1 / 66

GESTIONE UTENTI E ACCESSI

GESTIONE UTENTI E ACCESSI. Gestione utenti e accessi. Semantica dell’ utente Tipi di account Criteri per le password Forme di autenticazione Utenti e gruppi in Unix Utenti e gruppi in Windows Dominio e gruppo di lavoro Access control. Utenti Semantica dell’utente.

gaston
Télécharger la présentation

GESTIONE UTENTI E ACCESSI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. GESTIONE UTENTI E ACCESSI Burstnet Informatica

  2. Gestione utenti e accessi • Semantica dell’ utente • Tipi di account • Criteri per le password • Forme di autenticazione • Utenti e gruppi in Unix • Utenti e gruppi in Windows • Dominio e gruppo di lavoro • Access control Burstnet Informatica

  3. UtentiSemantica dell’utente • Un account utente consente di autenticarsi ai servizi di un sistema. • Generalmente fornisce la possibilità di essere autorizzati ad accedervi. • Tuttavia, l'autenticazione non comporta automaticamente l'autorizzazione. Burstnet Informatica

  4. UtentiSemantica dell’utente • I sistemi informatici sono suddivisi in due gruppi in base al tipo di utenti che hanno: • single-user systems: presentano un solo utentesenzadistinzionediprivilegi. • multi-user systems: piùutentipossonoaccedere al sistema con differentiprivilegi. • E’ richiestal’autenticazione. Burstnet Informatica

  5. UtentiTipi di account • L'account limitato: è destinato a persone alle quali dovrà essere vietato il cambiamento della maggior parte delle impostazioni del computer e l'eliminazione di file importanti. Un utente con un account limitato solitamente: • Non può installare software o hardware, ma può accedere ai programmi che sono già stati installati sul computer e per i quali gli è stato precedentemente concesso l’utilizzo. • Può modificare la propria password. • Non può cambiare il suo nome account o il tipo di account. Burstnet Informatica

  6. UtentiTipi di account • L'account amministratore del computer è destinato a chi può fare modifiche a livello di sistema sul computer, installare programmi e accedere a tutti i file sul computer. • Solo un utente con account amministratore del computer ha pieno accesso ad altri account utente sul computer. Burstnet Informatica

  7. UtentiTipi di account • L‘account amministratore può: • Creare,eliminare e modificare gli account utente sul computer. • Gestire le password degli altri account. • Modificare i nomi degli altri account, le password e tipi di account. • Modificare tutti i file presenti sul computer • Installare nuovo hardware. • In alcuni casi, l’unico utente che può spegnere il computer. Burstnet Informatica

  8. UtentiCriteri per le password • Quandoentrate in contatto con un serviziodi un computer (login, email, accesso web , etc.) doveteidentificarevoistessi e successivamenteautenticarequestaidentità al fine diprovare chi dichiaratediessere. • l’autenticazione è la base per eseguirel’autorizzazione Burstnet Informatica

  9. UtentiCriteri per le password • L’autenticazionedell’utenteavvieneattraversol’utilizzodiuno o piùdeiseguentimetodi: • In base a qualcosacheconoscetees. Password, Pin code ecc. • In base a qualcosacheavete ( ex hardware token, authenticationtoken, USB token, cryptographictoken) • In base a qualcosa che fate • Sfruttandoqualcosadivoi (biometrica) • In base a dove vi trovate Burstnet Informatica

  10. UtentiCriteri per le password • Problematiche: • Se qualcuno vi ruba e successivamente utilizza la vostra password è difficile provare la vostra innocenza. • La password può essere “indovinata”. • Spesso, le password sono banali e riconducibili a qualcosa di voi. • Qualcuno o “qualcosa” vi può osservare mentre digitate la password. • Un intruso può sbirciare mentre state digitando la password. • Esistono tecniche evolute per carpirvi le password come il “login spoofing” o lo “sniffing di rete” • Attacchi on-line o off-line sfruttando dictionary attack. Burstnet Informatica

  11. UtentiCriteri per le password Consigli: • Non lasciate mai password vuote o di default. • Sensibilizzate i vostri utenti all’utilizzo di password “forti” • Utilizzate Password minimo di 8 caratteri • Richiedete l’inserimento di caratteri non alfa numerici • Maiuscole & minuscole • Impostate una scadenza alle password • Provate a usare programmi di “cracking” per verificare le debolezze delle vostre password. • Per gliutentiremoti: è consigliabile l’ utilizzodi password “one-shot” oppuredialtrimetodi (ex certificatidigitali). Burstnet Informatica

  12. Utenti Login spoofing • Windows permette il login tramite la sequenza Ctrl-Alt-Del, questo serve per creare un canalefidatotravoicheutilizzate la tastiera e il kernel del sistema operativo. • Come poteteesseresicuriche Windows stagirandosullavostramacchina? Semplice fate reboot del computer. • Come poteteesseresicurichel’immagine del SistemaOperativoche è sulvostro disco siavermante Windows? Reinstallate Windows dalcd … Burstnet Informatica

  13. UtentiForme di autenticazione • Autenticazionebasatasuazioni: • Velocità con cui digitiamoitastisullatastiera • Velocità, accelerazione e pressionecheesercitiamomentrescriviamo • Biometrica • Luogo in cui vi trovate (potete utilizzare GPS, dati GSM Cell, ecc.). • Non textual password • Déjà Vu: A user study using images for authentication Burstnet Informatica

  14. Utenti e gruppi in Unix • L'amministrazione degli utenti è una parte critica per il mantenimento di un sistema sicuro. • Ripasso login/on. • Ogni utente dovrebbe avere un login univoco. • I nomi di login evitano il problema che un utente cancelli i file degli altri … • Account utente: root e normaluser. • Strumento sudo. Burstnet Informatica

  15. Utenti e gruppi in Unix • I sistemi Unix tradizionali mantengono le informazioni sugli account degli utenti, comprese le password criptate, in un file di testo chiamato "/etc/passwd". • Il file /etc/passwd è leggibile a tutti perchè contiene informazioni che vanno al di là della password Burstnet Informatica

  16. Utenti e gruppi in Unix • Composizione di un file /etc/passwd con shadow password: • smithj:x:561:561:Joe Smith:/home/smithj:/bin/bash • file "/etc/shadow" contiene la password e le informazioni sulla scadenza degli account degli utenti, e appare così: • smithj:Ep6mckrOLChF.:10063:0:99999:7::: Burstnet Informatica

  17. Utenti e gruppi in Unix Users on Linux systems are assigned to one or more groups for following reasons: • To share files or other resource with a small number of users • Ease of user management • Ease of user monitoring • Group membership is perfect solution for large Linux (UNIX) installation. • Group membership gives you or your user special access to files and directories or devices which are permitted to that group Burstnet Informatica

  18. Utenti e gruppi in Unix • Gli utenti possono essere raccolti dall’amministratore all’interno d’insiemi facenti capo a uno scopo o a un progetto, questi insiemi prendono il nome di gruppi. • Ogni gruppo, lavorerà sulla base delle funzioni e dei compiti assegnati ai diversi utenti da cui è composto e, non potrà interferire sul lavoro degli altri gruppi sempre che questo “privilegio” non gli sia accordato • Il file /etc/group definisce quali utenti appartengono ad un determinato gruppo • Esempio di un entry nel file /etc/group • cdrom:x:24:vivek,student13,raj Burstnet Informatica

  19. Utenti e gruppi in Unix • UID e GID • SETUID e SETGID • Sticky bit Burstnet Informatica

  20. Utenti e gruppi in Unix La rappresentazione ottale dei permessi consiste in un numero di quattro cifre in base otto (da 0 a 7). • Ai permessi di lettura, scrittura ed esecuzione sono assegnati dei numeri: • 4 – lettura • 2 – scrittura • 1 – esecuzione • Anche agli altri permessi viene assegnato un numero: • 4 – set user ID • 2 – set group ID • 1 – sticky Burstnet Informatica

  21. Utenti e gruppi in Unix • drwxrwxrwx - Segnala che il file è una directory • - rwxrwxrwx - Gli attributi marcati in rosso si riferiscono all'utente proprietario del file; • -rwxrwxrwx - Gli attributi marcati in rosso si riferiscono al gruppo di cui l'utente fa parte (se non è il proprietario del file, ma fa parte del gruppo di utenti assegnato al file); • -rwxrwxrwx - Gli attributi marcati in rosso si riferiscono a tutti gli altri utenti o gruppi che non sono quelli assegnati al file. Burstnet Informatica

  22. Utenti e gruppi in Unix • drwxr-xr-x indica una directory leggibile, scrivibile e attraversabile dal proprietario, leggibile e attraversabile per il gruppo e per gli altri. • drwx------ indica una directory leggibile, scrivibile e attraversabile dal proprietario, ma inaccessibile per tutti gli altri. • drwxrwxrwt indica una directory leggibile, scrivibile e attraversabile da tutti e con il permesso sticky. • -rw------- indica un file leggibile e scrivibile solo dal proprietario • -rw-r--r-- indica un file leggibile da tutti, ma scrivibile solo dal proprietario • -------r--indica un file leggibile da tutti eccetto il proprietario e gli utenti appartenenti al gruppo di utenti assegnato al file. • -r-sr-xr-x indica un file eseguibile leggibile ed eseguibile da tutti con anche il permesso speciale set user ID. • -r-Sr--r-- indica un file leggibile da tutti con anche il permesso speciale set user ID ma senza il permesso di esecuzione. • drwxrws--- indica una directory leggibile, scrivibile e attraversabile dal proprietario e dal gruppo di utenti assegnato alla directory, con anche il permesso speciale set group ID. Burstnet Informatica

  23. Utenti e gruppi in Unix • Comandi utili alla gestione degli utenti: • sudo adduserNOME_UTENTE • sudo deluserNOME_UTENTE • sudo chown -R root:root /home/NOME_UTENTE/ • Per bloccare o sbloccare temporaneamente l'account di un utente, utilizzare, rispettivamente, i seguenti comandi: • sudo passwd -l NOME_UTENTE • sudo passwd -u NOME_UTENTE • sudo addgroupNOME_GRUPPO • sudo delgroupNOME_GRUPPO • sudo adduserNOME_UTENTENOME_GRUPPO Burstnet Informatica

  24. Utenti e gruppi in Windows • Mediante Utenti e gruppi locali è possibile limitare la possibilità di utenti e gruppi di eseguire determinate operazioni tramite l'assegnazione di autorizzazioni e diritti. • Come in Unix anche in Windows abbiamo diverse tipologie di account: • Account utente: gli account dell'utente permettono di aprire una sessione sulla rete e di accedere alle risorse di rete. • Guest: permette agli utenti occasionali di aprire una sessione e accedere al computer locale. Di default è disattivo. • Amministratore: serve a gestire la configurazione globale dei computer e dei domini. Può effettuare tutti le operazioni sul computer o in rete. Burstnet Informatica

  25. Utenti e gruppi in Windows • Consigli utili: • Disattivate l'account guest eviterete così a chiunque di connettersi al vostro computer • Modificate il nome dell'account amministratore ridurrete il rischio di intrusione attraverso questo account utente. • Se il vostro attaccante conosce già il vostro nome utente possiede già metà delle informazioni per entrare nel vostro sistema. • qual è l’altra metà d’informazione? Burstnet Informatica

  26. Utenti e gruppi in Windows • Windows permette di gestire gli utenti per gruppo, cioè permette di definire degli insiemi di utenti che hanno lo stesso tipo di autorizzazioni classificandoli in categorie • I gruppi semplificano quindi l'amministrazione dato che è possibile attribuire delle autorizzazioni a più utenti con una singola operazione. Burstnet Informatica

  27. Utenti e gruppi in Windows • I gruppi locali: servono a dare agli utenti delle autorizzazioni di accesso ad una risorsa di rete. Servono anche a dare agli utenti dei diritti per eseguire delle azioni di sistema (es. salvare e recuperare dei file). • I gruppi globali: servono a organizzare gli account utenti di dominio. Servono soprattutto nelle reti a domini multipli, quando gli utenti di un dominio devono poter accedere alle risorse di un altro dominio. Burstnet Informatica

  28. Utenti e gruppi in Windows Gruppi predefiniti in Windows: • Administrators • DHCP Administrators • Guests • PowerUsers • User Burstnet Informatica

  29. Dominio e gruppo di lavoro Gruppo di lavoro: • Tutti i computer sono peer ( nodi equivalenti). Nessuno di essi ha il controllo sugli altri. • In ogni computer è configurato un insieme di account utente. Per accedere a uno dei computer nel gruppo di lavoro, è necessario disporre di un account in tale computer. • Sono ingenere presenti non più di venti computer. • Un gruppo di lavoro non è protetto tramite una password. • Tutti i computer devono trovarsi nella stessa rete locale o subnet. Burstnet Informatica

  30. Dominio e gruppo di lavoro Gruppo Home: • I computer presenti in una rete domestica possono appartenere a un gruppo denominato home. • Un gruppo home semplifica la condivisione di immagini, musica, video, documenti e stampanti con altri utenti in una rete domestica. • Un gruppo home viene protetto tramite una password, ma questa deve essere digitata solo una volta, ovvero durante l'aggiunta del computer al gruppo home. Burstnet Informatica

  31. Dominio e gruppo di lavoro Burstnet Informatica

  32. Dominio e gruppo di lavoro DOMINIO • Uno o più computer sono server. • Gli amministratori di rete utilizzano i server per controllare la sicurezza e le autorizzazioni per tutti i computer del dominio. • Questo semplifica l'esecuzione di modifiche in quanto le modifiche vengono eseguite automaticamente in tutti i computer. • Gli utenti di dominio devono specificare una password o altre credenziali ogni volta che accedono al dominio. Burstnet Informatica

  33. Dominio e gruppo di lavoro • Se si dispone di un account utente sul dominio, è possibile accedere a qualsiasi computer nel dominio senza un account specifico per tale computer. • È in genere possibile apportare solo modifiche limitate alle impostazioni di un computer, in quanto gli amministratori di rete spesso desiderano garantire la coerenza tra computer. • Un dominio può includere migliaia di computer. • I computer possono trovarsi in reti locali diverse. Burstnet Informatica

  34. Dominio e gruppo di lavoro Windows Domain ACTIVE DIRECTORY: • Directory • Servizio di directory • Active directory è un insieme di servizi di rete meglio noti come directory service adottati dai sistemi operativi Microsoft a partire da Windows 2000 Server. • Active Directory si fonda sui concetti di DOMINIO e di Directory che in inglese stanno a significare "elenco telefonico". Burstnet Informatica

  35. Dominio e gruppo di lavoro ACTIVE DIRECTORY • Cosa c’è dentro una directory di active directory? • Ci sono informazioni per: • Risorse condivise • Volumi • Stampanti • Account computer • Utente della rete • Con un singolo accesso alla rete, gli amministratori possono gestire l'organizzazione e i dati della directory a qualsiasi livello della rete e gli utenti di rete autorizzati possono accedere alle risorse in qualsiasi punto della rete. • Account computer Burstnet Informatica

  36. Dominio e gruppo di lavoro • Active Directory include inoltre le seguenti funzionalità: • Un insieme di regole, denominato schema, che definisce le classi di oggetti e attributi contenute nella directory. • Un catalogo globale che contiene informazioni su ogni oggetto della directory.  • Un meccanismo di ricerca e indicizzazione per la pubblicazione e il reperimento degli oggetti e delle relative proprietà da parte di utenti o applicazioni di rete.  • Un servizio di replica che distribuisce i dati della directory su una rete. Burstnet Informatica

  37. Dominio e gruppo di lavoro Protezione dell'accesso alla rete con Active directory • Il Single sign-on (SSO, traducibile come autenticazione unica o identificazione unica) è un sistema specializzato che permette ad un utente di autenticarsi una sola volta e di accedere a tutte le risorse informatiche alle quali è abilitato. • Prima di consentire l'accesso alla rete, Active Directory richiede la conferma dell'identità dell'utente mediante un processo noto come autenticazione. Per ottenere l'accesso alla rete, l'utente deve semplicemente eseguire un single sign-on al dominio o ai domini trusted. • Una volta confermata l'identità dell'utente, la LSA (Local Security Authority) del controller di dominio che esegue l'autenticazione genera un token di accesso che determina il livello di accesso dell'utente alle risorse di rete. Burstnet Informatica

  38. Dominio e gruppo di lavoro • On Windows Server Systems, a domain controller (DC) is a server that responds to security authentication requests (logging in, checking permissions, etc.) within the Windows Server domain. • PDC is a Primary Domain Controller • The PDC maintains the master copy of the directory database and validates users. • BDC is a Backup Domain Controller. • A Backup Domain Controller contains a copy of the directory database and can validate users. Burstnet Informatica

  39. Dominio e gruppo di lavoro • If the PDC fails then a BDC can be promoted to a PDC. Possible data loss is user changes that have not yet been replicated from the PDCto the BDC. • A PDC can be demoted to a BDC if one of the BDC's is promoted to the PDC. • You must install a PDC before any other domain servers Burstnet Informatica

  40. Dominio e gruppo di lavoro Linux su reti Windows • Le operazioni di condivisione all‘interno di una rete Windows funzionano attraverso un protocollo di alto livello che ha il compito di proiettare sulla rete locale alcune entità come file, cartelle e stampanti. Il nome di questo protocollo è SMB (Short Message Block). • Qualunque sistema operativo che implementi questo protocollo è in grado di accedere alle risorse di una rete Windows e di fornire le proprie risorse a una rete di computer. • Linux dispone di un’ottima implementazione di SMB, contenuta in un pacchetto denominato samba(www.samba.org). Burstnet Informatica

  41. Dominio e gruppo di lavoro Samba offre le seguenti caratteristiche: • Condivisione file e stampanti in rete • Supporto gruppo di lavoro (Workgroup) • Supporto controller di dominio (Primary Domain Controller) • Supporto come membro di Active Directory • Supporto autenticazione in dominio Windows • Supporto Ldap • Supporto Wins • Gestione Master Browser List • Autenticazione Kerberos Burstnet Informatica

  42. Dominio e gruppo di lavoro • Esempio di una configurazione minimale del file /etc/smb.conf • [public] • comment = cartella condivisa • path = /home/utente/cartella-condivisa • public = YES • writable = YES • security = USER smbpasswd • file = /etc/samba/smbpasswd • encryptpasswords = YES • log file = /var/log/samba/%m.log max • log size = 100 log • level = 1 Burstnet Informatica

  43. ACCESS CONTROL • Una Access controllist (ACL), è un meccanismo generalmente usato in informatica per esprimere regole complesse. • Meglio … una ACL è una lista ordinata di regole che viene usata per prendere una decisione, ad esempio se far passare o meno un pacchetto o se permettere o meno ad un certo utente l'accesso ad un file. • Utilizzi: • Configurazione di Firewall o proxy. • Configurazione diritti di accesso a file e directory. Burstnet Informatica

  44. ACCESS CONTROL • Its function is to control which principals (persons, processes, machines, . . .) have access to which resources in the system which files they can read, which programs they can execute, how they share data with other principals, and so on. • The access controls provided with an operating system typically authenticate principals using some mechanism such as passwords or Kerberos, then mediate their access to files, communications ports, and other system resources. Burstnet Informatica

  45. ACCESS CONTROL • The principle of least privilege, also known as the principle of minimal privilege or just least privilege • Requires that in a particular abstraction layer of a computing environment, every module (such as a process, a user or a program on the basis of the layer we are considering) must be able to access only such information  and resources that are necessary to its legitimate purpose. Burstnet Informatica

  46. ACCESS CONTROL • Principio di “Fail-safedefaults” nessun soggetto ha diritti per default. • Principio di “Separazione dei privilegi”: Un sistema non dovrebbe concedere permessi in base ad una singola condizione. • Principio di “Accesso Mediato” Tutti gli accessi ad un oggetto devono essere controllati. Burstnet Informatica

  47. ACCESS CONTROL • La protezione • L'insieme dei meccanismi utilizzati in un sistema informatico per il controllo di accesso alle risorse. • Tale insieme di meccanismi deve formare una TrustedComputing Base (TCB) • La somma di tutto l'hardware e il software necessari per garantire le politiche di sicurezza. Burstnet Informatica

  48. ACCESS CONTROL • Le funzionalità che devono essere fornite dalla TCB: • Creazione di processi • Scheduling dei processi • Gestione della memoria • Gestione dell'I/O • Gestione del file system Burstnet Informatica

  49. ACCESS CONTROL • Dalla protezione all'autorizzazione • Una volta messo in piedi un meccanismo di protezione, è necessario risolvere il problema dell'autorizzazione • Autorizzazione • L'insieme delle politiche e dei meccanismi utilizzati per valutare se un particolare soggetto è autorizzato a compiere particolari operazioni su un oggetto Burstnet Informatica

  50. ACCESS CONTROL • Un dominio di protezione è un insieme di oggetti e i tipi di operazioni che possono essere effettuati su ogni oggetto. • Più formalmente è un'insieme di coppie del tipo: <oggetto, insieme di operazioni>. • Ogni soggetto opera all’interno di un dominio di protezione. Burstnet Informatica

More Related