Cisco ACL

Le Access Control Lists, o più semplicemente ACL, sono una lista ordinata di criteri a cui un determinato pacchetto deve essere conforme. Le ACL possono essere usate per filtrare l’attraversamento di determinati flussi di traffico, per i protocolli di routing o per limitare l’accesso interattivo al router. Si consiglia come approfondimento la lettura della documentazione fornita attraverso il sito Internet di Cisco (CCO).

Le ACL di base

Ripassiamo velocemente i tipi di ACL di base sui router, che ci serviranno in seguito. Possiamo distinguere quattro tipi fondamentali di ACL, le base:

access-list 1 permit 1.1.2.0 0.0.1.255

Le estese con commenti

access-list 100 remark telnet access list
access-list 100 permit tcp host 1.1.1.1 2.2.2.0 0.0.0.255 telnet

Continua a leggere

Protezione Wireless LAN

Nel capitolo precedente si sono analizzati i possibili problemi di sicurezza relativi alle Wireless LAN, dovuti maggiormente sia alle limitazioni del protocollo IEEE 802.11 che alla configurazione non corretta degli apparati di rete. Uno dei primi passi per rendere sicura la wireless LAN è pertanto il procedere ad una corretta analisi della propria rete ed a configurare gli apparati in maniera adeguata. Questo capitolo propone dei suggerimenti in tal senso, descrivendo come l’amministratore di rete possa trarre vantaggio dall’aggregazione delle tecnologie esistenti.

Una corretta configurazione degli apparati è un buon inizio per proteggere la rete wireless. Grazie ad alcuni accorgimenti, è possibile “sviare” un eventuale intruso nascondendo dettagli preziosi e rendendo più difficile l’identificazione della rete su cui si sta collegando. Continua a leggere

LDAP

Il Lightweight Directory Access Protocol (LDAP) è, come suggerisce il nome stesso, un protocollo standard documentato nell’RFC 2251 per accedere a servizi di directory. Una directory è un database specializzato ottimizzato per la lettura e per la ricerca dei dati attraverso filtri sofisticati, in cui il dato è formato da un attributo e relativa descrizione (ad esempio “email=rossi@azienda.it”). Le directory, intese come database, non supportano transazioni complicate o azioni di rollback che si trovano nei classici RDBMS, di solito ottimizzati per le transazioni e gli aggiornamenti complessi. Gli aggiornamenti riguardanti i repository LDAP sono tipicamente rari, in quanto i dati sono semi-statici, semplici e non richiedono transazioni; invece il database è ottimizzato per dare risposte veloci a molte ricerche contemporanee. Molti dei directory server in commercio sono in grado di replicare il loro database per aumentarne l’affidabilità, la disponibilità quindi ridurre il tempo di risposta scalando orizzontalmente. Continua a leggere

Microsoft Active Directory

Nella mia esperienza di consulente presso fornitori di servizi, ho trovato differenti sistemi ottenuti per il Single Sign-On, quasi esclusivamente relativi ai soli servizi Web. Molti di essi si basano su un agente che si installa su un Web server e un “policy manager” che è in grado di autenticare/autorizzare l’utente ad una specifica risorsa. La tecnica impiegata è efficiente e raggiunge lo scopo per il Single Sign-On su sistemi Web, ma cosa succede se vogliamo autenticarci ad una risorsa non-Web, ad esempio collegarci via SSH ad un sistema Unix? Dovremmo ricordare un’ulteriore utenza e password. Questo non è sufficiente, in quanto la tecnica utilizzata deve coprire l’autenticazione utente a 360 gradi.

Secondo il mio modesto avviso, il produttore che è riuscito a effettuare un vero e proprio “Single Sign-On” è Microsoft: attraverso Active Directory, ovvero il nuovo modello di dominio introdotto da Windows 2000, è in grado di effettuare un’autenticazione su tutte le risorse di rete (condivisione file/stampanti, siti Web, ecc.) semplicemente facendo una “join” al dominio. Continua a leggere

Autenticazione web con Kerberos

Una delle cose sorprendenti dell’integrazione realizzata da Microsoft è relativa all’autenticazione degli utenti che hanno fatto log-on al dominio Active Directory sugli applicativi Web. Attraverso Internet Information Server (IIS) e il Web browser Microsoft Internet Explorer, l’utente viene riconosciuto trasparentemente, realizzando così un vero e proprio Single Sign-On. La tecnologia usata per effettuare un login dell’utente attraverso il Web è SPNEGO, già descritto nel paragrafo SPNEGO e l’autenticazione Web. Grazie allo sforzo della comunità OpenSource, è possibile utilizzare SPENGO anche su Unix, sia come client che come server Web. In questo capitolo spiegheremo come sia possibile realizzare con Apache l’autenticazione attraverso SPNEGO e Mozilla come client di autenticazione, oltre a vedere più da vicino l’utilizzo di Microsoft Internet Explorer. Continua a leggere

1 2 3 4 5 12