Servizi e Meccanismi di Sicurezza PDF
Document Details
Uploaded by AdjustableSetting
Università Mercatorum
Roberto Caldelli
Tags
Summary
Questo documento fornisce una panoramica sui servizi e meccanismi di sicurezza, coprendo argomenti come l'autenticazione, il controllo degli accessi, la segretezza, l'integrità dei dati e la non ripudiabilità. Sono inclusi anche i meccanismi e un modello per la sicurezza di rete.
Full Transcript
Roberto Caldelli - Servizi e meccanismi di sicurezza Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.0...
Roberto Caldelli - Servizi e meccanismi di sicurezza Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 1 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza Indice 1 SERVIZI DI SICUREZZA: AUTENTICAZIONE E CONTROLLO ACCESSI...................................................................... 3 2 SERVIZI DI SICUREZZA: SEGRETEZZA, INTEGRITÀ, NON RIPUDIABILITÀ.............................................................. 5 3 MECCANISMI DI SICUREZZA............................................................................................................................... 7 4 UN MODELLO PER LA SICUREZZA DI RETE.......................................................................................................... 9 BIBLIOGRAFIA............................................................................................................................................................11 Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 2 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza 1 Servizi di sicurezza: autenticazione e controllo accessi In letteratura esistono diverse definizioni di Servizio di Sicurezza, forse quella data nel documento RFC 2828 è la più chiara: – Servizio di elaborazione o comunicazione fornito da un sistema per offrire un determinato livello di protezione delle risorse del sistema La raccomandazione IUT-T X.800, in particolare, suddivide i servizi di sicurezza in: – 5 categorie – 14 servizi specifici Le 5 categorie sono le seguenti: – Autenticazione – Controllo degli accessi – Segretezza dei dati – Integrità dei dati – Non ripudiabilità Come detto in precedenza, queste 5 categorie di servizi si articolano su 14 servizi specifici; procediamo adesso alla definizione di ciascuno di essi. 1) Autenticazione Il servizio di autenticazione garantisce l’autenticità di una comunicazione, per esempio garantire che un segnale di allarme proviene dalla sorgente indicata. Il servizio consente di avere la certezza che le due entità coinvolte in una comunicazione siano autentiche ovvero che ciascuna delle due entità sia effettivamente chi sostiene di essere. I. Autenticazione dell’entità peer: garantisce l’identità delle entità connesse in una connessione logica. Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 3 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza II. Autenticazione dell’origine dei dati: garantisce la provenienza dei dati ricevuti in un trasferimento in modalità non connessa. Non protegge dalla duplicazione o modifica dei dati. In telecomunicazioni Asynchronous Transfer Mode o ATM è un'architettura e non un protocollo. ATM implementa un modo di trasferimento a commutazione di circuito virtuale e trasmissione di cella, incapsulando i dati in unità, dette celle, di lunghezza fissa (53 byte) anziché in pacchetti a lunghezza variabile come avviene invece nelle reti a commutazione di pacchetto (ad esempio con IPv4). Le reti di telecomunicazioni che implementano il protocollo ATM vengono dette reti ATM. 2) Controllo degli accessi III. Nel contesto della sicurezza di rete, il controllo degli accessi è la capacità di limitare e controllare l’accesso agli host e alle applicazioni via rete. Per effettuare tale controllo, le entità che tentano di ottenere l’accesso devono essere identificate in modo da consentire la personalizzazione dei diritti di accesso. Tale servizio definisce chi può avere accesso a una risorsa, in quali condizioni può farlo e cosa può fare colui che vi accede. Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 4 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza 2 Servizi di sicurezza: segretezza, integrità, non ripudiabilità 3) Segretezza dei dati l’intercettazione di un messaggio e l’analisi del traffico attacchi passivi Tale servizio è orientato alla segretezza e alla protezione dei dati trasmessi nei confronti degli attacchi passivi quali l’intercettazione di un messaggio e l’analisi del traffico. IV. Segretezza in modalità connessa Protezione dall’intercettazione dei dati trasmessi durante una connessione o dei dati contenuti in un singolo pacchetto. V. Segretezza in modalità non connessa Protezione dall’intercettazione di tutti i dati contenuti in un singolo pacchetto. VI. Segretezza selettiva a campi La segretezza di campi selezionati all’interno dei dati utente su una connessione o in un singolo blocco dati. VII. Segretezza del traffico Protezione del flusso di traffico dall’analisi in modo da evitare che un attaccante possa rilevare origine, destinazione, frequenza o altre caratteristiche del traffico. 4) Integrità dei dati attacchi attivi Tale servizio è orientato a fornire la garanzia che i dati ricevuti siano esattamente quelli inviati dall’entità autorizzata senza alcuna modifica, cancellazione e inserimento. Tale servizio inoltre fa riferimento agli attacchi attivi. VIII. Integrità in modalità connessa con ripristino Garantisce l’integrità dei dati in una connessione, rileva ogni modifica ed eventualmente effettua il ripristino. IX. Integrità in modalità connessa senza ripristino Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 5 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza Garantisce l’integrità dei dati in una connessione, rileva ogni modifica ma non effettua il ripristino X. Integrità selettiva a campi in modalità connessa Garantisce l’integrità di determinati campi dei dati utente trasferiti su una connessione consentendo di rilevare se sono stati modificati, inseriti, cancellati o riprodotti. XI. Integrità selettiva a campi in modalità non connessa Garantisce l’integrità di determinati campi di un blocco dati in modalità non connessa rilevando se tali campi sono stati modificati. XII. Integrità in modalità non connessa Garantisce l’integrità di un singolo blocco dati in modalità non connessa rilevando eventuali modifiche ai dati stessi. 5) Non ripudiabilità Impedisce che il mittente o il destinatario possano negare di aver trasmesso o ricevuto un messaggio. XIII. Non ripudiabilità, origine Prova che il messaggio è stato inviato dal mittente specificato. XIV. Non ripudiabilità, destinazione Prova che il messaggio è stato ricevuto dal destinatario indicato Infine, oltre ai servizi di sicurezza fin qui elencati, esiste la Disponibilità o Servizio di disponibilità. In alcuni casi, essa è intesa come una proprietà di un servizio ma in altri essa è considerata un vero e proprio servizio che: protegge un sistema garantendone la disponibilità. Tale servizio riguarda in particolare i problemi di sicurezza sollevati dagli attacchi Denial-of- Service. Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 6 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza 3 Meccanismi di sicurezza I Servizi di Sicurezza sfruttano uno o più Meccanismi di Sicurezza che in X.800 sono suddivisi in due categorie: – Meccanismi di Sicurezza specifici – Meccanismi di Sicurezza pervasivi I Meccanismi di Sicurezza specifici possono essere incorporati nei livelli di protocollo appropriati, in modo da fornire alcuni dei servizi di sicurezza OSI. Qui di seguito sono elencati i principali: – Crittografia Uso di algoritmi matematici (basati o meno su chiavi) per rendere i dati illeggibili. – Firma digitale Dati aggiunti o trasformazioni crittografiche dei dati che consentono al destinatario di dimostrarne l’origine e l’integrità – Controllo degli accessi Varietà di meccanismi usati per garantire il rispetto dei diritti di accesso alle risorse – Integrità dei dati Varietà di meccanismi utilizzati per garantire l’integrità di un’unità dati o di un flusso dati. – Scambio di autenticazione Meccanismo che ha lo scopo di garantire l’identità di un’entità tramite lo scambio di informazioni. – Tecniche di riempimento del traffico Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 7 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza L’inserimento di bit all’interno del flusso dati per rendere più complesso il tentativo di analisi del traffico. – Controllo dell’instradamento Consente di scegliere percorsi fisici sicuri e di variare il percorso dei dati specialmente nel caso si sospetti una violazione della sicurezza. – Autenticazione L’uso di una terza parte fidata per garantire determinate proprietà di uno scambio di dati. Al contrario i Meccanismi di Sicurezza pervasivi: sono meccanismi non specifici di un determinato servizio di sicurezza o livello del protocollo OSI. – Funzionalità fidata Funzionalità percepita come corretta rispetto a determinati criteri (una certa politica di sicurezza) – Etichetta di sicurezza Contrassegno di una risorsa (unità dati) che definisce i suoi attributi di sicurezza – Rilevamento degli eventi Rilevamento di eventi importanti per la sicurezza – Audit trail Dati raccolti per facilitare gli audit sulla sicurezza – Ripristino della sicurezza Gestisce le richieste da meccanismi quali la gestione degli eventi, svolgendo azioni di ripristino. Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 8 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza 4 Un modello per la sicurezza di rete Vediamo adesso di definire un modello a cui fare riferimento per la sicurezza di rete. Tale modello si basa sul trasferimento di dati attraverso internet dall’origine alla destinazione. Nella figura seguente è rappresentato tale modello. In tale modello esistono due componenti principali: – la trasformazione di sicurezza delle informazioni trasmesse – un’informazione segreta condivisa dai due protagonisti e che si suppone sconosciuta agli estranei. Come evidenziato, può essere necessario ricorrere a una terza parte fidata che può svolgere per esempio il ruolo di distributore delle informazioni segrete. Esistono anche altre situazioni che non rientrano nel modello precedente come, per esempio, la protezione di un sistema da un attacco indesiderato la cui circostanza è riportata nella figura di seguito. Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 9 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza In questo caso l’accesso indesiderato può manifestarsi con due tipi di minacce: Minacce di accesso alle informazioni: prevedono per esempio il tentativo di modifica dei dati per conto di utenti che non dovrebbero poter accedervi. Minacce ai servizi: sfruttano eventuali lacune nella sicurezza per impedire l’accesso ai servizi. I meccanismi di sicurezza necessari in questo caso sono di due tipi – I meccanismi che impediscono l’accesso (sentinella) – Superati i primi, ci sono poi i meccanismi di controllo interni. Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 10 di 11 Roberto Caldelli - Servizi e meccanismi di sicurezza Bibliografia Libro di riferimento “Crittografia e Sicurezza delle Reti” 2 ed., William Stallings, Ed. McGraw-Hill: Introduzione. Attenzione! Questo materiale didattico è per uso personale dello studente ed è coperto da copyright. Ne è severamente vietata la riproduzione o il riutilizzo anche parziale, ai sensi e per gli effetti della legge sul diritto d’autore (L. 22.04.1941/n. 633). 11 di 11