Sartomiki.net

  • Aumenta dimensione caratteri
  • Dimensione caratteri predefinita
  • Diminuisci dimensione caratteri

Protezione delle VPN

Venerdì 04 Giugno 2010 09:15 sartomiki
E-mail Stampa PDF
Valutazione attuale: / 3
ScarsoOttimo 

IPsec
IPsec è un'estensione di IPv4 ed è stato poi inglobato nell'IPv6. Esistono due formati:
-Autentication header protocol (AH) fornisce autenticazione, integrità dei dati ma non segretezza (messaggio non cifrato). Grazie all'intestazione AH è possibile rilevare se ci sono state manomissioni del messaggio.
-ESP fornisce segretezza, autorizzazione e integrità dei dati. L'header ESP, il segmento TCP/UDP e la coda ESP vengono autenticati (è possibile individuare eventuali manomissioni), mentre solo il segmento TCP/UDP e la coda ESP vengono anche cifrati. Protocol number = 50.
IPsec può essere usato nei tunnel delle VPN in modo da garantire la cifratura, l'autenticazione e l'incapsulamento dei dati. IPsec può operare in due modi:
-transport mode permette di mettere in pacchetti IPsec i dati di livello trasporto (TCP/UDP), il tutto poi incapsulato in un pacchetto IP.
-tunnel mode permette di incapsulare in un pacchetto IPsec un pacchetto IP, tutto poi impacchettato in un altro pacchetto IP. In questo modo l'intestazione IP viene cifrata (non si riesce più a capire chi è il destinatario e il mittente reali).
Le Security Association sono associazioni monodirezionali, che definiscono i protocolli di autenticazione e crittografia (tipo/chiavi) per un determinato destinatario.
Per definire le security association si usa il protocollo Internet Key Exchange (IKE), che prevede che una volta che è stata definita una security association si generino delle altre security association.

VPN Gateway e Firewall
A seconda di dove si posiziona il firewall rispetto al VPN gateway all'interno della rete si possono avere diversi livelli di sicurezza:
-se il firewall è posizionato davanti al VPN Gateway, nel caso in cui i tunnel siano cifrati, il firewall non riesce più a gestire il traffico in ingresso nella VPN. Con questa configurazione, però, il VPN Gateway viene protetto da attacchi esterni, in quanto il firewall può bloccare il traffico verso il gateway.
-se il firewall e il gateway sono posizionati in parallelo il traffico in ingresso al gateway non è filtrato (può essere attaccato con attacchi ECHO), in più il traffico in uscita non è controllato.
-se il VPN gateway è posizionato davanti al firewall il VPN gateway non è protetto dal firewall. Il firewall però può filtrare il traffico in ingresso/uscita non cifrato.
-se il firewall è integrato nel VPN Gateway è garantita la massima flessibilità, in quanto è possibile filtrare sia il traffico in ingresso al gateway e il traffico prima di essere cifrato.

IPsec, VPN Gateway e NAT
I NAT non sono compatibili con la versione di IPsec di tipo AH, in quanto l'indirizzo IP del destinatario risulta essere cifrato e non è quindi modificabile dal NAT.
I NAT non sono compatibili con IPsec Transport Mode in quanto parte dell'indirizzo viene modificato.
Non è possibile usare NAPT o PAT perché la porta è in entrambi i casi cifrata.
I NAT sono compatibili con il Tunnel Mode se i pacchetti sono modificati prima di entrare nel gateway, anche se questa condizione non si verifica molto spesso.

Intrusion Detection System (IDS)
Sono delle "sonde" virtuali che hanno lo scopo di analizzare il traffico, in modo da vedere se sono presenti dei pacchetti anomali. Gli IDS sono posizionati tra il router e il firewall e dentro la rete privata.

VPN SSL
Le SSL sono "tunnel" di livello 4. Grazie a questo modello è possibile cifrare e autenticare il tunnel.
Le SSL possono essere usate sia per VPN site-to-site, sia per accesso remoto ed anche per accedere ad un particolare servizio (pseudo-VPN).
Questo meccanismo è più semplice rispetto a IPsec (in principio IPsec poteva essere implementato solo in kernel mode e quindi alcuni errori potevano portare al crash del sistema). Le SSL possono superare facilmente i NAT, in quanto sono di livello superiore.
Un difetto di SSL è che i pacchetti vengono scartati ad un livello molto alto (tempo di elaborazione richiesto maggiore), rendendo vulnerabili i sistemi che utilizzano questo metodi ad attacchi DOS.
SSL, rispetto a PPT, ha introdotto fin dalle prime versioni un sistema di sicurezza migliore e risulta essere facilmente utilizzabile anche su piattaforme non Microsoft. In più PPT utilizza GRE e questo può rappresentare un problema in quanto alcuni ISP bloccano il traffico GRE.

Altri utilizzi di SSL
E' possibile usare SSL anche per altri scopi:
-Proxying. Il client usa HTTPS fino alla VPN Gateway (con funzione di proxy). Il Gateway usa HTTP per collegarsi al server.
-Traduzione di applicazione (Application Translation). E' possibile usare SSL anche su protocolli nati senza autenticazione (FTP, SMTP, POP, IMAP). E' possibile utilizzare HTTPS fino al VPN Gateway, che poi provvede alla traduzione del pacchetto nel protocollo corretto.
-Port Forwarding. Grazie a SSL è anche possibile ricevere dati su una porta e inoltrarli su un'altra. E' possibile usare una porta per contattare il VPN Gateway, che poi invia la richiesta su una porta specifica del server. Il port forwarding può avvenire sia sul VPN gateway, sia sulla macchina utente. Questo meccanismo funziona solo con i protocolli che usano solo porte fisse.
-Newtork extension. Questa tecnica permette di creare dei tunnel sicuri per accedere a protocolli non sicuri, mediante l'uso di VPN Gateway.

blog comments powered by Disqus
back to top
< Prec.   Succ. >
 

Menu Principale

Articoli correlati

http://sartomiki.net/modules/mod_fuofb/assets/it/find-us-on-facebook-1.png

Follow me

Amici

Chi è online

 8 visitatori online

Siti amici

Banner

Notizie flash

Da oggi avete la possibilità di commentare tutti gli articoli presenti sul sito!! Scrivete le vostre opinioni!

PUBBLICITA'