VPN concentrator con Cisco IOS

Come per l’esempio di CheckPoint FW-1, questo descrive la configurazione di un gateway VPN usando i certificati digitali X.509. I router Cisco non dispongono di una Certification Authority, ma devono appoggiarsi su una CA esterna che supporti il protocollo Simple Certificate Enrollment Protocol (SCEP), come ad esempio Windows 2000, Entrust, VeriSign e OpenCA. Per supportare il servizio di VPN server, è necessario avere una versione di IOS 1.2.(8)T o superiore.

Enrollment del certificato

Il router deve scaricare il certificato digitale nella sua configurazione per permettere l’autenticazione del client. A tale scopo è necessario effettuare il processo di “Enrollment” come nell’esempio seguente: Continua a leggere

IPSec

Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in particolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Prendendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o più semplicemente VPN.

L’IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è stato definito dall’Internet Engineering Task Force già dall’Agosto 1995 attraverso l’RFC 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, affermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le funzionalità di Continua a leggere

CAcert

monitorCACert: una certification authority free

Per rendere piu’ sicura la mia rete Wireless, ho deciso di implementare l’autenticazione del client in modo da generare le chiavi WEP per ogni singolo utente. Per fare questo, ho dovuto installare un RADIUS server ed assegnargli un certificato digitale: solo cosi’, infatti, il RADIUS server e’ in grado di generare una chiave WEP dinamicamente. Ho creato cosi’ una piccola Certification Authority per gestire i miei certificati digitali. In poco tempo pero’ mi sono reso conto che gestire una piccola CA e’ oneroso e non si giustificava per pochi certificati digitali. Continua a leggere

Come Attivare l’ “IP Forwarding” sotto linux

3128787858Per impostazione predefinita tutte le moderne distribuzioni Linux hanno l’ipforwarding disabilitato. Di solito questo è una buona idea poiché nella maggior parte dei casi non si ha bisogno di inoltrare pacchetti, ma se stiamo allestendo un router Linux/gateway o forse un server VPN (PPTP o IPSec) o solo un semplice server dial-in dovremmo abilitarlo. Questo può essere fatto in diversi modi che presenterò qui sotto.

1.Verifica se l’inoltro dei pacchetti è già abilitato.

Dobbiamo ricercare il valore kernel sysctl net.ipv4.ip_forward per vedere se l’invio è abilitato o meno,usare comando sysctl:

Continua a leggere