Università degli Studi di Salerno ISP 1 Fase di Tuning Cepparulo Marco Granatello Emmanuel Guarino Giuseppe Laurino Rocco Sommario Organizzazione del lavoro Servizi richiesti Registrazione dominio Generazione certificato base Richiesta firma certificato Account e-mail Richieste effettuate Gruppo NIC Gruppo CA Gruppo ISP 2 Organizzazione del lavoro Organizzazione di base – – – – Cepparulo Marco:Analista Programmatore Granatello Emmanuel:Coordinatore attività sistemistiche Guarino Giuseppe:Analista Programmatore Laurino Rocco: Project Manager Non sono stati suddivisi i compiti in maniera formale data l’assenza di particolari task Si è puntato su un lavoro comune e sull’interazione con gli altri gruppi Organizzazione del lavoro E’ prevista un’organizzazione formale per la gestione della prossima fase, ovvero la gestione delle commesse. In seguito sarà descritto l’approccio da seguire nelle prossime attività Sommario Richieste ricevute Non sono state ricevute particolari richieste vista l’offerta dei servizi rivolta essenzialmente a clienti. Temporaneamente per soddisfare le procedure necessarie al gruppo CA è stato impostato ed utilizzato un mail server. L’utilizzo è stato temporaneo vista la presenza del gruppo ISP2 che si occupa della fornitura del servizio in questione. Servizi richiesti: registrazione dominio La registrazione del dominio viene fornita dal gruppo NIC. Un dominio permette di associare un nome alfanumerico ad un indirizzo ip. Come fornitore di servizi internet dobbiamo fare da intermediari ai clienti al NIC. Servizi richiesti: registrazione dominio I clienti tramite il nostro sito potranno effettuare richieste di hosting e registrazione domini. Le registrazioni dei domini saranno redirezionate al gruppo NIC mentre la gestione dell’hosting è sotto la nostra completa supervisione. Servizi richiesti: generazione certificato La generazione dei certificati può essere fatta sia in locale con openssl che tramite il sito della CA. Nel nostro caso decidiamo di generare il certificato in locale e fornirlo alla CA per ottenerne la validazione Servizi richiesti: firma certificato I certificati sono forniti dal gruppo CA. Un certificato ci permette di ottenere interazioni sicure. La richiesta di un certificato è una procedura che non interessa i clienti. Il nostro gruppo una volta certificato può offrire i servizi in modo sicuro Servizi richiesti: account e-mail E’ stato richiesto un account e-mail al gruppo ISP2. L’account creato è [email protected] Richieste effettuate: dominio Per la registrazione del dominio è stata compilata una semplice form presente sul web server del gruppo NIC. Il nome del nostro dominio è isp1.org – Sono stai forniti altri alias tipo ftp.isp1.org, www.isp1.org, smtp.isp1.org Richieste effettuate: dominio Richieste effettuate: certificato La richiesta di certificato è stata inoltrata al gruppo CA. – – Si inoltra il certificato creato con openssl La CA si occupa di firmare il certificato e restituire il certificato firmato pronto all’uso Richiesta certificato web server Compilazione richiesta certificato Richiesta certificato base Conclusioni Vista la “missione” del gruppo non sono state ricevute richieste in questa fase della simulazione. Abbiamo verificato il corretto funzionamento dei servizi di naming e dei servizi di CA, cui necessitiamo per soddisfare le commesse. Organizzazione delle prossime attività E’ stata prevista una prima organizzazione delle attività per rispondere in maniera efficiente alle commesse. Sono stati individuati quattro task fondamentali e sono state associate le risorse ad ogni task Organizzazione delle prossime attività E’ stata prevista una prima organizzazione delle attività per rispondere in maniera efficiente alle commesse. Sono stati individuati quattro task fondamentali e sono state associate le risorse ad ogni task Organizzazione delle prossime attività Analisi richiesta Laurino Rocco Sviluppo Cepparulo Marco Guarino Giuseppe Testing Cepparulo Marco Guarino Giuseppe Rilascio Analisi problematiche sicurezza Granatello Emmanuel Laurino Rocco Organizzazione delle prossime attività In output alla prima fase sarà dato un breve documento in cui saranno evidenziate le caratteristiche della soluzione da sviluppare, tempi, costi ecc. In seguito partiranno in parallelo le fasi di sviluppo e di analisi delle problematiche di sicurezza. Lo sviluppo prevede la codifica dell’applicazione web Organizzazione delle prossime attività L’analisi delle problematiche di sicurezza parte dall’analisi della particolare applicazione per arrivare allo studio delle principali metodologie di attacco e i relativi approcci di difesa. Sarà redatto un breve documento contenente frammenti di codice per contrastare le tipologie di attacco individuate. Organizzazione delle prossime attività L’attività di testing invece prevede oltre al testing funzionale, anche un test volto a verificare l’effettivo grado di sicurezza raggiunto dalla soluzione sviluppata. Saranno testate le diverse tipologie di attacco evidenziate nella fase precedente.