Modulo I

(a cura di G. Ianni)
Nel primo modulo, dopo aver discusso le problematiche generali relative alla sicurezza delle reti e dei sistemi informatici, viene ripreso in esame lo stack ISO/OSI (con particolare riferimento allo stack TCP/IP), discutendo i problemi di sicurezza e riservatezza su ciascun livello.

• Concetto di autenticità e riservatezza
• Richiami di crittografia a chiave asimmetrica e chiave simmetrica.
• Richiami alle principali modalità di intrusione e contraffazione: MAC/IP Spoofing, DNS spoofing.
• Sniffing, man-in-the-middle. Attacchi DOS.
• Sicurezza a livello di rete - protocollo IPsec. Protocollo DNSSec. Proxy servers, NAT.
• Sicurezza a livello di trasporto - protocollo SSL, Virtual Private Networks.
• Sicurezza a livello applicazione - HTTPS, POP3/IMAP/SMTP over SSL.
• Virus Informatici: Modalità di propagazione, allegati non sicuri, falle di sicurezza, buffer overflow, trojans, javascript, controlli activeX, modifica di entry point in codice binario.
• Tipologie di payload: keyloggers, dialers, web server spoofing, spyware.
• Social engineering, SQL injection e defacing.

Modulo II

(a cura di M. Cannataro)
Obiettivo del modulo è di introdurre gli aspetti avanzati delle reti di calcolatori, come architetture ed applicazioni del World Wide Web, e i sistemi di garanzia della sicurezza e affidabilità della Rete. In particolare, vengono descritte metodologie e tecniche per il progetto e l’implementazione di applicazioni basate su web. Vengono inoltre studiate le principali richieste delle moderne applicazioni in termini di sicurezza sulle reti.

Lezioni: Parte I - Internet e Sicurezza

• Cenni agli algoritmi a chiave simmetrica: DES, 3DES, AES.
• Cenni agli algoritmi a chiave asimmetrica RSA
• Certificati digitali: cenni alle implicazioni legali, autorità di certificazione.
• Funzioni MAC (Message Authentication Code) e Hash
• Cenni ai principali algoritmi MAC e Hash.
• Firma digitale, Firma di un documento
• Metodologie di autenticazione: RADIUS, Kerberos.

Parte II - Service Oriented Architetture

• Modelli e tecnologie dei Web Services (WSDL, SOAP, UDDI)
• Ambienti per lo sviluppo di Web Services (Apache AXIS e gSOAP)

Laboratorio

• Installazione e messa in opera di un server Apache/Tomcat sicuro
• Installazione e messa in opera di una Certification Authority
• Generazione coppia chiavi pubblica/privata
• Richiesta, Firma e Installazione di certificati digitali
• Installazione ambiente Apache Axis ed utilizzo certificati digitali
• Sviluppo di web services e web services sicuri
• Principali tipologie di attacco ad host e networks e relative difese
• XML Encryption

LIBRI DI TESTO SLIDES: http://staff.icar.cnr.it/cannataro/unical/RSI/