Le leggi sulla sicurezza

Le leggi di sicurezza identificano proprio questi punti e consentono di concentrare la ricerca sulle aree più facilmente accettabili:

  • Legge 1:se una persona disonesta ti convince a eseguire il suo programma sul tuo computer,quello non è più il tuo computer.
  • Legge 2:se una persona disonesta riesce a modificare il sistema operativo del tuo computer,quello non è più il tuo computer.
  • Legge 3:se una persona disonesta ottiene l’accesso fisico limitato al tuo computer,quello non è più il tuo computer
  • Legge 4:se consenti ad una persona disonesta di caricare programmi sul tuo sito Web,quello non è più il tuo sito Web.
  • Legge 5:le password deboli hanno la meglio su una sicurezza migliore
  • Legge 6:una macchina è sicura quanto l’attendibilità dell’amministratore.
  • Legge 7:i dati crittografati sono sicuri solo quanto lo è la chiave di decotifica.
  • Legge 8:un analizzatore di virus non aggiornato è preferibile solo in parte alla mancanza di tale software.
  • Legge 9:l’anonimato assoluto non è utile,ne nella vita reale ne sul Web.
  • Legge 10:la tecnologia non è una panacea.

WPA

Il protocollo Wi-Fi Protected Access (WPA) é uno sforzo dei produttori nel tentativo di colmare le lacune derivate da WEP. WPA é un sottoinsieme dello standard IEEE 802.11i; quest’ultimo chiamato anche WPA2 verrà rilasciato nel corso dell’anno 2004 e sarà pienamente compatibile con WPA. I produttori hanno disegnato questo protocollo per minimizzare l’impatto sulle performance e per permettere la sua distribuzione attraverso un aggiornamento software dei prodotti basati su IEEE 802.11b, come ad esempio Access Points e schede di rete. Alcuni produttori di hardware hanno ideato dei sistemi che permettono il “mixed mode”, ovvero la possibilità di supportare contemporaneamente WPA e WEP per facilitare la migrazione a questo nuovo protocollo. Continua a leggere

VPN concentrator con Cisco IOS

Come per l’esempio di CheckPoint FW-1, questo descrive la configurazione di un gateway VPN usando i certificati digitali X.509. I router Cisco non dispongono di una Certification Authority, ma devono appoggiarsi su una CA esterna che supporti il protocollo Simple Certificate Enrollment Protocol (SCEP), come ad esempio Windows 2000, Entrust, VeriSign e OpenCA. Per supportare il servizio di VPN server, è necessario avere una versione di IOS 1.2.(8)T o superiore.

Enrollment del certificato

Il router deve scaricare il certificato digitale nella sua configurazione per permettere l’autenticazione del client. A tale scopo è necessario effettuare il processo di “Enrollment” come nell’esempio seguente: Continua a leggere

IPSec

Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in particolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Prendendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o più semplicemente VPN.

L’IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è stato definito dall’Internet Engineering Task Force già dall’Agosto 1995 attraverso l’RFC 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, affermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le funzionalità di Continua a leggere

IEEE 802.1x e Wireless LAN

Lo standard IEEE 802.1x é nato soprattutto per sopperire alla mancanza di autenticazione delle reti Wireless, ma i loro creatori hanno esteso il concetto di autenticazione anche per le reti tradizionali. Si pensi ad esempio ad un visitatore che entra nell’azienda e collega il suo portatile ad una presa ethernet: questa persona non deve avere gli stessi diritti di accesso alla rete di un amministratore di sistema. Il sistema 802.1x é un “Port-based access control mechanism”, ovvero un sistema in grado di autenticare un utente collegato ad una determinata porta ethernet.

Al fine di poter identificare e autorizzare l’utente finale IEEE ha scelto di incapsulare su ethernet il protocollo Extensible Autentication Potocol. EAP é un framework di autenticazione inizialmente pensato per il Point-to-Point Protocol (PPP) che supporta differenti schemi di autenticazione. EAP non definisce uno specifico metodo di autenticazione, bensì permette di negoziare il protocollo di autenticazione tra i due interlocutori, ovvero l’utente e il server di autenticazione (tipicamente Radius). Sono stati definiti alcuni schemi di autenticazione EAP, i più famosi dei quali sono: MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM e AKA. Vediamone alcuni in dettaglio. Continua a leggere

1 2 3 4 12