SlideShare a Scribd company logo

Open Security

Francesco Taurino, profile picture
Francesco Taurino

Il documento tratta della sicurezza informatica, sottolineando che non è un semplice prodotto ma un processo continuo. Viene evidenziato l'importanza di gestire il rischio legato all'accesso fisico, autenticazione, server e applicazioni, reti, riservatezza, integrità e disponibilità. Inoltre, viene presentata una serie di strumenti open source utili per migliorare la sicurezza in diverse aree.

Technology
1 of 19
Downloaded 14 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Open security La sicurezza informatica con programmi open source Francesco M. Taurino LinuxDAY 2006 - Caserta
Sicurezza informatica - La sicurezza NON è installare un firewall - La sicurezza NON è un prodotto o un servizio - Un controllo di sicurezza NON è “fai uno scan della rete e spegni qualche servizio...” La sicurezza è un processo
La sicurezza informatica è - “Posso ancora lavorare produttivamente senza pensare ai problemi di sicurezza”? - efficace come “l'annello più debole” della catena - la gestione del rischio per computer e personale - “Chi può avere accesso fisicamente ai server, ai backup o ai pc?” - 24x7x365... sempre - fare tutto quello quello che si può, senza incidere (troppo...) su produttività e budget La sicurezza è un processo
Alcune considerazioni La sicurezza informatica si deve occupare di: 1. accesso fisico 2. autenticazione e autorizzazione 3. server e client 4. servizi e applicazioni 5. reti 6. confidenzialità e integrità 7. disponibilità
1. Accesso fisico Fa parte della sicurezza passiva. Esempi: - protezione dei locali - porte blindate - identificazione del personale
2. Autenticazione e autorizzazione Consistono nella verifica dell'identità e delle credenziali di un utente (un programma o un computer) e nell'esame dei privilegi di accesso a determinate risorse che gli sono stati concessi.
2. Autenticazione e autorizzazione Alcuni tool: - OpenLDAP, Fedora Directory Server - FreeRadius, GNU Radius
3. Server e client Nella scelta e nell'implementazione di una struttura informatica è vitale la corretta selezione dei sistemi operativi di server e client. Il mercato client è per oltre il 90% rappresentato da Windows, mentre in ambito server questo sistema è presente sul 52% delle macchine.
3. Server e client I virus, i worm e gli spyware “in the wild” sono quindi studiati per attaccare questo tipo di sistemi. Linux sui desktop e sui server è quindi una scelta fattibile sia per le funzionalità che per il positivo impatto sulla sicurezza, visto che non è in grado di eseguire questi “codici maligni”.
4. Servizi e applicazioni Come per i sistemi operativi, è importante selezionare accuratamente i software applicativi o utilizzati per erogare servizi. Sono inoltre necessari continui update, verifiche della presenza di vulnerabilità nei server “esposti”, controlli sulla bontà delle password, etc etc
4. Servizi e applicazioni Alcuni tool: - chroot (creazione di “gabbie” per servizi) - servizi senza privilegi elevati - apt, yum, urpmi (aggiornamenti s.o.) - Nessus (ricerca vulnerabilità) - Snort (rilevazione tentativi di intrusione) - John the Ripper (password cracker)
5. Reti Messi in sicurezza locali, server e servizi, dobbiamo assicurarci che le nostre reti (anche a basso livello) offrano lo stesso livello di sicurezza dei livelli più elevati. Alcuni tool: - Wireshark, tcpdump (sniffing) - Kismet (wireless sniffer) - Nmap (lista servizi, identificazione s.o.) - Nedi (discovery apparati)
6. Confidenzialità e integrità Tutta la struttura è in sicurezza. Ma i dati, le mail, l'accesso ai server come vengono protetti? Dobbiamo avere un sistema la che garantisca la confidenzialità (una terza parte che entri in possesso delle informazioni scambiate tra mittente e destinatario non è in grado di ricavarne alcun contenuto informativo intelligibile).
6. Confidenzialità e integrità Il sistema deve garantire l'integrità, cioè protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni.
6. Confidenzialità e integrità La confidenzialità e l'integrità di dati e programmi si ottengono in fasi e modi differenti, dalla protezione delle comunicazioni alla criptazione dei dati in transito su canali intrinsecamente insicuri (come Internet).
6. Confidenzialità e integrità Alcuni tool: - SSL/TLS e ssh (connessioni sicure) - VPN (tunnel criptati su canali insicuri) - GnuPG (criptazione dati e mail) - Tripwire (verifica integrità programmi)
7. Disponibilità Con il termine disponibilità si intende la prevenzione della non accessibilità, ai legittimi utilizzatori, sia delle informazioni che delle risorse, quando informazioni e risorse servono. Il concetto quindi, oltre che riguardare dati ed informazioni, è esteso a tutte le possibili risorse che costituiscono un sistema informatico, come, ad esempio, la banda di trasmissione di un collegamento, la capacità di calcolo di un elaboratore, lo spazio utile di memorizzazione dati, ecc.
7. Disponibilità Anche la disponibilità dei dati e della banda si ottiene in fasi e modi differenti, dalla protezione fisica dei locali, alla corretta gestione di server, supporti e strategie di backup fino alla realizzazione di sistemi di cluster e sistemi completamente ridondati.
7. Disponibilità Alcuni tool: - RAID (per la protezione dello storage) - LinuxHA (alta disponibilità) - LVS (Linux Virtual Server) - RedHat Cluster Suite

More Related Content

PDF
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
ciii_inginf
 
PDF
Cybersecurity ed attacchi hacker (2)
Patrick1201
 
PPTX
Presentazione corso sicurezza informatica Vicenza Software
Piero Sbressa
 
PPT
Sesta parte sicurezza_in_rete
Zilli Emilio
 
PPT
BYTE Engineering Services presentation
Dino Fornaciari
 
PDF
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
gmorelli78
 
PPTX
Cloud Computing fondamenti di sicurezza
Mario Gentili
 
PDF
Introduzione alla sicurezza informatica
Enrico La Sala
 
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
ciii_inginf
 
Cybersecurity ed attacchi hacker (2)
Patrick1201
 
Presentazione corso sicurezza informatica Vicenza Software
Piero Sbressa
 
Sesta parte sicurezza_in_rete
Zilli Emilio
 
BYTE Engineering Services presentation
Dino Fornaciari
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
gmorelli78
 
Cloud Computing fondamenti di sicurezza
Mario Gentili
 
Introduzione alla sicurezza informatica
Enrico La Sala
 

What's hot (16)

PPT
Cosa Vuol Dire Sicurezza Informatica
gpopolo
 
PPT
Addestramento PCI 2011
mircobova
 
ODP
La sicurezza informatica nello studio legale
jekil
 
PDF
Sicurezza negli ambienti virtualizzati
Marco Vanino
 
PDF
Fondamenti di Sicurezza Informatica
Daniele Landro
 
PDF
Syllabus it security
Pietro Latino
 
PDF
Network Security
Real Comm
 
PPTX
Crittografia
chiaracirone
 
PPTX
Sicurezza informatica
FedericaPaolini3
 
PDF
[Darnet][[ditedi] over layer 7 firewalling - part 2
Dario Tion
 
ODP
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
PDF
Nuova ECDL - Modulo 5 - IT Security
Nino Lopez
 
PDF
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Giulio Coraggio
 
PDF
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
 
PPT
Corso privacy unità 5
Confimpresa
 
PPT
Corso privacy unità 4
Confimpresa
 
Cosa Vuol Dire Sicurezza Informatica
gpopolo
 
Addestramento PCI 2011
mircobova
 
La sicurezza informatica nello studio legale
jekil
 
Sicurezza negli ambienti virtualizzati
Marco Vanino
 
Fondamenti di Sicurezza Informatica
Daniele Landro
 
Syllabus it security
Pietro Latino
 
Network Security
Real Comm
 
Crittografia
chiaracirone
 
Sicurezza informatica
FedericaPaolini3
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
Dario Tion
 
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
Nuova ECDL - Modulo 5 - IT Security
Nino Lopez
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Giulio Coraggio
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
 
Corso privacy unità 5
Confimpresa
 
Corso privacy unità 4
Confimpresa
 
Ad

Viewers also liked (16)

PDF
Sicurezza informatica personale e protezione della privacy
Maurizio Graffio Mazzoneschi
 
PPT
Buone abitudini di sicurezza informatica
Qabiria
 
PPT
Odissea open data per la pa
@CULT Srl
 
PPSX
Informatica di base
Francesco Zoino
 
PPT
Informatica di base
Bruno Montalto
 
PDF
Sicurezza Informatica: Strumenti o Persone?
Natascia Edera
 
PPT
Concetti base di informatica
Gianni Locatelli
 
PDF
Informatica base1
Andreina Concas
 
PPTX
Alfabetizzazione informatica 8 ore
Bruno Marzemin
 
PDF
La struttura del pc
Erasmo Modica
 
PPT
Corso di informatica di base lezione 1 - conoscere il pc
Enrico Mori
 
PPTX
3.9 esercitazione in classe con esperto
A Scuola di OpenCoesione
 
PPTX
3.8 Data Visualization Tools - Slide - ASOC1617
A Scuola di OpenCoesione
 
ODP
Sicurezza Informatica
Mario Varini
 
PPT
Concetti Di Base Di Informatica
Francesco Caliulo
 
PDF
Introduzione alla sicurezza informatica e giuridica
Council of Europe
 
Sicurezza informatica personale e protezione della privacy
Maurizio Graffio Mazzoneschi
 
Buone abitudini di sicurezza informatica
Qabiria
 
Odissea open data per la pa
@CULT Srl
 
Informatica di base
Francesco Zoino
 
Informatica di base
Bruno Montalto
 
Sicurezza Informatica: Strumenti o Persone?
Natascia Edera
 
Concetti base di informatica
Gianni Locatelli
 
Informatica base1
Andreina Concas
 
Alfabetizzazione informatica 8 ore
Bruno Marzemin
 
La struttura del pc
Erasmo Modica
 
Corso di informatica di base lezione 1 - conoscere il pc
Enrico Mori
 
3.9 esercitazione in classe con esperto
A Scuola di OpenCoesione
 
3.8 Data Visualization Tools - Slide - ASOC1617
A Scuola di OpenCoesione
 
Sicurezza Informatica
Mario Varini
 
Concetti Di Base Di Informatica
Francesco Caliulo
 
Introduzione alla sicurezza informatica e giuridica
Council of Europe
 
Ad

Similar to Open Security (20)

PPT
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
PDF
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
PDF
pfSense: Firewall e sicurezza delle reti
vittoriomz
 
PPTX
Sicurezza Informatica 24 Settembre 2010
Massimo Chirivì
 
PDF
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
PPTX
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
PPSX
Firewall, Antispam e ipmonitor
laisit
 
PPT
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
PDF
Sicurezza Informatica Evento AITA Genova
uninfoit
 
PPTX
Misure minime di sicurezza ICT
Mirko Labbri
 
PDF
Smau 2017. Linee guida per la messa in sicurezza di un server web
Register.it
 
PPS
Safe check up - Firmware_aggiornamento - 22feb2012
M.Ela International Srl
 
PDF
Seminario di informatica 2
Andrea Barilli
 
PDF
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Vincenzo Calabrò
 
PPTX
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
PDF
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
Francesco Taurino
 
PDF
Security Awareness in ambito scolastico
Giampaolo Franco
 
PDF
Introduzione alla Sicurezza Informatica
Vincenzo Calabrò
 
PPTX
Managed Security Services vs In house management
Pierluigi Sartori
 
PPTX
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Luca_Moroni
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
pfSense: Firewall e sicurezza delle reti
vittoriomz
 
Sicurezza Informatica 24 Settembre 2010
Massimo Chirivì
 
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
Firewall, Antispam e ipmonitor
laisit
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
Sicurezza Informatica Evento AITA Genova
uninfoit
 
Misure minime di sicurezza ICT
Mirko Labbri
 
Smau 2017. Linee guida per la messa in sicurezza di un server web
Register.it
 
Safe check up - Firmware_aggiornamento - 22feb2012
M.Ela International Srl
 
Seminario di informatica 2
Andrea Barilli
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Vincenzo Calabrò
 
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
Francesco Taurino
 
Security Awareness in ambito scolastico
Giampaolo Franco
 
Introduzione alla Sicurezza Informatica
Vincenzo Calabrò
 
Managed Security Services vs In house management
Pierluigi Sartori
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Luca_Moroni
 

More from Francesco Taurino (20)

ODP
La mia nuvola in azienda o a casa
Francesco Taurino
 
PDF
Da 0 all'open per PA e PMI
Francesco Taurino
 
PDF
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco Taurino
 
PDF
ClearOS - Linux Small Business Server
Francesco Taurino
 
PPT
Design and implementation of a reliable and cost-effective cloud computing in...
Francesco Taurino
 
PDF
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Francesco Taurino
 
PDF
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Francesco Taurino
 
PDF
Open Source
Francesco Taurino
 
PDF
Applicazioni open source
Francesco Taurino
 
PDF
Una rete aziendale con Linux
Francesco Taurino
 
PDF
Linux
Francesco Taurino
 
PDF
AAI
Francesco Taurino
 
PDF
Xen e OpenVirtuozzo
Francesco Taurino
 
PDF
AAI Nazionale
Francesco Taurino
 
PDF
AAI Locale
Francesco Taurino
 
PDF
Back to Mainframe
Francesco Taurino
 
PPT
NetDisco
Francesco Taurino
 
PPT
Unattended
Francesco Taurino
 
PDF
Jabber
Francesco Taurino
 
PDF
APT per RPM
Francesco Taurino
 
La mia nuvola in azienda o a casa
Francesco Taurino
 
Da 0 all'open per PA e PMI
Francesco Taurino
 
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco Taurino
 
ClearOS - Linux Small Business Server
Francesco Taurino
 
Design and implementation of a reliable and cost-effective cloud computing in...
Francesco Taurino
 
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Francesco Taurino
 
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Francesco Taurino
 
Open Source
Francesco Taurino
 
Applicazioni open source
Francesco Taurino
 
Una rete aziendale con Linux
Francesco Taurino
 
Linux
Francesco Taurino
 
AAI
Francesco Taurino
 
Xen e OpenVirtuozzo
Francesco Taurino
 
AAI Nazionale
Francesco Taurino
 
AAI Locale
Francesco Taurino
 
Back to Mainframe
Francesco Taurino
 
NetDisco
Francesco Taurino
 
Unattended
Francesco Taurino
 
Jabber
Francesco Taurino
 
APT per RPM
Francesco Taurino
 

Open Security

  • 1. Open security La sicurezza informatica con programmi open source Francesco M. Taurino LinuxDAY 2006 - Caserta
  • 2. Sicurezza informatica - La sicurezza NON è installare un firewall - La sicurezza NON è un prodotto o un servizio - Un controllo di sicurezza NON è “fai uno scan della rete e spegni qualche servizio...” La sicurezza è un processo
  • 3. La sicurezza informatica è - “Posso ancora lavorare produttivamente senza pensare ai problemi di sicurezza”? - efficace come “l'annello più debole” della catena - la gestione del rischio per computer e personale - “Chi può avere accesso fisicamente ai server, ai backup o ai pc?” - 24x7x365... sempre - fare tutto quello quello che si può, senza incidere (troppo...) su produttività e budget La sicurezza è un processo
  • 4. Alcune considerazioni La sicurezza informatica si deve occupare di: 1. accesso fisico 2. autenticazione e autorizzazione 3. server e client 4. servizi e applicazioni 5. reti 6. confidenzialità e integrità 7. disponibilità
  • 5. 1. Accesso fisico Fa parte della sicurezza passiva. Esempi: - protezione dei locali - porte blindate - identificazione del personale
  • 6. 2. Autenticazione e autorizzazione Consistono nella verifica dell'identità e delle credenziali di un utente (un programma o un computer) e nell'esame dei privilegi di accesso a determinate risorse che gli sono stati concessi.
  • 7. 2. Autenticazione e autorizzazione Alcuni tool: - OpenLDAP, Fedora Directory Server - FreeRadius, GNU Radius
  • 8. 3. Server e client Nella scelta e nell'implementazione di una struttura informatica è vitale la corretta selezione dei sistemi operativi di server e client. Il mercato client è per oltre il 90% rappresentato da Windows, mentre in ambito server questo sistema è presente sul 52% delle macchine.
  • 9. 3. Server e client I virus, i worm e gli spyware “in the wild” sono quindi studiati per attaccare questo tipo di sistemi. Linux sui desktop e sui server è quindi una scelta fattibile sia per le funzionalità che per il positivo impatto sulla sicurezza, visto che non è in grado di eseguire questi “codici maligni”.
  • 10. 4. Servizi e applicazioni Come per i sistemi operativi, è importante selezionare accuratamente i software applicativi o utilizzati per erogare servizi. Sono inoltre necessari continui update, verifiche della presenza di vulnerabilità nei server “esposti”, controlli sulla bontà delle password, etc etc
  • 11. 4. Servizi e applicazioni Alcuni tool: - chroot (creazione di “gabbie” per servizi) - servizi senza privilegi elevati - apt, yum, urpmi (aggiornamenti s.o.) - Nessus (ricerca vulnerabilità) - Snort (rilevazione tentativi di intrusione) - John the Ripper (password cracker)
  • 12. 5. Reti Messi in sicurezza locali, server e servizi, dobbiamo assicurarci che le nostre reti (anche a basso livello) offrano lo stesso livello di sicurezza dei livelli più elevati. Alcuni tool: - Wireshark, tcpdump (sniffing) - Kismet (wireless sniffer) - Nmap (lista servizi, identificazione s.o.) - Nedi (discovery apparati)
  • 13. 6. Confidenzialità e integrità Tutta la struttura è in sicurezza. Ma i dati, le mail, l'accesso ai server come vengono protetti? Dobbiamo avere un sistema la che garantisca la confidenzialità (una terza parte che entri in possesso delle informazioni scambiate tra mittente e destinatario non è in grado di ricavarne alcun contenuto informativo intelligibile).
  • 14. 6. Confidenzialità e integrità Il sistema deve garantire l'integrità, cioè protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni.
  • 15. 6. Confidenzialità e integrità La confidenzialità e l'integrità di dati e programmi si ottengono in fasi e modi differenti, dalla protezione delle comunicazioni alla criptazione dei dati in transito su canali intrinsecamente insicuri (come Internet).
  • 16. 6. Confidenzialità e integrità Alcuni tool: - SSL/TLS e ssh (connessioni sicure) - VPN (tunnel criptati su canali insicuri) - GnuPG (criptazione dati e mail) - Tripwire (verifica integrità programmi)
  • 17. 7. Disponibilità Con il termine disponibilità si intende la prevenzione della non accessibilità, ai legittimi utilizzatori, sia delle informazioni che delle risorse, quando informazioni e risorse servono. Il concetto quindi, oltre che riguardare dati ed informazioni, è esteso a tutte le possibili risorse che costituiscono un sistema informatico, come, ad esempio, la banda di trasmissione di un collegamento, la capacità di calcolo di un elaboratore, lo spazio utile di memorizzazione dati, ecc.
  • 18. 7. Disponibilità Anche la disponibilità dei dati e della banda si ottiene in fasi e modi differenti, dalla protezione fisica dei locali, alla corretta gestione di server, supporti e strategie di backup fino alla realizzazione di sistemi di cluster e sistemi completamente ridondati.
  • 19. 7. Disponibilità Alcuni tool: - RAID (per la protezione dello storage) - LinuxHA (alta disponibilità) - LVS (Linux Virtual Server) - RedHat Cluster Suite