Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Sistemi operativi

WEB SECURITY

WEB SECURITY
Enrico Branca
[email protected]
WEBB.IT 03
Di cosa si dovrebbe parlare
Partendo dalle problematiche di sicurezza relative ai client
verranno evidenziati i piu' comuni errori di configurazione e i
loro effetti sulla rete, sia essa una Lan aziendale o internet
stessa.
Si cerchera' quindi di sfatare alcuni luoghi comuni e di fare
chiarezza sul significato di alcune parole troppo spesso usate in
modo errato, arrivando a parlare dei server presenti su internet e
delle problematiche relative alla protezione dei dati riservati
degli utenti ed alla fornitura di alcuni tipi di servizi.
L'intervento si concludera' con l'analisi di alcuni test effettuati
attraverso internet.
PASSWORDS ( 1 )
Creazione delle password
• 7 o più caratteri
• lettere MAIUSCOLE, minuscole e numeri
• Periodo di validità di 30 giorni
PASSWORDS ( 2 )
Uso delle password
•
•
•
•
•
Accesso a risorse riservate via LAN
Accesso a risorse riservate via WEB
Accesso ai Client
Accesso ai Server
Ecc..
PASSWORDS ( 3 )
Gestione delle password
•
•
•
•
•
•
Salvate su disco
Conservate all’interno del sistema operativo
Registrate all’interno di programmi appositi
Conservate su sistemi remoti
Registrate all’interno di database
Ecc..
PASSWORDS ( 4 )
Gestione delle password
• Salvate su disco - RITROVABILI
• Conservate all’interno del sistema operativo RITROVABILI
• Registrate all’interno di programmi appositi ESTRAIBILI
• Conservate su sistemi remoti - INTERCETTABILI
• Registrate all’interno di database - ESTRAIBILI
• Ecc.
ANTIVIRUS ( 1 )
• Motori di scansione
• Porte utilizzate
• Gestione degli aggiornamenti
• Gestione dell’antivirus
ANTIVIRUS ( 2 )
• Azioni in caso di VIRUS
• Azioni in caso di TROIANO
• Azioni in caso di MALWARE
• È realmente utile ?
CONDIVISIONE RISORSE ( 1 )
• Utilizzo di NETBIOS
• Utilizzo di SAMBA
• Utilizzo di NFS
• Utilizzo di DFS
CONDIVISIONE RISORSE ( 2 )
• Che protocolli si usano ?
• Come avviene l’autenticazione ?
• Si usano diversi sistemi operativi ?
• Come vengono integrati i sistemi ?
• La sicurezza viene considerata ?
INSTALLAZIONI ( 1 )
• L’installazione viene preventivamente studiata o si
effettua quella standard?
• Il sistema viene testato e controllato ?
• Il sistema viene aggiornato e manutenuto
correttamente?
INSTALLAZIONI ( 2 )
• Le applicazioni in che modo vengono installate ?
• Si esegue un controllo dell’impatto delle
applicazioni sul sistema ?
• Che influenza hanno sulla sicurezza ?
CONFIGURAZIONI ( 1 )
• Chi si preoccupa di fare il TUNING dei sistemi ?
• Come sono configurati i CLIENT ?
• Come sono configurati i SERVER ?
• Come e’ configurata la RETE ?
CONFIGURAZIONI ( 2 )
• È stata realizzata una CHECK – LIST ?
• Viene mantenuta aggiornata?
• Le configurazioni vengono testate in laboratorio
prima di essere applicate sulle macchine in
produzione ?
CRITTOGRAFIA ( 1 )
• A cosa serve la crittografia ?
• Chiave pubblica, chiave privata o password ?
• Come avviene lo scambio delle chiavi ?
• Crittografia su file, su rete, sul file system, o sulla
memoria ?
CRITTOGRAFIA ( 2 )
• Si parla di crittografia o decodifica ?
• A chi e a che cosa serve crittografia ?
• Come viene implementato il sistema di crittografia ?
SERVIZI FORNITI ( 1 )
• Quali servizi vengono erogati ?
• Quali sono le macchine adibite a server ?
• Quali ruoli hanno e che relazioni ci sono con la rete
interna?
SERVIZI FORNITI ( 2 )
• Viene fatto l’auditing dei sistemi accessibili
attraverso la rete ?
• Viene testata la sicurezza delle macchine che
forniscono servizi ?
• In caso di blocco del servizio come si opera?
SERVER E RUOLI
• Ogni macchina ha una posizione ben specifica
all’interno della rete aziendale !
• I sistemi vanno progettati prima di essere installati !
• La rete che ospita le macchine DEVE essere
progettata prima di collegare le macchine !
• PIANIFICAZIONE !
FIREWALL ( 1 )
• Serve a filtrare le connessioni ma non solo
• Serve a gestire gli accessi alla rete ma non solo
• DEVE ESSERE MANUTENUTO
• DEVE ESSERE CONTROLLATO
FIREWALL ( 2 )
• Avere un firewall non significa essere protetti
• Se non si segue la regola del “DEFAULT DENY” il
firewall è inutile
• I firewall non bloccano tutti gli attacchi ma aiutano
ad evitarli
LETTURE CONSIGLIATE
•
•
•
•
SICUREZZA DIGITALE
Miti da sfatare, strategie da adottare
Bruce Schneier
Tecniche Nuove
•
•
•
•
Web Security, Privacy & e-Commerce
Sicurezza per utenti, amministratori e ISP
S. Garfinkel con G. Spafford
Hops Libri
•
•
•
•
Server Linux Sicuri
Strumenti e best practice per allestire host inviolabili
Michael D. Bauer
Hops Libri
RIFERIMENTI UTILI
•
GFI Languard Network Security Scanner
•
www.gfisoftware.com/lannetscan/
•
Foundstone Superscan v3.0
•
www.foundstone.com/resources/freetools.htm
•
@stake LC4
•
www.atstake.com/research/lc/
RIFERIMENTI UTILI
• eEye Retina Security Scanner 4.9x
• www.eeye.com/html/Products/Retina/index.html
• nmapwin 1.3.1
• www.nmapwin.org/
• Firewalk
• www.packetfactory.net/firewalk/
RIFERIMENTI UTILI
• SANS Institute
• www.sans.org/
• CERT® Coordination Center
• www.cert.org/
• SecurityFocus
• www.securityfocus.com/
Documenti correlati
ElEmEnti di Crittografia
ElEmEnti di Crittografia
Informatica I anno
Informatica I anno
locandina - Dipartimento di Matematica e Fisica
locandina - Dipartimento di Matematica e Fisica
Sicurezza fisica dei dati: Soluzioni di Crittografia e
Sicurezza fisica dei dati: Soluzioni di Crittografia e
Scarica - "E. Fermi"
Scarica - "E. Fermi"
Università degli Studi di Napoli Federico II
Università degli Studi di Napoli Federico II
allegato
allegato
La crittografia in chiave pubblica
La crittografia in chiave pubblica
Comunicazione di rete
Comunicazione di rete
Crittografia - Dipartimento di Matematica
Crittografia - Dipartimento di Matematica
PROGRAMMA DEL CORSO DI SISTEMI INFORMATICI (1 CFU
PROGRAMMA DEL CORSO DI SISTEMI INFORMATICI (1 CFU
Programma di Elementi di Crittografia per il corso di laurea
Programma di Elementi di Crittografia per il corso di laurea
Scarica