Tag: md5

VPN concentrator con Cisco IOS

Come per l’esempio di CheckPoint FW-1, questo descrive la configurazione di un gateway VPN usando i certificati digitali X.509. I router Cisco non dispongono di una Certification Authority, ma devono appoggiarsi su una CA esterna che supporti il protocollo Simple Certificate Enrollment Protocol (SCEP), come ad esempio Windows 2000, Entrust, VeriSign e OpenCA. Per supportare il servizio di VPN server, è necessario avere una versione di IOS 1.2.(8)T o superiore.

Enrollment del certificato

Il router deve scaricare il certificato digitale nella sua configurazione per permettere l’autenticazione del client. A tale scopo è necessario effettuare il processo di “Enrollment” come nell’esempio seguente: Continua a leggere

IEEE 802.1x

monitorLo standard IEEE 802.1x permette di identificare in maniera sicura gli utenti, collegati ad una determinata porta ethernet o ad un Access Point, ed applicare di conseguenza il livello di sicurezza necessario: ad esempio ad un nostro partner possiamo dare la possibilità di navigare solamente su internet, mentre l’amministratore delegato può accedere al database principale. IEEE 802.1x è nato per l’identificazione e l’autorizzazione dell’utente su reti wireless e più in generale su reti ethernet, permettendo servizi personalizzati quali il raggruppamento di una classe di utenti in una determinata Virtual LAN. Continua a leggere

Cisco protocolli di routing

ciscoEsiste un ulteriore passo verso la sicurezza dei nostri router: la protezione dei protocolli di routing e dei meccanismi di fault tolerance. Il protocollo di routing serve ad aggiornare le tabelle di routing dinamicamente ed è utile soprattutto in caso di guasti all’interno della propria rete. I protocolli di routing però non sono stati progettati per resistere a possibili attacchi. Quali sono i tipi di rischi che esistono? Possiamo dividerli in tre aree: attacchi alle tabelle di routing, attacchi di tipo Denial of Service sui router (es. saturazione della CPU) o attacchi di tipo buffer overflow. L’accento si pone in particolar modo sul protocollo di routing BGP, che il cuore di Internet e che si basa su di un rapporto di fiducia tra peers. Solitamente ci fidiamo delle rotte che gli altri router ci mandano, ma cosa succede se ci inviano delle false rotte attraverso per dirottare il traffico attraverso uno specifico percorso? Continua a leggere

Brevi cenni sulla firma digitale

criptoLafirma digitale si basa su e due proprietà fondamentali tipiche di ogni coppia di chiavi impìeqata nella crittografia asimmetrica: la “complementarità” e la “non riproducibilità“. Oueste ci assicurano, ad esempio, che un dato cifrato con una chiave pubblica può essere decifrato solo con la corrispondente chiave privata (e questo è il comune modo di operare per cifrare dati per una controparte) ma anche, viceversa, che un dato cifrato con una chiave privata può essere decifrato solo con la corri­spondente chiave pubblica – e questo è il concetto alla base della firma digitale: se, scaricando da Internet un documento cifrato, riusciamo a decifrarlo con la chrave pubblica di un individuo (ovvero Certificato X.509 di cui ci fidiamo), allora la teoria crittografica ci assicura che tale documento è stato cifrato proprio dalla chiave privata posseduta da quell’individuo.

Continua a leggere