Sicurezza dei sistemi informatici e delle reti
Anno Accademico 2008-2009
laurea magistrale ingegneria informatica (LMII 509), 2º anno, 5 cfu
sito dell'anno precedente
Docente: Maurizio Pizzonia - DIA stanza 225
Collabora al corso Bernardo Palazzi - DIA stanza 214
Orario di ricevimento studenti di entrambi: tutti i mercoledi' alle 17:30
Prerequisiti
- È importante conoscere gli argomenti relativi ai corsi di Reti I e Sistemi Operativi.
- È consigliato conoscere gli argomenti relativi ai corsi di Reti II ed Elementi di crittografia.
Periodi: primo dal 1/10/2008 al 12/11/2008, e secondo dal 1/12/2008 al 23/1/2008 (prova d'esame solo a fine corso)
Giorni delle lezioni e orario:
- dal 1/10/2008 al 12/12/2008 tutti i martedì e venerdì 11:30 - 13:00
- dal 1/12/2008 al 23/1/2008 tutti i lunedì e giovediì 15:45-17:15.
Aula: N3
Risultati dell'appello del 24 settembre 2009
Risultati.
La verbalizzazione avverà mercoledì 14 ottobre alle ore 17:30 nella stanza 225 del DIA. Gli studenti che non possono presentarsi in tali giorno DEVONO contattare il docente per posta elettronica.
Per ogni altro dubbio o richiesta di chiarimento contattare
il docente.
Mailing list degli avvisi relativi al corso.
Tutti gli studenti si devono iscrivere alla mailing list di avvisi tramite la quale potranno essere avvertiti tempestivamente di eventi relativi al corso e alle attività correlate (esami, ricevimento studenti, ecc).
http://list.dia.uniroma3.it/mailman/listinfo/ssir
L'archivio degli avvisi inviati alla mailing list e' disponibile on-line.
Solo il docente può inviare messaggi, gli studenti non possono postare messaggi alla mailing list.
Sintesi degli obiettivi del corso
Il corso intende fornire allo studente le competenze necessarie per
- comprendere e valutare problematiche di sicurezza informatica nell'ambito di realta' produttive,
- progettare sistemi informatici e reti con un certo livello di sicurezzza,
- gestire le attività legate alla sicurezza informatica anche in riferimento gli obblighi normativi italiani.
Materiale didattico
Materiale di studio.
- Slides proiettate a lezione e scaricabili da questo sito.
- David A. Wheeler,"Secure Programming for Linux and Unix HOWTO". On-line, part of the Linux Documentation Project.
- Oskar Andreasson,"Iptables Tutorial". On-line.
- C. Ellison, B. Schneier, "Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure", Computer Security Journal, v 16, n 1, 2000, pp. 1-7.
- Decreto Legislativo 30 giugno 2003, n. 196, "Codice in materia di protezione dei dati personali"
Testi di riferimento il cui acquisto non e' strettamente necessario.
- M. Bishop, "Computer Security: Art and Science", Addison-Weslesy.
- C. Kaufman, R. Perlman, M. Speciner, "Network Security: Private Comunication in a Public World (second edition)", Prentice Hall.
- C. Pfleeger, S. Pfleeger, "Sicurezza in informatica", Pearson - Prentice Hall.
- M. E. Russinovich, D. A. Solomon, "Microsoft Windows Internals, Fourth Edition", Microsoft Press.
Esami e valutazione
L'esame prevede una prova scritta e una tesina da svolgere durante il corso. Le tesine sono gestite da Bernardo Palazzi. I dettagli circa le tesine sono disponibili al seguente url http://www.dia.uniroma3.it/~palazzi/SSIR08/.
E' obbligatorio iscriversi alla prova scritta mediante il servizio di prenotazione on-line prenota.uniroma3.it
Programma delle Lezioni
Gli argomenti non linkati devono essere considerati provvisori.
- Introduzione al corso
- Introduzione alla sicurezza informatica e terminologia
- Vulnerabilità e minacce
- Vulnerabilità del software input fidato e non fidato, validazione dell'input. Vulnerabilità di applicazioni scritte in linguaggi interpretati, code injection.
- Attacchi di tipo buffer overflow. Exploitation: privilege excalation, intrusioni via rete tramite servizi aperti, intrusione via documenti non fidati (via email, via web o altro).
- Secure programming.
- Malaware e scocial engineering: virus, worm, trojan, rootkit, backdors, sniffer, spyware, adware, ecc. Script kiddies. Phishing e cross-site scripting.
- Vulnerabilità delle reti: sniffing, mac flood, ARP poisoning, vulnerabilità del DNS. TCP session hijecking, attacchi MitM, DOS e Distributed DoS, Route hijecking.
- esercizi su vulnerabilità
- Contromisure
- Principi di progettazione di politiche e meccanismi
- Modelli: AAA, confinamento, DAC, MAC, access control matrix,
- Sicurezza dei sistemi:
- Sicurezza delle reti:
- Tecniche crittografiche:
- richiami di crittografia (hash, simmetrica,
asimmetrica, MAC, firma digitale), attacchi birthday, rainbow, qualità delle chiavi, generazione di numeri pesudo-casuali.
- Protocolli di autenticazione e di scambio di chiavi. Attacchi replay e reflection. Nonces.
- Esercizi su protocolli di autenticazione e scambio di chiavi.
- Certificati, certification authority, public key infrastructure e loro vulnerabilità.
Applicazioni: Porotocolli ssl, tls, ssh, virtual private network, ipsec, pptp. Protocolli di autenticazione punto-punto PAP, CHAP, MS-CHAP, EAP. Autenticazione degli utenti in rete locale 802.1X, radius e vulnerabilità.
- Aspetti gestionali: pianificazione, progettazione e normativa.
- standard e certificazione: TCSEC, ITSEC, Common Criteria, ISO17799, ISO27001
- Pianificazione della sicurezza:
obblighi normativi relativi al Dlgs 196/2003 e il DPS, il piano di sicurezza aziendale (contenuti, vantaggi organizzativi, policy, stato attuale, analisi dei rischi, requisiti, contromisure, risposta agli incidenti, bussines continuity, disaster recovery).
- Esercizi su pianificazione, progetto e normativa (soluzioni).
Pagina del Collegio didattico di Ingegneria Informatica
Questa pagina è mantenuta da Maurizio Pizzonia.