Sommario /

Servizi certificati

VPN

MS Internet Information Services

Strumenti per la sicurezza

Sicurezza MS Windows

Lo sviluppo esponenziale dei sistemi interconnessi ad Internet e la conseguente diffusione del servizio web hanno sempre più evidenziato quanto la sicurezza sia fondamentale e quanto, al contrario, questa sia stata, nel corso del tempo, sottovalutata.

Frasi del tipo "Security issues are not discussed in this memo" sono comuni all'interno delle RFC e manifestano quanto il problema non sia stato preso in considerazione sin dalle fasi progettuali e quanto, allo stesso tempo, la necessità di apertura dei sistemi in generale e dei servizi in particolare abbia, involontariamente, falsato quelle che erano le possibili linee guida da seguire.

Chiaramente, inserire questa logica in quello che è il costante sviluppo delle tecnologie non ha fatto altro che rendere la realtà sempre più eterogenea, di difficile gestione e di improbabile aggiornamento.

A tutto questo bisogna necessariamente aggiungere alcuni elementi quali l'odierna diffusione planetaria dei punti di accesso, la facilità di reperimento di informazioni e la semplificazione di strumenti prima riservati ad una ristretta cerchia di persone.

Di conseguenza, l'aspetto evidente è che le notizie riguardanti gli attacchi distribuiti di negazione del servizio ed i siti web alterati sono all'ordine del giorno ed il loro numero è in costante crescita, tanto che attrition.org, uno dei siti che per primi si sono occupati dell'argomento, gestendo un archivio locale delle pagine alterate, nella primavera del 2001, per motivi organizzativi,  è stato costretto ad ammettere che "...  the mirror will no longer be maintained. We've served our time."

Cosa fare di fronte a tutto questo?

Sicuramente fra i vari strumenti a nostra disposizione la formazione rappresenta un ottimo punto di partenza.

Ecco quindi l'obiettivo del corso: fornire una base teorica e le nozioni per utilizzare gli strumenti necessari per progettare ed implementare un'infrastruttura di sicurezza all'interno di una rete basata sui sistemi operativi Microsoft Windows (server e workstation).

Gli argomenti trattati comprendono:

• Introduzione alla sicurezza informatica;
• Descrizione dei pricipali attacchi;
• Normativa in vigore;
• Gestione degli incidenti;
• Crittologia;
• Metodi di autenticazione;
• Servizio certificati;
• Instaurare dei canali di comunicazione sicuri;
• Metodi di aggressione;
• Rilevare le intrusioni;
• Caratteristiche di un sistema operativo sicuro;
• Politiche e modelli di sicurezza;
• Come rendere sicuro il sistema.
  
  Vista l'importanza ed i problemi derivanti dalla sua cattiva configurazione, ho preferito dedicare un'intera sezione a MS Internet Information Services (IIS), trattando in particolare i seguenti argomenti:
   
  • Storia, versioni e principali caratteristiche di IIS;
  • Installazione e configurazione dei servizi;
  • Secure Socket Layer (SSL);
  • Caratteristiche di sicurezza: strumenti di analisi e verifica.

Riferimenti

• Hobbes' Internet Timeline - http://www.zakon.org/robert/internet/timeline/
• RFC Editor - http://www.rfc-editor.org
• Attrition: Evolution - http://www.attrition.org/news/content/01-05-21.001.html
• Zone-H - http://www.zone-h.org/