VPN concentrator con Cisco IOS

Come per l’esempio di CheckPoint FW-1, questo descrive la configurazione di un gateway VPN usando i certificati digitali X.509. I router Cisco non dispongono di una Certification Authority, ma devono appoggiarsi su una CA esterna che supporti il protocollo Simple Certificate Enrollment Protocol (SCEP), come ad esempio Windows 2000, Entrust, VeriSign e OpenCA. Per supportare il servizio di VPN server, è necessario avere una versione di IOS 1.2.(8)T o superiore.

Enrollment del certificato

Il router deve scaricare il certificato digitale nella sua configurazione per permettere l’autenticazione del client. A tale scopo è necessario effettuare il processo di “Enrollment” come nell’esempio seguente: Continua a leggere

Configurare Rip versione 2

Si desidera utilizzare le funzioni più flessibili di RIP versione 2.

Soluzione

Router2#configure terminal
Router2(config)#router rip
Router2(config-router)#version 2
Router2(config-router)#network 172.25.0.0
Router2(config-router)#network 192.168.30.0
Router2(config-router)#end
Router2#

È inoltre possibile attivare la versione RIP 2 direttamente sull’interfaccia:

Router1#configure terminal
Router1(config)#interface Serial0/0.2
Router1(config-subif)#ip rip send version 2
Router1(config-subif)#ip rip receive version 2
Router1(config-subif)#end
Router1#

IPSec

Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in particolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Prendendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o più semplicemente VPN.

L’IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è stato definito dall’Internet Engineering Task Force già dall’Agosto 1995 attraverso l’RFC 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, affermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le funzionalità di Continua a leggere

IEEE 802.1x e Wireless LAN

Lo standard IEEE 802.1x é nato soprattutto per sopperire alla mancanza di autenticazione delle reti Wireless, ma i loro creatori hanno esteso il concetto di autenticazione anche per le reti tradizionali. Si pensi ad esempio ad un visitatore che entra nell’azienda e collega il suo portatile ad una presa ethernet: questa persona non deve avere gli stessi diritti di accesso alla rete di un amministratore di sistema. Il sistema 802.1x é un “Port-based access control mechanism”, ovvero un sistema in grado di autenticare un utente collegato ad una determinata porta ethernet.

Al fine di poter identificare e autorizzare l’utente finale IEEE ha scelto di incapsulare su ethernet il protocollo Extensible Autentication Potocol. EAP é un framework di autenticazione inizialmente pensato per il Point-to-Point Protocol (PPP) che supporta differenti schemi di autenticazione. EAP non definisce uno specifico metodo di autenticazione, bensì permette di negoziare il protocollo di autenticazione tra i due interlocutori, ovvero l’utente e il server di autenticazione (tipicamente Radius). Sono stati definiti alcuni schemi di autenticazione EAP, i più famosi dei quali sono: MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM e AKA. Vediamone alcuni in dettaglio. Continua a leggere

Cisco ACL

Le Access Control Lists, o più semplicemente ACL, sono una lista ordinata di criteri a cui un determinato pacchetto deve essere conforme. Le ACL possono essere usate per filtrare l’attraversamento di determinati flussi di traffico, per i protocolli di routing o per limitare l’accesso interattivo al router. Si consiglia come approfondimento la lettura della documentazione fornita attraverso il sito Internet di Cisco (CCO).

Le ACL di base

Ripassiamo velocemente i tipi di ACL di base sui router, che ci serviranno in seguito. Possiamo distinguere quattro tipi fondamentali di ACL, le base:

access-list 1 permit 1.1.2.0 0.0.1.255

Le estese con commenti

access-list 100 remark telnet access list
access-list 100 permit tcp host 1.1.1.1 2.2.2.0 0.0.0.255 telnet

Continua a leggere

1 2 3 4 30