IPSec

Nel Giugno del 1994 la Internet Architecture Board (IAB) ha espresso, attraverso un documento (RFC 1636), la necessità di una migliore sicurezza in Internet, in particolare ha espresso la necessità di colmare le lacune del protocollo TCP/IP. Prendendo spunto da tale documento, sono state studiate e sviluppate delle tecnologie per rendere la comunicazione tra varie aziende sicura su un canale non sicuro quale Internet. Queste tecnologie sono meglio conosciute come Virtual Private Network o più semplicemente VPN.

L’IP Security Protocol, conosciuto come IPSec, è oggi la tecnologia più diffusa per lo scambio sicuro di dati tra aziende, o più comunemente fra due computer. IPSec è stato definito dall’Internet Engineering Task Force già dall’Agosto 1995 attraverso l’RFC 1825: sono passati otto anni da allora e IPSec è cresciuto notevolmente, affermandosi nel mercato come lo standard per la VPN, e fornendo al TCP/IP le funzionalità di Continua a leggere

IEEE 802.1x e Wireless LAN

Lo standard IEEE 802.1x é nato soprattutto per sopperire alla mancanza di autenticazione delle reti Wireless, ma i loro creatori hanno esteso il concetto di autenticazione anche per le reti tradizionali. Si pensi ad esempio ad un visitatore che entra nell’azienda e collega il suo portatile ad una presa ethernet: questa persona non deve avere gli stessi diritti di accesso alla rete di un amministratore di sistema. Il sistema 802.1x é un “Port-based access control mechanism”, ovvero un sistema in grado di autenticare un utente collegato ad una determinata porta ethernet.

Al fine di poter identificare e autorizzare l’utente finale IEEE ha scelto di incapsulare su ethernet il protocollo Extensible Autentication Potocol. EAP é un framework di autenticazione inizialmente pensato per il Point-to-Point Protocol (PPP) che supporta differenti schemi di autenticazione. EAP non definisce uno specifico metodo di autenticazione, bensì permette di negoziare il protocollo di autenticazione tra i due interlocutori, ovvero l’utente e il server di autenticazione (tipicamente Radius). Sono stati definiti alcuni schemi di autenticazione EAP, i più famosi dei quali sono: MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM e AKA. Vediamone alcuni in dettaglio. Continua a leggere

Radius client

L’ultimo passo per la configurazione di IEEE 802.1x é quello di installare e configurare il client. Solo nelle recenti versioni dei sistemi operativi, quali ad esempio Windows XP é incluso un client per questo protocollo, mentre per altri sistemi operativi é necessiario disporre di un client separato, sia esso commerciale od OpenSource. Nei prossimi paragrafi verranno descritti tali client, assumendo che l’amministratore abbia buona familiarità con la configurazione del sistema operativo e della configurazione dei certificati digitali (per Windows XP).

Esempio con Windows XP e Windows 2000

Come accennato in precedenza, Windows 2000 e Windows XP sono attualmente gli unici sistemi operativi che dispongono del protocollo IEEE 802.1x. Su Windows 2000 è però necessario installare l’apposito client descritto Microsoft Knowledge Base Article numero 313664 e scaricabile gratuitamente sul sito internet http://support.microsoft.com/default.aspx?scid=kb;en-us;313664. Vedremo negli esempi successivi la configurazione attraverso Windows XP, che differisce da Windows 2000 dalla gestione nativa delle chiavi WEP e di WPA. Si assume che l’amministratore di sistema o l’utente abbia già scaricato ed installato il proprio certificato digitale X.509. Continua a leggere

Auditing reti wireless

monitorUno dei principali meccanismi per conoscere lo stato del proprio livello di sicurezza è quello dell’audit. L’audit non viene eseguito una sola volta, ma è un processo che si ripete a cicli periodici, attraverso il quale gli amministratori di sistema e di rete possono capire la differenza fra il livello attuale di sicurezza e quello descritto nella policy aziendale, in modo da intervenire di conseguenza.

Analogamente, l’attività di auditing per le wireless LAN è un elemento chiave per verificare che la propria infrastruttura sia conforme alle proprie policy, che i parametri di configurazione siano stati impostati correttamente e che il segnale radio sia effettivamente limitato all’area che si intende coprire. È importante sottolineare che attraverso l’auditing è anche possibile rilevare eventuali Access Point non autorizzati che sono collegati alla rete aziendale: si provi ad immaginare ad esempio i possibili problemi di sicurezza legati ad un Access Point che un utente abbia collegato alla rete interna per sua “praticità”. Continua a leggere

1 2 3