Unità Didattica 4 Covid Version: sicurezza informatica, firma digitale e firewall

ISTITUTO TECNICO INDUSTRIALE "G.M. ANGIOY"

cni jale G.M.ANGIOY ISTITUTO TECNICO INDUSTRIALE "G.M. ANGIOY" CLASSE V ITI RET EDU SISTEMI E RETI UNITA' DIDATTICA 4 COVID VERSION SICUREZZA INFORMATICA

SOMMARIO

1. SICUREZZA INFORMATICA
2. FIREWALL + DMZ
3. FIRMA DIGITALE
4. POSTA ELETTRONICA SICURA

IVANO ASCEDU

SICUREZZA INFORMATICA

La risorsa più importante di ogni organizzazione è l'informazione: grazie all'informazione le aziende operano sui mercati, prendono decisioni tattiche e strategiche, si scambiano dati e documenti; quindi la gestione delle informazioni svolge un ruolo determinante per la sopravvivenza delle organizzazioni. E le informazioni devono essere protette perché molte sono le cause che potrebbero comprometterle mettendo in pericolo anche l'intera vita della organizzazione. Da informatici noi manipoliamo le informazioni sotto forma di file che contengono i dati. Questi dati sono salvati negli hard disk o in altre forme di supporto di memorizzazione. Queste informazioni devono essere accessibili solo al proprietario del file o a chiunque venga autorizzato a visualizzare, manipolare, prelevare il file. Nella sicurezza informatica quello che si vuole proteggere sono le informazioni in formato digitale o in senso più ampio i sistemi informatici. Ma iniziamo a preoccuparci di come proteggere i dati per poi estendere l'analisi anche ai sistemi informatici. Abbiamo già visto a cosa serve la crittografia, essa rappresenta la base della sicurezza informatica. Il concetto fondamentale della sicurezza informatica si basa su 3 elementi di base: confidenzialità, integrità e disponibilità, conosciuti anche con l'acronimo CIA (Confidentiality, Integrity, Availability), da non confondere con la più famosa Central Intelligence Agency.

con la più famosa ICE GEN AGENCY CONFIDENTIALITY YOUR INFORMATION AVAILABILITY INTEGRITY

Confidenzialità

Il concetto di confidenzialità è simile ma non uguale al concetto di privacy. La confidenzialità è necessaria per garantire privacy e riguarda la nostra abilità nel proteggere i dati da tutti gli individui che non sono autorizzati a vederli. Il criterio di confidenzialità viene rispettato quando due persone che comunicano tra di loro sono sicure di non essere intercettate o eventualmente riescono a scambiarsi dati e informazioni in modo tale che solo loro riescono a capire quali siano i contenuti dei messaggi. E I metodi più usati per assicurare confidenzialità sono la crittografia, la combinazione di nome utente e password (utilizzati per l'autenticazione), codici PIN e negli ultimi anni anche verifiche di identità basate sulla biometria (impronte digitali, riconoscimento vocale ... ).

Integrità

Per integrità si intende l'abilità di impedire che i nostri dati vengano modificati in modo non autorizzato o indesiderato. Significa che i dati devono essere protetti sia da modifiche o cancellazioni non autorizzate, ma anche dal caso in cui un accesso autorizzato nel sistema provoca delle modifiche indesiderate. Quindi per mantenere l'integrità non solo bisogna avere dei mezzi per impedire modifiche non autorizzate ai nostri dati, ma c'è anche bisogno della capacità di invertire cambiamenti autorizzati, qualora venissero annullati. L'integrità dei documenti informatici si ottiene utilizzando la firma digitale e la posta elettronica sicura.

Disponibilità

Una perdita di disponibilità del servizio può essere riferita ad una grande varietà di errori o malfunzionamenti all'interno di un sistema, che non ci permettono di accedere ai dati. Questi problemi di solito sono associati a malfunzionamenti del sistema operativo, attacchi di rete, guasti, errori, blackout. Sistemi di backup locale o remoto, ridondanza dell'hardware e degli archivi, firewall e router configurati per neutralizzare attacchi DoS, gruppi di continuità, controllo dell'accesso fisico, monitoraggio delle prestazioni, sono solo alcuni degli strumenti che servono per mantenere la disponibilità. Uno degli strumenti più utilizzati per garantire la sicurezza informatica sono i firewall

COSA SONO I FIREWALL

CHE DE Nel medioevo i castelli erano protetti da delle cinte murarie. Questi muri di pietra impedivano che gli abitanti all'interno del castello fossero attaccati dai briganti che provenivano dall'esterno. Quindi lo scopo di questi muri era quello di proteggere chi stava dentro le cinte murarie. Purtroppo però questo tipo di protezione non poteva fare nulla contro i furti effettuati dagli stessi abitanti della città. Il termine firewall tradotto dall'inglese non significa muro di fuoco, ma bensì muro taglia fuoco ed ha lo scopo di impedire il propagarsi di un incendio da un punto ad un altro. Quando si parla di firewall in informatica si fa riferimento ad un insieme di risorse hardware e software che opportunamente installate su un computer permettono di filtrare tutti i pacchetti in entrata o in uscita secondo delle regole prestabilite per garantire la sicurezza del computer in uso. Il firewall opera solo sui pacchetti analizzando le regole da rispettare e verificando se i pacchetti rispettano o meno tali regole.

PACKET FILTER

Sim Un packet filter può essere implementato a livello software o hardware e il suo scopo è quello di controllare gli accessi ad una rete analizzando i pacchetti in ingresso o uscita scegliendo quali di questi pacchetti far passare e quali bloccare in base agli indirizzi IP di provenienza e destinazione. Il vantaggio di un packet filter risiede nel fatto che è la tecnica più semplice da implementare per realizzare un firewall. Si può realizzare con qualunque tipo di router e con la maggior parte dei sistemi operativi. Tra i parametri che un packet filter analizza per ogni pacchetto in ingresso o uscita sul computer ci sono: l'indirizzo IP sorgente, l'indirizzo IP di destinazione e il tipo di protocollo di trasmissione. La regola principale del packet filter è quella di permettere ai pacchetti autorizzati di essere ricevuti e di impedire l'accesso a tutti gli altri. II packet filter può essere paragonato ad un buttafuori di una discoteca: il buttafuori analizza la lista delle persone che possono entrare nel locale, fa entrare le persone che rientrano nella lista e impedisce a tutte le altre persone di entrare. Il packet filter non analizza il contenuto dei pacchetti, si limita a controllare solo le provenienze dei pacchetti senza sapere cosa sia contenuto.

DMZ DEMILITARIZED ZONE

I firewall vengono utilizzati per realizzare le cosidette DMZ. La DMZ è una sezione di rete molto importante. Essa rappresenta una parte della rete interna (LAN) che separa la rete interna (Il resto della LAN) dalla rete esterna (INTERNET). Con la DMZ si può effettuare una protezione della rete da eventuali attacchi esterni. Lo schema generale di un DMZ è il seguente :

«Firewall> Cisco Catalyst 6500 FWSM «Firewall» Cisco Catalyst 6500 FWSM «Hub» Linksys SR2016 S8 S9 S10 S4 S5 S6 «Database server» «Application server» DMZ CON DUE FIREWALL Il DMZ ha delle caratteristiche: - E' possibile contattare il DMZ dall'esterno ma chi lo contatta non può avere accesso alla rete LAN - Dal DMZ non è possibile contattare gli host che stanno nella rete LAN e non è possibile sempre partendo dal DMZ connettersi alla rete internet - Dalla rete LAN è possibile connettersi sia al DMZ che ad internet Il DMZ è una porzione di rete delimitata da dei firewall, solitamente essa viene utilizzata per inserire i servizi che devono essere esportati sul lato pubblico in modo da garantire la sicurezza sul lato privato. S1 S2 S7 SO Internet S3 «Load Balancer» jetNEXUS ALB-X «Router» Cisco 7600 Remote Clients «Web farm»

Schemi di DMZ

Esistono due schemi di DMZ con un firewall o con due firewall.

DMZ LAN 0 Internal Firewall External Firewall VS. DMZ LAN Firewall Solitamente si preferisce utilizzare lo schema con due firewall soprattutto di due marche diverse per motivi di sicurezza, perché qualora si dovesse trovare una falla in un firewall essa potrebbe essere sfruttata anche sul a.

Configurazione DMZ con due firewall

SERVER DMZ Internet ROUTER ESTERNO ROUTER INTERNO RETE LAN Un DMZ viene utilizzato per mettervi i server che possono essere web server, app server, e-mail server ....

CARATTERISTICHE DMZ

• NON HA ACCESSO AD INTERNET,
• CI SI PUO' ACCEDERE SOLO DALL'INTERNO DI UNA RETE LAN O DALLA WAN SE L'UTENTE è ABILITATO
• IL DMZ NON PUO' CONTATTARE NESSUNO DI SUA INZIATIVA

Accesso Gli utenti si trovano ... Accesso alla DMZ alla LAN Accesso a Internet Non ... su Internet (WAN) permesso consentito .. nella LAN permesso permesso nella DMZ Non Non consentito consentito

La firma digitale

La firma digitale è stata introdotta nella normativa europea dalla Direttiva 1999/93/CE ed è l'equivalente informatica di una tradizionale firma posta su carta. La firma digitale si basa su un sistema di codifica crittografica a base asimmetrica. Per poter usare la firma digitale l'utente deve possedere un dispositivo di firma sicuro rilasciato da un ente certificatore.

Chi sono gli enti certificatori?

Gli enti certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati (per la firma digitale) e certificati di autenticazione (per siti internet). Questi enti certificatori devono essere visti come una terza presenza nella comunicazione tra due entità. Infatti il loro ruolo è quello di certificare che le due persone stiano comunicando realmente tra di loro. E

Chi crea i certificati digitali

I certificati digitali vengono rilasciati dalle cosiddette autorità di certificazione. Una Autorità di Certificazione (Certification Authority, solitamente abbreviato con C.A.) rilascia i certificati a chi ne fa richiesta dopo averne attestato l'identità. Svolge il ruolo di garante dell'identità di chi usa il certificato da lei rilasciato, così come le autorità di pubblica sicurezza (prefettura, comune, etc ... ) che emettono documenti di identificazione quali il passaporto o la carta d'identità. Chiunque può verificare la validità di un certificato, in quanto le C.A. devono mantenere un pubblico registro dei certificati emessi e una Lista dei Certificati Revocati (Certification Revocation List) disponibile per la verifica per via telematica da parte di tutti gli utenti. L'elenco delle più diffuse autorità di certificazione è solitamente precaricato nei browser più diffusi al momento dell'installazione. Quando si utilizza la firma digitale su un documento elettronico si crea un file che ha estensione .p7m.