Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza delle Reti: Firewall, Crittografia e Proxy Server, Sintesi del corso di Sistemi di reti

In questo documento sono presenti: -definizione di sicurezza e possibili minacce; -Firewall; -Packet Filtering Router; -ACL (Access Control List); -DMZ (Demilitarized Zone); -SSL/TLS (Secure Socket Layer / Transport Layer Security); -Analisi dei rischi; -Tipologie di minacce; -Principi di sicurezza; -Crittografia simmetrica e asimmetrica; -Proxy Server.

Tipologia: Sintesi del corso

2021/2022

In vendita dal 14/11/2022

Enrico_Galluzzo
Enrico_Galluzzo 🇮🇹

5

(2)

7 documenti

1 / 5

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
LA SICUREZZA DELLE RETI
Informazione risorsa più importante per ogni azienda, secondo la quale si prendono decisioni e si
scambiano dati e documenti.
La sicurezza informatica è l’insieme dei prodotti, servizi, regole organizzative e comportamenti individuali
che proteggono i sistemi informatici di un’azienda.
Le minacce alla sicurezza possono essere:
Umane dovute a soggetti con interessi personali nelle informazioni di un’azienda nel limitarne
l’operatività danneggiando i processi industriali; si dividono a loro volta in:
o Attacchi esterni: svolti da soggetti estranei;
o Attacchi interni: personale interno, più pericoloso perché si tratta di persone che
conoscono il sistema informatico e di sicurezza e sono in possesso di autorizzazioni.
Naturali dovute a calamità naturali imprevedibili, ma anche vandalismo, terrorismo e guerre,
che seppur dovuti dall’uomo sono imprevedibili. Bisogna fare l’ANALISI DEI RISCHI.
Firewall
Si interpone tra LAN e mondo esterno per controllare il traffico in transito (difesa perimetrale), tramite
regole apposite (ACL), inibendo e/o permettendo gli accessi indesiderati.
Progettazione di un Firewall:
Deve essere l’unico punto di contatto tra rete interna ed esterna;
Può essere attraversato solo da traffico autorizzato;
Deve essere un sistema altamente sicuro esso stesso.
È costituito generalmente da più macchine differenti:
Il router esterno, connesso a Internet che invia il traffico entrante all’application gateway;
L’application gateway selezione i pacchetti tramite liste di accesso (ACL Access Control List) e li
inoltra alla rete interna, eliminando i pacchetti che non soddisfano i requisiti di sicurezza
(FILTERING ROUTER).
Firewall:
Protezione:
o Esterna (ingress firewall): controllo dei collegamenti incoming;
o Interna (egress firewall): controllo dei collegamenti outcoming.
Host protetti contemporaneamente:
o Personal firewall: protezione di un singolo host (generalmente di default):
Blocco traffico esterno;
Blocco traffico interno.
o Network firewall:
Packet filtering router: gateway a livello network;
Circuit gateway: gateway a livello trasporto;
Proxy server: gateway a livello applicazione.
Livello di intervento:
o Filtri di pacchetti IP: bloccano/abilitano il traffico che attraversa il firewall in maniera
selettiva (Protocolli, indirizzi IP, porte, …);
o Serventi proxy: si occupa di intrattenere le connessioni per conto di qualcuno nella rete
interna.
pf3
pf4
pf5

Anteprima parziale del testo

Scarica Sicurezza delle Reti: Firewall, Crittografia e Proxy Server e più Sintesi del corso in PDF di Sistemi di reti solo su Docsity!

LA SICUREZZA DELLE RETI

Informazione → risorsa più importante per ogni azienda, secondo la quale si prendono decisioni e si scambiano dati e documenti. La sicurezza informatica è l’insieme dei prodotti, servizi, regole organizzative e comportamenti individuali che proteggono i sistemi informatici di un’azienda. Le minacce alla sicurezza possono essere:

  • Umane → dovute a soggetti con interessi personali nelle informazioni di un’azienda nel limitarne l’operatività danneggiando i processi industriali; si dividono a loro volta in: o Attacchi esterni: svolti da soggetti estranei; o Attacchi interni: personale interno, più pericoloso perché si tratta di persone che conoscono il sistema informatico e di sicurezza e sono in possesso di autorizzazioni.
  • Naturali → dovute a calamità naturali imprevedibili, ma anche vandalismo, terrorismo e guerre, che seppur dovuti dall’uomo sono imprevedibili. → Bisogna fare l’ANALISI DEI RISCHI. Firewall Si interpone tra LAN e mondo esterno per controllare il traffico in transito (difesa perimetrale), tramite regole apposite (ACL), inibendo e/o permettendo gli accessi indesiderati. Progettazione di un Firewall:
  • Deve essere l’unico punto di contatto tra rete interna ed esterna;
  • Può essere attraversato solo da traffico autorizzato;
  • Deve essere un sistema altamente sicuro esso stesso. È costituito generalmente da più macchine differenti:
  • Il router esterno , connesso a Internet che invia il traffico entrante all’ application gateway ;
  • L’ application gateway selezione i pacchetti tramite liste di accesso (ACL → Access Control List) e li inoltra alla rete interna, eliminando i pacchetti che non soddisfano i requisiti di sicurezza (FILTERING ROUTER). Firewall:
  • Protezione: o Esterna (ingress firewall): controllo dei collegamenti incoming; o Interna (egress firewall): controllo dei collegamenti outcoming.
  • Host protetti contemporaneamente: o Personal firewall: protezione di un singolo host (generalmente di default): ▪ Blocco traffico esterno; ▪ Blocco traffico interno. o Network firewall:Packet filtering router: gateway a livello network; ▪ Circuit gateway: gateway a livello trasporto; ▪ Proxy server: gateway a livello applicazione.
  • Livello di intervento: o Filtri di pacchetti IP: bloccano/abilitano il traffico che attraversa il firewall in maniera selettiva (Protocolli, indirizzi IP, porte, …); o Serventi proxy: si occupa di intrattenere le connessioni per conto di qualcuno nella rete interna.

Packet Filtering Router Scherma i pacchetti in base al protocollo, indirizzo della sorgente e destinazione e dai campi di controllo dei pacchetti; quindi analizza l’header TCP/IP a livello rete e trasporto (Packet Inspection) individuando:

  • IP mittente e destinatario;
  • Indirizzo MAC sorgente e destinatario;
  • Numero di porta di destinazione del pacchetto;
  • Protocollo da utilizzare. Il firewall decide di accettare o meno il pacchetto attraverso un algoritmo di scelta. Filosofie applicabili:
  • DENY: ciò che NON è specificatamente permesso, è proibito;
  • PERMIT: ciò che NON è specificatamente proibito, è permesso. Le regole possono essere configurate in modo statico (manuale), validità di tempo illimitata, o dinamico, ed in base a queste i pacchetti possono essere:
  • Accept/allow: il firewall permette ai pacchetti di raggiungere la destinazione;
  • Deny: il pacchetto viene scartato senza passare nel firewall, e viene inviato un messaggio d’errore;
  • Discard/reject: il pacchetto viene scartato senza un messaggio d’errore alla sorgente, viene quindi implementata la tecnologia BLACK HOLE, il pacchetto viene eliminato senza che la sua presenza venga rilevata. Il firewall viene disposto su router tra rete locale e Internet prendendo il nome di ROUTER DI FRONTIERA, che deve disporre di una CPU veloce e molta memoria. ACL: Access Control List Nelle ACL vengono disposte le regole con i filtri dei pacchetti in funzione degli HEADER TCP/IP (livello 3- networking), a volte anche gli HEADER del livello di trasporto (4), ma viene ignorato il protocollo al quale il pacchetto si riferisce. Le ACL si basano su indirizzo sorgente/destinazione o protocolli e numeri di porta dei livelli superiori, applicando due filosofie:
  • Open Security Policy: nelle ACL c’è la lista dei divieti, di default è permesso tutto.
  • Closed Security Policy: nelle ACL c’è la lista dei permessi, di default è vietato tutto. DMZ: Demilitarized Zone Zona demilitarizzata: sezione di rete delicata e importante per i processi di sicurezza, che separa la rete interna da quella esterna. I server DMZ sono pubblicamente accessibili quindi devono essere segregati, se venissero compromessi non devono avere effetti collaterali nella rete aziendale. Permette di effettuare una SICUREZZA PERIMETRALE tra LAN aziendale e WAN esterna. Rete esterna (INTERNET) → FW “Front end” → DMZ → FW “Back end” → Rete interna (LAN) La migliore difesa è una buona ORGANIZZAZIONE TOPOLOGICA della rete:
  • Dispositivi e risorse sono posizionati in base ai loro livelli e requisiti di sicurezza;
  • La rete acquisisce una maggiore scalabilità quindi stabilità. Regola: per essere definita necessita di un IP statico e di esporre all’esterno un solo PC al quale vengono inoltrate tutte le richieste di connessione.

Principali tipologie di minacce Attacchi:

  • Passivi: o Lettura pacchetti tramite sniffing nelle LAN; o Analisi del sistema e del traffico di rete senza vedere i contenuti.
  • Attivi: o Intercettazione: intercetta le password per avere l’accesso al sistema; o Sostituzione di un host: modificando le tabelle di routing (IP SPOOFING); o Produzione: crea nuovi componenti nel sistema per fare un danno. Principali tecniche: ▪ VIRUS: programmi che infettano un host; ▪ WORM: consumano le risorse di un host; ▪ DOS (Denial Of Service): tengono occupato un host con operazioni inutili. o PHISHING: spamming di e-mail che attraggono un utente in un server pirata, evolutosi in SPEAR PHISHING, con molti dati personali; o Intrusione: accesso non autorizzato ad un host. Principi di sicurezza Principio minimo: protezione dagli attacchi passivi e riconoscimento degli attivi. Pilastri della sicurezza:
  • Prevenzione: protezioni di sistemi e comunicazioni (Crittografia, Firewall, VPN);
  • Rilevazione: monitoraggio degli accessi tramite autenticazione;
  • Investigazione: analisi dati, controllo interno e collaborazione degli utenti. Crittografia Insieme delle tecniche di cifratura di un testo (CRITTOGRAMMA) e decifratura di un crittogramma. Algoritmo di codifica: Regola (algoritmo di criptazione) + parametri → CHIAVE. Chiave:
  • Pubblica: è di dominio pubblico e comune a tutti i mittenti;
  • Privata: solo a conoscenza del destinatario. Cifrari:
  • DES: IBM 1976, simmetrico a 64 bit (8 di controllo e 56 utili), violato nel 1998 in 60 ore;
  • 3 - DES: 1999, 3 passi di cifratura DES consecutivi con 3 chiavi diverse (VISA e MASTERCARD);
  • AES: 1997, progettato dalla NIST come concorso per sostituire DES;
  • IDEA: 1991, in sostituzione al DES con chiave a 128 bit. Chiave simmetrica: le persone che comunicano devono essere in possesso della stessa chiave, limitandone la diffusione in quanto non ci sono molti sistemi di distribuzione delle chiavi. Chiave asimmetrica: ci sono due chiavi diverse, una pubblica per la criptazione e una privata per la decriptazione. Le due devono essere indipendenti e da una non si può risalire all’altra. Viene così risolto il problema della riservatezza ma non quello dell’autenticità del mittente. Problemi: problema della diffusione della chiave pubblica per la chiave simmetrica; e il problema della complessità dei calcoli per la chiave asimmetrica che la rendono poco efficiente. Soluzione: Ottenere dal messaggio originale una sequenza di numeri (impronta) più corta del messaggio stesso che sia unica.

Proxy Server Web cache: entità di rete che soddisfa le richieste http al posto del server effettivo. Ha una propria memoria cache dove conserva le copie degli oggetti recentemente richiesti. Il proxy viene acquistato e installato dagli Internet Service Provider. Sviluppo della WEB CACHING:

  • Un proxy può ridurre i tempi di risposta al client quando l’ampiezza di banda tra client e server è inferiore a quella tra client e proxy;
  • Può ridurre il traffico sul collegamento di accesso a Internet senza dover aumentare l’ampiezza di banda (diminuendo i costi). Riduce il traffico WEB globale, migliorando le prestazioni. Tempo totale di risposta = (frequenza media delle richieste) ∙ (dimensione media oggetto) / (100Mb/s) Intensità di traffico sul collegamento = (frequenza media delle richieste) ∙ (dimensione media oggetto) / (15Mb/s) Quando l’intensità di traffico si avvicina a 1, il ritardo sul collegamento cresce senza limiti.