







Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
riassunto sicurezza delle reti dettagliato
Tipologia: Appunti
1 / 13
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!








Un sistema informatico si definisce sicuro se salvaguardia 5 aspetti fondamentali: 1.Disponibilità o affidabilità dei dati: dati sempre disponibili ad utenti autorizzati
-Passivo: quando può violare solo la riservatezza Prima di passare ai sistemi di attacco occorre capire la differenza tra i termini: hacker e cracker. L’ HACKER è una persona esperta che testa le misure di sicurezza adottate dagli amministratori di sistema al fine di verificare se sono stabili; se trova una falla informa il responsabile di sistema sul tipo di attacco possibile e sui provvedimenti da prendere. Quindi agisce a fin di bene ma non si esclude che commette reati informatici. IL CRACKER danneggia e/o infetta il sistema di cui tiene il controllo arrivando anche a chiedere un riscatto al proprietario per il ripristino della situazione precedente.
MALWARE Questo termine racchiude vari programmi: virus, worm e trojan. Questi programmi entrano in un sistema tramite file infetti, allegati di e-mail e lo danneggiano. BACKDOOR Il cracker oltre a causare danni a dati e programmi di un sistema, al fine di garantirsi un accesso futuro, crea una backdoor. La backdoor è una sorta di entrata di servizio nascosta a tutti tranne che al cracker il quale potrà ripetere l’attacco. SPAMMING Invio di posta elettronica a chi non vuole riceverla, tipicamente a scopo pubblicitario. SPOOFING Con tale tecnica si modifica l’indirizzo del mittente nei pacchetti.
Sono programmi che viaggiano sulla rete insieme ad altri file con l’obiettivo di intasare la rete. Molti di essi durante le trasmissioni si replicano e con i loro messaggi saturano la banda rendendo difficile la comunicazione; altri generano miglia di e-mail fasulle saturando i server di posta. TROJAN E’ un codice che si nasconde all’interno di un altro programma o di un documento e al verificarsi di un certo evento si attiva. Apparentemente è innocuo ma quando si attiva è in grado di effettuare attacchi distruttivi perché trasporta i virus all’interno del computer. Infine, ci sono i cookie (biscotto) che sono piccoli file di testo che i web server creano sui computer degli utenti sia per archiviare sul client informazioni utili al server (es. frequenze di accesso al sito, aree maggiormente visitate) sia per identificare il server (nome+pwd di accesso che consente al browser le visite successive).
La crittografia è quella branca della matematica che studia i metodi per trasformare un messaggio in modo da renderlo visibile solo al mittente e al destinatario. Un buon sistema di crittografia protegge il sistema dagli attacchi e in più garantisce la riservatezza dei dati, l’autenticazione e il non ripudio. Un sistema di crittografia è costituito da: Algoritmi Chiavi La crittografia esisteva già ai tempi di Giulio Cesare (1° sec. a.C.) usata in ambito militare. Il sistema di crittografia, chiamato codice di Cesare, è costituito da: Una chiave N che è un numero compreso tra 1 e 25 Un algoritmo che sostituisce ogni lettera del messaggio originale con l’N-esima successiva in modo ciclico. Es. se N= 5 e il messaggio originale è: CODICE il messaggio cifrato o criptato e’: HTIPHL. IL codice di Cesare può essere decifrato dopo pochi tentativi, ecco perché è superato. Oggi si utilizzano due tecniche di crittografia che sono:
Crittografia a chiave simmetrica o a chiave privata Crittografia a chiave asimmetrica o a chiave pubblica. CRITTOGRAFIA SIMMETRICA detta a chiave segreta o a chiave privata Si utilizza una sola chiave sia per cifrare che per decifrare i messaggi. La chiave è conosciuta sia al mittente che al destinatario. Sia: M: messaggio in chiaro C: chiave Ec: algoritmo di cifratura M cifratura Ec(M) Mc invio messaggio cifrato sul canale decifratura Ec-1Ec(M) =M LIMITI
I principi di crittografia si applicano nella gestione della firma digitale. Supponiamo che si voglia trasferire su Internet un documento e si voglia apporre la firma. I passi sono:
La normativa relativa alla firma digitale è stata introdotta con la legge Bassanini 1 nel 1997. In particolare, gli art. 8 e 15, dichiarano la validità a tutti gli effetti di legge degli atti, documenti creati e trasmessi con strumenti informatici e, in particolare, di quelli identificati dall’autore con l’adozione della firma digitale. La normativa è stata aggiornata nel 2000 e poi nel 2005 con il codice dell’amministrazione digitale (CAD). Quest’ultimo distingue la firma in firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale. Firma Elettronica: si va dal PIN delle carte magnetiche, come per esempio il Bancomat, alle credenziali di accesso web, come nome utente e password o anche alla scansione di una firma cartacea. Firma Elettronica Avanzata: di più recente introduzione rispetto alle altre firme, potremmo definirla come una firma elettronica con alcune caratteristiche di sicurezza aggiuntive. Un esempio di Firma Elettronica Avanzata è quella su tablet detta firma grafometrica.
Firma Elettronica Qualificata: questo tipo di firma si basa su un certificato qualificato ed è realizzata tramite un dispositivo sicuro quale il token o la smart card. rappresenta un attestato elettronico che collega i dati di una firma elettronica ad una persona fisica; necessita dell’utilizzo di un apposito dispositivo contenente dati e certificati in grado di identificare univocamente il firmatario. Un esempio è la tessera sanitaria. Firma Digitale: questa tipologia di firma richiede dunque una particolare modalità tecnologica: crittografia a chiavi asimmetriche. I mezzi più diffusi per apporre la firma digitale sono, come nel caso di quella elettronica qualificata, il token e la smart card. PEC e firma digitale sono la stessa cosa? No! La PEC (Posta Elettronica Certificata) è un sistema che consente di inviare e-mail conferendo un valore legale agli allegati e ai messaggi: può quindi essere utilizzata per inviare documenti in sostituzione di mezzi tradizionali come la raccomandata A/R o il fax. La differenza principale tra la Posta Certificata PEC e firma digitale sta proprio nella loro natura: per utilizzare la PEC non serve alcun supporto (solo una connessione a Internet); mentre la firma digitale richiede il possesso di un lettore di smartcard o di un token USB. Chi fa uso della coppia di chiavi asimmetriche, deve identificarsi; tale processo prende il nome di certificazione. Oggi le lunghezze delle chiavi vanno da 128 a 512 bit. La certificazione può essere fatta da enti certificatori inclusi in un elenco pubblico predisposto e aggiornato dall’Agenzia per l’Italia Digitale (AgID).
È un processo che prevede la realizzazione di una copia di sicurezza dei dati. Nelle aziende è svolto periodicamente (anche giornalmente) in modo automatico. Esistono due filosofie: Backup in locale Backup in remoto
Spesso in una rete LAN i computer hanno l’esigenza di collegarsi alla stessa pagina di un sito. Per evitare che la stessa risposta arrivi più volte dall’esterno (e quindi per ridurre gli accessi alla rete interna dall’esterno) interviene il proxy server. Il proxy server si fa carico di effettuare la richiesta per conto dei computer della rete, ricevere la risposta e inoltrarla al richiedente. Se un altro computer effettua la stessa richiesta il proxy server non ha necessità di richiederla all’esterno, poiché è disponibile nella sua cache la invia direttamente al richiedente. I passi sono:
Qualsiasi servizio di rete che può essere offerto agli utenti della rete esterna ed interna può essere inserito nella DMZ. I più comuni di questi servizi sono: Server Web Server E-mail Server FTP Server DNS Server Proxy Perché tali server vengono posti nella DMZ? Per chi si connette dall'esterno dell'organizzazione, la DMZ è una sorta di "strada senza uscita" o "vicolo cieco". La scelta di collocare degli host in un’area come la DMZ si ha perché tali host, fornendo servizi sia ad utenti interni che esterni alla rete locale, possono essere soggetti ad attacchi informatici. Una DMZ può essere creata attraverso la definizione di gestioni distinte su uno o più firewall.
Server Web I server Web potrebbero dover comunicare con un database interno per fornire alcuni servizi specializzati. In genere, non è una buona norma consentire al server Web di comunicare direttamente con il server del database. Invece, può essere utilizzato un firewall che funge da mezzo di comunicazione tra il server del database e il server web. Ciò fornisce un ulteriore livello di sicurezza, sebbene più complesso. Questo tipo di configurazione ha però uno svantaggio dovuto al fatto che gli utenti della rete locale non possono apportare modifiche direttamente a pagine web e quindi sono costretti ad usare protocolli applicativi come FTP (File transfer protocol) per caricare o scaricare le pagine web. Server E-mail I messaggi di posta elettronica degli utenti sono confidenziali quindi sono generalmente memorizzati su un server di posta interno, inserito in una zona della LAN, a cui non è possibile accedere da Internet, Per far sì che il server di posta interno comunichi con server di posta esterni, viene posto un server ausiliario nella DMZ, il quale riceve email in arrivo e le inoltra al server interno. In questo modo è possibile controllare la posta in arrivo sulla DMZ prima di inoltrarla. Server DNS Il servizio DNS può essere quindi utilizzato non solo per navigare in internet ma anche all’interno della rete LAN aziendale per associare ai nomi testuali dei dispositivi (pc, as400, stampanti, ec) il loro indirizzo TCP-IP.È possibile avere diverse configurazioni riguardante la posizione e il numero di server DNS in una DMZ. La configurazione più comune consiste nell’usare due set di server DNS, un set di DNS interni e un set di server accessibili esternamente collocati nella DMZ, che è sicura ma accessibile solo dalla rete pubblica. Architettura Una DMZ può essere progettata in modi diversi a seconda delle esigenze e dei requisiti di rete desiderati, e tipicamente è una soluzione adottata dalle grandi aziende. I due dei metodi più comuni sono le configurazioni: con un singolo firewall, noto anche come modello a tre gambe, e con doppio firewall. Queste architetture possono essere ampliate per creare architetture molto complesse a seconda dei requisiti di rete. Singolo firewall
probabile che entrambi i dispositivi soffrano delle stesse vulnerabilità di sicurezza. Uno degli svantaggi di questa architettura è che è più costosa, sia da acquistare che da gestire.