SlideShare a Scribd company logo

Open Security

Francesco Taurino
Francesco Taurino

La sicurezza informatica con programmi open source

Technology
1 of 19
Download to read offline
Open security La sicurezza informatica con programmi open source Francesco M. Taurino LinuxDAY 2006 - Caserta
Sicurezza informatica - La sicurezza NON è installare un firewall - La sicurezza NON è un prodotto o un servizio - Un controllo di sicurezza NON è “fai uno scan della rete e spegni qualche servizio...” La sicurezza è un processo
La sicurezza informatica è - “Posso ancora lavorare produttivamente senza pensare ai problemi di sicurezza”? - efficace come “l'annello più debole” della catena - la gestione del rischio per computer e personale - “Chi può avere accesso fisicamente ai server, ai backup o ai pc?” - 24x7x365... sempre - fare tutto quello quello che si può, senza incidere (troppo...) su produttività e budget La sicurezza è un processo
Alcune considerazioni La sicurezza informatica si deve occupare di: 1. accesso fisico 2. autenticazione e autorizzazione 3. server e client 4. servizi e applicazioni 5. reti 6. confidenzialità e integrità 7. disponibilità
1. Accesso fisico Fa parte della sicurezza passiva. Esempi: - protezione dei locali - porte blindate - identificazione del personale
2. Autenticazione e autorizzazione Consistono nella verifica dell'identità e delle credenziali di un utente (un programma o un computer) e nell'esame dei privilegi di accesso a determinate risorse che gli sono stati concessi.
2. Autenticazione e autorizzazione Alcuni tool: - OpenLDAP, Fedora Directory Server - FreeRadius, GNU Radius
3. Server e client Nella scelta e nell'implementazione di una struttura informatica è vitale la corretta selezione dei sistemi operativi di server e client. Il mercato client è per oltre il 90% rappresentato da Windows, mentre in ambito server questo sistema è presente sul 52% delle macchine.
3. Server e client I virus, i worm e gli spyware “in the wild” sono quindi studiati per attaccare questo tipo di sistemi. Linux sui desktop e sui server è quindi una scelta fattibile sia per le funzionalità che per il positivo impatto sulla sicurezza, visto che non è in grado di eseguire questi “codici maligni”.
4. Servizi e applicazioni Come per i sistemi operativi, è importante selezionare accuratamente i software applicativi o utilizzati per erogare servizi. Sono inoltre necessari continui update, verifiche della presenza di vulnerabilità nei server “esposti”, controlli sulla bontà delle password, etc etc
4. Servizi e applicazioni Alcuni tool: - chroot (creazione di “gabbie” per servizi) - servizi senza privilegi elevati - apt, yum, urpmi (aggiornamenti s.o.) - Nessus (ricerca vulnerabilità) - Snort (rilevazione tentativi di intrusione) - John the Ripper (password cracker)
5. Reti Messi in sicurezza locali, server e servizi, dobbiamo assicurarci che le nostre reti (anche a basso livello) offrano lo stesso livello di sicurezza dei livelli più elevati. Alcuni tool: - Wireshark, tcpdump (sniffing) - Kismet (wireless sniffer) - Nmap (lista servizi, identificazione s.o.) - Nedi (discovery apparati)
6. Confidenzialità e integrità Tutta la struttura è in sicurezza. Ma i dati, le mail, l'accesso ai server come vengono protetti? Dobbiamo avere un sistema la che garantisca la confidenzialità (una terza parte che entri in possesso delle informazioni scambiate tra mittente e destinatario non è in grado di ricavarne alcun contenuto informativo intelligibile).
6. Confidenzialità e integrità Il sistema deve garantire l'integrità, cioè protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni.
6. Confidenzialità e integrità La confidenzialità e l'integrità di dati e programmi si ottengono in fasi e modi differenti, dalla protezione delle comunicazioni alla criptazione dei dati in transito su canali intrinsecamente insicuri (come Internet).
6. Confidenzialità e integrità Alcuni tool: - SSL/TLS e ssh (connessioni sicure) - VPN (tunnel criptati su canali insicuri) - GnuPG (criptazione dati e mail) - Tripwire (verifica integrità programmi)
7. Disponibilità Con il termine disponibilità si intende la prevenzione della non accessibilità, ai legittimi utilizzatori, sia delle informazioni che delle risorse, quando informazioni e risorse servono. Il concetto quindi, oltre che riguardare dati ed informazioni, è esteso a tutte le possibili risorse che costituiscono un sistema informatico, come, ad esempio, la banda di trasmissione di un collegamento, la capacità di calcolo di un elaboratore, lo spazio utile di memorizzazione dati, ecc.
7. Disponibilità Anche la disponibilità dei dati e della banda si ottiene in fasi e modi differenti, dalla protezione fisica dei locali, alla corretta gestione di server, supporti e strategie di backup fino alla realizzazione di sistemi di cluster e sistemi completamente ridondati.
7. Disponibilità Alcuni tool: - RAID (per la protezione dello storage) - LinuxHA (alta disponibilità) - LVS (Linux Virtual Server) - RedHat Cluster Suite

Recommended

Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...ciii_inginf
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Patrick1201
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteZilli Emilio
 
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentationDino Fornaciari
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaMario Gentili
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 

Recommended

Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...ciii_inginf
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Patrick1201
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteZilli Emilio
 
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentationDino Fornaciari
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaMario Gentili
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011mircobova
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Sicurezza negli ambienti virtualizzati
Sicurezza negli ambienti virtualizzatiSicurezza negli ambienti virtualizzati
Sicurezza negli ambienti virtualizzatiMarco Vanino
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Antonio Capobianco
 
Network Security
Network SecurityNetwork Security
Network SecurityReal Comm
 
Crittografia
CrittografiaCrittografia
Crittografiachiaracirone
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2Dario Tion
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Giulio Coraggio
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureMarcoMarinello2
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4Confimpresa
 
Sicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacySicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacyMaurizio Graffio Mazzoneschi
 
Buone abitudini di sicurezza informatica
Buone abitudini di sicurezza informaticaBuone abitudini di sicurezza informatica
Buone abitudini di sicurezza informaticaQabiria
 
Odissea open data per la pa
Odissea open data per la paOdissea open data per la pa
Odissea open data per la pa@CULT Srl
 
Informatica di base
Informatica di baseInformatica di base
Informatica di baseFrancesco Zoino
 
Informatica di base
Informatica di baseInformatica di base
Informatica di baseBruno Montalto
 

More Related Content

What's hot

Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011mircobova
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Sicurezza negli ambienti virtualizzati
Sicurezza negli ambienti virtualizzatiSicurezza negli ambienti virtualizzati
Sicurezza negli ambienti virtualizzatiMarco Vanino
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Antonio Capobianco
 
Network Security
Network SecurityNetwork Security
Network SecurityReal Comm
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2Dario Tion
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Giulio Coraggio
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureMarcoMarinello2
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4Confimpresa
 

What's hot (17)

Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
Sicurezza negli ambienti virtualizzati
Sicurezza negli ambienti virtualizzatiSicurezza negli ambienti virtualizzati
Sicurezza negli ambienti virtualizzati
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza Informatica
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it security
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3
 
Network Security
Network SecurityNetwork Security
Network Security
 
Crittografia
CrittografiaCrittografia
Crittografia
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5
 
Corso privacy unità 4
Corso privacy unità 4Corso privacy unità 4
Corso privacy unità 4
 

Viewers also liked

Sicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacySicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacyMaurizio Graffio Mazzoneschi
 
Buone abitudini di sicurezza informatica
Buone abitudini di sicurezza informaticaBuone abitudini di sicurezza informatica
Buone abitudini di sicurezza informaticaQabiria
 
Odissea open data per la pa
Odissea open data per la paOdissea open data per la pa
Odissea open data per la pa@CULT Srl
 
Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Natascia Edera
 
Concetti base di informatica
Concetti base di informaticaConcetti base di informatica
Concetti base di informaticaGianni Locatelli
 
Alfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 oreAlfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 oreBruno Marzemin
 
Corso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcCorso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcEnrico Mori
 
3.8 Data Visualization Tools - Slide - ASOC1617
3.8 Data Visualization Tools - Slide - ASOC16173.8 Data Visualization Tools - Slide - ASOC1617
3.8 Data Visualization Tools - Slide - ASOC1617A Scuola di OpenCoesione
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Concetti Di Base Di Informatica
Concetti Di Base Di InformaticaConcetti Di Base Di Informatica
Concetti Di Base Di InformaticaFrancesco Caliulo
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 

Viewers also liked (16)

Sicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacySicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacy
 
Buone abitudini di sicurezza informatica
Buone abitudini di sicurezza informaticaBuone abitudini di sicurezza informatica
Buone abitudini di sicurezza informatica
 
Odissea open data per la pa
Odissea open data per la paOdissea open data per la pa
Odissea open data per la pa
 
Informatica di base
Informatica di baseInformatica di base
Informatica di base
 
Informatica di base
Informatica di baseInformatica di base
Informatica di base
 
Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?
 
Concetti base di informatica
Concetti base di informaticaConcetti base di informatica
Concetti base di informatica
 
Informatica base1
Informatica base1Informatica base1
Informatica base1
 
Alfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 oreAlfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 ore
 
La struttura del pc
La struttura del pcLa struttura del pc
La struttura del pc
 
Corso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcCorso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pc
 
3.9 esercitazione in classe con esperto
3.9 esercitazione in classe con esperto 3.9 esercitazione in classe con esperto
3.9 esercitazione in classe con esperto
 
3.8 Data Visualization Tools - Slide - ASOC1617
3.8 Data Visualization Tools - Slide - ASOC16173.8 Data Visualization Tools - Slide - ASOC1617
3.8 Data Visualization Tools - Slide - ASOC1617
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Concetti Di Base Di Informatica
Concetti Di Base Di InformaticaConcetti Di Base Di Informatica
Concetti Di Base Di Informatica
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 

Similar to Open Security

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Sicurezza dei sistemi informativi
Sicurezza dei sistemi informativiSicurezza dei sistemi informativi
Sicurezza dei sistemi informativiMarco Liverani
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusGiovanni Mennea
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...festival ICT 2016
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSMAU
 

Similar to Open Security (20)

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Sicurezza dei sistemi informativi
Sicurezza dei sistemi informativiSicurezza dei sistemi informativi
Sicurezza dei sistemi informativi
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virus
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 

More from Francesco Taurino

La mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaLa mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaFrancesco Taurino
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...Francesco Taurino
 
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco Taurino
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Francesco Taurino
 
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VeterePresentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VetereFrancesco Taurino
 
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereProposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereFrancesco Taurino
 
Una rete aziendale con Linux
Una rete aziendale con LinuxUna rete aziendale con Linux
Una rete aziendale con LinuxFrancesco Taurino
 

More from Francesco Taurino (20)

La mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaLa mia nuvola in azienda o a casa
La mia nuvola in azienda o a casa
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMI
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
 
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioni
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
 
Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...
 
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VeterePresentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
 
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereProposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
 
Open Source
Open SourceOpen Source
Open Source
 
Applicazioni open source
Applicazioni open sourceApplicazioni open source
Applicazioni open source
 
Una rete aziendale con Linux
Una rete aziendale con LinuxUna rete aziendale con Linux
Una rete aziendale con Linux
 
Linux
LinuxLinux
Linux
 
AAI
AAI AAI
AAI
 
Xen e OpenVirtuozzo
Xen e OpenVirtuozzoXen e OpenVirtuozzo
Xen e OpenVirtuozzo
 
AAI Nazionale
AAI NazionaleAAI Nazionale
AAI Nazionale
 
AAI Locale
AAI LocaleAAI Locale
AAI Locale
 
Back to Mainframe
Back to MainframeBack to Mainframe
Back to Mainframe
 
NetDisco
NetDiscoNetDisco
NetDisco
 
Unattended
UnattendedUnattended
Unattended
 
Jabber
JabberJabber
Jabber
 

Open Security

  • 1. Open security La sicurezza informatica con programmi open source Francesco M. Taurino LinuxDAY 2006 - Caserta
  • 2. Sicurezza informatica - La sicurezza NON è installare un firewall - La sicurezza NON è un prodotto o un servizio - Un controllo di sicurezza NON è “fai uno scan della rete e spegni qualche servizio...” La sicurezza è un processo
  • 3. La sicurezza informatica è - “Posso ancora lavorare produttivamente senza pensare ai problemi di sicurezza”? - efficace come “l'annello più debole” della catena - la gestione del rischio per computer e personale - “Chi può avere accesso fisicamente ai server, ai backup o ai pc?” - 24x7x365... sempre - fare tutto quello quello che si può, senza incidere (troppo...) su produttività e budget La sicurezza è un processo
  • 4. Alcune considerazioni La sicurezza informatica si deve occupare di: 1. accesso fisico 2. autenticazione e autorizzazione 3. server e client 4. servizi e applicazioni 5. reti 6. confidenzialità e integrità 7. disponibilità
  • 5. 1. Accesso fisico Fa parte della sicurezza passiva. Esempi: - protezione dei locali - porte blindate - identificazione del personale
  • 6. 2. Autenticazione e autorizzazione Consistono nella verifica dell'identità e delle credenziali di un utente (un programma o un computer) e nell'esame dei privilegi di accesso a determinate risorse che gli sono stati concessi.
  • 7. 2. Autenticazione e autorizzazione Alcuni tool: - OpenLDAP, Fedora Directory Server - FreeRadius, GNU Radius
  • 8. 3. Server e client Nella scelta e nell'implementazione di una struttura informatica è vitale la corretta selezione dei sistemi operativi di server e client. Il mercato client è per oltre il 90% rappresentato da Windows, mentre in ambito server questo sistema è presente sul 52% delle macchine.
  • 9. 3. Server e client I virus, i worm e gli spyware “in the wild” sono quindi studiati per attaccare questo tipo di sistemi. Linux sui desktop e sui server è quindi una scelta fattibile sia per le funzionalità che per il positivo impatto sulla sicurezza, visto che non è in grado di eseguire questi “codici maligni”.
  • 10. 4. Servizi e applicazioni Come per i sistemi operativi, è importante selezionare accuratamente i software applicativi o utilizzati per erogare servizi. Sono inoltre necessari continui update, verifiche della presenza di vulnerabilità nei server “esposti”, controlli sulla bontà delle password, etc etc
  • 11. 4. Servizi e applicazioni Alcuni tool: - chroot (creazione di “gabbie” per servizi) - servizi senza privilegi elevati - apt, yum, urpmi (aggiornamenti s.o.) - Nessus (ricerca vulnerabilità) - Snort (rilevazione tentativi di intrusione) - John the Ripper (password cracker)
  • 12. 5. Reti Messi in sicurezza locali, server e servizi, dobbiamo assicurarci che le nostre reti (anche a basso livello) offrano lo stesso livello di sicurezza dei livelli più elevati. Alcuni tool: - Wireshark, tcpdump (sniffing) - Kismet (wireless sniffer) - Nmap (lista servizi, identificazione s.o.) - Nedi (discovery apparati)
  • 13. 6. Confidenzialità e integrità Tutta la struttura è in sicurezza. Ma i dati, le mail, l'accesso ai server come vengono protetti? Dobbiamo avere un sistema la che garantisca la confidenzialità (una terza parte che entri in possesso delle informazioni scambiate tra mittente e destinatario non è in grado di ricavarne alcun contenuto informativo intelligibile).
  • 14. 6. Confidenzialità e integrità Il sistema deve garantire l'integrità, cioè protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni.
  • 15. 6. Confidenzialità e integrità La confidenzialità e l'integrità di dati e programmi si ottengono in fasi e modi differenti, dalla protezione delle comunicazioni alla criptazione dei dati in transito su canali intrinsecamente insicuri (come Internet).
  • 16. 6. Confidenzialità e integrità Alcuni tool: - SSL/TLS e ssh (connessioni sicure) - VPN (tunnel criptati su canali insicuri) - GnuPG (criptazione dati e mail) - Tripwire (verifica integrità programmi)
  • 17. 7. Disponibilità Con il termine disponibilità si intende la prevenzione della non accessibilità, ai legittimi utilizzatori, sia delle informazioni che delle risorse, quando informazioni e risorse servono. Il concetto quindi, oltre che riguardare dati ed informazioni, è esteso a tutte le possibili risorse che costituiscono un sistema informatico, come, ad esempio, la banda di trasmissione di un collegamento, la capacità di calcolo di un elaboratore, lo spazio utile di memorizzazione dati, ecc.
  • 18. 7. Disponibilità Anche la disponibilità dei dati e della banda si ottiene in fasi e modi differenti, dalla protezione fisica dei locali, alla corretta gestione di server, supporti e strategie di backup fino alla realizzazione di sistemi di cluster e sistemi completamente ridondati.
  • 19. 7. Disponibilità Alcuni tool: - RAID (per la protezione dello storage) - LinuxHA (alta disponibilità) - LVS (Linux Virtual Server) - RedHat Cluster Suite