Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
Introduzione a VPN Ing. Gianpiero Ciacci
2
Definizione VPN (virtual private network) è una rete di telecomunicazioni privata, instaurata tra soggetti che utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso. (fonte wikipedia)
3
VPN su internet
4
PROTEZIONE Crittografia Password
5
Scitala spartana Crittografia per trasposizione
Striscia di pergamena avvolta attorno ad una bacchetta Plutarco, Vita di Lisandro
6
Cifrario di Cesare Cifratura Decifratura BENVENUTI FIRZIRYXM BENVENUTI
+4 Cifratura FIRZIRYXM -4 Decifratura BENVENUTI
7
Cifrario di Vigenère (1586)
8
Telegramma Zimmermann (1917)
16 gennaio 1917 telegramma dal Ministro degli Esteri dell'Impero tedesco, Arthur Zimmermann all'ambasciatore tedesco in Messico, Heinrich von Eckardt decrittato dall’ammiraglio inglese William Hall 21 febbraio consegnato a ambasciatore americano a Londra 2 marzo deposizione dello Zar di Russia 3 marzo Trattato di Brest-Litovsk – uscita della Russia dalla guerra 6 aprile entrata in guerra Stati Uniti 14 aprile rifiuto del presidente messicano Carranza a Zimmermann
9
Enigma
10
Cifrario di Vernam Unico cifrario con la sicurezza dimostrata matematicamente (Shannon, 1949) Chiavi monouso di lunghezza pari al messaggio da cifrare (spie nella guerra fredda con taccuini con una lunga chiave per ogni pagina, da strappare dopo l’uso)
11
Algoritmi a chiave simmetrica
Mittente e destinatario condividono la stessa chiave per cifrare/decifrare il messaggio e deve esistere un sistema sicuro per scambiarsi la chiave segreta Esempio di algoritmi: DES, 3DES, AES 𝑆 𝑃,𝑘 =𝐶 𝐷 𝐶,𝑘 =𝑃 S = algoritmo di crittazione a chiave simmetrica D = algoritmo di decrittazione a chiave simmetrica P = Plain text message k = key C = Cypher text message
12
Algoritmi a chiave asimmetrica
La chiave pubblica viene usata da chiunque per cifrare il messaggio, ma solo il destinatario con la corrispondente chiave privata può decifrarlo Esempio di algoritmo: RSA Basata su difficoltà della fattorizzazione Dati A e B di centinaia di cifre, ottenere C=A*B è facile e veloce, ma partire da C per ottenere A e B richiede enorme potenza di calcolo e tempo
14
Password Buone linee di condotta per la password:
scegliere le password di lunghezza adeguata numero sufficiente di lettere, numeri e caratteri speciali evitare parole di sport, compleanni, nomi comuni, hobby, marche e film evitare di condividerle modificarle con regolarità Scegliere password diverse per servizi diversi. Software di gestione delle password.
15
Password più usate (2016) 123456 666666 123456789 18atcskd2w qwerty
1q2w3e4r 111111 654321 555555 3rjs1la7qe password google 123123 1q2w3e4r5t 123qwe qwertyuiop zxcvbnm Mynoob 1q2w3e 123321 Ricerca condotta su 10 milioni di password da Keeper Security. Le 25 password più comuni rappresentano il 50% dell’intero campione Tool di controllo password
16
Host to LAN VPN (H2L) Connessioni tra diverse locazioni senza bisogno di linee dedicate Sicurezza nelle comunicazioni Flessibilità d’uso per utenti remoti, indipendenza dal luogo fisico di lavoro Risparmio di tempo e spese per utenti remoti Aumento di produttività Software per la connessione
17
Caratteristiche VPN H2L
Sicurezza – i dati sono protetti nel transito su reti pubbliche tramite crittografia Affidabilità – le connessioni sono semplici, senza vincoli di orario e senza decadimento di prestazioni fino al massimo numero di utenti Scalabilità – le prestazioni possono essere aumentate al bisogno potenziando l’hardware o la banda disponibile
18
LAN to LAN VPN (L2L) Rende disponibili macchine e servizi di una sede ad utenti di altre sedi Intranet o Extranet Nessuna necessità software dedicato sui PC degli utenti Hardware dedicato Intranet – una società ha più sedi geograficamente separate e le può unire in un’unica rete mediante una serie di VPN tra le varie sedi Extranet – un’azienda che ha rapporti stretti con altre aziende può collegarle tra loro mediante VPN, mantenendo separate le rispettive intranet
19
Navigazione con VPN
20
Hardware NAS – Network Access Server Firewall
AAA Server (Authentication, Authorization, Accounting) RADIUS (Remote Authentication Dial-in User Service)
21
Crittografia e protocolli VPN
Internet Protocol SECurity (IPSec) Generic Routing Encapsulation (GRE)
22
IPSec Collezione di protocolli layer 3
Implementare lo scambio delle chiavi per realizzare il flusso crittografato tramite protocollo IKE (Internet Key Exchange) Fornire la cifratura del flusso di dati: Authentication Header (AH) Encapsulating Security Payload (ESP). AH fornisce autenticazione e integrità del messaggio, ma non offre la confidenzialità ed è il protocollo IP 51. ESP fornisce invece autenticazione, confidenzialità e controllo di integrità del messaggio ed è il protocollo IP 50. Per questi motivi ESP è molto più usato di AH.
23
Modalità IPSec Transport mode connessione host-to-host;
usato dagli end-point, non dai gateway; in caso di cifratura, viene cifrato solo il payload dei datagrammi IP, non l'header; computazionalmente leggero; ogni host che vuole comunicare deve avere tutto il software necessario ad implementare IPsec; si aggiunge solo l'header IPsec; gli indirizzi mittente e destinatario degli end-point sono rilevabili.
24
Modalità IPSec Tunnel mode connessione gateway-to-gateway;
in caso di cifratura, viene cifrato tutto il pacchetto IP originale; utilizzato per realizzare le VPN; computazionalmente oneroso; solo i gateway devono avere il software IPsec; si hanno punti di centralizzazione, quindi single point of failure;
25
GRE Generic Routing Encapsulation
Tunnel GRE incapsulano protocolli incompatibili con reti intermedie all’interno di altri compatibili (es. AppleTalk all’interno di rete IP-only o IPv4 su rete IPv6) Semplice da configurare, ma mancano meccanismi di controllo del flusso e di sicurezza Gestione del traffico multicast
26
Protocolli VPN H2L Le VPN H2L si basano sul PPP (Point to Point Protocol) layer 2 L2F (Layer 2 Forwarding) - Sviluppato da Cisco; utilizza tutti gli schemi di autenticazione del PPP PPTP (Point-to-point Tunneling Protocol) - Supporta crittografia a 40-bit and 128-bit e tutti gli schemi di autenticazione del PPP L2TP (Layer 2 Tunneling Protocol) – combina caratteristiche dei PPTP e L2F e supporta IPSec; si applica anche a VPN L2L
27
OpenVPN Software open source per per creare tunnel crittografati punto-punto fra i computer host. Autenticazione con: chiave privata condivisa Certificato digitale Username/password Usa librerie OpenSSL e protocollo SSL/TLS Porta TCP/UDP 1194 Non compatibile con IPSec
28
Installazione Zeroshell
Preparazione pendrive USB Boot da USB IP del PC in classe /24 Accesso su Creazione e attivazione profilo Reboot IP interfacce (ETH00 LAN, ETH01 WAN) Default gateway NTP Accesso HTTPS e SSH DHCP su ETH00 NAT su ETH01 DNS forwarders Proxy e Firewall
29
VPN L2L OpenVPN Verifica certificati X.509 CA IP remote host Porta
TCP/UDP Server/Client Compression & Encryption PSK Parametri (--cipher AES-256-CBC) Certificato Static Routes
30
VPN H2L OpenVPN Client OpenVPN su PC File di configurazione Parametri
IP Port TCP/UDP Certification Authority Certificato Private Key Source NAT
31
Esempio file .ovpn remote xxx.xxx.xxx.xxx 1194 proto tcp auth-user-pass comp-lzo verb 3 mute 20 resolv-retry infinite nobind client dev tap persist-key persist-tun <ca> -----BEGIN CERTIFICATE----- MIIDtDCCApygAwIBAgIBADANBg…… -----END CERTIFICATE----- </ca> <cert> MIIDIDCCAgigAwIBAgIBAzANBg…… </cert> <key> -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEAr6u7DpkTI…… -----END RSA PRIVATE KEY----- </key>
32
Schema VPN L2L Router Org.Ing. ZS Ing Notebook ZS UPS Switch AP .254
.139 /24 ZS Ing .1 /24 .1 Notebook /30 .2 ZS UPS .1 .2 Switch /24 .3 AP /24
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.