Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
FACOLTÀ DI SCIENZE MATEMATICHE, FISICHE E NATURALI Corso di laurea in Informatica Materia di Tesi: Metodi Formali II Analisi di sicurezza per un portale di informazione finanziaria: Borse.it Tesi di laurea di: Matteo Venerucci Relatore: Chiar.mo Prof Roberto Gorrieri
2
Introduzione Progettazione, realizzazione e aggiornamento per garantire la riservatezza e l’integrità dei sistemi. Diminuzione dei rischi informatici. Analisi della sicurezza tenendo conto dei vincoli esistenti. Studio, realizzazione e proposte di soluzioni per l’aumento della sicurezza dell’intero sistema. Matteo Venerucci
3
Chi è Borse.it Borse.it è un portale di informazione finanziaria
indipendente, caratterizzato dall’elevata qualità di contenuti offerti. Servizi Web Servizi Servizi personali Pagina personale Portafoglio personale Dati Grafici Notizie Analisi Rubriche Guide di finanza Forum Newsletter quotidiane Rassegna stampa Pagina personale Portafoglio personale Newsletter settimanali -Il mondo dei fondi -Analisi tecnica -Capire la borsa Matteo Venerucci
4
Ciò Che Deve Essere Garantito:
Scenario Nt Feeder: richiede i dati finanziari e li registra sul database (programma “Feeder”). Main: Database server, web server. Dell: Database server, web server, “nuovo Feeder”. Ciò Che Deve Essere Garantito: Il corretto funzionamento dei servizi. I dati che riguardano gli utenti. I dati che riguardano i titoli. I dati dello storico dei titoli del mercato. I portafogli degli utenti. Matteo Venerucci
5
Architettura del Sistema
Invest.net Main, Dell, Nt Feeder Sviluppo e Redazione NT Feeder Main Server esterni Dell Grafici dei Titoli Banner/Pubblicità Cluster Utenti Login: /password Traffico HTTP Traffico FTP VNC MySQL TAL Server Farm Matteo Venerucci
6
Architettura del Sistema
Invest.net Main, Dell, Nt Feeder Sviluppo e Redazione NT Feeder Main Server esterni Dell Grafici dei Titoli Banner/Pubblicità Cluster Utenti Login: /password Traffico HTTP Traffico FTP VNC MySQL TAL Server Farm Matteo Venerucci
7
Architettura del Sistema
Invest.net Main, Dell, Nt Feeder Sviluppo e Redazione NT Feeder Main Server esterni Dell Grafici dei Titoli Banner/Pubblicità Cluster Utenti Login: /password Traffico HTTP Traffico FTP VNC MySQL TAL Server Farm Matteo Venerucci
8
Architettura del Sistema
Invest.net Main, Dell, Nt Feeder Sviluppo e Redazione NT Feeder Main Server esterni Dell Grafici dei Titoli Banner/Pubblicità Cluster Utenti Login: /password Traffico HTTP Traffico FTP VNC MySQL TAL Server Farm Matteo Venerucci
9
Architettura del Sistema
Invest.net Main, Dell, Nt Feeder Sviluppo e Redazione NT Feeder Main Server esterni Dell Grafici dei Titoli Banner/Pubblicità Cluster Utenti Login: /password Traffico HTTP Traffico FTP VNC MySQL TAL Server Farm Matteo Venerucci
10
Architettura del Sistema
Invest.net Main, Dell, Nt Feeder Sviluppo e Redazione NT Feeder Main Server esterni Dell Grafici dei Titoli Banner/Pubblicità Cluster Utenti Login: /password Server Farm Matteo Venerucci
11
Carenze e Necessità Carenze del sistema esistente
La macchina Main raggiungibile solo con protocolli non sicuri (TELNET, FTP e HTTP). Autenticazione MySQL (basato su nome utente e password). Menù di amministrazione (gruppi tra gli utenti). Meccanismo della creazione dei gruppi e appartenenza dell’utente ai gruppi. Autenticazione di Apache (password non codificate). Necessità del sistema esistente Test per il corretto funzionamento del “nuovo Feeder”. L’installazione di un nuovo servizio Feeder sulla macchina Main avrebbe portato ad una temporanea interruzione del servizio. Installare programmi come SSH e Apache-ssl sulla macchina Main. Avere un sistema di riserva qualora Main risultasse bloccata o non accessibile, garantendo una sorta di tolleranza ai guasti. Esecuzione di script per l’analisi statistica presso Dada. Matteo Venerucci
12
Modifiche al Sistema Installazione di SSH.
Tecnologie di SSL: Cifratura asimmetrica. Firme digitali. Certificati digitali (X509v.3). Negoziazione dei parametri. Handshake al momento della connessione. Riutilizzo di parametri negoziati in precedenza. Installazione di SSH. Disabilitazione di TELNET ed FTP. Installazione di Apache-ssl. Gestione dei privilegi. Restrizione di MySQL. Modifiche script di sistema. Modifiche a Nt-Feeder. Tecnologie di OpenSSH: Crittografia forte(3DES, Blowfish). X11 Forwarding (cifratura automatica del traffico X11). Port Forwarding (canali criptati per altri protocolli). Autenticazione Forte (Rhosts, Chiave Pubblica, Password). Compressione Dati. In questo modo tutte e due le macchine, Main e Dell, collaborano al mantenimento di tutti i servizi del portale. Si garantisce inoltre una sorta di tolleranza ai guasti dovuti per esempio ad un mal funzionamento di un programma o all’ intrusione di un aggressore. Matteo Venerucci
13
Apache-ssl Apache-ssl
Con l’installazione di questo web server si è pensato di rendere la comunicazione tra Client e Server più robusta di quella esistente. Le transizioni tra lo staff di Borse.it e la macchina Dell sono quindi rese sicure dalla comunicazione attraverso SSL. AV Index® , Abnormal Volume Index, è un indice creato da Borse.it, estremamente utile per evidenziare in modo tempestivo i titoli particolarmente trattati in termini relativi e segnalare, in certi casi, fenomeni di insider trading. Il tempo reale è riservato agli utenti registrati, la registrazione è gratuita. Gli utenti non registrati hanno accesso alle quotazioni in differita di 15 minuti. Matteo Venerucci
14
Gestione dei Privilegi
Privilegi di /adm/ È stato inserito nel database l’associazione tra gruppo d’appartenenza e utente, rendendo possibile la modifica automatica della stessa. È stato creato un metodo per l’inserimento di nuovi livelli e per l’associazione degli utenti a questi. Access Matrix: gestisce l’appartenenza dell’utente ai gruppi Matteo Venerucci
15
Restrizione di MySQL Mysql prevede la possibilità di gestire vari livelli di permessi ai database. La connessione sulle macchine con il database avviene attraverso connessioni criptate utilizzando SSH. Sicurezza della connessione tra client remoto e server realizzata tramite un tunnel SSH. Creazione dei privilegi dell’utente su determinate operazioni come la select, insert, update e delete (vengono controllati tutti i comandi dell’utente, verificando che abbia i privilegi adeguati per poterli eseguire). Possibilità di accedere ai database solamente da IP del sistema di borse.It. Matteo Venerucci
16
Modifiche al Sistema Modifica a tutti gli script Modifiche a Nt Feeder
È stato necessario riscrivere gli script che utilizzavano le connessioni HTTP. Sono stati modificati gli script che utilizzavano FTP e sostituiti con scp (della suite dei comandi di SSH). Modifiche a Nt Feeder Sono state applicate tutte le patch si sicurezza di Microsoft, gli ultimi Service Pack. È stato previsto che, in caso di mal funzionamento della macchina NT Feeder, si provveda al feeding dei dati attraverso il server di sviluppo. Matteo Venerucci
17
Conclusioni Le modifiche applicate sono trasparenti all’utilizzo del sistema. Le soluzioni introdotte non degradano le prestazioni del sistema, ma ne aumentano la sicurezza. In futuro sarà possibile realizzare un IDS. Non sono stati affrontati i problemi di Denial of Service del cluster delle macchine di Dada. Le soluzioni proposte e realizzate hanno migliorato la situazione, ma non sono certo da considerarsi una risposta definitiva alla sicurezza del portale, che dovrà essere affrontata in maniera continuativa e, con l’aumentare della complessità dei sistemi, dedicandovi sempre più risorse. Matteo Venerucci
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.