Claudio Telmon - Strumenti di difesa -1 © Claudio Telmon, 1999 Le tecnologie per la difesa Claudio Telmon Claudio Telmon.

Slides:



Advertisements
Presentazioni simili
Claudio Telmon Frodi aziendali e sicurezza IT Giornata di studio AIEA Roma, 21 novembre 2001 Claudio Telmon
Advertisements

© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.
/ fax
Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level June 10 th, 2009Event details (title,
Dott. Marco Trivelli SNORT: Intrusion Detection System Politiche delle Reti e Sicurezza.
1 Processi e Thread Processi Thread Meccanismi di comunicazione fra processi (IPC) Problemi classici di IPC Scheduling Processi e thread in Unix Processi.
1 la competenza alfabetica della popolazione italiana CEDE distribuzione percentuale per livelli.
Citrix Metaframe. Metaframe è la soluzione client-server prodotta dalla Citrix in grado di rendere disponibili applicazioni e desktop a qualsiasi dispositivo.
FONDAMENTI DI INFORMATICA III WfMC-1. FONDAMENTI DI INFORMATICA III WfMC-2 WFMC Cose WfMC Workflow Management Coalition (WfMC), Brussels, è unorganizzazione.
Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari
Sequence. CREARE UNA SEQUENCE CREATE SEQUENCE nome [INCREMENT BY n] [START WITH n] [MAXVALUE n | NOMAXVALUE] [MINVALUE n | NOMINVALUE] [CYCLE | NOCYCLE]
DATA LINK PHYSICAL IP TRASPORTO APPLICATIVOclient PHYSICAL IP TRASPORTO APPLICATIVOserver Un Client è interconnesso ad un Server attraverso una porzione.
Unix Security Checklist1 Security Patches –[] Installare sempre tutte le security patches per il SO in uso per mantenere il sistema collegato in rete up.
ETEN – Re-Public – RePublic website 1\5 eTEN Progetto Re-Public – RePublic website Workshop finale Dott. Marco Sentinelli – Galgano International Roma,
Ricerca di una chiave: Search(x, k) if x == nil or k == x.key return x
1° passo Aprire Internet Explorer Andare alla homepage di Ateneo Aprire il menu Ateneo Scorrere fino Servizi di Ateneo Cliccare su Servizi Informatici.
© Copyright 2011 Elitecore Technologies Pvt. Ltd. All Rights Reserved. Securing You Controllo della sicurezza centralizzato con Cyberoam.
1 © 2013 Cobra Italia SpA All rights reserved Cobra group website Gennaio 2013.
Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,
Firewall e Security su Internet
C aso di Studio Gruppo9: DAvino,Vetrano,Monda,Papa, Berardini,Schettino.
7 cose da sapere su Volume Activation con Windows 7 © 2009 Microsoft Corporation. Tutti i diritti riservati. Come professionista IT, devi sapere che l'attivazione.
…… risparmiare energia e importante. Al fine di migliorare limpatto ambientale della nostra attivita, invitiamo tutti quelli che frequentano il laboratorio.
Alcuni docenti dell’Istituto Comprensivo Trento 6 che hanno avuto l’opportunità di partecipare, alla seconda edizione del corso di aggiornamento: propongono:
INNOVAZIONE NELLA SCUOLA E T.I.C.
Dicembre 2010 I nuovi modelli di business dellindustria dei contenuti.
DA NATIVI DIGITALI A INTERNAUTI CONSAPEVOLI
Creare e gestire un sito Web scolastico P.O.N ITIS Marconi Nocera a.s
Il Booking Engine Html di HermesHotels è studiato per permettere I-Frame sui siti degli Hotels. Disponibile anche in modalità Pop- Up https, simile.
1 Web Design Internet Agency. 2 Web Design Internet Agency Qual è il valore aggiunto che può portare allimpresa ? Perché è fondamentale oggi avere un.
Benvenuti nel marketplace dei macchinari per la deformazione della lamiera.
L’azienda prima dell’intervento:
Prospecting & Vendite Padova 25 luglio Ci stanno ipnotizzando Crisi e Ipnosi.
LA GESTIONE DELLE ATTIVITÀ COMMERCIALI
Ecommerce Day Torino, 12 aprile 2013.
Cosa vuol dire «Embedded»? Valter
Arbor Networks e FASTWEB per la protezione dagli attacchi DDoS:
KASPERSKY Lab Small Office Security versione 2 per informazioni Milano, 31 gennaio 2011.
Presenta Progetto Web Marketing 3.0. Hyper-code Via Domenico Mercante 6, Verona (VR) – Tel Cell mail.
17 aprile 2007 AUTOMOTIVE NETWORK TEAM Una Rete per le Reti.
Dr.ssa Michela Floris Oristano, 18 Giugno Programma per la serata Visione di un video del Dr. Attanzio, direttore generale dellAIDAF Identificazione.
Tipologia dotazione informatica Le dotazioni informatiche nelle scuole comprendono soprattutto stampanti,mentre è limitato il numero degli scanner.
Innovazioni versione 4 Bari, 17 ottobre Innovazioni versione 4 Il menù dinamico secondo logica operativa Il ruolo dei Ruoli Facilitare la scelta.
Riva del Garda Fierecongressi Richiesta di parere per impianto destinzione automatico a pioggia. Si tratta dellampliamento di un impianto esistente, inferiore.
AUTOMOTIVE NETWORK TEAM LObbligo della Redditività Tutto Fuori.
ESSERE DEALER DEALER NEL 2005 NEL La Formazione come strumento di crescita si investe sul fare e si dedica poco tempo agli scenari (ci pare di risparmiare.
Gruppo 4: Gelmi Martina, Morelato Francesca, Parisi Elisa La mia scuola ha un sito Web: modelli per la qualità dei siti (Ingegneria del Web)
LE RETI INFORMATICHE.
Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN per applicazioni di GRID-Computing Rapporto trimestrale attività
Quando un computer diventa pericoloso? Se nella posta o in una chat line qualcuno che non conosci ti manda un file o un messaggio, NON APRIRLO.
System for Card DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Presentazione del Servizio ASP di System for Card.
Voting Sistema di votazione telematica. Che cosè Sito web per gestire votazioni tramite internet La sezione amministratore permette di progettare lo scenario.
ICF e Politiche del Lavoro
Attività Formativa Sviluppo di un WORKFLOW ENGINE di Dott. Riccardo Gasperoni Alessandro Caricato Gabriele Trabucco in collaborazione con Progesi S.p.A.
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
SCOPRI LA TABELLINA click Trova la regola nascosta… click
1 Questionario di soddisfazione ATA - a. sc. 2008/09 Il questionario è stato somministrato nel mese di aprile Sono stati restituiti 29 questionari.
1101 = x 10 x 10 x x 10 x = CORRISPONDENZE
Fondamenti delle Reti di Computer Seconda parte Carasco 15/04/2010.
Ad opera di: Matteo Donatelli e Maurizio Di Paolo Presentazione su : Elettropneumatica 1.
1 Simulated multiple inheritance Sandro Pedrazzini Approfondimento Simulated multiple inheritance in Java.
SUBQUERY Chi ha un salario maggiore di quello di Abel? Occorre scomporre la query in due sotto problemi: MAIN : quali impiegati hanno un salario maggiore.
1 © 2004, Cisco Systems, Inc. All rights reserved. Il ruolo della Rete nella strategia aziendale David Bevilacqua Operations Director Enterprise 29 Settembre.
Bando di Residenza Cap Scheda ENTE 3ROL - Richieste On Line.
Pippo.
Bando Pittori e Scultori in Piemonte alla metà del ‘700
Claudio Telmon - Strumenti di difesa -1 © Claudio Telmon, 1999 Le tecnologie per la difesa Claudio Telmon Claudio Telmon.
lun mar mer gio ven SAB DOM FEBBRAIO.
IL GIOCO DEL PORTIERE CASISTICA. Caso n. 1 Il portiere nella seguente azione NON commette infrazioni.
Transcript della presentazione:

Claudio Telmon - Strumenti di difesa -1 © Claudio Telmon, 1999 Le tecnologie per la difesa Claudio Telmon Claudio Telmon

Claudio Telmon - Strumenti di difesa -2 © Claudio Telmon, 1999 ArgomentiArgomenti Il caso di studio Il caso di studio I sistemi firewall I sistemi firewall Autenticazione Autenticazione Virtual Private Networks Virtual Private Networks Sistemi di Intrusion detection Sistemi di Intrusion detection Integrity Checkers Integrity Checkers Scanners Scanners Virus, worm e il resto del bestiario Virus, worm e il resto del bestiario

Claudio Telmon - Strumenti di difesa -3 © Claudio Telmon, 1999 Il caso di studio

Claudio Telmon - Strumenti di difesa -4 © Claudio Telmon, 1999 Caso di studio Esiste già una connessione a Internet Esiste già una connessione a Internet Rappresentanti e sedi remote accedono via modem Rappresentanti e sedi remote accedono via modem Il router ha alcune regole di filtraggio messe dal provider Il router ha alcune regole di filtraggio messe dal provider Il mainframe gestisce i dati critici ed è isolato... Il mainframe gestisce i dati critici ed è isolato Ma chiacchierando viene fuori che un PC ha una scheda di emulazione Ma chiacchierando viene fuori che un PC ha una scheda di emulazione 3270

Claudio Telmon - Strumenti di difesa -5 © Claudio Telmon, 1999 Primo problema: la rete è compromessa? Gli attaccanti nascondono le tracce Gli attaccanti nascondono le tracce Un trojan horse potrebbe ad esempio: Un trojan horse potrebbe ad esempio: connettersi a un server sulla porta 80 (http) connettersi a un server sulla porta 80 (http) accettare comandi nelle pagine web accettare comandi nelle pagine web mandare le risposte nelle query mandare le risposte nelle query La soluzione comune per un sistema compromesso è reinstallarlo La soluzione comune per un sistema compromesso è reinstallarlo Non è generalmente pratico reinstallare preventivamente una rete Non è generalmente pratico reinstallare preventivamente una rete

Claudio Telmon - Strumenti di difesa -6 © Claudio Telmon, 1999 Come affrontare il problema sicurezza La sicurezza deve essere parte della progettazione di ogni parte della rete La sicurezza deve essere parte della progettazione di ogni parte della rete La sicurezza aggiunta dopo: La sicurezza aggiunta dopo: è meno efficace è meno efficace è più difficile da implementare è più difficile da implementare interferisce maggiormente con le normali attività interferisce maggiormente con le normali attività Esempio precedente: connettersi a Internet e poi, con calma, affrontare la sicurezza della rete? Esempio precedente: connettersi a Internet e poi, con calma, affrontare la sicurezza della rete?

Claudio Telmon - Strumenti di difesa -7 © Claudio Telmon, 1999 Politica di sicurezza Non è un problema da sistemisti: Non è un problema da sistemisti: il sistemista non può decidere quali servizi sono necessari a unazienda il sistemista non può decidere quali servizi sono necessari a unazienda il sistemista non è in grado di imporre le sue decisioni il sistemista non è in grado di imporre le sue decisioni il sistemista non può stabilire i provvedimenti da prendere in caso di violazione il sistemista non può stabilire i provvedimenti da prendere in caso di violazione Definisce cosa è lecito fare Definisce cosa è lecito fare solo dopo è possibile scegliere gli strumenti per implementarla solo dopo è possibile scegliere gli strumenti per implementarla

Claudio Telmon - Strumenti di difesa -8 © Claudio Telmon, 1999 Primo strumento: il firewall DMZ servizi pubblici

Claudio Telmon - Strumenti di difesa -9 © Claudio Telmon, 1999 Il sistema firewall Controlla il traffico fra due o più reti implementando la politica di sicurezza Controlla il traffico fra due o più reti implementando la politica di sicurezza Caratteristiche: Caratteristiche: Efficacia nellimplementazione della politica Efficacia nellimplementazione della politica Versatilità nella gestione di nuovi servizi Versatilità nella gestione di nuovi servizi Efficienza nella gestione del traffico Efficienza nella gestione del traffico Capacità di logging, accounting e generazione allarmi Capacità di logging, accounting e generazione allarmi Facilità di gestione Facilità di gestione Costo (in funzione dei sistemi protetti) anche come perdita di produttività Costo (in funzione dei sistemi protetti) anche come perdita di produttività Tecnologia utilizzata? Tecnologia utilizzata?

Claudio Telmon - Strumenti di difesa -10 © Claudio Telmon, 1999 Funzionalità di un firewall Il firewall può: Il firewall può: selezionare i servizi accessibili dallesterno selezionare i servizi accessibili dallesterno selezionare i servizi accessibili dallinterno selezionare i servizi accessibili dallinterno verificare il traffico per individuare schemi di attacco verificare il traffico per individuare schemi di attacco aggiungere meccanismi di autenticazione e accounting aggiungere meccanismi di autenticazione e accounting Il firewall non può: Il firewall non può: controllare il traffico che passa per altre vie (modem, floppy) controllare il traffico che passa per altre vie (modem, floppy) rimediare a una politica di sicurezza carente rimediare a una politica di sicurezza carente proteggere da connivenze interne proteggere da connivenze interne

Claudio Telmon - Strumenti di difesa -11 © Claudio Telmon, 1999 Secondo strumento: autenticazione La maggior parte dei meccanismi di autenticazione tradizionali ha delle gravi debolezze: La maggior parte dei meccanismi di autenticazione tradizionali ha delle gravi debolezze: esposizione dellinformazione di autenticazione (es. password in chiaro) esposizione dellinformazione di autenticazione (es. password in chiaro) autenticazione iniziale (es. One Time Password) soggetta a connection hijacking autenticazione iniziale (es. One Time Password) soggetta a connection hijacking vulnerabilità ad attacchi di forza bruta (basati su dizionario o test esaustivo) vulnerabilità ad attacchi di forza bruta (basati su dizionario o test esaustivo)

Claudio Telmon - Strumenti di difesa -12 © Claudio Telmon, 1999 Meccanismi di autenticazione Qualcosa che si sa (password, PIN) Qualcosa che si sa (password, PIN) Qualcosa che si ha (smart card, token) Qualcosa che si ha (smart card, token) Qualcosa che si è (misure biometriche) Qualcosa che si è (misure biometriche) È possibile ( e preferibile) combinare più meccanismi È possibile ( e preferibile) combinare più meccanismi... Ma ogni catena è robusta quanto il suo anello più debole... Ma ogni catena è robusta quanto il suo anello più debole è inutile usare meccanismi di autenticazione robusti su sistemi deboli (es. Client con BO2K) è inutile usare meccanismi di autenticazione robusti su sistemi deboli (es. Client con BO2K)

Claudio Telmon - Strumenti di difesa -13 © Claudio Telmon, 1999 Smart card e sistemi biometrici Luso della smart card garantisce, salvo manomissioni, che una chiave non sia diffusa, ma non garantisce che la smart card non sia consegnata a unaltra persona o rubata Luso della smart card garantisce, salvo manomissioni, che una chiave non sia diffusa, ma non garantisce che la smart card non sia consegnata a unaltra persona o rubata I sistemi biometrici danno più garanzie? I sistemi biometrici danno più garanzie?

Claudio Telmon - Strumenti di difesa -14 © Claudio Telmon, 1999 I dati sono dati

Claudio Telmon - Strumenti di difesa -15 © Claudio Telmon, 1999 Firma digitale Utilizza un meccanismo a chiave pubblica Utilizza un meccanismo a chiave pubblica Garantisce lintegrità di un messaggio Garantisce lintegrità di un messaggio Garantisce che lorigine del messaggio conosca la chiave privata utilizzata Garantisce che lorigine del messaggio conosca la chiave privata utilizzata È verificabile da chiunque senza perdita di sicurezza della chiave privata È verificabile da chiunque senza perdita di sicurezza della chiave privata

Claudio Telmon - Strumenti di difesa -16 © Claudio Telmon, 1999 Firma digitale firma autografa La firma digitale è legata alluso della chiave privata La firma digitale è legata alluso della chiave privata La firma autografa è legata alluso della mano La firma autografa è legata alluso della mano

Claudio Telmon - Strumenti di difesa -17 © Claudio Telmon, 1999 Legare la chiave alla persona Le Certification Authority sono delle Terze parti fidate che garantiscono lassociazione fra unentità e una coppia di chiavi Le Certification Authority sono delle Terze parti fidate che garantiscono lassociazione fra unentità e una coppia di chiavi Luso di TTP introduce dei punti di vulnerabilità estremamente critici ma gestiti centralmente Luso di TTP introduce dei punti di vulnerabilità estremamente critici ma gestiti centralmente In ogni caso la chiave è effettivamente legata al massimo alla smart card In ogni caso la chiave è effettivamente legata al massimo alla smart card

Claudio Telmon - Strumenti di difesa -18 © Claudio Telmon, 1999 Cosa si firma? Usare la chiave senza rubarla Usare la chiave senza rubarla Il caso Quicken: nel gennaio 1997 un gruppo di hacker tedeschi (CCC) ha dimostrato in televisione di essere in grado di far eseguire delle operazioni bancarie senza conoscere il PIN….. Con la firma digitale sarebbe cambiato qualcosa? Il caso Quicken: nel gennaio 1997 un gruppo di hacker tedeschi (CCC) ha dimostrato in televisione di essere in grado di far eseguire delle operazioni bancarie senza conoscere il PIN….. Con la firma digitale sarebbe cambiato qualcosa?

Claudio Telmon - Strumenti di difesa -19 © Claudio Telmon, 1999 Cosa si firma AAA BBB

Claudio Telmon - Strumenti di difesa -20 © Claudio Telmon, 1999 Terzo strumento: le VPN DMZ servizi pubblici

Claudio Telmon - Strumenti di difesa -21 © Claudio Telmon, 1999 Le Virtual Private Networks Realizzano dei canali autenticati e cifrati fra reti e/o sistemi Realizzano dei canali autenticati e cifrati fra reti e/o sistemi Permettono di utilizzare reti pubbliche al posto di linee dedicate e/o modem Permettono di utilizzare reti pubbliche al posto di linee dedicate e/o modem Non permettono lesame del traffico Non permettono lesame del traffico agli hacker agli hacker ai firewall e agli IDS ai firewall e agli IDS Non proteggono dal comportamento di utenti autorizzati Non proteggono dal comportamento di utenti autorizzati

Claudio Telmon - Strumenti di difesa -22 © Claudio Telmon, 1999 Quarto strumento: gli IDS DMZ servizi pubblici

Claudio Telmon - Strumenti di difesa -23 © Claudio Telmon, 1999 I sistemi di Intrusion Detection Rilevano schemi di attacchi (noti o potenziali) Rilevano schemi di attacchi (noti o potenziali) Esaminano solo il traffico che vedono Esaminano solo il traffico che vedono Non esaminano il traffico cifrato Non esaminano il traffico cifrato Hanno gli stessi problemi degli antivirus: Hanno gli stessi problemi degli antivirus: aggiornamento e qualità dei database aggiornamento e qualità dei database falsi positivi falsi positivi Rilevano attacchi interni e che superano il firewall Rilevano attacchi interni e che superano il firewall Dove posizionarli? Dove posizionarli?

Claudio Telmon - Strumenti di difesa -24 © Claudio Telmon, 1999 Quinto strumento: integrity checker e IDS locali DMZ servizi pubblici

Claudio Telmon - Strumenti di difesa -25 © Claudio Telmon, 1999 IDS locali e integrity checker Un IDS dedicato a un host è più personalizzabile e potenzialmente efficace Un IDS dedicato a un host è più personalizzabile e potenzialmente efficace I sistemi di integrity check verificano lo stato di un sistema rispetto a un database I sistemi di integrity check verificano lo stato di un sistema rispetto a un database Richiedono una gestione host based Richiedono una gestione host based Sono sensibili alle modifiche alla configurazione Sono sensibili alle modifiche alla configurazione Vanno protetti (codice e database) come gli antivirus Vanno protetti (codice e database) come gli antivirus

Claudio Telmon - Strumenti di difesa -26 © Claudio Telmon, 1999 Sesto strumento: gli scanner I security probe e i penetration test cercano di verificare lo stato di una rete mettendosi nei panni di un hacker I security probe e i penetration test cercano di verificare lo stato di una rete mettendosi nei panni di un hacker Gli scanner permettono di verificare lo stato di molti sistemi Gli scanner permettono di verificare lo stato di molti sistemi Sono spesso inadatti a verificare firewall Sono spesso inadatti a verificare firewall Sono facilmente rilevabili dagli IDS (spesso i produttori sono gli stessi) Sono facilmente rilevabili dagli IDS (spesso i produttori sono gli stessi) Piccole personalizzazioni di un attacco fanno spesso la differenza Piccole personalizzazioni di un attacco fanno spesso la differenza

Claudio Telmon - Strumenti di difesa -27 © Claudio Telmon, 1999 Limiti dei security probe Non si è mai nelle condizioni di un hacker vero Non si è mai nelle condizioni di un hacker vero limiti alle autorizzazioni limiti alle autorizzazioni limitazione dei disservizi limitazione dei disservizi Si provano solo le competenze di una persona Si provano solo le competenze di una persona Non si verificano i difetti architetturali Non si verificano i difetti architetturali Si ottiene una visione puntiforme nel tempo della sicurezza del sistema Si ottiene una visione puntiforme nel tempo della sicurezza del sistema

Claudio Telmon - Strumenti di difesa -28 © Claudio Telmon, 1999 Virus, worm e il resto del bestiario Le macchine più vulnerabili sono sempre più spesso i client: Le macchine più vulnerabili sono sempre più spesso i client: sono utilizzati per attività critiche e insicure contemporaneamente sono utilizzati per attività critiche e insicure contemporaneamente sono peggio configurati e gestiti sono peggio configurati e gestiti sono meno controllati e controllabili sono meno controllati e controllabili La verifica centralizzata di tutto quello che può arrivare su un client è impraticabile La verifica centralizzata di tutto quello che può arrivare su un client è impraticabile Da Internet arrivano più velocemente i virus degli aggiornamenti agli antivirus Da Internet arrivano più velocemente i virus degli aggiornamenti agli antivirus

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.