Openswan HOWTO. ESP (rfc2406): Encapsulating Security Payload garantisce la privatezza e l'integrità di un pacchetto cifrando il contenuto di esso

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Openswan HOWTO. ESP (rfc2406): Encapsulating Security Payload garantisce la privatezza e l'integrità di un pacchetto cifrando il contenuto di esso"

Transcript

1 Openswan HOWTO Introduzione Realizzare una VPN (Virtual Private Network), collegando due network remoti attraverso la tecnologia del tunneling è oramai un pratica comune. Molti sono i software che permettono di effettuare una connessione tra due reti e incapsularla in un tunnel. In ambiente GNU/Linux ci sono molte soluzione come Vtund oppure Openvpn, ma sicuramente una di quelle che sono considerate più complete ed affidabili è Openswan, naturale evoluzione del progetto FreeSwan, che consente di utilizzare il protocollo IPSec (IP Securety), per la cifratura dei dati in transito. In effetti una VPN deve consentire di salvaguardare: Riservatezza permette che un dato sia ricevuto e leggibile solo e soltanto dal destinatario dello stesso, rendendo inutile il tentativo di intercettazione da parte di terzi. Integrità deve consentire di poter verificare l autenticità dei dati ricevuti verificandone l integrità all arrivo. Autenticazione Deve permette di verificare con certezza l'identità del mittente secondo le logiche del meccanismo di autenticazione della doppia chiave asimmetrica (pubblica-privata). Tutte queste caratteristiche sono implementate dall IPSEC che fornisce un set di estensioni al protocollo IP che permettono la crittazione di dati oltre all implementazione delle tre caratteristiche sopra elencate. IPSEC è composto da tre protocolli principali: IPsec è composto da una parte che si occupa del mantenimento di un canale sicuro per la trasmissione dei dati e da una seconda parte che si occupa dello scambio di chiavi. AH (rfc2402): Authentication Header Consente l'autenticazione di un pacchetto crittografando con un algoritmo forte l'header IP del pacchetto stesso ESP (rfc2406): Encapsulating Security Payload garantisce la privatezza e l'integrità di un pacchetto cifrando il contenuto di esso IKE: Internet Key Exchange E responsabile della negoziazione tra i parametri di connessione. Esistono diversi campi di applicazioni in cui utilizzare una connessione del tipo VPN IPSEC: Connessione tra Network separati: quando si vogliono connettere in modo diretto, ma sicuro, due network separati dalla rete internet. In questo modo la connessione avviene tra due nodi (VPN Gateway) che permetto alle due reti di agire come se fossero collegate fisicamente.

2 Connessione diretta tra sistemi: spesso si può utilizzare anche una connessione in VPN del tipo point to point per connettersi ad un altro host in modo sicuro, attraverso un canale non sicuro come le rete internet Connessione client VPN ad un VPN gateway: quando si connette uno o più client ad un gateway in grado di gestire simultaneamente più tunnel. In questo caso si parla di connessioni Road Warrior", connessione tipica di client o notebook che si collegano da una rete esterna non fidata. Installazione di OpenSWAN OpenSWAN è il progetto che eredita il lavoro del Team che ha sviluppato il suo progenitore ovvero FreeSwan. Esiste anche un altra evoluzione, StrongSwan con caratteristiche leggermente diverse. In realtà dalla versione 2.6.x del kernel abbiamo il supporto nativo per ipsec grazie al progetto KAME. Ecco perché FreeSWAN è terminato evolvendosi in OpenSWAN e strongswan, due soluzioni in grado di utilizzare i certificati X.509. La particolarità di strongswan risiede nella possibilità di gestire anche i certificati di revoca. Openswan utilizza come algoritmi di crittografia AES e 3DES, mentre strongswan supporta anche Serpent, Blowfish, Twofish. Dal punto di vista pratico il pacchetto di OpenSWAN, consiste in una patch del kernel che permette di compilare il modulo ipsec.o. La sua applicazione è semplice e non richiede la ricompilazione completa del kernel e neppure il riavvio del sistema. Inoltre Open S/WAN contiene all interno del suo codice la Nat-Transversal patch, indispensabile per oltrepassare un punto di NAT (ad esempio un router), grazie all incapsulamento delle comunicazioni all'interno di un flusso UDP. Infatti questa patch consente di realizzare un tunnel se ci si trova in questa condizione: Local Subnet <--> Internet <--> Gateway <--> Local Subnet Questa operazione è indispensabile nel caso in cui non sia il router (gateway) della nostra rete a gestire la VPN, ma un host alle sue spalle all interno della rete stessa. Il sito ufficiale è mentre per strongswan Per poter applicare la patch al kernel occorre prima scaricare la versione LATEST del pacchetto oltre alle MATH Library che sono richieste: wget wget (richieste) tar xvfz openswan-2.3.0dr2.tar.gz cd openswan-2.3.0dr2 A questo punto dalla source directory di openswan compilare i tools e il modulo ipsec.o: make KERNELSRC=/usr/src/linux-2.4 programs module Come root per installare i tools in userspace il modulo ipsec.o: make KERNELSRC=/usr/src/linux-2.4 install minstall Su Slackware 10 con kernel si sono verificati dei problemi di compilazione. Se li aveste anche voi li potete risolvere in questo modo: Editare programs/makefile, e rimuovere la vice 'starter' dalla direttiva SUBDIRS += line

3 A questo punto siamo pronti per configurare ed installare il servizio IPSEC. Schema Prima di configurare il tunnel e fare tutte le verifiche necessarie cerchiamo di capire come sarà strutturata la nostra rete unita dal tunnel. Per poter verificare con sicurezza l instaurarsi ed il funzionamento del tunnel o si hanno ha disposizione due punti in due network distinti separati da internet, su cui lavorare liberamente, oppure si creano due subnetwork in rete locale e si mettono in mezzo i due punti del tunnel. Per effettuare una test completo ho effettuato quest ultima operazione: LATO SINISTRO (left) vpnl Sottorete /24 Client della sottorete /32 LATO DESTRO (right) vpnr Sottorete /24 Client della sottorete /32 Configurazione Prima di vedere come configurare il sistema occorre specificare il metodo di autenticazione che vogliamo utilizzare. Si possono usare metodi diversi: Pre -shared keys RSA keys

4 X.509 certificates Nel nostro caso useremo le chiavi RSA che dovranno essere scambiate tra i sistemi, aggiungendole al file di configurazione. Adesso possiamo configurare due nodi allo stesso modo. La procedura prevede: Procedura 1. Creazione chiavi e scambio tra i due nodi 2. Configurazione ipsec.conf per entrambi i nodi 3. Avvio di ipsec tra i due nodi 4. Test sul traffico tra i due nodi LEFT RIGHT <----INTERNET/LAN----> vpnl vpnr Generazione delle Chiavi RSA su entrambi i nodi (Autenticazione con Preshared keys) Per prima cosa occorre creare le chiavi RSA sui due nodi tunnel ed inserirle nel file di configurazione (ipsec.conf) che andrà copiato uguale su entrambi i sistemi: newhostkey --output - >>/etc/ipsec.secrets newhostkey --output - >>/etc/ipsec.secrets #ipsec.secrets : RSA { # RSA 2192 bits vpnl Sat Oct 23 13:09: # for signatures only, UNSAFE FOR ENCRYPTION #pubkey=0saqn6ujisbxxb6yirw4xxpvfzu7jjj0drev85z1ap474fvnj5kiq864yiz4onhp812wntf8+bshq18ljgs6tgxd qyjbhzyzr6gbobswr/9mzi/zsg4d TkI9B9dzZlBaLJ50O4obXNdUU52AtVtv93ad63GBHIU5Q9iCb18QNz2YNZRr2ytFneUWM0ppSN0x3MjcdZYDl6RYCiejnE51 XEbf6HfEQhJqFgDOox0CiLL3g+mM/YpQzQJk nlhys3qouo4b8nzyedrwvyzbpjvv7hqia5gi/ikmb2pgtxucc80o0bssprl8fcc3ez5bgygsauy3l4nccpxa6valn6w2y2//u 9F65NqocH7lG3lNuYOa4fEZIJ La chiave pubblica segue la direttiva pubkey e va inserita nel file ipsec,conf con le direttive leftrsasigkey e rightrsasigkey. Verifica delle Chiavi Possiamo verificare le chiavi sui due sistemi: ipsec showhostkey --left # RSA 2192 bits vpnl Sat Oct 23 13:09: lefttrsasigkey=0saqn6ujisbxxb6yirw4xxpvfzu7jjj0drev85z1ap474fvnj5kiq864yiz4onhp812wntf8+bshq18ljgs6tg xdqyjbhzyzr6gbobswr/9mzi/zsg4dtki9b9dzzlbalj50o4obxnduu52atvtv93ad63gbhiu5q9icb18qnz2ynzrr2ytfne UWM0ppSN0x3MjcdZYDl6RYCiejnE51XEbf6HfEQhJqFgDOox0CiLL3g+mM/YpQzQJknlhys3QoUo4B8nzyedRwVyZbPjvV7H qia5gi/ikmb2pgtxucc80o0bssprl8fcc3ez5bgygsauy3l4nccpxa6valn6w2y2//u9f65nqoch7lg3lnuyoa4fezij

5 ipsec showhostkey --right # RSA 2192 bits vpnr Sat Oct 23 17:21: rightrsasigkey=0saqnjjujbdjtywc9pcmkuyms6zeyftrda2mzpx5zgye00883dwojwimufb82dak+3becbnnci8uky294d b5scwbfvwgoqal9rm37t0zocnufcbnka3plfj8whlqihao8zz9joerthijz9edwpn6brx+ab2qfcmtpybdaf2g6+h5he+jag qnspsymq+2xtmaonijvi/yanqtiqg9rk4adta9xgdznmj4ht6roy6qvip5ntfdpvwwky+y2v04ainbnd35sw3lrnts02qxf 69F9ehQWWa8aF9Zun2eSXquMixUk2gBfAdozQDCxUH7aEBtKzduHU9F53pZsyYemh7eVnXWUIrMVkd2nWJWM9VuIWlJ1i Wv4z Configurazione per entrambi i punti A questo punto abbiamo tutti gli strumenti per configurare il tunnel: #ipesec.conf version 2.0 config setup interfaces=%defaultroute forwardcontrol=yes klipsdebug=all plutodebug=all conn tunnel #LEFT - vpnl left= leftrsasigkey=0saqn6ujisbxxb6yirw4xxpvfzu7jjj0drev85z1ap474fvnj5kiq864yiz4on Hp812wNTF8+bshQ18LjGs6TgxDqYjbHzYZr6GbOBsWr/9MZ$ leftsubnet= /24 leftnexthop= #RIGHT - vpnr right= rightrsasigkey=0saqnjjujbdjtywc9pcmkuyms6zeyftrda2mzpx5zgye00883dwojwimuf B82dAk+3BeCbnNCI8uKy294db5SCwbfvwgoqaL9rm37t0zoCnu$ rightsubnet= /24 rightnexthop= auto=start Il file di configurazione risulta diviso in 3 parti: Nelle prime due sezioni vengono impostati i parametri di carattere generale. Quello più importante è la direttiva interface che definisce quale sia l interfaccia utilizzata per collegarsi verso l esterno e dunque per impostare il tunnel. In genere l interfaccia scelta è quella che consente la connessione ad internet, può essere l eth0 in caso di connessione via linea dedicata (CDN o ADSL) oppure ppp0 o ippp0 in caso di connessioni PSTN o ISDN. La terza sezione invece è quella proprio specifica per la configurazione dei due lati del tunnel (left e right). Le direttive nel dettaglio: conn: attraverso questa direttiva si specifica il nome scelto per la connessione che vogliamo realizzare; leftid: è il nome completo del dominio della prima macchina; leftrsasigkey: è la chiave pubblica della prima macchina, deve essere copiato dal file /etc/ipsec.secrets nel quale è identificata dalla variabile pubkey;

6 left: è l indirizzo IP pubblico della prima macchina, cioè quello pubblicamente visibile da internet. leftsubnet: è la subnetmask della rete alle spalle della macchina di sinistra (left) leftnexthop: è l indirizzo del gateway della rete, ovvero l IP del primo sistema attraverso cui transitano i pacchetti destinati verso internet. auto: definisce il metodo con cui la VPN deve essere attivata. Impostandolo su start la VPN si attiva automaticamente al boot del sistema attraverso gli script nella /etc/rc.d/init.d. Gli stessi identici parametri vanno impostati per la macchina posta sul lato destro (right), per la quale vengono impostate le direttive: rightid rightrsasigkey right rightsubnet rightnexthop Ovviamente le stesse impostazioni di configurazione devono essere fatte per l altro sistema per il quale basta utilizzare lo stesso identico file. Nel caso avessimo voluto usare le Pre Shared Keys (PSK) avremmo potuto semplicemente creare una chiave con il comando: ipsec ranbits --continuous 128 0x37f6976b608f4cf306593c045accec07 Il file ipsec.secrets deve essere modificato in questo modo: IP-nodo1 IP-nodo2 : PSK "chiave creata" Nel mio caso: : PSK 0x37f6976b608f4cf306593c045accec07 La configurazione del file ipsec,conf cambia in questo modo: #ipesec.conf version 2.0 config setup interfaces=%defaultroute forwardcontrol=yes klipsdebug=all plutodebug=all conn tunnel authby=secret #LEFT - vpnl left= leftsubnet= /24 leftnexthop= #RIGHT - vpnr right= rightsubnet= /24 rightnexthop=

7 auto=start Questa configurazione è ancora più semplice da mettere in pratica. Il terzo sistema prevede l uso dei certificati, ma per motivi di tempo non è stato incluso in questo documento. Avvio/Arresto Prima di avviare ipsec controlliamo che siano presenti tutti gli elementi di sistema ed i moduli necessari per poter utilizzare pienamente le sue funzioni. Per fare questo possiamo utilizzare il comando: ipsec verify Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path Linux Openswan 2.3.0dr2 (klips) Checking for IPsec support in kernel Checking for RSA private key (/etc/ipsec.secrets) Checking that pluto is running Two or more interfaces found, checking IP forwarding Checking NAT and MASQUERADEing Checking for 'ip' command Checking for 'iptables' command Opportunistic Encryption DNS checks: Looking for TXT in forward dns zone: vpnl [MISSING] Does the machine have at least one non-private address? [FAILED] Per superare la verifica ho dovuto caricare il moduli per il NAT ed ablilitare l IP forwarding modprobe iptable_nat sh /etc/rc.d/rc.ip_forward start Adesso possiamo avviare effettivamente ipsec e successivamente verificare la corretta instaurazione del tunnel: /etc/rc.d/init.d/ipsec --stop ipsec_setup: Stopping Openswan IPsec... /etc/rc.d/init.d/ipsec --start ipsec_setup: Starting Openswan IPsec 2.3.0dr2... ipsec_setup: Using /lib/modules/ vs1.28/kernel/ipsec.o /etc/rc.d/init.d/ipsec status IPsec running pluto pid tunnels up Il tunnel può anche essere attivato manualmente nel caso in cui nei file di configurazione non sia stata specificata la direttiva auto=start: Apertura di una connessione specificata in /etc/ipsec.conf ipsec auto -up nome_conn Chiusura di una connessione specificata in /etc/ipsec.conf ipsec auto -down nome_conn Esempio pratico:

8 Lato LEFT ipsec auto --up tunnel 112 "tunnel" #6: STATE_QUICK_I1: initiate 004 "tunnel" #6: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xca68a7c5 <0x14b13e84} Lato RIGHT ipsec auto --up tunnel 112 "tunnel" #3: STATE_QUICK_I1: initiate 004 "tunnel" #3: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x14b13e83 <0xca68a7c4} Verifica della connessione Il controllo del tunnel e del traffico in transito può essere effettuato con il comando ipsec: ipsec --help Usage: ipsec command argument... where command is one of: ipsec_pr.template auto barf calcgoo eroute ikeping klipsdebug livetest look mailkey manual newhostkey pf_key pluto ranbits rsasigkey secrets send-pr setup showdefaults showhostkey spi spigrp tncfg verify whack A questo punto è possibile usare i seguenti comandi di monitoraggio ipsec auto -status ci dà un report dello stato attivo ipsec look dà brevi informazioni sullo status del sistema ipsec barf al contrario del precedente da informazioni di debugging estese. Vediamo in pratica alcuni esempi: ipsec auto --status 000 interface ipsec0/eth %myid = (none) 000 debug raw+crypt+parsing+emitting+control+lifecycle+klips+dns+oppo+controlmore+pfkey+nattraversal+x algorithm ESP encrypt: id=3, name=esp_3des, ivlen=64, keysizemin=168, keysizemax=168

9 000 algorithm ESP encrypt: id=12, name=esp_aes, ivlen=128, keysizemin=128, keysizemax= algorithm ESP auth attr: id=1, name=auth_algorithm_hmac_md5, keysizemin=128, keysizemax= algorithm ESP auth attr: id=2, name=auth_algorithm_hmac_sha1, keysizemin=160, keysizemax= algorithm IKE encrypt: id=7, name=oakley_aes_cbc, blocksize=16, keydeflen= algorithm IKE encrypt: id=5, name=oakley_3des_cbc, blocksize=8, keydeflen= algorithm IKE hash: id=2, name=oakley_sha, hashsize= algorithm IKE hash: id=1, name=oakley_md5, hashsize= algorithm IKE dh group: id=2, name=oakley_group_modp1024, bits= algorithm IKE dh group: id=5, name=oakley_group_modp1536, bits= algorithm IKE dh group: id=14, name=oakley_group_modp2048, bits= algorithm IKE dh group: id=15, name=oakley_group_modp3072, bits= algorithm IKE dh group: id=16, name=oakley_group_modp4096, bits= algorithm IKE dh group: id=17, name=oakley_group_modp6144, bits=6144 ipsec look vpnr Mon Oct 25 17:29:54 CEST /0 -> /0 => %trap (0) /32 -> /0 => %trap (69) /32 -> /32 => %pass (1) /24 -> /24 => (2) ipsec0->eth0 mtu=16260(1443)->1500 ESP_3DES_HMAC_MD5: dir=out src= iv_bits=64bits iv=0x7bfc80622eb9f1c2 ooowin=64 seq=2 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(272,0,0)addtime(242,0,0)usetime(56,0,0)packets(2,0,0) idle=55 refcount=4 ref=54 reftable=0 refentry=54 ESP_3DES_HMAC_MD5: dir=in src= iv_bits=64bits iv=0x7907af5af98174e6 ooowin=64 seq=2 bit=0x3 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(208,0,0)addtime(242,0,0)usetime(56,0,0)packets(2,0,0) idle=55 refcount=6 ref=49 reftable=0 refentry=49 IPIP: dir=in src= policy= /24-> /24 flags=0x8<> life(c,s,h)=bytes(208,0,0)addtime(242,0,0)usetime(56,0,0)packets(2,0,0) idle=55 refcount=4 ref=48 reftable=0 refentry=48 IPIP: dir=out src= life(c,s,h)=bytes(208,0,0)addtime(242,0,0)usetime(56,0,0)packets(2,0,0) idle=55 refcount=4 ref=53 reftable=0 refentry=53 Destination Gateway Genmask Flags MSS Window irtt Iface UG eth UG ipsec UG ipsec U eth U ipsec0 Verifica dai sistemi nei network Da un host mascherato dietro il tunnel provare a effettuare un ping e poi una connessione ssh. Con il comando tcpdump possiamo osservare il traffico sulla scheda di rete provieniente dall host alle spalle del tunnel: tcpdump -i eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 14:39: IP > : icmp 64: echo request seq 1 14:39: IP > : icmp 64: echo reply seq 1 14:39: IP > domain: PTR? in-addr.arpa. (44) 14:39: IP > : icmp 64: echo request seq 2 14:39: IP > : icmp 64: echo reply seq 2 14:39: IP > : icmp 64: echo request seq 3 14:39: IP > : icmp 64: echo reply seq 9 14:39: IP > domain: PTR? in-addr.arpa. (44) 14:39: IP > domain: PTR? in-addr.arpa. (44) 14:39: IP > domain: PTR? in-addr.arpa. (43) 14:39: IP > domain: PTR? in-addr.arpa. (43)

10 14:39: IP telefinder > ssh: S : (0) win 5840 <mss 1460,sackOK,timestamp ,nop,wscale 0> 14:39: IP ssh > telefinder: S : (0) ack win 5792 <mss 1460,sackOK,timestamp ,nop,wscale 0> 14:39: IP telefinder > ssh:. ack 1 win 5840 <nop,nop,timestamp > 14:39: IP ssh > telefinder: P 1:26(25) ack 1 win 5792 <nop,nop,timestamp > 14:39: IP telefinder > ssh:. ack 26 win 5840 <nop,nop,timestamp > 14:39: IP telefinder > ssh: P 1:25(24) ack 26 win 5840 <nop,nop,timestamp > 14:39: IP ssh > telefinder:. ack 25 win 5792 <nop,nop,timestamp > 14:39: IP ssh > telefinder: P 26:634(608) ack 25 win 5792 <nop,nop,timestamp > 14:39: IP telefinder > ssh: P 25:633(608) ack 26 win 5840 <nop,nop,timestamp > Tcpdump può consentirci di osservare il traffico sulle interfacce di rete proveniente da un host alle spalle del nostro tunnel. Amministrazione del Tunnel con Webmin FreeSWAN è un progetto vecchio per questo sono stati sviluppati un paio di moduli per poter gestire IPSEC attraverso Webmin. Questi moduli funzionano allo stesso modo con OpenSWAN, anche se conviene comunque farsi una copia delle proprie configurazioni prima di modificarle direttamente da questo ambiente. Il primo modulo è quello già presente in Webmin di default IPsec VPN Configuration, il secondo invece è il FreeS/WAN VPN module di Tim Niemueller. Sono simili ed entrambi in grado di riconoscere il tunnel impostato ed in grado di attivarlo o disattivarlo o di configurarlo. Il primo modulo permette una configurazione semplice ed immediata ed una gestione molto semplificata del tunnel e delle sue configurazioni.

11 Oltre a poter agire sulle impostazioni di default diventa molto semplice creare nuove connessioni ipsec da affiancare a quella da noi creata nell esercizio (tunnel). Prima di utilizzare il modulo accedere al pannello di configurazione e verificare che la configurazione sia corretta, soprattutto il percorso dei comandi necessari a fermare e a riavviare il tunnel. Anche il secondo modulo il FreeSWAN Module presenta funzionalità simili, anche se essendo sviluppato appositamente per questo primo metodo, ha presentato qualche inconveniente e qualche mancanza. In linea di massima, per motivi di compatibilità credo sia meglio utilizzare il primo più adatto a gestire connessioni IPSEC in genere. Questi strumenti sono molto utili e ci semplificano la vita, ma secondo me, sono da utilizzare solo dopo avere bene appreso il funzionamento del sistema ed aver imparato a configuralo manualmente. In alcuni casi possono essere utilizzati per consentire a terzi soggetti di effettuarne la gestione, senza per questo concedere loro l accesso diretto al sistema.

12 Note Finali Usare IPSEC su GNU/Linux attraverso OpenSWAN e prima FreeSWAN, non è sempre una cosa semplice ed immediata. Ho pensato di riepilogare la procedura semplice e diretta per mettere in piedi un tunnel diretto tra due VPN gateway, ma ovviamente il discorso non si esaurisce qui ed è molto più vasto. Non sono un esperto in materia, volevo solo fornire a chi come me ha litigato parecchio con questo argomento uno spunto utile per realizzare in modo rapido un tunnel tra due sistemi, usando quella che sembra essere una delle tecnologie più affermate. Per poter maneggiare con una certa sicurezza ipsec consiglio una lettura approfondita degli howto ufficali, che illustrano le altre funzionalità e approfondiscono gli argomenti inerenti alla sua sicurezza. Ci vuole un pò di pazienza e se possibile la struttura giusta per poter effettuare dei test di funzionamento, prima di spedire un dei due nodi VPN all esterno a fare il suo lavoro. In modo particolare bisogna fare attenzione alle chiavi che siano inserite (incollate) giuste all interno del file di configurazione. Non dimenticate di verificare per prima cosa che i due vpn gateway si raggiungano ed il traffico venga veicolato attraverso ipsec, questo si può fare semplicemente con un dump dell interfaccia ipsec0. Risorse Doc: openswan.pdf Dott. Paolo PAVAN [Netlink Sas] Data: Settembre-Ottobre 2004 Note finali Il presente documento è a semplice scopo divulgativo L autore non si assume la responsabilità di eventuali danni diretti o indiretti derivanti dall'uso dei programmi, o dall applicazione delle configurazioni menzionate nel seguente articolo I marchi citati sono di proprietà dei rispettivi proprietari e sono stati utilizzati solo a scopo didattico o divulgativo. L uso o il riutilizzo del presente articolo è liberamente consentito per scopi didattici o informativi previa citazione della fonte Sono possibili errori o imprecisioni, segnalatemele a Chi volesse integrare il presente documento, può scrivere a

Reti private virtuali (VPN) con tecnologia IPsec

Reti private virtuali (VPN) con tecnologia IPsec Reti private virtuali (VPN) con tecnologia IPsec A.A. 2005/2006 Walter Cerroni Reti private e reti private virtuali Aziende e/o enti di dimensioni medio/grandi in genere hanno necessità di interconnettere

Dettagli

Sicurezza a livello IP: IPsec e Linux

Sicurezza a livello IP: IPsec e Linux Sicurezza a livello IP: IPsec e Linux FreeS/WAN Davide Cerri Pluto Meeting 2001 Problematiche di sicurezza Sicurezza può voler dire diverse cose... riservatezza autenticazione integrità disponibilità autorizzazione

Dettagli

IPSEC VPN con LINUX FreeS/WAN

IPSEC VPN con LINUX FreeS/WAN ICT Security n.5 Ottobre 2002 p. 1 di 8 IPSEC VPN con LINUX FreeS/WAN Per il primo articolo di questa nuova rubrica, è stato deciso di presentare alcune indicazioni su come realizzare delle VPN (Reti Private

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Tunneling con Linux. NETLinK S.a.S. Progettazione e Realizzazione Sistemi Informativi. Prefazione. Esempi di Utilizzo di una VPN

Tunneling con Linux. NETLinK S.a.S. Progettazione e Realizzazione Sistemi Informativi. Prefazione. Esempi di Utilizzo di una VPN Tunneling con Linux Prefazione Metterlo in piedi mi è costato molto, più che altro per colpa mia, così ho pensato che qualcuno potesse, leggendo questo documento non commettere i miei errori. Visto che

Dettagli

IPsec e Transport Layer Security

IPsec e Transport Layer Security IPsec e Transport Layer Security Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2015/16 Prof. Antonio Lioy preparata da: Cataldo Basile (cataldo.basile@polito.it)

Dettagli

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it Corso GNU/Linux - Lezione 5 Davide Giunchi - davidegiunchi@libero.it Reti - Protocollo TCP/IP I pacchetti di dati vengono trasmessi e ricevuti in base a delle regole definite da un protocollo di comunicazione.

Dettagli

ISTITUTO NAZIONALE DI FISICA NUCLEARE

ISTITUTO NAZIONALE DI FISICA NUCLEARE ISTITUTO NAZIONALE DI FISICA NUCLEARE Sezione di Trieste INFN/TC-04/3 18 Marzo 2004 UNA STRUTTURA DI AUTENTICAZIONE CENTRALIZZATA PER DIVERSI GRUPPI DI SISTEMI LINUX, REALIZZATA CON NIS E IPSEC Tullio

Dettagli

VPN. Rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso (Internet)

VPN. Rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso (Internet) Vpn & tunneling 1 Rete privata instaurata tra soggetti che utilizzano un sistema di trasmissione pubblico e condiviso (Internet) Il termine VPN non identifica una tecnologia ma il concetto di stabilire

Dettagli

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006 Gaspare Sala Introduzione Una rete pubblica è un insieme di sistemi indipendenti che si scambiano dati

Dettagli

IPSec comunicazione fra LAN remote tramite router Cisco

IPSec comunicazione fra LAN remote tramite router Cisco IPSec comunicazione fra LAN remote tramite router Cisco Riccardo Veraldi Router Cisco per il test IPSec Cisco 2621 IOS 12.2.34(a) ENTERPRISE PLUS IPSEC 3DES Cisco 2821 IOS 12.4.8 ADVANCED SECURITY Layout

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link Sicurezza ai livelli di rete e data link Sicurezza a livello applicativo Ma l utilizzo di meccanismi di cifratura e autenticazione può essere introdotto anche ai livelli inferiori dello stack 2 Sicurezza

Dettagli

Sicurezza delle reti e dei calcolatori

Sicurezza delle reti e dei calcolatori Sicurezza e dei calcolatori Introduzione a IPSec Lezione 11 1 Obiettivi Aggiungere funzionalità di sicurezza al protocollo IPv4 e IPv6 Riservatezza e integrità del traffico Autenticità del mittente La

Dettagli

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità Chiara Braghin Dalle news 1 Internet ISP Backbone ISP Routing locale e tra domini TCP/IP: routing, connessioni BGP (Border

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Informazioni Generali (1/2)

Informazioni Generali (1/2) Prima Esercitazione Informazioni Generali (1/2) Ricevimento su appuntamento (tramite e-mail). E-mail d.deguglielmo@iet.unipi.it specificare come oggetto Reti Informatiche 2 Informazioni Generali (2/2)

Dettagli

Petra VPN 3.1. Guida Utente

Petra VPN 3.1. Guida Utente Petra VPN 3.1 Guida Utente Petra VPN 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti

Dettagli

Petra VPN 2.7. Guida Utente

Petra VPN 2.7. Guida Utente Petra VPN 2.7 Guida Utente Petra VPN 2.7: Guida Utente Copyright 1996, 2001 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti

Dettagli

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione XIX: Virtual Private Network a.a. 2015/16 1 cba 2011 15 M.. Creative Commons

Dettagli

Installare e configurare OpenVPN: due scenari. Laboratorio di Amministrazione di Sistemi T Massimiliano Mattetti - Marco Prandini

Installare e configurare OpenVPN: due scenari. Laboratorio di Amministrazione di Sistemi T Massimiliano Mattetti - Marco Prandini Installare e configurare OpenVPN: due scenari Laboratorio di Amministrazione di Sistemi T Massimiliano Mattetti - Marco Prandini Installazione Sulle VM del corso servono i pacchetti software liblzo2 libpkcs11-helper

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

StarShell. IPSec. StarShell

StarShell. IPSec. StarShell IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:

Dettagli

Sicurezza delle reti 1

Sicurezza delle reti 1 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2012/13 1 cba 2011 13 M.. Creative Commons Attribuzione-Condividi allo stesso modo 3.0 Italia License. http://creativecommons.org/licenses/by-sa/3.0/it/.

Dettagli

VIRTUAL PRIVATE NETWORK

VIRTUAL PRIVATE NETWORK VIRTUAL PRIVATE NETWORK Il concetto di Private Network Le reti privati dedicate sono state progettate per risolvere il problema del collegamento tra sedi remote di una stessa società, o genericamente tra

Dettagli

Problemi legati alla sicurezza e soluzioni

Problemi legati alla sicurezza e soluzioni Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Accesso remoto ad impianti domotici Problemi legati alla sicurezza e soluzioni Domotica

Dettagli

OpenVPN Installazione e configurazione

OpenVPN Installazione e configurazione OpenVPN Installazione e configurazione Premessa Una VPN (Virtual Private Network) e un modo per collegare in modo sicuro due entità (host, lan) tramite una rete non dedicata pubblica e quindi non sicura

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Introduzione allo sniffing

Introduzione allo sniffing Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2007/2008 Introduzione allo sniffing Roberto Paleari 2-4 Settembre 2008 Roberto Paleari Introduzione

Dettagli

IPSec VPN Client VPN vs serie ZyWALL con PSK e Certificati digitali

IPSec VPN Client VPN vs serie ZyWALL con PSK e Certificati digitali IPSec VPN Client VPN vs serie ZyWALL con PSK e Certificati digitali Il seguente documento mostra come configurare e gestire una VPN fatta attraverso il Client IPSec ZyXEL e la serie ZyWALL Questo documento

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Seconda esercitazione Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Test di connettività ping traceroute Test del DNS nslookup

Dettagli

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password. INTRODUZIONE ALLA VPN (Rete virtuale privata - Virtual Private Network) Un modo sicuro di condividere il lavoro tra diverse aziende creando una rete virtuale privata Recensito da Paolo Latella paolo.latella@alice.it

Dettagli

W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto)

W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto) W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto) Augusto Scatolini (webmaster@comunecampagnano.it) Ver. 1.0 Gennaio 2010 Una Virtual Private Network

Dettagli

Guida rapida - rete casalinga (con router)

Guida rapida - rete casalinga (con router) Guida rapida - rete casalinga (con router) Questa breve guida, si pone come obiettivo la creazione di una piccola rete ad uso domestico per la navigazione in internet e la condivisione di files e cartelle.

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Apache Monitoring con MRTG

Apache Monitoring con MRTG Apache Monitoring con MRTG Mi è capitato di dover monitorare il carico di lavoro di Apache, per rendermi conto dell effettivo sfruttamento delle risorse di sistema. Avevo in alcuni casi un decremento delle

Dettagli

Reti e Linux. Andrea Bontempi. Corsi Linux 2012. POuL

Reti e Linux. Andrea Bontempi. Corsi Linux 2012. POuL POuL Corsi Linux 2012 Una breve introduzione: le reti Una rete di calcolatori è un mezzo fisico sul quale è possibile inviare e ricevere messaggi o flussi di dati. La prima rete a commutazione di pacchetto

Dettagli

Conceptronic C100BRS4H Guida rapida di installazione. Congratulazioni per avere acquistato un router broadband Conceptronic a 4 porte.

Conceptronic C100BRS4H Guida rapida di installazione. Congratulazioni per avere acquistato un router broadband Conceptronic a 4 porte. Conceptronic C100BRS4H Guida rapida di installazione Congratulazioni per avere acquistato un router broadband Conceptronic a 4 porte. La guida di installazione hardware spiega passo per passo come installare

Dettagli

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email.

Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005. http://happytux.altervista.org ~ anna.1704@email. Corsi di Formazione Open Source & Scuola Provincia di Pescara gennaio 2005 aprile 2005 LINUX LINUX CON RETI E TCP/IP http://happytux.altervista.org ~ anna.1704@email.it 1 LAN con router adsl http://happytux.altervista.org

Dettagli

OpenVPN: un po di teoria e di configurazione

OpenVPN: un po di teoria e di configurazione Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica 10 dicembre 2004 Sommario 1 Introduzione: definizione e utilizzo delle VPN 2 3 4 5 Sommario

Dettagli

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28

Scritto da Administrator Lunedì 01 Settembre 2008 06:29 - Ultimo aggiornamento Sabato 19 Giugno 2010 07:28 Viene proposto uno script, personalizzabile, utilizzabile in un firewall Linux con 3 interfacce: esterna, DMZ e interna. Contiene degli esempi per gestire VPN IpSec e PPTP sia fra il server stesso su gira

Dettagli

Internet. Introduzione alle comunicazioni tra computer

Internet. Introduzione alle comunicazioni tra computer Internet Introduzione alle comunicazioni tra computer Attenzione! Quella che segue è un introduzione estremamente generica che ha il solo scopo di dare un idea sommaria di alcuni concetti alla base di

Dettagli

CONNESSIONE IPv6 tramite tunnelling Freenet6

CONNESSIONE IPv6 tramite tunnelling Freenet6 Guida all attivazione di una CONNESSIONE IPv6 tramite tunnelling Freenet6 Emanuele Goldoni Università degli studi di Pavia Sede di Mantova Laboratorio di Reti di Calcolatori 2006 1 Introduzione A distanza

Dettagli

Guida rapida - rete casalinga (con router) Configurazione schede di rete con PC

Guida rapida - rete casalinga (con router) Configurazione schede di rete con PC Guida rapida - rete casalinga (con router) Questa breve guida, si pone come obiettivo la creazione di una piccola rete ad uso domestico per la navigazione in internet e la condivisione di files e cartelle.

Dettagli

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32

Dettagli

Pfsense e OpenVPN. PFSense e OpenVPN VPN PER CLIENT REMOTI

Pfsense e OpenVPN. PFSense e OpenVPN VPN PER CLIENT REMOTI Pfsense e OpenVPN VPN PER CLIENT REMOTI Creazione dei certificate su Unix/Linux Per prima cosa si devono scaricare i sorgenti di OpenVPN da: http://openvpn.net/download.html Si possono scaricare anche

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Sicurezza nelle reti IP

Sicurezza nelle reti IP icurezza nelle reti IP L architettura IPsec IPsec Proposta IETF per fare sicurezza al livello IP (livello 3) Compatibile con IPv4 e IPV6 (RFC-2401) Permette di Creare VPN su reti pubbliche Fare sicurezza

Dettagli

Essere a casa anche in viaggio, che cos'e' e come si crea una VPN

Essere a casa anche in viaggio, che cos'e' e come si crea una VPN Essere a casa anche in viaggio, che cos'e' e come si crea una VPN LinuxDay 2004@CE caserta hacklab hackaserta 81100 www.81100.eu.org relatore: Fausto Napolitano La problematica Necessità

Dettagli

Table of Contents 1. Configurazione Client Windows 2000/XP in RoadWarrior... 2

Table of Contents 1. Configurazione Client Windows 2000/XP in RoadWarrior... 2 Table of Contents 1. Configurazione Client Windows 2000/XP in RoadWarrior... 2 1.1. Prerequisiti Windows 2000... 2 1.2. Prerequisiti Windows XP... 2 1.3. Configurazione... 2 1 Chapter 1. Configurazione

Dettagli

SmoothWall Support : Setting up Greenbow VPN Client Wednesday, January 5, 2005

SmoothWall Support : Setting up Greenbow VPN Client Wednesday, January 5, 2005 Greenbow VPN client, può essere scaricato da http://www.thegreenbow.com per essere utilizzato per connettere SmoothWall Corporate Server 3 con il modulo SmoothTunnel 3.1 installato. Preparazione alla configurazione

Dettagli

SYSTEM MANUAL SM_0045 ESEMPI INTEGRAZIONE PRODOTTI. Connessione GPRS/VPN di un modulo ETG302x

SYSTEM MANUAL SM_0045 ESEMPI INTEGRAZIONE PRODOTTI. Connessione GPRS/VPN di un modulo ETG302x SYSTEM MANUAL ESEMPI INTEGRAZIONE PRODOTTI Connessione GPRS/VPN di un modulo ETG302x SM_0045 Cosa è una VPN Con il termine VPN si indica una risorsa di connettività, distribuita su una infrastruttura condivisa,

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

IpSec è una proposta IETF per fare sicurezza al livello IP RFC 2041, 2042, 2046, 2048

IpSec è una proposta IETF per fare sicurezza al livello IP RFC 2041, 2042, 2046, 2048 Network Security Elements of Network Security Protocols The IpSec architecture Roadmap Architettura di base Modalità tunnel e client ESP, AH Cenni a IKE 2 Informazioni generali IpSec è una proposta IETF

Dettagli

Configurazione Rete in LINUX

Configurazione Rete in LINUX Configurazione Rete in LINUX Laboratorio di Reti Ing. Telematica - Università Kore Enna A.A. 2008/2009 Ing. A. Leonardi TCP/IP Il trasferimento dati con il protocollo TCP/IP si basa fondamentalmente su

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Packet Tracer: simulatore di RETE

Packet Tracer: simulatore di RETE Packet Tracer: simulatore di RETE Packet Tracer è un software didattico per l'emulazione di apparati di rete CISCO. http://www.cisco.com/web/it/training_education/networking_academy/packet_tracer.pdf PT

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

Creare connessioni cifrate con stunnel

Creare connessioni cifrate con stunnel ICT Security n. 24, Giugno 2004 p. 1 di 5 Creare connessioni cifrate con stunnel Capita, e purtroppo anche frequentemente, di dover offrire servizi molto insicuri, utilizzando ad esempio protocolli che

Dettagli

VPN (OpenVPN - IPCop)

VPN (OpenVPN - IPCop) VPN (OpenVPN - IPCop) Davide Merzi 1 Sommario Indirizzo IP Reti Pubbliche Private Internet Protocollo Firewall (IPCop) VPN (OpenVPN IPsec on IPCop) 2 Indirizzo IP L'indirizzo IP (Internet Protocol address)

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Zeroshell su vmware ESXi 4.1

Zeroshell su vmware ESXi 4.1 Zeroshell su vmware ESXi 4.1 Introduzione Vediamo come installare Zeroshell su Vmware ESXi 4.1 usando come immagine quella per IDE,SATA e USB da 1GB. Cosa ci serve prima di iniziare: Una distro Live io

Dettagli

DHCP... 1 Semplice sessione DHCP:... 2 Configurazione:... 3 DDNS... 8 Creazione manuale chiave per DDNS... 18

DHCP... 1 Semplice sessione DHCP:... 2 Configurazione:... 3 DDNS... 8 Creazione manuale chiave per DDNS... 18 Sommario DHCP... 1 Semplice sessione DHCP:... 2 Configurazione:... 3 DDNS... 8 Creazione manuale chiave per DDNS... 18 DHCP Dynamic Host Configuration Protocol Questo è un servizio di rete che si occupa

Dettagli

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta Il Routing In un sistema packets switching quale il TCP/IP, il routing rappresenta il processo di scelta del percorso su cui inoltrare i pacchetti ed il router è un computer che effettua tale instradamento.

Dettagli

Gestione degli indirizzi

Gestione degli indirizzi Politecnico di Milano Advanced Network Technologies Laboratory Gestione degli indirizzi - Address Resolution Protocol (ARP) - Reverse Address Resolution Protocol (RARP) - Dynamic Host Configuration Protocol

Dettagli

ISTITUTO NAZIONALE DI FISICA NUCLEARE

ISTITUTO NAZIONALE DI FISICA NUCLEARE ISTITUTO NAZIONALE DI FISICA NUCLEARE Sezione di Bologna INFN/TC-03/17 4 Dicembre 2003 STUDIO PRELIMINARE DI VPN PER L INFN Ombretta Pinazza 1, Alessandro Brunengo 2, Enrico M.V. Fasanelli 3, Enrico Mazzoni

Dettagli

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione XIII Capitolo 1 Introduzione agli strumenti di sicurezza Open Source 1 Strumenti utilizzati negli esempi di questo libro 2 1.1 Licenza GPL

Dettagli

Sicurezza nelle Reti Prova d esame Laboratorio

Sicurezza nelle Reti Prova d esame Laboratorio Sicurezza nelle Reti Prova d esame Laboratorio 1 Testo d esame Scopo dell esercitazione: simulazione di esame pratico Esercizio 1 Considerando la traccia test1.lpc, il candidato esegua: Lezioni di laboratorio

Dettagli

OpenVPN: un po di teoria e di configurazione

OpenVPN: un po di teoria e di configurazione OpenVPN: un po di teoria e di configurazione Andrea Lanzi, Davide Marrone, Roberto Paleari Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2006/2007

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

Reti di Telecomunicazioni LB Introduzione al corso

Reti di Telecomunicazioni LB Introduzione al corso Reti di Telecomunicazioni LB Introduzione al corso A.A. 2005/2006 Walter Cerroni Il corso Seguito di Reti di Telecomunicazioni LA Approfondimento sui protocolli di Internet TCP/IP, protocolli di routing,

Dettagli

OpenVPN, come fare VPN con SSL/TLS

OpenVPN, come fare VPN con SSL/TLS ICT Security n. 30 e 31, Gennaio/Febbraio 2005 p. 1 di 9 OpenVPN, come fare VPN con SSL/TLS Nei numeri 16 e 17 di questa rivista ci eravamo occupati di IPSec, un protocollo per creare Virtual Private Network

Dettagli

Alberto Ferrante. Security Association caching of a dedicated IPSec crypto processor: dimensioning the cache and software interface

Alberto Ferrante. Security Association caching of a dedicated IPSec crypto processor: dimensioning the cache and software interface Alberto Ferrante Security Association caching of a dedicated IPSec crypto processor: dimensioning the cache and software interface Relatore: Prof. Roberto Negrini Correlatore: Dott. Jefferson Owen (STM)

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

IP e Routing. Formato del Datagram IP. Utilizzo del Type of Service. Formato del Datagram IP (I word) Prof. Vincenzo Auletta.

IP e Routing. Formato del Datagram IP. Utilizzo del Type of Service. Formato del Datagram IP (I word) Prof. Vincenzo Auletta. I semestre 04/05 Formato del Datagram IP IP e Routing bit 0 4 8 16 19 31 Vers Hlen Serv. Ty. Total Length Identification Fl.s Fragment Offset Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/professori/auletta/

Dettagli

Installazione di una rete privata virtuale (VPN) con Windows 2000

Installazione di una rete privata virtuale (VPN) con Windows 2000 Pagina 1 di 8 Microsoft.com Home Mappa del sito Cerca su Microsoft.com: Vai TechNet Home Prodotti e tecnologie Soluzioni IT Sicurezza Eventi Community TechNetWork Il programma TechNet Mappa del sito Altre

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

PROF. Filippo CAPUANI. Accesso Remoto

PROF. Filippo CAPUANI. Accesso Remoto PROF. Filippo CAPUANI Accesso Remoto Sommario Meccanismi di accesso Un po di terminologia L HW di connessione L accesso in Windows 2000 Tipi di connessione: dial-up, Internet e diretta Protocolli per l

Dettagli

MC-link Lan+ Connessione e configurazione del router PRESTIGE 100

MC-link Lan+ Connessione e configurazione del router PRESTIGE 100 MC-link Lan+ Connessione e configurazione del router PRESTIGE 100 Per la connessione del router PRESTIGE 100 ad un singolo computer è sufficiente rispettare il seguente schema: La connessione tra cavo

Dettagli

IPSec. Internet Protocol Security. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. IPSec - 1 M. Baldi: nota a pagina 2

IPSec. Internet Protocol Security. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. IPSec - 1 M. Baldi: nota a pagina 2 IPSec Internet Procol Security Mario Baldi Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com IPSec - 1 M. Baldi: nota a pagina 2 Nota di Copyright Ques insieme di trasparenze (det nel segui slide) è

Dettagli

Man In The Middle & SSL Attack

Man In The Middle & SSL Attack Man In The Middle & SSL Attack Autore: Duffabio Provenienza: http://duffabio.altervista.org/ Ringrazio BlackLight perchè per la teoria mi sono basato sulle sue guide visto che è da li che ho studiato la

Dettagli

Secure socket layer (SSL) Transport layer security (TLS)

Secure socket layer (SSL) Transport layer security (TLS) Servizi Sicuri per le comunicazioni in rete Secure socket layer (SSL) Transport layer security (TLS) Applicaz. TTP TCP Applicaz. TTP SSL/TLS TCP SSL: Netscape TLS:RFC 2246 Applicaz. TTPS TCP andshake Change

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

* Sistemi Mobili e VOIP *

* Sistemi Mobili e VOIP * * Sistemi Mobili e VOIP * Luca Leone lleone@thundersystems.it Sommario VoIP Dispositivi mobili e VoIP Protocolli Firewall e VoIP Skype VoIP Voice Over Internet Protocol Tecnologia che rende possibile una

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com NETASQ V9: PKI & Controllo accessi Presentation Marco Genovese Presales engineer marco.genovese@netasq.com Alcuni concetti Alcuni concetti prima di incominciare per chiarire cosa è una PKI e a cosa serve

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità ping traceroute netstat Test del DNS nslookup

Dettagli

Zeroshell: VPN Lan-to-Lan. Il sistema operativo multifunzionale. creato da Fulvio.Ricciardi@zeroshell.net. www.zeroshell.net

Zeroshell: VPN Lan-to-Lan. Il sistema operativo multifunzionale. creato da Fulvio.Ricciardi@zeroshell.net. www.zeroshell.net Zeroshell: VPN Lan-to-Lan Il sistema operativo multifunzionale creato da Fulvio.Ricciardi@zeroshell.net www.zeroshell.net Assicurare la comunicazione fra due sedi ( Autore: cristiancolombini@libero.it

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità arp ping traceroute netstat Test del DNS

Dettagli

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy

Firewall. Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy Firewall Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy preparata da: Cataldo Basile (cataldo.basile@polito.it) Andrea Atzeni (shocked@polito.it)

Dettagli

PACKET TRACER 4.0 Cisco Networking Academy Program

PACKET TRACER 4.0 Cisco Networking Academy Program PACKET TRACER 4.0 Cisco Networking Academy Program 1.0 Cosa è Packet Tracer? Packet Tracer (PT) è uno software didattico distribuito liberamente agli studenti ed istruttori del Programma Cisco Networking

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli