CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP...

25
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP

Transcript of CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP...

Page 1: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

CORSO DI SICUREZZA SU RETI IIPROF. A. DE SANTIS

ANNO 2006/07

Informatica granata

Gruppo 2 ISPGruppo 3 ISP

Page 2: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Informatica granata

FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti

Page 3: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Funzionalità del Sistema

HomepageCatalogo navigabileListino prezziCarrello spesaPossibilità di acquisto on-lineAcquisti effettuati tramite

“ufficialepagatore.com”Pannello amministratore

Page 4: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Informatica granata

FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti

Page 5: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Architettura del sistema

Page 6: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Presentation Layer

Il portale risiede sul server G3ISP Thin client

Non richiede alcuna installazione sul client Funziona una volta connessi alla rete Utilizzo di un normale browser

HTML puroPHPNessun utilizzo di frame e di pop-upSono stati vietati gli accessi indirizzati

Utilizzo di variabili di sessione opportunamente settate

Page 7: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Presentation Layer

Il portale permette la registrazione di un cliente

Tutti i dati sono obbligatori La password è memorizzata in md5

La visualizzazione degli ordini effettuati La modifica dei dati personali La visualizzazione di un catalogo digitale Il riepilogo dell’acquisto che si intende effettuare

È consentita la scelta delle quantità L’acquisto di articoli informatici

Page 8: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Business Logic Layer

Possibilità di acquisti online Sicurezza negli acquisti

Utilizzo di https:// Autorità riconosciute mediante CA Utilizzo di funzioni fornite da ufficialepagatore.com per la

gestione delle transazioni Protocollo di sicurezza tra informatica granata e

ufficialepagatore.com Pagamenti mediante carta di credito

Sconti per i clienti che superano i 10 prodotti

Page 9: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Data Management Layer

Creazione Database “ SHOP ” per Informatica Granata

SHOP contiene informazioni riguardanti : Clienti / Utenti Prodotti Ordini effettuati Tokens utilizzati

SHOP risiede sul Server G2ISPInformatica Granata accede a SHOP

mediante funzioni

Page 10: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Data Management Layer

Interazione con SHOP attraverso oggetto PHP MyDBManager

MyDBManager possiede metodi relativi a : Login di Utenti ed Amministratori Gestione Utenti con modifiche dati Elenco Utenti e Dati Utente Specifico Gestione Prodotti con modifiche dati Catalogo Prodotti e Dati Prodotto Specifico Gestione ed Elenco Ordini e Prodotti Ordinati Funzioni di Timeout e Conferma Ordini

Page 11: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Data Management Layer

MyDBManager gestisce le funzioni che modificano il DB come transazioni

E’ garantita la consistenza del database in caso di fallimento

I dati inseriti nel DB sono privi di caratteri “fastidiosi” (utilizzo funzioni PHP add/stripslashes)

MyDBManager.php risiede sul server GISP3Funzioni (Metodi) chiamate dalle pagine del

sito Informatica GranataPer ogni oggetto istanziato una connessione

utilizzata da tutti i metodi

Page 12: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Data Management Layer

• Ipotesi di distribuire l’applicazione su due servers– Il web sul server g3isp– Il database sul server g2isp

• Problema riscontrato– MySQL non permetteva connessioni sicure al

database nonostante certificati validi

• Soluzione– Installazione del database sullo stesso server– Per motivi di sicurezza non conveniva effettuare

chiamate al db in chiaro.

Page 13: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Informatica granata

FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti

Page 14: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Homepage

Page 15: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Registrazione Utente

Page 16: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Pannello Amministratore

Page 17: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Catalogo

Page 18: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Compra

Page 19: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Carrello

Page 20: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Informatica granata

FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti

Page 21: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Problematiche e difficoltà riscontrate

Interazione tra i 2 macrogruppiScelta del protocollo di comunicazioneDefinizione delle politiche di sicurezza

Scelta e realizzazione del token

Suddivisione dei compitiProblematiche legate al database

Page 22: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Informatica granata

FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti

Page 23: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Sicurezza del sistema

Utilizzo di funzioni addslshes e htmlentities per evitare attacchi di tipo Cross Site Scripting e SQL Injection

Database accessibile solo da locale per evitare il furto di dati

Ridotta quantità di informazioni nella signature di Apache Unica informazione rilasciata è “Apache 2”

Utilizzo di HTTPSLimitazione dell’accesso alle pagine “sensibili” ai soli

amministratori tramite controllo della sessioneImpossibilità di contenere eventuali attacchi di tipo DOS o

DDOS Solo cure palliative come:

Riduzioni delle connessioni da uno stesso host Riduzione della durata massima di un connessione Blocco di host che compiono operazioni “strane

Page 24: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Informatica granata

FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti

Page 25: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Suddivisione dei compiti

Andrea Bruno Integrazione, funzioni curl, openssl, logica protocollo

Francesco Granato Gestione acquisti, carrello elettronico, catalogo

virtuale

Francesco Di Perna Homepage, gestione utenti, pannello amministratore

Domenico Laurino Realizzazione funzioni di accesso al database

Ivo Barone Progettazione e realizzazione del database