WORKSHOP
Connessione in rete:
sicurezza informatica e riservatezza
coordinatore Antonio Lioy
docente del Politecnico di Torino
Roma 15, 16, 17 novembre 2000 Palazzo dei Congressi
Piazzale Kennedy - EUR
S
Quinta Conferenza Nazionale di Statistica
5 @
WORKSHOP
Connessione in rete:
sicurezza informatica e riservatezza
coordinatore Antonio Lioy
docente del Politecnico di Torino
SOMMARIO
Prof. A. Lioy Sicurezza delle reti e dei sistemi informativi Dr. C. Giustozzi Privacy e firma digitale
Ing. M. Terranova La sicurezza nella Rete Unitaria
Prof. E. Bertino Protezione della riservatezza in basi di dati Ing. A. Guarino Sicurezza informatica e produzione statistica
WORKSHOP
Connessione in rete: sicurezza informatica e riservatezza
Sicurezza delle reti e dei sistemi informativi
A. Lioy
Sicurezza delle reti e dei sistemi informativi
Sicurezza delle reti e dei sistemi informativi
Antonio Lioy
< lioy @ polito.it >
Politecnico di Torino
Dip. Automatica e Informatica
Perché è esploso il problema
“sicurezza” ?
1
2
Sicurezza: dove è il nemico?
n fuori dalla nostra organizzazione
n difesa del perimetro (firewall)
n protezione dell’Extranet (VPN)
n dentro la nostra organizzazione
n protezione della LAN / Intranet
n ovunque
n protezione delle applicazioni
Proprietà di sicurezza
n autenticazione authentication semplice / mutua simple / mutual
n autorizzazione authorization
n integrità integrity
n riservatezza privacy, secrecy
n non ripudio non repudiation
n disponibilità availability
n tracciabilità accountability
3
4
Piacere di
incontrarti Alice!
Mutua autenticazione
Alice Ciao, sono Alice!
Sgrinfia & Arraffa S.r.l.
Parlo con la banca?
Certo!
La piramide della sicurezza
autenticazione autorizzazione
riservatezza integrità
log
$$$
autent.
autorizzazione riservatezza
integrità log
$$$
5
6
L’ABC degli attacchi
n IP spoofing / shadow server
qualcuno si sostituisce ad un host
n packet sniffing
si leggono password di accesso e/o dati riservati
n connection hijacking / data spoofing
si inseriscono / modificano dati durante il loro transito in rete
n denial-of-service
si impedisce il funzionamento di un servizio (es. la guerra dei ping)
A quale livello di rete è meglio realizzare la sicurezza?
Data Link Network Transport
Session Presentation
Application
Physical
firewall? IPSEC?
smart-card?
apparati cifranti?
guardie armate?
7
8
Web sicuro
sicuro accessi
remoti sicuri
VPN sicure documenti
sicuri
PKI X.509
pagamenti sicuri
La rivoluzione copernicana
sicurezza di NT boot
sicuro
no virus e cavalli di troia
9
10
Esempio di certificato X.509
n version 2
n serial number 1231
n signature algorithm RSA with MD5, 1024
n issuer C=IT, O=Polito, OU=CA
n validity 1/1/2000 - 31/12/2000
n subject C=IT, O=Polito,
CN=Antonio Lioy, Email=lioy@polito.it
n subjectpublickeyinfo RSA, 1024, xx...x
n CA digital signature yy...y
Sicurezza a livello network
n protezione end-to-end per reti omogenee a livello logico (es. IP)
rete IP
router
router client
server
IPsec: formati AH e ESP
parte crittografata parte in
chiaro
header ESPpayload crittografato IP
heade r
parte protetta header
AH
TCP header + data IP
header
11
12
Sicurezza del DNS
n attacco 1: shadow server
n attacco 2: avvelenamento della cache
n DNS sicuro con chiavi RSA per ogni nameserver
DNS server
DNS server
(shadow) DNS server
IP (www.microsoft.com)?
Firewall e sicurezza applicativa
n i firewall proteggono da attacchi sui canali che vengono chiusi
n … ma nulla possono fare per i canali che restano aperti
n per i canali aperti occorre protezione a livello applicativo
F W
13
14
SSL / TLS
(1) https://www.polito.it/
(3) cert (www.polito.it) (4) cert (utente)
(2) configurazione di sicurezza
(5) canale sicuro (SSL / TLS) server
Web sicuro
browser
N.B. è sicurezza di canale, quindi non protegge i dati sul browser e sul
server
Sicurezza dei collegamenti interattivi
n autenticazione del server
n autenticazione del client
n protezione del canale
cert X.509 o (user + password) dati
canale SSL (es. SSLtelnet, SSLftp)
15
16
Posta elettronica sicura: S/MIME
n utilizza firma digitale con certificati X.509v3
n protegge messaggi MIME
firma digitale in formato S/MIME testo
tabella Excel docum. Word
busta cifrata in formato S/MIME
testo
tabella Excel docum. Word
busta cifrata in formato S/MIME
firma digitale in formato S/MIME testo
tabella Excel docum. Word
firmato firmato e cifrato cifrato
Documenti elettronici
FORMATI
STANDARD DEI:
n
certificati
n
firme digitali
n
ruoli
n
documenti
n
marche temporali FORMATI
STANDARD DEI:
n
certificati
n
firme digitali
n
ruoli
n
documenti
n
marche temporali
certificato
18 17