EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005

Concetti di base Architettura ISO/OSI, Ethernet, TCP/IP Livelli Incapsulamento dei protocolli Comunicazioni a pacchetti Indirizzi IP e porte TCP/UDP AICA © 2005

Wireless ricerca di reti wireless “aperte” strumenti un’antenna un’automobile un ricevitore GPS AICA © 2005

Wireless Prove a Milano (2003) 18 reti 12 senza WEP da http://www.portel.it AICA © 2005

Wireless Molti AP hanno una configurazione di default che facillita le operazioni di configurazione È importante conoscere le operazioni di setup per incrementare la sicurezza ed evitare problemi unwanted "Guests“ SSID : wireless network name di solito è abilitato il broadcast SSID in modo che i clients possano effettuare uno scan delle reti wireless disponibili AICA © 2005

Wireless Chiunque (utenti non desidarti) possono effettuare lo scan e “vedere” la WLAN Per security-sensitive reti aziendali occorre disabilitare broadcast SSID Scegliere un’opzione con WEP encryption confidentiality: uso di RC4 (stream cipher) reinizializzazione per ogni pacchetto WEP key + Initialization Vector (IV) => per-packet AICA © 2005

Gestione dei log Prima fonte di informazioni sugli eventi del sistema In Unix gestiti da syslogd: file di configurazione /etc/syslog.conf In windows esiste Event Viewer AICA © 2005

Log applicativi Le applicazioni hanno due possibilità per effettuare il logging Appoggiarsi al log del sistema Utilizzare un proprio file di log apache AICA © 2005

Logserver centralizzato Invio dei log singoli su un server Log maggiormente protetti Riconoscere correlazioni tra eventi diversi Problemi Formati differenti tra diversi sistemi operativi AICA © 2005

Firewall o Difesa Perimetrale Definire un perimetro Dividere il mondo in interno ed esterno in modo che il firewall sia l’UNICO punto di accesso Il pericolo è sia dentro che fuori!!! (il pericolo interno è il più insidioso ed il più probabile) Il livello di sicurezza è uguale al punto più debole (di solito quindi è nullo...) AICA © 2005

Tecnologie adottate Filtraggio del traffico: chi può passare la frontiera Analisi dei contenuti: cosa può passare la frontiera Sorveglianza: essere pronti a rispondere e riprendersi dagli attacchi Fattore umano: avere procedure e regole per tutto il personale (Piano di Sicurezza) AICA © 2005

Tipi di Firewall Packet Filter: che si limita a valutare gli header di ciascun pacchetto Stateful Inspection: 1 + tiene traccia di alcune relazioni tra i pacchetti che lo attraversano, ad esempio ricostruisce lo stato delle connessioni TCP, e analizza i protocolli che aprono più connessioni .Questo permette ad esempio di riconoscere pacchetti TCP malevoli che non fanno parte di alcuna connessione, o di permettere il funzionamento di protocolli complessi Content Inspection: 2 + effettua controlli fino al livello 7 della pila ISO/OSI, ovvero valutano anche il contenuto applicativo dei pacchetti, ad esempio riconoscendo e bloccando i dati appartenenti a virus o worm noti in una sessione HTTP o SMTPSMTP Proxy o Application Level Gateway (ALG): la configurazione della rete privata non consente connessioni dirette verso l'esterno, ma il proxy è connesso sia alla rete privata che alla rete pubblica, e permette alcune connessioni in modo selettivo, e solo per i protocolli che supporta. una miscela delle varie possibilità AICA © 2005

Politiche di autorizzazione “Tutto ciò che non è espressamente permesso, è vietato” maggior sicurezza più difficile da gestire “Tutto ciò che non è espressamente vietato, è permesso” minor sicurezza (porte aperte) più facile da gestire AICA © 2005

Elementi di base screening router ( choke ) bastion host router che filtra il traffico a livello IP bastion host sistema sicuro, con auditing application gateway ( proxy ) servizio che svolge il lavoro per conto di un applicativo, con controllo di accesso dual-homed gateway sistema con due connessioni AICA © 2005

Livelli di controllo AICA © 2005

Screening router AICA © 2005

Screening router usa il router per filtrare il traffico sia a livello IP che superiore non richiede hardware dedicato non necessita di proxy e quindi di modifiche agli applicativi facile, economico e ... insicuro! AICA © 2005

Dual-homed gateway AICA © 2005

Dual-homed gateway router: bastion host: blocca i pacchetti da LAN a Internet a meno che arrivino dal bastion host blocca i pacchetti da internet a LAN a meno che siano destinati al bastion host eccezione: protocolli abilitati direttamente bastion host: circuit/application level gateway per abilitare selettivamente dei servizi AICA © 2005

Dual-homed gateway più caro da realizzare più flessibilità complicato da gestire: due sistemi invece di uno si può selettivamente allentare il controllo su certi servizi / host si possono mascherare solo gli host/protocolli che passano dal bastion (a meno che il router abbia funzionalità NAT) AICA © 2005

Screened subnet AICA © 2005

Screened subnet DMZ (De-Militarized Zone) sulla rete esterna - oltre al gateway - ci possono essere più host (tipicamente i server pubblici): web accesso remoto ... si può configurare il routing in modo che la rete interna sia sconosciuta soluzione costosa AICA © 2005

Tecnologia dei firewall (static) packet filter stateful (dynamic) packet filter application-level gateway / proxy stateful inspection circuit-level gateway / proxy cutoff proxy AICA © 2005

Packet filter pacchetti esaminati a livello rete (indirizzi IP, porte, protocollo ) Sui router AICA © 2005

Packet filter: pro e contro indipendente dalle applicazioni ottima scalabilità controlli poco precisi: più facile da “fregare” (es. IP spoofing) ottime prestazioni basso costo (disponibile su router e molti SO) arduo supportare servizi con porte allocate dinamicamente es. FTP) configurazione complessa AICA © 2005

Application-level gateway composto da una serie di proxy che esaminano il contenuto dei pacchetti a livello applicativo spesso richiede modifica dell’applicativo client può opzionalmente effettuare il mascheramento / rinumerazione degli indirizzi IP interni nell’ambito dei firewall, normalmente ha anche funzioni di autenticazione massima sicurezza!! (es. contro buffer overflow dell’applicazione target) AICA © 2005

Application-level gateway regole più granulari e semplici rispetto a packet ogni applicazione richiede uno specifico proxy ritardo nel supporto per nuove applicazioni consumo risorse (molti processi) basse prestazioni (processi user-mode) AICA © 2005

Stateful inspection combina le caratteristiche di dynamic packet filter, circuit-level ed application-level gateway può esaminare info a tutti i livelli pacchetti analizzati Tiene traccia delle connessioni aperte Seleziona i pacchetti che ne fanno parte AICA © 2005

Stateful inspection in pratica spesso usato come Stateful Packet Filter per l’eccessivo overhead !!! AICA © 2005

Packet filter & Content inspection Analisi del protocollo Basata sui pacchetti AICA © 2005

Personal Firewall Filtrano il traffico di pacchetti su di una singola macchina, permettendo che solo il traffico permesso raggiunga le applicazioni che sono attive sulla macchina e protegge lo stesso Sistema Operativo. AICA © 2005

Firewall: prodotti commerciali tutti i maggiori produttori offrono un firewall tipicamente su UNIX, talvolta su Windows-NT (ma in questo caso gli cambiano lo stack di rete!) esiste il Firewall Toolkit (FWTK) gratis da TIS (www.tis.com) mattoncini base di tipo application-gateway firewall-fai-da-te IPchains / IPfilter / IPtables sotto Linux packet-filter AICA © 2005

IPtable funziona su tutti i kernel Linux che supportano packet filtering (controllare se esiste il file /proc/net/ip_fwchains) opzioni di configurazione per abilitare il packet filtering sui kernel 2.1/2.2: CONFIG_FIREWALL=y CONFIG_IP_FIREWALL=y il comando ipchains permette di gestire le regole di filtraggio del traffico IP nel kernel AICA © 2005

IPtable Selezione fatta: in base all’header IP Indirizzo IP del destinatario Indirizzo IP del mittente in base alle caratteristiche del protocollo trasportato (TCP, UDP, ICMP) Protocollo TCP, UDP : porta mittente e/o destinataria ICMP : tipo e codice Un altro parametro è l’IFT di rete: di provenienza (distinguo LAN e Internet) di destinazione AICA © 2005

Iptables –A FORWARD –d x.x.x.x/24 –j DROP Esempi Iptables –A FORWARD –d x.x.x.x/24 –j DROP -A (add rule) x.x.x.x : indirizzo della rete alla quale si impedisce l’accesso FORWARD : pacchetto in transito DROP : i pacchetti destinati alla macchina sono scartati senza nessun avviso (con REJECT : invia segnalazioni al mittente) SCARTA TUTTI I PACCHETTI DESTINATI ALLA RETE x.x.x.x IN TRANSITO PER IL FIREWALL AICA © 2005

Iptables –A FORWARD –p tcp –d x.x.x.x --dport 80 –j ACCEPT Esempi Iptables –A FORWARD –p tcp –d x.x.x.x --dport 80 –j ACCEPT -A (add rule) tcp: protocollo utilizzato x.x.x.x : indirizzo della rete alla quale si permette l’accesso FORWARD : pacchetto in transito 80 porta che specifica il servizio ACCEPT PERMETTE DI ACCEDERE AL SERVIZIO WEB AZIENDALE DA INTERNET AICA © 2005

Ordine di valutazione Le prima regola corrispondente al pacchetto viene presa in configurazione Iptables –A FORWARD –d 192.168.1.0/24 –j DROP Iptables –A FORWARD –p tcp –d 192.168.1.2 --dport 80 –j ACCEPT Mai utilizzata AICA © 2005

Ordine di valutazione Permettere esplicitamente il traffico legittimo Bloccare tutto il resto Default deny Ultima regola : Iptables –A FORWARD –j DROP AICA © 2005

Esempio: permettere ai client della LAN aziendale di connetersi a un server web ma non viceversa Iptables –A FORWARD –p tcp –s 192.168.1.0/24 –d 192.168.2.2 --dport 80 –j ACCEPT Permette ai pacchetti in uscita dai client di raggiungere il server web Iptables –A FORWARD –p tcp –s 192.168.2.2 –d 192.168.1.0/24 -tsport 80 --dport 1024:! –syn –j ACCEPT Permette alle risposte del server web di raggiungere i client ma blocca tutti i pacchetti dal server con il flag SYN settato (connessioni diverse dalle risposte) Iptables –A FORWARD –j DROP AICA © 2005

Proxy Proxy per client: Reverse Proxy: Blocco del contenuto attivo del traffico HTTP Blocco dei siti corrispondenti a blacklist (fornite da appositi servizi commerciali) Blocco o quarantena di messaggi e file contenent virus Selezione mediante pattern matching delle URL accessibili Reverse Proxy: proteggono i server da attacchi dei client (distribuiscono il traffico ai server) Filtrano gli indirizzi ed il payload e controllano l'aderenza ai protocolli È un controllo “sintattico”: attenzione agli eccessi di fiducia AICA © 2005

SQUID: nasce come cache proxy Un cache proxy svolge un servizio di memorizzazione locale delle risorse della rete richieste più frequentemente, dove la risorsa è un oggetto a cui si accede attraverso un URL. Viene usato come “seconda linea” per l’accesso a Internet dei browser: INTERNET <= ROUTER PACKET FILTER <= SQUID <= LAN File di configurazione /etc/squid/squid.conf AICA © 2005

File di configurazione: SQUID accetta connessioni solo sull’IFT interna Direttiva: http_port:x.y.z.t:3148 Dove x.y.z.t è l’IP dell’interfaccia interna di Squid e 3184 è la porta su cui aspetta richieste di connessione É bene disattivare ogni altro protocollo relativo alla gestione di gerarchie di cache: #Default: icp_port 0 htcp_port 0 AICA © 2005

File di configurazione: Definire le ACL acl aclname acltype string1 string2 …. #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT AICA © 2005

File di configurazione: applicazione delle ACL http_access deny|allow aclname #Default: # http_access deny all # #Recommended minimum configuration: # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports AICA © 2005

File di configurazione #acl our_networks src 192.168.1.0/24 192.168.2.0/24 #http_access allow our_networks http_access allow localhost # And finally deny all other access to this proxy http_access deny all AICA © 2005

NAT Network Address Translation: molti nomi NAT, PAT, SNAT, DNAT ... Cambia gli indirizzi IP mentre un pacchetto attraversa un router o firewall, ok se nel payload non ci sono riferimenti agli indirizzi, altrimenti ... !!! Si può mascherare (Masquerading) un'intera rete e farla apparire come se fosse solo una macchina AICA © 2005

NAT NAT Statico: solo cambio di 1 IP con 1 altro IP, nessuna sicurezza (le porte TCP non cambiano) Masquerading e PortNAT: molti IP in 1 IP, le porte TCP e UDP cambiano, è la combinazione numero IP + porta che permette di fare le traduzioni, possibile solo in 1 direzione, qualche sicurezza AICA © 2005

NAT Molti protocolli (ftp ecc.) richiedono apertura porte dinamica, moduli apposta che ispezionano contenuto dei pacchetti per aprire porte dinamicamente Solo UDP e TCP permettono di fare PAT o Masquerading AICA © 2005

Esempio Iptables -A POSTROUTING –t nat –o eth0 –p tcp –s 192.168.128.0/24 –j SNAT –to-source x.x.x.x-x.x.x.y Questa regola prende il traffico in uscita sull’interfaccia eth0 e utilizza il NAT per rimappare l’indirizzo mittente privato su un range di indirizzi pubblici (x.x.x.x-x.x.x.y) AICA © 2005

Altri elementi della difesa Network Intrusion Detection System (NIDS) Router Switch Intrusion Prevention System (IPS) Crittografia AICA © 2005

Intrusion Detection System definizione: sistema per identificare individui che usano un computer o una rete senza autorizzazione esteso anche all’identificazione di utenti autorizzati, ma che violano i loro privilegi ipotesi: il “pattern” di comportamento degli utenti non autorizzati si differenzia da quello degli utenti autorizzati AICA © 2005

IDS : Intrusion Detection System Tentano di rilevare: attività di analisi della rete tentativi di intrusione Intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo AICA © 2005

IDS IDS passivi: IDS attivi: uso di checksum crittografiche (confronto con “foto del sistema in uno stato sicuro es. software Tripwire) riconoscimento di pattern anomali (“attack signature”) IDS attivi: “learning” = analisi statistica del funzionamento del sistema “monitoring” = analisi attiva di traffico dati, sequenze, azioni “reaction” = confronto con parametri statistici (reazione scatta al superamento di una soglia) AICA © 2005

Topologie HIDS (host-based IDS) NID (network-based IDS) analisi dei log (del S.O. o delle applicazioni) attivazione di strumenti di monitoraggio interni al S.O. NID (network-based IDS) attivazione di strumenti di monitoraggio del traffico di rete AICA © 2005

Network Intrusion Detection System (NIDS) analizzano il traffico in rete (i sensori sono sniffer senza indirizzo IP) Tipo di analisi: In base a database di attacchi noti Euristiche Reti cognitive Quando analizzare i dati? In tempo reale o successivamente? Reactive IDS (IPS): abbattono le connessioni AICA © 2005

Componenti di un network-based IDS sensor controlla traffico e log individuando pattern sospetti attiva i security event rilevanti interagisce con il sistema (ACLs, TCP reset, ... ) director coordina i sensor gestisce il security database IDS message system consente la comunicazione sicura ed affidabile tra I componenti dell’IDS AICA © 2005

Architettura di un IDS AICA © 2005

HostIDS Verificano tentativi di attacco al singolo sistema Possono esaminare i log del sistema e delle applicazioni Possono verificare lo stato dei file Possono controllare le attività dei processi (es. chiamate di sistema) AICA © 2005

Problemi degli IDS Falsi positivi e falsi negativi Prestazioni Aggiornamento Riconoscimento di nuovi attacchi Attacchi di Input Validation AICA © 2005

SNORT SNORT HA UN’ARCHITETTURA MOLTO COMPLESSA COMPOSTA DA DIVERSI COMPONENTI: il packet decoder che intercetta e decodifica i pacchetti in arrivo; i preprocessori che analizzano i pacchetti individuando quelli potenzialmente dannosi; il detection engine che controlla il pattern matching dei pacchetti con le regole; i componenti di alerting e logging che generano gli allarmi e archiviano i log. AICA © 2005

Snort Snort File di configurazione NIDS mode www.snort.org Richiede libpcap File di configurazione /etc/snort/snort.conf Scaricare dal sito le regole aggiornate /etc/snort/rules Snort –i eth0 –A full –g snort –u snort –c snort.conf –l /var/log/snort AICA © 2005

Servizi Programma (daemon) ascolta pacchetti in arrivo su Indirizzo IP + Protocollo + Porta (o simili). Il SO (stack TCP/IP) passa all' applicativo in ascolto ogni pacchetto di questo tipo che riceve. I servizi sono caratterizzati da un protocollo (di solito TCP o UDP) ed una porta. AICA © 2005

Attacchi dall'esterno Attacchi dall'Interno molti di più e molto peggio! Spesso si aggirano le difese e/o si usa il fattore umano Impossibile offrire servizi e proteggerli allo stesso tempo se i servizi non sono stati progettati in modo sicuro. Debolezza dei protocolli Software progettato senza sicurezza Errori di implementazione (bugs) AICA © 2005

Attacchi dall'esterno Traffico in chiaro LAN/WAN -> SNIFFER SWITCH ben configurati, Cifratura Accesso via WiFi dall' esterno a rete interna Cifratura Inserzione AccessPoint WiFi in rete interna Rete ben protetta e configurata ManinTheMiddle (MTM), session hijacking Protocolli sicuri e crittografia AICA © 2005

Attacchi dall'esterno Furto o scoperta Password Bugs applicativi Sistema multilivello, certificati digitali, token ... Bugs applicativi Costante aggiornamento (in tempo reale!), hardening dei SO, attivazione solo servizi strettamente necessari,Personal Firewall, AV ARP Spoofing (impersonare un'altra macchina in LAN) Bloccare le tavole ARP su server, router, switch AICA © 2005

Attacchi dall'esterno IP Spoofing (dare ad un pacchetto IP come numero sorgente quello di un altro computer) usato per mascherarsi e per DoS, DDoS (se usato insieme a Sniffing diventa un attacco fatto da un altro!) Imporre su tutta la periferia della propria rete rigidi filtri di ingresso e uscita sugli indirizzi IP AICA © 2005

Attacchi dall'esterno EMAIL Spoofing (dare ad un messaggio email come indirizzo mittente quello di un altro) usato da quasi tutti i Virus e per scherzi, truffe, SPAM Crittografia, AntiVirus, AntiSPAM Denial of Service (DoS) di un Servizio (un applicativo può servire al più N clienti alla volta) Limitare il numero di connessioni da un singolo IP, bloccare dinamicamente gli IP che portano l' attacco, aumentare N AICA © 2005

Attacchi dall'esterno DoS SYN Flood (richiedere l'apertura di connessioni TCP senza mai finire il 3way Handshake) di solito unita a IP Spoofing Usare i SynCookies, ridurre i timeout di TCP, aumentare il numero di connessioni semiaperte Denial of Service (DoS) di banda Chiedere al proprio provider di filtrare del traffico prima che giunga a voi AICA © 2005

Attacchi dall'esterno Amplificatore di SMURF (caso particolare del precedente: ping a broadcast di terza rete con IP sorgente di chi è attaccato) Come i precedenti Distributed DoS (attacchi di DoS portati da molte macchine diverse contemporaneamente usando IPSpoofing ecc.) AICA © 2005

Attacchi dall'esterno DoS casella EMAIL (riempimento casella, tipico è SPAM) AntiSPAM, filtri automatici PingofDeath (causa bug SO o stack TCP/IP, un solo pacchetto speciale può bloccare la macchina) Filtri su firewall, patch del SO AICA © 2005

Hardening Scegliere SO che lo permetta Installare il minimo necessario, mai compilatori ecc. Se possibile solo 1 servizio per macchina Tenere copia dei LOG (abbondanti) su altre macchine in tempo reale Installare HIDS e Personal Firewall Accessi solo cifrati AICA © 2005

Sicurezza del servizio DNS Attacchi basati su errori di implementazione Basato su UDP, più facile falsificare indirizzo IP del mittente Raccolta di informazioni sulla rete Intera tabella di associazione nome –IP di un dominio Cache poisoning Inserire dati nella cache di un server dns Redirigere il traffico verso un host ad un server controllato da un attaccante AICA © 2005

Reti peer-to-peer Modalità di accesso ad internet Condivisione delle informazioni locali Problematiche legate alla licenza e al software AICA © 2005

Attivazione di un server HTTPS Apache, OpenSSL, mod_ssl AICA © 2005

Generazione e installazione del certificato per il server Openssl req –new –out server.csr AICA © 2005

Generazione e installazione del certificato per il server Openssl rsa –in privkey.pem –out server.key Openssl x509 –in server.csr –out server.crt –req –signkey server.key –days 365 AICA © 2005

Generazione e installazione del certificato per il server Openssl x509 –in server.crt –out server.dert.crt –outform DER I file server.der.crt e server.key vanno copiati in una directory : /etc/httpd/conf/ssl.csr /etc/httpd/conf/ssl.crt /etc/httpd/conf/ssl.key AICA © 2005

File di configurazione <IfDefine SSL> ## SSL Virtual Host Context NameVirtualHost 10.0.0.32:443 <VirtualHost 10.0.0.32:443> DocumentRoot "/opt/web/gio/10.0.0.32" ServerAdmin giovanni@it-admin.it ServerName nemo.it-admin.it ServerPath /10.0.0.32 ScriptAlias /cgi-bin/ "/opt/web/gio/10.0.0.32/cgi-bin/" ErrorLog /var/log/httpd/apache/10.0.0.32-error_log CustomLog /var/log/httpd/apache/10.0.0.32-access_log common TransferLog /var/log/httpd/apache/10.0.0.32-access_log AICA © 2005

File di configurazione SSLEngine on SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL # Server Certificate: SSLCertificateFile /etc/httpd/ssl.crt/server.2002.crt # Server Private Key: SSLCertificateKeyFile /etc/httpd/ssl.key/server.2002.key # Server Certificate Chain: #SSLCertificateChainFile /etc/httpd/ssl.crt/ca.crt # Certificate Authority (CA): #SSLCACertificatePath /etc/httpd/ssl.crt # Certificate Revocation Lists (CRL): #SSLCARevocationPath /etc/httpd/ssl.crl #SSLCARevocationFile /etc/httpd/ssl.crl/ca-bundle.crl AICA © 2005

File di configurazione # Client Authentication (Type): SSLVerifyClient none # With SSLRequire you can do per-directory access control based # on arbitrary complex boolean expressions containing server # variable checks and other lookup directives. #<Location /> #SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ # and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ # and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \ # and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \ # and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \ # or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/ #</Location> AICA © 2005

Protezione SSL POP2, IMAP, SMTP sono protocolli insicuri Protezione con tunnel SSL 995/tcp per POP3 su SSL 993/tcp per IMAP su SSL 465/tcp per SMTP su SSL AICA © 2005

Creazione di un tunnel SSL Utilizzo di stunnel Disponibile sia sotto windows che linux File di configurazione /etc/stunnel/stunnel.conf Creazione di un certificato per stunnel Server mode: accetta connessioni cifrate su una specifica porta e le invia in chiaro verso una porta non cifrata Client mode: accetta connessioni in chiaro su una specifica porta e le invia cifrate verso una porta remota AICA © 2005

File di configurazione # chroot + user (comment out to disable) # chroot = /var/lib/stunnel/ setuid = stunnel setgid = nogroup pid = /var/run/stunnel.pid #CAfile = /etc/stunnel/certs.pem cert = /etc/stunnel/stunnel.pem AICA © 2005

File di configurazione # [pop3s] # accept = 995 # connect = 110 # [imaps] # accept = 993 # connect = 143 # accept = 993 # exec = /usr/sbin/imapd # execargs = imapd # pty = no # [ssmtp] # accept = 465 # connect = 25 AICA © 2005

Virtual Private Networks VPN basate su IPSEC/IKE Protocollo composto da due parti IPSEC : cifratura e autenticazione dei pacchetti Ha bisogno di un accordo fra i sistemi sulle credenziali da utilizzare (chiave) IKE (Internet Key Exchange) : permette di creare della Security Association (SA) Associano delle credenziali ad un insieme di pacchetti IP IP non è orientato alla connessione SA gestisce traffico da un IP ad un altro (client -> server) Il traffico server->client necessità di un’altra SA Utilizza UDP e la porta 500 AICA © 2005