Autenticazione web con Kerberos

Una delle cose sorprendenti dell’integrazione realizzata da Microsoft è relativa all’autenticazione degli utenti che hanno fatto log-on al dominio Active Directory sugli applicativi Web. Attraverso Internet Information Server (IIS) e il Web browser Microsoft Internet Explorer, l’utente viene riconosciuto trasparentemente, realizzando così un vero e proprio Single Sign-On. La tecnologia usata per effettuare un login dell’utente attraverso il Web è SPNEGO, già descritto nel paragrafo SPNEGO e l’autenticazione Web. Grazie allo sforzo della comunità OpenSource, è possibile utilizzare SPENGO anche su Unix, sia come client che come server Web. In questo capitolo spiegheremo come sia possibile realizzare con Apache l’autenticazione attraverso SPNEGO e Mozilla come client di autenticazione, oltre a vedere più da vicino l’utilizzo di Microsoft Internet Explorer. Continua a leggere

Posta elettronica e Kerberos

L’ultimo passo della nostra dimostrazione è relativo alla posta elettronica: anche in questo caso dobbiamo essere in grado di collegarci con il server di posta elettronica senza dover immettere le credenziali utente. Nel modello Microsoft il mail server Exchange usa un protocollo proprietario incapsulato su NetBIOS ed utilizza un sistema di autenticazione differente, che si basa sempre sul framework di SPNEGO. Il nostro scopo è quello di usare tecnologia Open, basata su standard quali SMTP e IMAP, ma in particolare si è deciso di focalizzarsi sull’autenticazione relativa ad IMAP. È possibile abilitare l’autenticazione GSSAPI anche per alcuni server SMTP, però a causa della scarsa disponibilità di client che supportano questo tipo di autenticazione, si è deciso di implementare la policy relativa all’invio di posta tramite il controllo degli IP address sorgenti. La mancanza di client, soprattutto in ambiente Windows, ha creato numerosi problemi durante la creazione del laboratorio. Esistono infatti numerosi client Unix e MacOS X, ma pochi sono quelli per Windows, probabilmente perchè alcuni sviluppatori Windows considerano Kerberos un qualcosa di troppo “nuovo” e ancora poco conosciuto, mentre altri lo considerano “troppo vecchio”, ignorando che l’intera architettura di Active Directory è basata proprio sul “vecchio” Kerberos. Continua a leggere

Squid

Il proxy server più popolare in internet é Squid. Si tratta di un proxy OpenSource ad alte prestazioni che supporta FTP, gopher, HTTP e HTTPS. Inoltre é dotato di un sistema di Access Control Lists (ACL) che permette di autenticare utenti e abilitare e/o disabilitare determinate URLs. Squid é stato concepito principalmente per ambienti Unix ed é disponibile sul sito Internet http://www.squid-cache.org/, ma esiste un ottimo porting anche su ambiente Windows NT/2000/XP/.NET. In questo paragrafo si intende fornire un esempio di configurazione effettuata con sistema operativo Linux e Windows, che sono tra i più diffusi. Qualsiasi sia il sistema operativo scelto su cui eseguire Squid, si consiglia di eliminare i servizi non usati, quali ad esempio FTP e TELNET su macchine Unix o la condivizione file e stampanti sotto windows: tale processo é detto di hardening. In questi esempi, si assume che l’utente abbia familiarità con gli ambienti operativi e che il server proxy disponga di due interfaccie di rete, una da collegare alla rete interna, l’altra verso la rete wireless. Continua a leggere

Virtualizzazione

Stiamo assistendo alla evoluzione ed implementazione delle tecnologie di virtualizzazione come metodologia di consolidamento dei server dei datacenter. Possiamo considerare però la virtualizzazione anche come un’opportunità per aumentare la sicurezza dei nostri ambienti.

I sistemi di difesa sono sempre stati considerati un’arte sin dagli antichi Romani. Nel medioevo, i manoscritti più preziosi erano protetti da diversi livelli (o in inglese layers) di difesa: erano conservati in castelli che erano sempre posizionati nella collina più alta, circondati da fossati pieni di coccodrilli, nella torre più difficile da raggiungere, e nascosti in una stanza segreta protetta da trappole mortali. Anche se un intruso riesce a penetrare nel primo livello di difesa, più prosegue nel suo attacco, più incontrerà resistenza: in questo modo l’attaccante si stanca e potrebbe non riuscire a superare i livelli di protezione successivi. Anche se i mezzi, gli attaccanti e le cose da proteggere sono cambiate nei secoli, le tecniche di difesa rimangono valide ancora oggi. Continua a leggere

1 2 3 4 5