurezza delle reti Azione/Regole IP Sorgente Porta Sorgente Porta Destinazione Protocollo Direzione TRAFFICO Permesso 198.21.120.2 >1024 21 TCP esterno 20   interno Negato 198.21.120.2 >1024 qualsiasi qualsiasi qualsiasi qualsiasi qualsiasi entrambe sicurezza delle reti

Firewall Firewall = “muro tagliafuoco” Il router viene spesso sostituito da uno strumento , o meglio da un insieme di componenti hardware/software dedicato per assicurare la massima sicurezza che va sotto il nome di firewall; Firewall = “muro tagliafuoco” sicurezza delle reti

Firewall e TCP/IP Firewall Analisi Application Presentation Session Transport TCP Network- IP Data link pysical Application Gateway Circuit Gateway Packet Filtering Data Payload TCP/UDP Header IP Header Generalmente Non controllati sicurezza delle reti

Ancora Firewall 1/2 Distinguiamo con grande generalità due tipi di firewall : Packet filter ( screen ) : regole su pacchetti IP (visto in precedenza ) Proxy o application gateway o application firewall (lievello più alto packet filter ) : separano Internet/Intranet sicurezza delle reti

Ancora Firewall 2/2 Packet filter Stateful inspection Proxy Pregi :Veloci , flessibili, versatili Difetti : Non offrono molta sicurezza, agiscono a livello di rete e non di applicazione Stateful inspection Pregi: maggiore sicurezza (verifica rete/applicazione) Difetti : Non molto veloce; file di log migliorabili Proxy Pregi : Sicuri Difetti : Deve supportare direttamente ogni applicazione Proxy + dynamic filetring sicurezza delle reti

Impiego Firewall Rete esterna Rete interna Internet Barriera offerta dal Firewall Firewall Rete interna sicurezza delle reti

Application gateway Generano dei report sul traffico di rete,file log; L’ Application gateway o semplicemente proxy , è in grado, a differenza del firewall basato solo su packet filtering, di autenticare gli utenti connessi; Generano dei report sul traffico di rete,file log; Mascherano l’indirizzo del richiedente della rete interna sicurezza delle reti

NAT(Network Address Translation ) Il mascheramento dell’origine del collegamento è importante in quanto evita di trasmettere informazioni relative alla rete protetta dal firewall ; Quando una macchina della rete interna apre una connessione verso un server esterno il firewall sostituisce ad essa il suo indirizzo ; Inoltre l’indirizzo privato della rete interna è non-routable (non instradrabile dai router) sicurezza delle reti

Mascheramento IP L’operazione di mascheramento è molto importante perchè permette di non trasmettere all’esterno alcun tipo di informazione relativamente alla tipologia della rete protetta dal firewall. Nel momento in cui una macchina della rete interna richiede una connessione verso l’esterno, essa viene intercettata dal firewall che inserisce il proprio indirizzo IP, a sostituzione di questa, facendo credere all’esterno che esso sia il solo punto di cominicazione con l’esterno. Inoltre il firewall intercetterà e sarà in grado di riconoscere il traffico di ritorno destinatario dei nodi “ mascherati “ e di inoltarlo, nella maniera più corretta, ai richiedenti. sicurezza delle reti

Schema con Application Gateway Rete interna Regole autenticazione Internet Application Gateway (PROXY)* File.log Utilizzabili per la ricerca di eventuali attacchi in corso * Possono risiedere più server proxy i quali si occuperanno dell’effettivo trasferimento dei pacchetti dalla due reti, e per i vari servizi per gli utenti interni sicurezza delle reti

Proxy Cache proxy : offre un servizio che ha la capacità di memorizzare in locale i file richiesti più frequentemente ( protocolli : Http / Ftp ) sicurezza delle reti

Configurazioni firewall Dual-homed host Una macchina multi-homed è un macchina dotata di più schede di rete e ognuna di esse è rivolta a un segmento distinto della rete. Se le schede di rete sono due si ha la configurazione Dual – Homed Host Bastion host Macchina con grado di criticità altissimo perchè solitamente collocata in posizione ( anche al di fuori della rete aziendale pur appartenendovi ) critica. sicurezza delle reti

Zona DMZ Zona che separa una rete non sicura da una rete sicura DMZ Bastion Host Internet Rete privata Screening router sicurezza delle reti

Esempio DMZ Zona demilitarizzata, ovvero zona più sicura di Internet ma meno meno del dominio di sicurezza Dominio Sicurezza Firewall Interno Firewall Uscita Bastion host Server che fornisce Informazioni Pubblicità Host interno Internet Server interno Server E-Commerce Bastion host Perimetro sicurezza sicurezza delle reti

VPN [ 1/2 ] VPN ( Virtual Private Network ) è un meccanismo per fornire comunicazioni (crittografiche) sicure, in due configurazioni fondamentali : Utente-rete Rete-Rete Utente remoto Internet Rete protetta Rete protetta Firewall Firewall sicurezza delle reti

VPN [ 2/2 ] Una VPN dunque permette a due reti private di essere connesse in maniera sicura attraverso reti pubbliche quale Internet. Le aziende hanno la necessità, per il fatto di avere più sedi settorialmente diverse, di connettere tra loro più reti private attarverso la rete pubblica. Internet con i suoi protocolli standard non è in grado di fornire sicurezza. VPN fornisce Privatezza Autenticazione Integrità ( Tunneling ) Protocolli usati da VPN IPSec SSL .... sicurezza delle reti

KERBEROS Kerberos è un protocollo di autenticazione di rete, sviluppato negli anni 1980 , con le seguenti principali caratteristiche : Segreti condivisi Se A confida un segreto a B il segreto è conoscituo solo da loro due. Qualora B rivceva cominicazioni riguardo a quel segreto deve essere sucuro che si tartti di A, perciò deve essere protetta da una password. Se però per qualche motivo qualcheduno ne viene a conoscenza ( p.es. attraverso uno sniffer ) cade la segretezza. Kerberos rIoslve questo problema grazie alla crittografia. Autenticazione multipla Sono previste tre componenti: Applicazine/Client Risorse di rete KDC : controller di dominio ( DC Domain Controller ) sicurezza delle reti

KERBEROS 1/3 KDC AS TGS 1 2 3 4 5 6 Server sicurezza delle reti AS =Authentication Server TGS = Ticket Granting Servers KDC KDC=Key Distribution Center Una volta per sessione di connessione Server=Server a cui viene richiesto un servizio AS 1 TGS 2 3 4 Client 5 Una volta per tipologia di servizio 6 Server Una volta per tipologia di servizio sicurezza delle reti

KERBEROS 2/3 Kerberos prevede che a ogni accesso a un server da parte di un utente/client sia effettuata un’autenticazione per mezzo di una terza parte , ovvero da un server ritenuto sicuro [ KDC il distributore delle chiavi ]. KDC è formato da un server di autenticazione AS e da un validatore di Ticket (TGS). KDC contiene l’archivio degli identificativi delle entità presenti nel dominio. Fasi : richiesta ticket -granting Il server AS invia un ticket granting TGT ( certificato crittografato )+ chiave sessione Richiesta di servizio Invio ticket + chiave sessione Richiesta ticket di tipo service-granting Il server può fornire nuovo autenticatore sicurezza delle reti

KERBEROS 3/3 In sintesi l’utente si connette ad una postazione e richiede un servizio ad un host As verifica diritti di accesso secondo un asua base dati, emmette un ticket e una chiave di sessione (cifrati ) La workstation richiede all’utente – password e così decifra il messaggio in arrivo. Lo invia poi al TGS + autenticatore (username / indirizzo di rete client / ora sistema ) TGS decifra il ticket e l’autenticatore. Emette un ticket per il server richiesto Il server verifica ticket e autenticatore. sicurezza delle reti

KERBEROS E WINOWS 2000 Kerberos di windows 2000 supporta il meccanismo della delega della’autenticazione FIDUCIA TRANSITIVA – utlizzazione risorse altri domini Dominio A Dominio B Dominio C Fiducia Fiducia Fiducia non transitiva sicurezza delle reti

Kerberos e Windows 2000 Kerberos supporta le realzioni di fiducia transitiva I ticket dell’utente possono essere inoltrati da una macchina all’altra Supporta il logon con le smart card Windows XP riusa se pur con modifiche Kerberos sicurezza delle reti

Conclusioni Le aziende hanno più che mai la necessità di connettersi a Internet pena, la loro stassa soppravivenza. Se da un lato si aprono ad esse grandi prospettive e opportunità, dall’altro si espongono a notevoli tentativi di intrusione. I firewall, nelle loro molteplicità d’uso, offrono un valido supporto alla sicurezza ma non rapparesentano la soluzione ad ogni problema. L’ammnistratore di rete dovrà essere attento e sensibile a monitorare continuamante la rete e aggiornare continuamente il software in uso. Non per ultimo dovrà considerare le minacce più “ temibili “ ovvero quelle interne. sicurezza delle reti