Insegnamento - Università Roma Tre

SICUREZZA DEI SISTEMI INFORMATICI E DELLE RETI (obiettivi)

Codice

20801795

Lingua

ITA

Tipo di attestato

Attestato di profitto

Crediti

6

Settore scientifico disciplinare

ING-INF/05

Ore Aula

54

Attività formativa

Canale Unico

Docente	PIZZONIA MAURIZIO (programma) • INTRODUZIONE AL CORSO • INTRODUZIONE ALLA SICUREZZA INFORMATICA E TERMINOLOGIA • VULNERABILITÀ E MINACCE • VULNERABILITÀ DEL SOFTWARE INPUT FIDATO E NON FIDATO, VALIDAZIONE DELL'INPUT. VULNERABILITÀ DI APPLICAZIONI SCRITTE IN LINGUAGGI INTERPRETATI, CODE INJECTION. • ESEMPIO DI SITO VULNERABILE A SQL INJECTION • ATTACCHI DI TIPO BUFFER OVERFLOW. EXPLOITATION: PRIVILEGE EXCALATION, INTRUSIONI VIA RETE TRAMITE SERVIZI APERTI, INTRUSIONE VIA DOCUMENTI NON FIDATI (VIA EMAIL, VIA WEB O ALTRO). • ESEMPIO DI CODICE VULNERABILE A BUFFER OVERFLOW E RELATIVO EXPLOIT • SECURE PROGRAMMING. • MALAWARE E SCOCIAL ENGINEERING: VIRUS, WORM, TROJAN, ROOTKIT, BACKDORS, SNIFFER, SPYWARE, ADWARE, ECC. SCRIPT KIDDIES. PHISHING E CROSS-SITE SCRIPTING. • VULNERABILITÀ DELLE RETI: SNIFFING, MAC FLOOD, ARP POISONING, VULNERABILITÀ DEL DNS. TCP SESSION HIJECKING, ATTACCHI MITM, DOS E DISTRIBUTED DOS, ROUTE HIJECKING. • ESERCIZI SU VULNERABILITÀ • CONTROMISURE • PRINCIPI DI PROGETTAZIONE DI POLITICHE E MECCANISMI • MODELLI: AAA, CONFINAMENTO, DAC, MAC, ACCESS CONTROL MATRIX, • SICUREZZA DEI SISTEMI: • PRINCIPI GENERALI (PASSWORDS E VULNERABILITÀ, METODOLIGA DI HARDENING, ASSESSMENT E AUDITING) • UNIX (CONTROLLO DI ACCESSO DISCREZIONARIO, SICUREZZA NEL FILESYSTEM, AUTENTICAZIONE, PAM, HARDENING, SYSLOG) • CONFINAMENTO IN SISTEMI DAC (JAILING E VIRTUALIZZAZIONE), SELINUX • WINDOWS: NTFS • SICUREZZA DEI SISTEMI RFID • ESERCIZI SU ACCESS CONTROL E SICUREZZA DI SISTEMA. • SICUREZZA DELLE RETI: • SICUREZZA A LIVELLO 1 E 2, FIREWALL STATELESS E STATEFULL, LINUX NETFILTER ED ESEMPI DI CONFIGURAZIONI, PROXY E LORO VULNERABILITÀ. SUDDIVISIONI DI CARICO E FULL HIGH-AVAILABILITY. INTRUSION DETECTION SYSTEMS DI RETE. • ESERCIZI SULLA SICUREZZA DELLE RETI. • TECNICHE CRITTOGRAFICHE: • RICHIAMI DI CRITTOGRAFIA (HASH, SIMMETRICA, ASIMMETRICA, MAC, FIRMA DIGITALE), ATTACCHI BIRTHDAY, RAINBOW, QUALITÀ DELLE CHIAVI, GENERAZIONE DI NUMERI PESUDO-CASUALI. • PROTOCOLLI DI AUTENTICAZIONE E DI SCAMBIO DI CHIAVI. ATTACCHI REPLAY E REFLECTION. NONCES. • ESERCIZI SU PROTOCOLLI DI AUTENTICAZIONE E SCAMBIO DI CHIAVI. • CERTIFICATI, CERTIFICATION AUTHORITY, PUBLIC KEY INFRASTRUCTURE E LORO VULNERABILITÀ. APPLICAZIONI: POROTOCOLLI SSL, TLS, SSH, VIRTUAL PRIVATE NETWORK, IPSEC, PPTP. PROTOCOLLI DI AUTENTICAZIONE PUNTO-PUNTO PAP, CHAP, MS-CHAP, EAP. AUTENTICAZIONE DEGLI UTENTI IN RETE LOCALE 802.1X, RADIUS E VULNERABILITÀ. • ASPETTI GESTIONALI: PIANIFICAZIONE, PROGETTAZIONE E NORMATIVA. • STANDARD E CERTIFICAZIONE: TCSEC, ITSEC, COMMON CRITERIA, ISO17799, ISO27001 • PIANIFICAZIONE DELLA SICUREZZA: OBBLIGHI NORMATIVI RELATIVI AL DLGS 196/2003 E IL DPS, IL PIANO DI SICUREZZA AZIENDALE (CONTENUTI, VANTAGGI ORGANIZZATIVI, POLICY, STATO ATTUALE, ANALISI DEI RISCHI, REQUISITI, CONTROMISURE, RISPOSTA AGLI INCIDENTI, BUSSINES CONTINUITY, DISASTER RECOVERY). • ESERCIZI SU PIANIFICAZIONE, PROGETTO E NORMATIVA (SOLUZIONI). • ARGOMENTI SOLO PER GLI STUDENTI DELL'ORDINAMENTO DM270. • STRUTTURE DATI AUTENTICATE • SICUREZZA DI SISTEMA - WINDOWS (testi) MATERIALE FORNITO DAL DOCENTE. TESTI DI RIFERIMENTO • M. BISHOP, "COMPUTER SECURITY: ART AND SCIENCE", ADDISON-WESLESY. • C. KAUFMAN, R. PERLMAN, M. SPECINER, "NETWORK SECURITY: PRIVATE COMUNICATION IN A PUBLIC WORLD (SECOND EDITION)", PRENTICE HALL. • C. PFLEEGER, S. PFLEEGER, "SICUREZZA IN INFORMATICA", PEARSON - PRENTICE HALL. • M. E. RUSSINOVICH, D. A. SOLOMON, "MICROSOFT WINDOWS INTERNALS, FOURTH EDITION", MICROSOFT PRESS.
Date di inizio e termine delle attività didattiche	Dal al
Modalità di frequenza	Non obbligatoria