La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Cenni sulla sicurezza delle Reti

Presentazioni simili


Presentazione sul tema: "Cenni sulla sicurezza delle Reti"— Transcript della presentazione:

1 Cenni sulla sicurezza delle Reti
Autore :Demarchi Roberto Docente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica - teledidattico sicurezza delle reti

2 Attacchi –tipologie 1/2 Interruzione Intercettazione
sicurezza delle reti

3 Attacchi – tipologie 2/2 Modificazione Generazione
sicurezza delle reti

4 Aspetti importanti nella sicurezza delle reti
Autenticazione controllo di chi accede a determinate risorse Controllo dell’accesso Verifica privilegi Confidenzialità messaggi e dati Quali dati rendere visibili Integrità dei messaggi Evitare contraffazioni Non ripudio dei messaggi Certezza mittente – es:firma elettronica Disponibilita’ sicurezza delle reti

5 Attacchi passivi Rilasci del contenuto di un messaggio
monitoraggio e ascolto trasmissioni, non comportano alterazioni dell’informazione A riguardo si identificano Rilasci del contenuto di un messaggio Si vuole impedire al destinatario diapprendere l’informazione riservata. Analisi del traffico Analisi tipologie messaggi e altre informazioni per determinarel’identità degli host, frequenza e lunghezza messaggi ect. sicurezza delle reti

6 Attacchi attivi Masquerade Replay Modifica di messaggi
possibili alterazioni dati, fino alla falsificazione del flusso A riguardo si identificano : Masquerade Entità che finge di essere un’entità diversa Replay intercettazione passiva dati e successiva ritrasmssione per generazione effetto non autorizzato Modifica di messaggi Modifica parziali messagi o ritardati Negazione del servizio Impedimento normale servizio delle comunicazioni.Peggio : interruzione intera rete sicurezza delle reti

7 Attacchi di rete – Terminologia
Spoofing Sniffing Shadow server Dos (Denial of Service) sicurezza delle reti

8 Spoofing Consiste nella falsificazione degli indirizzi di rete del mittente; ( Spoofing IP ) Tentativo di alterare dati e accedere a programmi ; (Spoofing dati) Spoofing cieco : Invio pacchetti TCP con indirizzi partenza falsificati:cieco perchè non si ha sempre speranza di vederli tornare Rimedi : Crittografia / Autenticazione sicurezza delle reti

9 Sniffing Rappresenta una lettura non autorizzata di pacchetti. Normalmente avviene in reti di tipo broadcast e nei nodi di smistamento dei pacchetti ( es. gateway) Possibile rimedio : crittografia sicurezza delle reti

10 Shadow Server Server ombra, macchina che si spaccia per altre e che appare essa fornitrice di un servizio. Il shadow server deve risultare più veloce del server del quale deve escluderne il servizio, per esempio con un attacco come la negazione del servizio. Rimedio : tecniche autenticazione server sicurezza delle reti

11 Dos (Denial of Service)
Per impedire il normale funzionamento di un server, la cosa “ migliore “ è quella di tenerlo impegnato in maniera tale da comprometterne il servizio. Rimedi : monitoraggio rete. sicurezza delle reti

12 Rete Rete Privata Router Internet sicurezza delle reti

13 Router [1/2] dispositivi indispensabili per connettere la rete locale di una azienda a Internet ; smistano il traffico di rete, basandosi su una mappa di rete denominata “tabella di rou-ting” ; fanno in modo che i pacchetti raggiungano le loro destinazioni attraverso i percorsi più efficaci secondo diversi algoritimi di instradamento; sicurezza delle reti

14 Router [2/2] dispongono di funzioni di packet filtering per effettuare un primo filtraggio del traffico di rete ; offrono generalmente la funzionalità NAT (Network Address Translation) per permettere di connettere alla rete pubblica [ una linea di connessione a Internet ] una alla rete privata alla quale vengono assegnati un’insieme di indirizzi privati ; sicurezza delle reti

15 Filtraggio della rete Indirizzo IP da cui provengono i dati;
Indirizzo IP di destinazione ; Porte sorgente e destinazione TCP/UDP; Datagram di inizilizzazione della connessione che usa bit TCP SYN o ACK sicurezza delle reti

16 Esempio filtraggio Rete locale Internet Router Tabella filtraggio
sicurezza delle reti

17 Tabella filtraggio sicurezza delle reti Azione/Regole IP Sorgente
Porta Sorgente Porta Destinazione Protocollo Direzione TRAFFICO Permesso >1024 21 TCP esterno 20 interno Negato >1024 qualsiasi qualsiasi qualsiasi qualsiasi qualsiasi entrambe sicurezza delle reti

18 Firewall Firewall = “muro tagliafuoco”
Il router viene spesso sostituito da uno strumento , o meglio da un insieme di componenti hardware/software dedicato per assicurare la massima sicurezza che va sotto il nome di firewall; Firewall = “muro tagliafuoco” sicurezza delle reti

19 Firewall e TCP/IP Firewall Analisi Application Presentation Session
Transport TCP Network- IP Data link pysical Application Gateway Circuit Gateway Packet Filtering Data Payload TCP/UDP Header IP Header Generalmente Non controllati sicurezza delle reti

20 Ancora Firewall 1/2 Distinguiamo con grande generalità due tipi di firewall : Packet filter ( screen ) : regole su pacchetti IP (visto in precedenza ) Proxy o application gateway o application firewall (lievello più alto packet filter ) : separano Internet/Intranet sicurezza delle reti

21 Ancora Firewall 2/2 Packet filter Stateful inspection Proxy
Pregi :Veloci , flessibili, versatili Difetti : Non offrono molta sicurezza, agiscono a livello di rete e non di applicazione Stateful inspection Pregi: maggiore sicurezza (verifica rete/applicazione) Difetti : Non molto veloce; file di log migliorabili Proxy Pregi : Sicuri Difetti : Deve supportare direttamente ogni applicazione Proxy + dynamic filetring sicurezza delle reti

22 Impiego Firewall Rete esterna Rete interna Internet
Barriera offerta dal Firewall Firewall Rete interna sicurezza delle reti

23 Application gateway Generano dei report sul traffico di rete,file log;
L’ Application gateway o semplicemente proxy , è in grado, a differenza del firewall basato solo su packet filtering, di autenticare gli utenti connessi; Generano dei report sul traffico di rete,file log; Mascherano l’indirizzo del richiedente della rete interna sicurezza delle reti

24 NAT(Network Address Translation )
Il mascheramento dell’origine del collegamento è importante in quanto evita di trasmettere informazioni relative alla rete protetta dal firewall ; Quando una macchina della rete interna apre una connessione verso un server esterno il firewall sostituisce ad essa il suo indirizzo ; Inoltre l’indirizzo privato della rete interna è non-routable (non instradrabile dai router) sicurezza delle reti

25 Mascheramento IP L’operazione di mascheramento è molto importante perchè permette di non trasmettere all’esterno alcun tipo di informazione relativamente alla tipologia della rete protetta dal firewall. Nel momento in cui una macchina della rete interna richiede una connessione verso l’esterno, essa viene intercettata dal firewall che inserisce il proprio indirizzo IP, a sostituzione di questa, facendo credere all’esterno che esso sia il solo punto di cominicazione con l’esterno. Inoltre il firewall intercetterà e sarà in grado di riconoscere il traffico di ritorno destinatario dei nodi “ mascherati “ e di inoltarlo, nella maniera più corretta, ai richiedenti. sicurezza delle reti

26 Schema con Application Gateway
Rete interna Regole autenticazione Internet Application Gateway (PROXY)* File.log Utilizzabili per la ricerca di eventuali attacchi in corso * Possono risiedere più server proxy i quali si occuperanno dell’effettivo trasferimento dei pacchetti dalla due reti, e per i vari servizi per gli utenti interni sicurezza delle reti

27 Proxy Cache proxy : offre un servizio che ha la capacità di memorizzare in locale i file richiesti più frequentemente ( protocolli : Http / Ftp ) sicurezza delle reti

28 Configurazioni firewall
Dual-homed host Una macchina multi-homed è un macchina dotata di più schede di rete e ognuna di esse è rivolta a un segmento distinto della rete. Se le schede di rete sono due si ha la configurazione Dual – Homed Host Bastion host Macchina con grado di criticità altissimo perchè solitamente collocata in posizione ( anche al di fuori della rete aziendale pur appartenendovi ) critica. sicurezza delle reti

29 Zona DMZ Zona che separa una rete non sicura da una rete sicura DMZ
Bastion Host Internet Rete privata Screening router sicurezza delle reti

30 Esempio DMZ Zona demilitarizzata, ovvero zona più sicura di Internet ma meno meno del dominio di sicurezza Dominio Sicurezza Firewall Interno Firewall Uscita Bastion host Server che fornisce Informazioni Pubblicità Host interno Internet Server interno Server E-Commerce Bastion host Perimetro sicurezza sicurezza delle reti

31 VPN [ 1/2 ] VPN ( Virtual Private Network ) è un meccanismo per fornire comunicazioni (crittografiche) sicure, in due configurazioni fondamentali : Utente-rete Rete-Rete Utente remoto Internet Rete protetta Rete protetta Firewall Firewall sicurezza delle reti

32 VPN [ 2/2 ] Una VPN dunque permette a due reti private di essere connesse in maniera sicura attraverso reti pubbliche quale Internet. Le aziende hanno la necessità, per il fatto di avere più sedi settorialmente diverse, di connettere tra loro più reti private attarverso la rete pubblica. Internet con i suoi protocolli standard non è in grado di fornire sicurezza. VPN fornisce Privatezza Autenticazione Integrità ( Tunneling ) Protocolli usati da VPN IPSec SSL .... sicurezza delle reti

33 KERBEROS Kerberos è un protocollo di autenticazione di rete, sviluppato negli anni 1980 , con le seguenti principali caratteristiche : Segreti condivisi Se A confida un segreto a B il segreto è conoscituo solo da loro due. Qualora B rivceva cominicazioni riguardo a quel segreto deve essere sucuro che si tartti di A, perciò deve essere protetta da una password. Se però per qualche motivo qualcheduno ne viene a conoscenza ( p.es. attraverso uno sniffer ) cade la segretezza. Kerberos rIoslve questo problema grazie alla crittografia. Autenticazione multipla Sono previste tre componenti: Applicazine/Client Risorse di rete KDC : controller di dominio ( DC Domain Controller ) sicurezza delle reti

34 KERBEROS 1/3 KDC AS TGS 1 2 3 4 5 6 Server sicurezza delle reti
AS =Authentication Server TGS = Ticket Granting Servers KDC KDC=Key Distribution Center Una volta per sessione di connessione Server=Server a cui viene richiesto un servizio AS 1 TGS 2 3 4 Client 5 Una volta per tipologia di servizio 6 Server Una volta per tipologia di servizio sicurezza delle reti

35 KERBEROS 2/3 Kerberos prevede che a ogni accesso a un server da parte di un utente/client sia effettuata un’autenticazione per mezzo di una terza parte , ovvero da un server ritenuto sicuro [ KDC il distributore delle chiavi ]. KDC è formato da un server di autenticazione AS e da un validatore di Ticket (TGS). KDC contiene l’archivio degli identificativi delle entità presenti nel dominio. Fasi : richiesta ticket -granting Il server AS invia un ticket granting TGT ( certificato crittografato )+ chiave sessione Richiesta di servizio Invio ticket + chiave sessione Richiesta ticket di tipo service-granting Il server può fornire nuovo autenticatore sicurezza delle reti

36 KERBEROS 3/3 In sintesi l’utente si connette ad una postazione e richiede un servizio ad un host As verifica diritti di accesso secondo un asua base dati, emmette un ticket e una chiave di sessione (cifrati ) La workstation richiede all’utente – password e così decifra il messaggio in arrivo. Lo invia poi al TGS + autenticatore (username / indirizzo di rete client / ora sistema ) TGS decifra il ticket e l’autenticatore. Emette un ticket per il server richiesto Il server verifica ticket e autenticatore. sicurezza delle reti

37 KERBEROS E WINOWS 2000 Kerberos di windows 2000 supporta il meccanismo della delega della’autenticazione FIDUCIA TRANSITIVA – utlizzazione risorse altri domini Dominio A Dominio B Dominio C Fiducia Fiducia Fiducia non transitiva sicurezza delle reti

38 Kerberos e Windows 2000 Kerberos supporta le realzioni di fiducia transitiva I ticket dell’utente possono essere inoltrati da una macchina all’altra Supporta il logon con le smart card Windows XP riusa se pur con modifiche Kerberos sicurezza delle reti

39 Conclusioni Le aziende hanno più che mai la necessità di connettersi a Internet pena, la loro stassa soppravivenza. Se da un lato si aprono ad esse grandi prospettive e opportunità, dall’altro si espongono a notevoli tentativi di intrusione. I firewall, nelle loro molteplicità d’uso, offrono un valido supporto alla sicurezza ma non rapparesentano la soluzione ad ogni problema. L’ammnistratore di rete dovrà essere attento e sensibile a monitorare continuamante la rete e aggiornare continuamente il software in uso. Non per ultimo dovrà considerare le minacce più “ temibili “ ovvero quelle interne. sicurezza delle reti


Scaricare ppt "Cenni sulla sicurezza delle Reti"

Presentazioni simili


Annunci Google