= Sicurezza delle reti = == Modalità d'esame == L'esame consiste in una prova scritta e una prova di laboratorio: lo studente esaminando deve superare entrambe le prove, ma il voto finale sarà ottenuto considerando per il 75% il risultato della prova scritta e per il restante 25% il risultato della prova di laboratorio. Nella prova scritta occorrerà rispondere a domande e svolgere esercizi sul programma trattato a lezione e gli approfondimenti indicati. Nella prova in laboratorio verrà proposto un esercizio che deve essere risolto aiutandosi con gli strumenti trattati durante il corso: - tool di base: `netstat`, `nc`, `nmap` - analisi del traffico: `tcpdump`, `wireshark`, `snort` - filtraggio: `iptables`, `snort` [wiki:Programma] (Con le differenze per l'esame da 6CFU e 12CFU) === Testi di riferimento === Inside Network Perimeter Security, 2nd Edition Northcutt, Zeltser, Winters, Kent, Ritchey SAMS ed., 2005 [http://anobii.com/books/Inside_Network_Perimeter_Security/9780672327377/00b64be87ba1d366e6/] The Tao of Network Security Monitoring - Beyond Intrusion Detection, R. Bejtlich, Pearson Education Inc., 2004 [http://anobii.com/books/The_Tao_of_Network_Security_Monitoring/9780321246776/00dd7cee6c54fa8544/] Silence on the Wire A Field Guide to Passive Reconnaissance and Indirect Attacks, M. Zalewski, No Starch Press, 2005 [http://www.anobii.com/books/Silence_on_the_Wire/9781593270469/00efcc899e1ef61d2a/] Gli articoli indicati sotto come approfondimento dei singoli argomenti fanno parte integrante del programma e potranno quindi essere oggetto di valutazione in sede d'esame. == Materiale 2012/2013 == * [https://www.google.com/calendar/embed?src=t4v21d3514spn4d6sogal7ls24%40group.calendar.google.com&ctz=Europe/Rome Calendario del corso] === 25 febbraio 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti01.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti01-handout.pdf Versione per la stampa] * [http://tools.ietf.org/rfc/rfc1135.txt The Helminthiasis of the Internet] * [http://dx.doi.org/10.1145/63526.63527 The Internet Worm: Crisis and Aftermath] * [http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-ebk_en_xg.pdf Verizon Data Breach Investigations Report] * [http://www.symantec.com/threatreport/ Symantec Threat Report] === 26 febbraio 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti02.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti02-handout.pdf Versione per la stampa] * [http://portal.acm.org/ft_gateway.cfm?id=1999945&type=pdf Eric Allman, The Robustness Principle Reconsidered] === 4 marzo 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti03.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti03-handout.pdf Versione per la stampa] * [http://tools.ietf.org/rfc/rfc1948.txt Defending Against Sequence Number Attacks] * [http://cr.yp.to/syncookies.html SYN cookies] * [https://www.cs.columbia.edu/~smb/papers/acsac-ipext.pdf Steven Bellovin "A Look Back at 'Security Problems in the TCP/IP Protocol Suite'"] === 5 marzo 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti04.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti04-handout.pdf Versione per la stampa] * [http://condor.depaul.edu/jkristof/papers/udpscanning.pdf Kristoff, The trouble with UDP scanning] === 11 marzo 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti05.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti05-handout.pdf Versione per la stampa] * [http://tcpcrypt.org/tcpcrypt.pdf Bittau et al., The case for ubiquitous transport-level encryption] * [http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf Georgiev et al., The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software] * [https://www.eff.org/deeplinks/2011/10/how-secure-https-today EFF, How secure is HTTPS today] === 12 marzo 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicuretilab01.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicuretilab01-handout.pdf Versione per la stampa] Per il laboratorio: * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti.iso (76MiB) Live CD (Mon Mar 11 19:46:17 2013 +0100 aefcad4) SHA1: 654001650ee20a605c4503a87aae8a5fa5de3b65] * [http://homes.di.unimi.it/~sisop/lucidi1213/Qemu-1.3.1-windows.zip (12MiB) Qemu 1.3.1 per Windows] * [http://wiki.qemu.org/Links Altre versioni di Qemu] * [http://homes.di.unimi.it/~sisop/lucidi1213/lab01.pdf Appunti laboratorio] === 18 marzo 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti06.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti06-handout.pdf Versione per la stampa] === 19 marzo 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti07.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti07-handout.pdf Versione per la stampa] === 8 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti08.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti08-handout.pdf Versione per la stampa] * [http://www.raid-symposium.org/raid99/PAPERS/Axelsson.pdf Axelsson, The Base-Rate Fallacy and its Implications for the Difficulty of Intrusion Detection] === 9 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti09.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti09-handout.pdf Versione per la stampa] * [http://homes.di.unimi.it/~sisop/lucidi1213/lab-iptables1.pdf Appunti laboratorio] === 15 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti10.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti10-handout.pdf Versione per la stampa] * [http://zhichunli.org/publication/Li-Hamsa-ssp06.pdf Li et al. Hamsa: Fast signature generation for zero-day polymorphic worms with provable attack resilience] === 16 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti11.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti11-handout.pdf Versione per la stampa] * [http://roberto.greyhats.it/pubs/dimva08-fluxor.pdf Passerini et al. FluXOR: detecting and monitoring fast-flux service networks] * [http://www.cs.ucsb.edu/~chris/research/doc/spmagazine11_torpig.pdf Stone-Gross et al. Taking over the Torpig botnet] Laboratorio: * [http://homes.dico.unimi.it/~sisop/qemu/wireshark.zip Portable Wireshark per Windows] * [attachment:vm0.pcap Traffico esempio] * [wiki:EsercizioWireshark] [attachment:evidence04.pcap Traffico esercizio] === 22 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti12.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti12-handout.pdf Versione per la stampa] === 23 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti13.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti13-handout.pdf Versione per la stampa] * [http://www.untrusted.ca/cache/openid.html The problem(s) with OpenID] Laboratorio: * [http://homes.di.unimi.it/~sisop/lucidi1213/http.pdf Tema d'esame] [http://homes.di.unimi.it/~sisop/lucidi1213/http.pcap Traffico] * [http://homes.di.unimi.it/~sisop/lucidi1213/telnet.pdf Tema d'esame] [http://homes.di.unimi.it/~sisop/lucidi1213/telnet.pcap Traffico] * [http://homes.di.unimi.it/~sisop/lucidi1213/scan.pdf Tema d'esame] [http://homes.di.unimi.it/~sisop/lucidi1213/scan.pcap Traffico] === 29 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/botnet.pdf Matteo Camilli, Botnet detection] [http://www.usenix.org/event/sec08/tech/full_papers/gu/gu.pdf Gu et al., BotMiner: clustering analysis of network traffic for protocol- and structure-independent botnet detection] * [http://homes.di.unimi.it/~sisop/lucidi1213/pres.html Carlo Bellettini, Android Security][http://homes.di.unimi.it/~sisop/lucidi1213/pres.pdf Carlo Bellettini, Android Security (Versione per la stampa)] === 30 aprile 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti14.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti14-handout.pdf Versione per la stampa] Laboratorio: * [http://homes.di.unimi.it/~sisop/lucidi1213/sicuretilab06.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicuretilab06-handout.pdf Versione per la stampa] * [http://homes.di.unimi.it/~sisop/lucidi1213/worm.pdf Tema d'esame] [http://homes.di.unimi.it/~sisop/lucidi1213/worm.pcap Traffico] === 6 maggio 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti15.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti15-handout.pdf Versione per la stampa] * [http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html Steve Friedl, An Illustrated Guide to the Kaminsky DNS Vulnerability] === 7 maggio 2013 === Lezione mattutina ore 9:00, lezione pomeridiana sospesa (verrà recuperata il 20 maggio, ore 14:30) * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti16.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti16-handout.pdf Versione per la stampa] === 13 maggio 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti17.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti17-handout.pdf Versione per la stampa] === 14 maggio 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti18.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti18-handout.pdf Versione per la stampa] Laboratorio * [attachment:evilprogram.pcap] === 20 maggio 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti19.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti19-handout.pdf Versione per la stampa] Laboratorio * [attachment:wpapsk.cap] * [attachment:tcp-splice.cap] * [attachment:arp-poison.cap] === 21 maggio 2013 === * [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti20.pdf Slide] [http://homes.di.unimi.it/~sisop/lucidi1213/sicureti20-handout.pdf Versione per la stampa] Laboratorio * [http://homes.di.unimi.it/~sisop/lucidi1213/extension.html Extension attack] [http://homes.di.unimi.it/~sisop/lucidi1213/extension-sol.html Soluzione commentata] == Materiale anni precedenti == * [WikiStart@90 Materiale 2011/2012] * [wiki:Materiale20102011] (6CFU)