Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Sicurezza informatica

Presentazione di PowerPoint

La rete incontrollabile: Cenni per orientarsi nei
“controlli” sui sistemi di networking (Lan, Wan,
Internet)
Giancarlo Turati – Ceo FasterNet soluzioni di Networking S.r.l.
Sessione di studio AIEA Roma
06 marzo 2003
Il Network: Un problema di comunicazione
• Affrontare le problematiche del controllo in ambito “rete”
in maniera convenzionale, senza cioè tener conto
dell’ambiente nel quale ci si addentra, sarebbe un
errore di valutazione grossolano e letale
• Il network è sostanzialmente un mezzo di
comunicazione sul quale si vanno ad innestare processi
di tipo applicativo
• Essendo un sistema di comunicazione risponde alle sue
regole fondamentali e cioè:
Sessione di studio AIEA Roma
06 marzo 2003
La comunicazione globale
Sessione di studio AIEA Roma
06 marzo 2003
Il Network: Un problema di comunicazione
• Comunicare con chi (l’ambito, la topologia,
l’architettura)
• Comunicare con che cosa (il mezzo, la tecnologia, le
parti passive e attive)
• Comunicare perchè (I flussi logici, l’organizzazione..)
• Comunicare che cosa (I dati, la voce, le immagini, I
suoni)
• Comunicare velocemente (specifiche, banda)
• Comunicare economicamente ( le tariffe, I fornitori)
• Comunicare sempre (disponibilità, affidabilità, SLA)
• Comunicare sicuramente (integrità, riservatezza,
fiducia)
Sessione di studio AIEA Roma
06 marzo 2003
Il Network: Un po’ di storia
Sessione di studio AIEA Roma
06 marzo 2003
LA COMPARSA DEL PC: PRIMO “BREAK EVENT”
Nasce con il miraggio dell’utilizzo
“personale”, ma si rivela vincente solo
quando sono disponibili applicazioni
“appetibili” (la sconfitta dell’”home
computer”).
Altrimenti e’ troppo costoso per
competere con i terminali
Sessione di studio AIEA Roma
06 marzo 2003
OLD NETWORKING: INSEGUIRE L’ESIGENZA…
Nasce l’esigenza di un pool di standard
aperti che, nel campo informatico,
consentano a piu’ vendor di poter operare
senza dover necessariamente fornire
TUTTO. Le reti (modello ISO-OSI) nascono
inseguendo l’esigenza di connettivita’,
introducendo uno standard aperto adatto a
stazioni paritetiche
Sessione di studio AIEA Roma
06 marzo 2003
CONNETTIVITA’: LA PRIMA SFIDA
In ambito locale (LAN) le problematiche principali sono:
• Quale regola d’accesso adottare, direttamente collegata
alla complessita’ (e quindi al costo) hardware per
realizzarla (Ethernet o Token Ring);
• Quale infrastruttura adottare (Cavo “tipo 1”, FTP, UTP)
• Le reti locali sono progettate in base a “distanze” e
“media” utilizzati;
In ambito geografico le problematiche sono:
• l’affidabilita’ (che si riflette sulla complessita’ dei
protocolli utilizzati (CDA,CDN,x25,ISDN Frame Relay)
• i costi di attivazione (lato utente)…
• … e di gestione (lato provider)
Sessione di studio AIEA Roma
06 marzo 2003
INTERNET ED IP: IL SECONDO “BREAK EVENT”
L’avvento di IP e della relativa suite di protocolli prepara il
terreno, ma e’ ancora una volta l’applicazione a forzare i
tempi.
Vince chi ne ha intuito:
• le potenzialita’;
• la penetrazione del messaggio;
• la forza dell’uniformita’ di accesso (browser) dal punto di
vista Client (assenza di Client Software personalizzati).
Per molti e’ sufficiente la mail!
Sessione di studio AIEA Roma
06 marzo 2003
BANDA: LA SECONDA SFIDA
La lentezza avvertibile lato utente fornisce la molla per la
seconda sfida.
In ambito LAN:
• compare la tecnologia switched
• vince la tecnologia piu’ scalabile (10/100/1000) Ethernet
In ambito WAN/MAN compare la larga banda:
•HDSL
•ADSL
•DWDM
Sessione di studio AIEA Roma
06 marzo 2003
NEW NETWORKING:
LA PROGETTAZIONE DI NUOVI SERVIZI
•Sicurezza
•Management
•IP Telephony
•Content Delivery Network
•VideoConferenza
•VideoSorveglianza
•Domotica
•Controllo di processo
non sono nient’altro che:
“… just another application on the IP network”
Si presentano con architetture hardware-software che appoggiano
direttamente sulla rete, dando per scontato che questa “funzioni”.
Sessione di studio AIEA Roma
06 marzo 2003
NETWORKING: NON SOLO INFRASTRUTTURA!
CDN
MANAGEMENT
IP TELEPHONY
VIDEO APP.
STORAGE
SECURITY
INTELLIGENT NETWORKING
(VLAN - L3 switch - QoS - VPN - Multicast)
CONNETTIVITA’ IP
Altre Tecnologie
Wireless
Laser
Hub - Switch
Cabling
LRE
Sessione di studio AIEA Roma
06 marzo 2003
Processo di gestione della sicurezza
Processo di gestione della sicurezza.
Deve essere continuativo
UN SISTEMA DI SICUREZZA BEN REALIZZATO
DIVENTA PRESTO OBSOLETO
(nuove tipologie di attacco, nuovi virus…)
Sessione di studio AIEA Roma
06 marzo 2003
Processo di gestione della sicurezza
Deve esistere un AUDITING:
Devono essere registrate, in modo
permanente e non modificabile, tutte le
richieste verso le risorse protette.
Sessione di studio AIEA Roma
06 marzo 2003
Processo di gestione della sicurezza
Deve esistere un AUDITING:
• Deve essere esaminata la topologia e la
tipologia della rete.
• I Sistemisti devono dimostrare di essere
“padroni” della situazione
(documentazione, configurazioni, back
up)
Sessione di studio AIEA Roma
06 marzo 2003
Processo di gestione della sicurezza
Deve esistere un AUDITING:
• Deve essere esaminata la tecnologia
(Switch, wireless…) e le misure adottate
• Le Vlan vanno esaminate attentamente
nel disegno e nelle configurazioni
• Esistono VPN? (Virtual Private Network)
Sessione di studio AIEA Roma
06 marzo 2003
Processo di gestione della sicurezza
Deve esistere un AUDITING:
• Reti wireless, controllare se implementate le
opzioni di sicurezza (Accesso, critto, login), non
è sempre scontato
• Sistemi di accesso per connessioni da remoto
(Access Node, RAS) verificare le liste di login, i
numeri di telefono e dove è installato il nodo (a
valle o a monte di un Firewall)
• Sistemi di Autenticazione
Sessione di studio AIEA Roma
06 marzo 2003
Modello di un sistema di sicurezza
Internet
Difesa del perimetro
Difesa dei sistemi
Difesa delle comunicazioni
Firewall , Router, VPN
Sistemi operativi, Patch
Autenticazione, Cifratura
Educazione degli eventi
Identificazione delle intrusioni
Identificazione delle vulnerabilità
Intrusion detection system,
Antivirus
Security probe
Aggiornamento
Sessione di studio AIEA Roma
06 marzo 2003
Difesa del perimetro
FIREWALL (packet filtering):
Analizza il traffico in entrata e in uscita
Blocca quello che non è conforme alle regole di
sicurezza impostate
Non può fare URL-Filtering (filtrare la navigazione
internet)
C’è la DMZ ?
Sessione di studio AIEA Roma
06 marzo 2003
Difesa del perimetro
PROXY - Si interpone tra i Client e il Firewall
•
•
•
Intercetta le richieste dei client
Verifica che il client abbia il permesso per
navigare
Inoltra ai server internet le richieste consentite
dalle policy di sicurezza
Sessione di studio AIEA Roma
06 marzo 2003
Difesa del perimetro
NAT
Tecnica che consente di mascherare gli indirizzi
IP degli host interni di una rete
Non è sufficiente a difendere il perimetro
Sessione di studio AIEA Roma
06 marzo 2003
Difesa dei sistemi
Alcuni attacchi si basano su:
– Debolezze intrinseche dei sistemi operativi
– Debolezze delle applicazioni
• Corretta configurazione dei programmi e
applicazioni
Non lasciare porte aperte inutilizzate
2. Minimizzare le vulnerabilità
Implementazione delle “security patch” rilasciate
dai produttori del software
Sessione di studio AIEA Roma
06 marzo 2003
Difesa delle comunicazioni
CRITTOGRAFIA DEI DATI:
Serve per rendere indecifrabili i dati a chi non dispone
dell’autorizzazione necessaria.
– Utilizzata nelle transazioni economiche via WEB
– Utilizzata per realizzare reti VPN (Virtual Private
Network)
AUTENTICAZIONE:
Serve per verificare l’identità dichiarata da un soggetto
(RADIUS – TACACS+)
Sessione di studio AIEA Roma
06 marzo 2003
Identificazione delle intrusioni
IDS (Intrusion Detection System)
Rappresenta l’equivalente di un sistema d’allarme che segnala
in tempo reale un’intrusione non autorizzata.
- FIREWALL: porta blindata
- IDS: sistema d’allarme
Gli IDS analizzano il traffico di rete
• Riconoscono “l’impronta digitale” di un
attacco
Sessione di studio AIEA Roma
06 marzo 2003
Identificazione delle intrusioni
• IDS – Dove li mettiamo?
– Quanto li usiamo?
– Chi li manutiene
– Attenzione alla separazione dei
ruoli, chi legge, valuta e archivia i
log -
Sessione di studio AIEA Roma
06 marzo 2003
Identificazione delle intrusioni
VIRUS:
E’ un programma auto-replicante che, senza che
l’utente se ne accorga, modifica il contenuto
del computer.
ANTIVIRUS:
E’ un programma che opportunamente installato
e aggiornato permette di verificare e testare i
files in ingresso (Mail, disco, ….), individuando
i virus e neutralizzandoli
Sessione di studio AIEA Roma
06 marzo 2003
Test di Penetrazione (Security Probe):
una baggianata? Una metodologia di
Audit?
• Il security probe consiste nel "mettersi nei panni
dell'hacker"
• cercare di attaccare la rete in esame usando gli
stessi strumenti/metodologie dell'hacker
• la verifica viene fatta utilizzando appositi
prodotti
• quando opportuno, con alcune verifiche manuali.
Sessione di studio AIEA Roma
06 marzo 2003
Test di Penetrazione (Security Probe):
una baggianata? Una metodologia di
Audit?
Il primo limite consiste nella differenza sostanziale
che c'e' fra un hacker e un consulente:
• il consulente e' autorizzato a svolgere alcune
operazioni
– generalmente non gli sono permesse verifiche
che possano bloccare o danneggiare i servizi
del cliente;
– il consulente e' autorizzato ad attaccare i
sistemi del cliente, ma non altri
Sessione di studio AIEA Roma
06 marzo 2003
Test di Penetrazione (Security Probe):
una baggianata? Una metodologia di
Audit?
Il primo limite consiste nella differenza sostanziale
che c'e' fra un hacker e un consulente:
• il consulente costa e ci si aspettano risultati in
tempi brevi;
• per questo la maggior parte delle aziende che
fanno queste verifiche si limitano a "fare un
giro" con i vari prodotti specializzati disponibili
sul mercato
Sessione di studio AIEA Roma
06 marzo 2003
Il
•
•
•
Test di Penetrazione (Security Probe):
una baggianata? Una metodologia di
Audit?
primo limite consiste nella differenza sostanziale
che c'e' fra un hacker e un consulente:
l'hacker prova tutto quello che vuole
se
l'hacker
ha
bisogno
di
attaccare
preventivamente qualcun'altro (un partner, un
provider, un sistema in hosting) non ha
problemi;
l'hacker non ha problemi di tempo e di costi;
puo' impegnare parecchio tempo distribuito
nell'arco di mesi
Sessione di studio AIEA Roma
06 marzo 2003
Test di Penetrazione (Security Probe):
una baggianata? Una metodologia di
Audit?
Il primo limite consiste nella differenza sostanziale
che c'e' fra un hacker e un consulente:
• l'hacker puo' fare altri tentativi di contorno:
comuni sono ad esempio
– le
telefonate
cercando
di
raccogliere
informazioni o simili
• Questo genere di attivita' difficilmente viene
offerto come parte di un probe, che si limita
invece agli aspetti puramente tecnici/informatici
Sessione di studio AIEA Roma
06 marzo 2003
Test di Penetrazione (Security Probe):
una baggianata? Una metodologia di
Audit?
Il secondo grosso limite consiste nella validita' dei risultati di un
probe.
Ogni giorno vengono scoperte nuove vulnerabilita' semplici
bachi di programmi
sistemi che un giorno sono "sicuri" diventano vulnerabili il
giorno successivo.
Il probe e' una verifica puntiforme, che non dice niente sulle
potenziali debolezze dei sistemi, ma solo su quelle che in quel
momento sono note ma non sono ancora state corrette.
Un sistema che abbia superato un probe, o di cui siano state
corrette le debolezze individuate, puo‘ essere semplicemente
in attesa del "baco del giorno dopo".
Sessione di studio AIEA Roma
06 marzo 2003
Concludendo
Una verifica diretta dei sistemi e dell'architettura
permette invece di dire:
• "il sistema non e' vulnerabile ma e' mal configurato,
per cui nel momento in cui si presenti una
vulnerabilita' del tale servizio, l'intera rete puo'
essere compromessa"
• "il tale programma e‘ vulnerabile, ma per come e'
stato configurato il sistema l'effetto e‘ limitato".
Sessione di studio AIEA Roma
06 marzo 2003
Concludendo
Una verifica ben fatta oggi può voler dire:
•
•
•
•
•
Approccio metodologico
Definizione degli ambiti
Conoscenza delle tecnologie
Controllo sulle terze parti
Molto tempo a disposizione
Sessione di studio AIEA Roma
06 marzo 2003
WWW.Fasternet.it
grazie !
Q&A
Sessione di studio AIEA Roma
06 marzo 2003
Documenti correlati
Molte persone entreranno ed usciranno dalla tua vita, ma soltanto i
Molte persone entreranno ed usciranno dalla tua vita, ma soltanto i
Anno 2014 - Dipartimento di Biologia
Anno 2014 - Dipartimento di Biologia
Antropologia sociale - Dipartimento di Scienze Politiche
Antropologia sociale - Dipartimento di Scienze Politiche
Economia digitale: Smart City Un`opportunità di mercato per le
Economia digitale: Smart City Un`opportunità di mercato per le
f2005426_1155_SCHEDA DI ADESIONE
f2005426_1155_SCHEDA DI ADESIONE
I GIovedì deLLA SUN - Amazon Web Services
I GIovedì deLLA SUN - Amazon Web Services
Tradizione e memoria. - Dipartimento di Beni Culturali
Tradizione e memoria. - Dipartimento di Beni Culturali
Scarica il PDF per il Corso di base sulle maxi-emergenze
Scarica il PDF per il Corso di base sulle maxi-emergenze
Revoca della domanda di ammissione all`esame di laurea
Revoca della domanda di ammissione all`esame di laurea
VENTICINQUESIMO ANNIVERSARIO DELLLUNIVERSITà A
VENTICINQUESIMO ANNIVERSARIO DELLLUNIVERSITà A
Scarica