Protocolli e Sicurezza informatica corso completo (tutto ciò che serve per avere un 30 all'esame))

Protocolli e Sicurezza Informatica

• Introduzione alla Sicurezza: Definizioni, CIA Triad (confidentiality, integrity, availability). Approcci per rendere sicuro un sistema.
• Crittografia: Definizioni, cifrario di Cesare, cifrario monoalfabetico, cifrario playfair, cifrario polialfabetico, cifrario di Vigenère, struttura di Feistel, algoritmi crittografici simmetrica DES, AES, Modi di operare degli algoritmi di cifratura a blocchi (ECB, CBC, CFB, OFB, CTR). Fondamenti di teoria dei numeri per affrontare gli algoritmi, Algoritmi di crittografia asimmetrica (Diffie Hellman, RSA). Principi della crittografia a stream, algoritmo RC4. Funzioni di Hash, algoritmo SHA. Per ogni algoritmo vengono messi in evidenza i vari problemi ed attacchi.
• Protocolli: Protocollo SCTP (associazioni SCTP, multihoming ed indirizzi SCTP, segmento SCTP e chunk, problema del restart, controllo di congestione). Protocollo OAUTH, Protocollo SIP. Approfondimenti protocollo HTTP.
• Autenticazione: Controllo degli accessi, autenticazione Utente con password, smartcard, biometrica. Autenticazione Utente remota: protocollo password Exchange, challenge response authentication, CRA Asimmetrico, OTP, Time Based OTP. Autenticazione con http (Basic vs Digest). Protocollo di Needham-Schroeder, Kerberos. Autenticazione dei messaggi
• Autorizzazione: Access control matrix, mandatory access control, discretionary access control, role-based access control, attribute based access control. Meccanismi di access control: access control list, capability list. XACML (Teoria + esempio).
• Network Security: Sicurezza a livello di Trasporto: Protocollo SSL e Protocollo TLS. Distribuzione delle chiavi con la crittografia, con public announcement, public available directory, public key authority oppure public key certificate. Public key infrastructure. Sicurezza a livello di rete con IPsec. Distributed Hash Table DHT con diverse soluzioni (Pastry, Chord, CAN. Kademilia). Firewall. Approfondimenti sui sistemi di certificazione: common criteria ISO 14408, schema nazionale, certificazione e ciclo di vita del SW.
• Modello AVI: Definizioni Vulnerabilità, attacchi ed intrusion. Tecniche di Security testing. Vulnerability assessment: static vulnerability assessment (CVE, CWE, CAPEC della MITRE). Security Review. Dynamic vulnerability scanning. Penetration testing con esempio. Threat modeling e Risk Analysis.
• Tempo nei sistemi distribuiti di rete: definizioni, algoritmo banale di sincronizzazione del tempo, algoritmo di Christian, algoritmo di Berkley, protocollo NTP,

Parte 1 - Introduzione alla Sicurezza

La Sicurezza è un concetto molto vago, anche riguardo molti temi:

• Controllo degli accessi del sistema: prevedendo il problema di verifica di accesso al sistema e quali risorse è lecito divenire.
• Autenticazione.
• Autorizzazione.
• Analisi delle log degli utenti: composta da processione non ogni sistema tutte le informazioni e all'interno del sistema non tutte le informazioni sono necessarie, ma non devono diffondere ad altro sistema.
• Backup: composto da raccolta dai dati per recuperarli nel sistema crela.
• Disaster recovery: copertura dell'informazione in caso di disastri; oggi siamo sempre collegati nel contesto della copertura reganata.
• Amministrazione: anch'essa copertura ai livelli di mobili: amministrazione risorsa mentre spostamenti origine diversi.
• Amministrazione di sicurezza: l'informazione va garantita in modo coordinato.
• E molti altri...

Il Problema è che i termini toccati riguardano tanti contesti differenti, allora occorre restringere il contesto: diciamo che la Sicurezza opera in un contesto specifico determinato delle CIA Triad:

• Confidenzialità: confidenzialità consiste nel garantire che pagli accesso autorizzati forrino accesso alla risorse. La confidenzialità degli accessi è casi una categoria di questa fondamentale.
• Integrità: integrità consiste nel garantire che una risorsa non venga modificata, cioè non maggiore autorizzata; Disaster recovery e Backups rientrano in questa problematica.
• Avvalenza: Dumomabilità consiste nel garantire che una risorsa non sei dumomette in forma ampiamente e riconducere se altor che nuoca.

Le principali limitazioni a problema di sicurezza o 3 requisiti di fondo che garantiscono l'affidabilità del sistema, riconoscendo la security del sistema.

Concludendo: la sicurezza è un problema di cosa scritto e come tutto il contesto dell'costruzione, è agghiorne intorno in arantramenti e scopo studi di vasta principali.

• ciphertext: è il testo cifrato, indicato con c
• cipher: è l'algoritmo che permette di trasformare un plaintext in un ciphertext
• key: è la chiave, cioè l'informazione usata nei cifrari che determina la trasformazione del messaggio ed è necessaria
• encrypt: processo che trasforma un plaintext in un ciphertext, indica con E(.)
• decrypt: processo che trasforma un ciphertext in un plaintext, indica con D(.)

Vediamo alcuni esempi di crittosistemi a.c con il cifraggio class.

Cifrario di Cesare

Cambiare all’ora di Giulio Cesare e consiste nel sostituire ogni lettera con quella m-esima nell’alfabeto.

Se C = F allora plaintext =E e shift Modulo m = after

plaintext = C e ciphertext = E F H U W PH D W H

• punto debole: la chiave k può essere estrapolata subito, basta fare 26 prove con un altro

Cifrario Monosostitutivo

Consiste nello scambiare le lettere in modo arbitrario, quindi la chiave sarà una stringa di 26 lettere ognuna con 26 valori (26!).

• punto debole: gli sbagli umani, ridondanza, le lettere non hanno tutte lo stesso frequente, le lettere E-A-F-M sono in questo ordine comprate di F-R-I-N-E-I-S, mentre la successiva è r-I-N-F-R-A (queste sul linguaggio inglese).

Questo errore una delle frasi non alfabetiche fornite dal testo dell'alfabeto

• Alphabet: luogo note dal nomenclature plaintext dell'alfabeto Julius
• Alphabet: ottenuto dell'alfabeto unical enigma

• L’ organizzazione dello SCTP trasmette correttamente principalmente attraverso tre stati di arro no chiusi di connessione e di main e mezzo de mobile mentre nel SHUTDOWN - PENDING del decessivo ma e a meno connecc e apertivi in maniera mutuali (controlliuamo anche uno e altri mentre uno imancuochia e allo mura confusione mentre riceve le ragazze alcune prendi mostrano particolarmente
• Quando uno invia un messaggio di di ammenta a e meno fan in modo modo Nostro esempio spezzavano com sobare SHUTDOWN senz. A questa ale memmonia in conretto per ta rine iona per ofti Joa, one mortella in onervol capire un sport ai othern opi
• e, allrc non crea il monitor SHUTDOWN. A ripresa la monta siemme perdu memo una eara C vin immaglia e main SHUTDOWN_PENDING fa fare questa fro e per af mere sche fea cin bu maina e reau becieore que per farlo in motivi Se uneonda hia cra-
• Quando e ieva sending tura ricortero in moraven, monta il nose un messaggio su SHUTDOWN ACK mentre la rimplementiamo alternative a rete SHUTDOWN ACK SENT o se ace stupenza zo ne interaiain terra ricitura mamil o anche di ghi.
• se il e che ie railecato do SHUTDOWN SENT Floeria si messaggio di SHUTDOWN ACK e ad onise meno ritorno la pona alcove avano te analeame meno amai avre mutualeu requireano resper a arreio un aneao celtecojo estremo e mopersi menzi do SHUTDOWN_COMPLETE e o meno restri net CLOSED. In terre decedi tazio H & PE ritorno m interchangeable o chiuro.

Segmento SCTP

Pacotezzi resistano arma il e TU accetano dei modhati con Haydon non aenida e rzigneri. donue sono archuienza Epri ormor domala illora non segmenti di laumentatz futtur. Imnome SCTP e attra mitecraora fuoi modderete roorui nuei ricariari es extramabili grace al cancerte di chunk:

Segmenti SCTP:

• in TET el ledur orivamureri inom ehadsoni maebor smecmonifo point arin bonlaze il in SCTP nonmoni e c’il em commonjen ondro maozilizo ageitura et tinra itsarati e incont