Creazione di una rete vpn con openvpn

“Una Virtual Private Network o VPN è una rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso come per esempio Internet. Lo scopo delle reti vpn è di dare alle aziende le stesse possibilità delle linee private in affitto ad un costo inferiore sfruttando le reti condivise pubbliche (wikipedia)”.

Le reti vpn sono un ottimo strumento per connettere reti lan tramite internet in maniera totalmente sicura ed economica inoltre sono estramementi semplici da realizzare, gli scenari che offre una vpn sono molteplici, eccone alcuni:

Continua a leggere

VPN concentrator con Cisco IOS

Come per l’esempio di CheckPoint FW-1, questo descrive la configurazione di un gateway VPN usando i certificati digitali X.509. I router Cisco non dispongono di una Certification Authority, ma devono appoggiarsi su una CA esterna che supporti il protocollo Simple Certificate Enrollment Protocol (SCEP), come ad esempio Windows 2000, Entrust, VeriSign e OpenCA. Per supportare il servizio di VPN server, è necessario avere una versione di IOS 1.2.(8)T o superiore.

Enrollment del certificato

Il router deve scaricare il certificato digitale nella sua configurazione per permettere l’autenticazione del client. A tale scopo è necessario effettuare il processo di “Enrollment” come nell’esempio seguente: Continua a leggere

IPSec

Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in particolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Prendendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o più semplicemente VPN.

L’IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è stato definito dall’Internet Engineering Task Force già dall’Agosto 1995 attraverso l’RFC 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, affermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le funzionalità di Continua a leggere

Posta elettronica e Kerberos

L’ultimo passo della nostra dimostrazione è relativo alla posta elettronica: anche in questo caso dobbiamo essere in grado di collegarci con il server di posta elettronica senza dover immettere le credenziali utente. Nel modello Microsoft il mail server Exchange usa un protocollo proprietario incapsulato su NetBIOS ed utilizza un sistema di autenticazione differente, che si basa sempre sul framework di SPNEGO. Il nostro scopo è quello di usare tecnologia Open, basata su standard quali SMTP e IMAP, ma in particolare si è deciso di focalizzarsi sull’autenticazione relativa ad IMAP. È possibile abilitare l’autenticazione GSSAPI anche per alcuni server SMTP, però a causa della scarsa disponibilità di client che supportano questo tipo di autenticazione, si è deciso di implementare la policy relativa all’invio di posta tramite il controllo degli IP address sorgenti. La mancanza di client, soprattutto in ambiente Windows, ha creato numerosi problemi durante la creazione del laboratorio. Esistono infatti numerosi client Unix e MacOS X, ma pochi sono quelli per Windows, probabilmente perchè alcuni sviluppatori Windows considerano Kerberos un qualcosa di troppo “nuovo” e ancora poco conosciuto, mentre altri lo considerano “troppo vecchio”, ignorando che l’intera architettura di Active Directory è basata proprio sul “vecchio” Kerberos. Continua a leggere

1 2