Microsoft Internet Authentication Service (IAS)

L’esempio successivo descrive la configurazione di un RADIUS basato su tecnologia Windows. Per poter installare tale server é necessario avere installato Windows 2000 Server con Service Pack 3 o superiore, oppure Windows 2003 Server. Si assume che:

  • il server DHCP sia già stato installato, o che esista già un server DHCP disponibile
  • il certificato del server sia già installato e che l’utente abbia familiarità con gli strumenti di amministrazione degli utenti e di rete
  • l’utente abbia familiarità con i tools di amministrazione

Per installare il RADIUS server, é necessario aprire il pannello di controllo ed eseguire Add/Remove Programs. Selezionare successivamente Add/Remove Windows Components e dalla categoria Networking Services selezionare Internet Authentication Service. Continua a leggere

FreeRADIUS

Gli ambienti Unix sono tra i più usati come RADIUS server e uno dei software più popolari é FreeRADIUS. Tale software é compatibile con molte piattaforme Unix tra cui Linux, Solaris e Aix, ed é incluso in alcune distribuzioni Linux. É necessario verificare se la propria distribuzione Linux o il proprio sistema operative dispone di FreeRADIUS. Qualora non fosse disponibile, i sorgenti del programma possono essere scaricati dal sito http://www.freeradius.org/.

Per compilare FreeRADIUS nella maniera corretta, bisogna prima eseguire lo script ./configure con i parametri desiderati e poi modificare il file Makefile nella sottodirectory src/modules/rlm_eap/types/rlm_eap_tls/ alterando i seguenti Continua a leggere

La scelta implementativa di SE-linux

Ho voluto realizzare un compromesso tra sicurezza e manutenibilità del sistema. Nei sistemi di derivazione Red Hat, ovvero Fedora, CentOS e Red Hat Enterprise Linux, esistono due tipologie di policy preconfezionate disponibili con la distribuzione: la targeted e la strict. La modalità targeted ha il compito di proteggere e confinare i daemons, lasciando aperto tutto quello che non è esplicitamente confinato (quello che non è esplicitamente confinato è chiamato anche unconfined_t). Nella modalità strict ogni singolo programma e ogni singolo “ambiente” è confinato, dovendo impostare delle regole di abilitazione (si chiamano domain transition).

Sono stato combattuto tra quale delle due modalità utilizzare: sicuramente la prima è più facile da gestire, ma ha dei problemi a “confinare” i system administrators, mentre la seconda offre una sicurezza senza dubbio maggiore a livello militare, ma necessita di una preparazione sistemistica notevole, che normalmente operatori non hanno. Continua a leggere

Protezione dei files con SE-Linux

Un sistema ad accesso mandatorio, quale SE-Linux, permette di proteggere in maniera esaustiva un computer contenente files e dati sensibili. La sua gestione è però molto onerosa in quanto è necessario possedere delle solide conoscenze non solo dell’ambiente Linux, ma anche di sicurezza, sistemi mandatori e come funziona al suo interno SE-Linux. Spesso però da un lato non si necessita di tanta sicurezza, dall’altro non si dispone di sufficiente personale altamente specializzato per riuscire a gestire sistemi con dati sensibili. Questo whitepaper, basato su un caso reale, vuole illustrare una metodologia che coniuga alta sicurezza con una gestione di un ambiente unix non differente da quella tradizionale. Il documento si rivolge agli amministratori di sistema che abbiano solide basi di Linux e di sicurezza informatica, con una conoscenza di base di SE-Linux. Continua a leggere

1 9 10 11 12 13 25