Posta elettronica e Kerberos

L’ultimo passo della nostra dimostrazione è relativo alla posta elettronica: anche in questo caso dobbiamo essere in grado di collegarci con il server di posta elettronica senza dover immettere le credenziali utente. Nel modello Microsoft il mail server Exchange usa un protocollo proprietario incapsulato su NetBIOS ed utilizza un sistema di autenticazione differente, che si basa sempre sul framework di SPNEGO. Il nostro scopo è quello di usare tecnologia Open, basata su standard quali SMTP e IMAP, ma in particolare si è deciso di focalizzarsi sull’autenticazione relativa ad IMAP. È possibile abilitare l’autenticazione GSSAPI anche per alcuni server SMTP, però a causa della scarsa disponibilità di client che supportano questo tipo di autenticazione, si è deciso di implementare la policy relativa all’invio di posta tramite il controllo degli IP address sorgenti. La mancanza di client, soprattutto in ambiente Windows, ha creato numerosi problemi durante la creazione del laboratorio. Esistono infatti numerosi client Unix e MacOS X, ma pochi sono quelli per Windows, probabilmente perchè alcuni sviluppatori Windows considerano Kerberos un qualcosa di troppo “nuovo” e ancora poco conosciuto, mentre altri lo considerano “troppo vecchio”, ignorando che l’intera architettura di Active Directory è basata proprio sul “vecchio” Kerberos. Continua a leggere

Infrastruttura Single-Signon Unix

Una volta definito l’ambiente in cui verrà sviluppato il modello, si è proceduto alla scelta dei programmi da integrare: la scelta è ricaduta su programmi OpenSource, in quanto più facilmente reperibili ed eventualmente modificabili. È possibile realizzare la stessa infrastruttura con programmi supportati, ma bisogna verificare con il produttore se le funzionalità siano disponibili, ad esempio se l’LDAP server supporta Kerberos come password back-end.

Preparazione del DNS

Kerberos richiede che vi siano alcune entry nel DNS che puntino ai servizi erogati, anche se pochi programmi sembrano cercare queste entry. È bene verificare che il reverse look-up di ciascun server sia garantito: alcuni problemi legati al kerberos sono relativi al fatto di non riuscire a risolvere in modo corretto i nomi. Per quanto riguarda il laboratorio, questo è il DNS relativo alla parte kerberos: Continua a leggere

Virtualizzazione

Stiamo assistendo alla evoluzione ed implementazione delle tecnologie di virtualizzazione come metodologia di consolidamento dei server dei datacenter. Possiamo considerare però la virtualizzazione anche come un’opportunità per aumentare la sicurezza dei nostri ambienti.

I sistemi di difesa sono sempre stati considerati un’arte sin dagli antichi Romani. Nel medioevo, i manoscritti più preziosi erano protetti da diversi livelli (o in inglese layers) di difesa: erano conservati in castelli che erano sempre posizionati nella collina più alta, circondati da fossati pieni di coccodrilli, nella torre più difficile da raggiungere, e nascosti in una stanza segreta protetta da trappole mortali. Anche se un intruso riesce a penetrare nel primo livello di difesa, più prosegue nel suo attacco, più incontrerà resistenza: in questo modo l’attaccante si stanca e potrebbe non riuscire a superare i livelli di protezione successivi. Anche se i mezzi, gli attaccanti e le cose da proteggere sono cambiate nei secoli, le tecniche di difesa rimangono valide ancora oggi. Continua a leggere

Radius client

L’ultimo passo per la configurazione di IEEE 802.1x é quello di installare e configurare il client. Solo nelle recenti versioni dei sistemi operativi, quali ad esempio Windows XP é incluso un client per questo protocollo, mentre per altri sistemi operativi é necessiario disporre di un client separato, sia esso commerciale od OpenSource. Nei prossimi paragrafi verranno descritti tali client, assumendo che l’amministratore abbia buona familiarità con la configurazione del sistema operativo e della configurazione dei certificati digitali (per Windows XP).

Esempio con Windows XP e Windows 2000

Come accennato in precedenza, Windows 2000 e Windows XP sono attualmente gli unici sistemi operativi che dispongono del protocollo IEEE 802.1x. Su Windows 2000 è però necessario installare l’apposito client descritto Microsoft Knowledge Base Article numero 313664 e scaricabile gratuitamente sul sito internet http://support.microsoft.com/default.aspx?scid=kb;en-us;313664. Vedremo negli esempi successivi la configurazione attraverso Windows XP, che differisce da Windows 2000 dalla gestione nativa delle chiavi WEP e di WPA. Si assume che l’amministratore di sistema o l’utente abbia già scaricato ed installato il proprio certificato digitale X.509. Continua a leggere

1 2 3 4