Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Lepore
Sicurezza dei
Progetto di un Sistemi
VPN gateway Informatici
Master.it 2010
Autore:
Antonio Lepore
http://it.linkedin.com/pub/antonio-lepore/25/884/820
Docenti:
Luca Bechelli
Information Security Specialist
http://www.linkedin.com/in/lucabechelli
Anna Vaccarelli
Istituto di Informatica e Telematica, CNR PISA
http://www.iit.cnr.it/anna.vaccarelli
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
SOMMARI
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
LA SICUREZZA HA UN COSTO 9
SSL/TSL OPENVPN 19
MODIFICHE AL FIREWALL 27
CONFIGURAZIONE CONCLUSA 29
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
LICENZA COPYLEFT: 46
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Il problema della sicurezza delle reti si diffuso parallelamente alla diffusione di Internet
e dei protocolli da essa utilizzati.
http://www.ipligence.com/worldmap/internet-map.jpg
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
http://www.yootoo.it/wordpress/2009/02/12/gli-acciacchi-del-web-2-0/
http://tinyurl.com/3xgetkl http://tinyurl.com/2ws24w3
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
http://www.youtube.com/watch?v=vq0GgZ_gmxU
In fine una forma di attacco di ingegneria sociale potrebbe essere quella del furto
economico utilizzando strumenti ludici che portano la vittima ad una dipendenza
continuativa e distruttiva del proprio patrimonio economico e ancor pi grave del
patrimonio economico familiare.
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
http://tinyurl.com/342bxv8
10
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
E utile in tal senso citare un caso di maxi sequestro avvenuto ad opera della Guardia
di Finanza Italiana
Il tutto merito del GAT (Nucleo Speciale Frodi Telematiche della Guardia di
Finanza.) e soprattutto del comandante il colonnello Umberto Rapetto il
quale spiega: La legge 401/89 vieta questo genere di attivit e, con
l'integrazione della normativa nel 2005, vieta anche la pubblicit a giochi,
scommesse o lotterie che vengono accettate anche all'estero".
http://www.gat.gdf.it/
http://www.oilproject.org/EVENT256
11
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
La sicurezza ha un costo:
Invece il costo per attivare misure di sicurezza sono di diversi ordini inferiori a
quelle per "riparare" quindi anche in materia di sicurezza aziendale rimmane vero il detto
"prevenire e meglio che curare".(SICUREZZA PROATTIVA)
1. una "semplice" perdita di immagine (in alcuni casi anche questo pu essere un danno
grave):
Soluzione:
Rivolgersi ad una agenzia
specializzata in ORM
(Online Reputation Management)
12
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
13
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
1) Integrit
la certezza che le informazioni inserite, elaborate, trasmesse e custodite sono integre cio
esenti da manomissioni o alterazioni, volontarie o involontarie, e che su tale integrit
possono fare affidamento tutti coloro (utenti o programmi) che le utilizzano per lo
svolgimento dei compiti assegnati.
2) Riservatezza o confidenzialit
Linformazione rilasciata soltanto a soggetti che sono autorizzati a conoscerla
Riservatezza (Privacy): il diritto di un individuo di decidere quando, che cosa, perch e chi
pu gestire la sua informazione personale.
3) Identificazione e autenticazione
L'autenticazione sia di utenti sia di macchine consiste nel verificare che essi siano veramente
chi dichiarano di essere. In genere l'identificazione avviene sulla base
di ci che uno (p.es. parametri biometrici,come la voce, la scrittura o l'impronta
digitale)
di ci che uno sa (un password, un PIN o una chiave cifrata)
di ci che uno ha (una smart cart, un gettone, o una carta di credito)
14
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
4) Disponibilit:
la capacit di fornire agli utenti in ogni momento utile le informazioni inserite in
un sistema informatico, elaborate e custodite nel formato adatto allo scopo per il quale esse
sono state memorizzate.
Esse devono essere accedute nei tempi e nei modi previsti.
anche la capacit di un sistema di soddisfare i requisiti di sicurezza nonostante il
malfunzionamento di un componente o la violazione accidentale e non - di uno dei requisiti
(robustezza dei componenti).
La disponibilit riguarda anche servizi (telematici) erogati.
In una sola parola la necessit di avere ridondanza definit in ambito tecnologico (e non)
come laggiunta di parti, software & hardware, duplicate e sovrabbondanti per aumentare
l'affidabilit.
15
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
16
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Nel caso specifico di una VPN, per una comunicazione TCP\IP, si possono garantire i
parametri di:
1. Integrit
Garantire che i dati trasmessi da un end-point della vpn arrivino a destinazione
completi e non compromessi
3. autententicazione
garantire che entrambi gli end-point della VPN effettuino una mutua
autenticazione prima di instaurare una VPN sicura e quindi iniziare il trasferimento
dei dati sensibili.
4. Disponibilit:
99,99% Uptime dichiato nello SLA (Service Level Agreement) come garanzia di un
servizio sempre online e quindi disponibile 365 giorni allanno con un downtime
dichiarato nel peggiore dei casi inferiore ad un determinate intervallo di tempo
(minuti, ore, giorni).
17
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
1) Algoritmo Simmetrico: una sola chiave privata (shared Key\secret) da scambiare tra i
due end point della VPN attraverso un canale sicuro ssh per mezzo dellapplicazione
scp
scp (Secure Copy) protocollo implementato da una applicazione per spostare la
chiave
ssh (Secure Shell) protocollo per stabilire una sessione remota cifrata ad interfaccia
a riga di commando
2) Algoritmo Asimmetrico: due chiavi pubblica e private: Ad esempio in IPSec la chiave
asimmetrica viene utilizzata per negoziare una chiave simmetrica, con cui i dati in transito
vengono effettivamente cifrati.
La chiave asimmetrica garantisce la possibilit di creare una connessione cifrata
su un canale insicuro (rete internet pubblica), e consentire quindi il successivo
scambio di una chiave simmetrica.
Questultima pi efficace per una cifratura continua, e la chiave viene
rinegoziata ogni tot secondi di funzionamento (o tot dati transitati nel tunnel); in tal
modo si evita la possibilit che qualcuno, analizzando il traffico, cerchi di calcolarne
la chiave in tempo utile.
18
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
19
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Una VPN una rete privata creata sfruttando le potenzialit della rete pubblica,
permette di connettere fra di loro diverse sedi aziendali senza cavi, si parla
soprattutto di Reti Private Virtuali su Internet. La realizzazione di una VPN consente
alle imprese di rivoluzionare il modo in cui operano. Possono rendere pi efficienti le
attuali procedure aziendali e facilitare nuove modalit di lavoro.
20
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
1) Site-to-site VPNs:
In questa topologia si collegano tra di loro due reti locali remote (sites), ad
esempio, si pu collegare la rete di una filiale alla rete della sede centrale di una
societ.
Oppure due sedi remote di due filiali o semplici uffici (Office 1 e Office 2)
Vantaggi
Economicit
Buon livello di crittografia dei dati
Svantaggi
In questa topologia lutente remoto ha accesso alla vpn da qualsiasi punto della rete
pubblica Internet verso il site central (office). Diversamente dalla precedente sono
supportati utenti multipli (clients della vpn) i quali accedono anche contemporaneamente
alle risorse del site centrale.
Su ogni macchina dellutente remoto presente un software che si occupa di creare il
tunnel e fornire un metodo per autenticare i singoli utenti.
Vantaggi
21
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Economicit
Alto livello di crittografia dei dati
Diversi meccanismi per autenticare gli utenti (OS Login, web-based login, ecc..)
Svantaggi
Perdita del controllo sui dati
22
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Nel case-study che questo progetto vuole illustrare la protagonista lazienda Anonimo
SRL che possiede attualmente un accesso ad internet per mezzo di un provider che, per
accordo contrattuale, non ha fornito un indirizzo IPv4 pubblico allazienda.
un collegamento in fibra ottica dalla sede della Anonimo SRL verso internet
3 indirizzi IPv4 privati di Classe A (30.X.X.1 30.X.X.3) allinterno della rete del
provider
I 3 indirizzi IP (30.X.X.1 30.X.X.3) sono quindi nattati (Address Traslation o
Nat) allinterno della rete del provider e non visibili (accedibili) dal resto della rete
internet
23
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
La Anonimo SRL ha invece la necessit di permettere laccesso alle sue risorse IT anche
dallesterno della rete privata del provider e a tal proposito ha vagliato le seguenti
ipotesi:
Dopo aver scartato la prima ipotesi per ragioni economiche e la seconda ipotesi per
ragioni burrocratiche ha considerato pi ragionevole e immediata la terza
soluzione.
La topologia della rete che ver utilizzata in futuro sar quindi cosi mutata:
24
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
La Anonimo SRL ha individuato i seguenti requisiti per permettere laccesso alle sue
risorse interne da un utente remoto:
2) Economicit
LAnonimo SRL ha considerato lutilizzo di una VPN implementata via software e
senza supporti hardware in modo tale da escludere lacquisto di ulteriori
device di rete e di acquistare supporto esterno per linstallazione e la
configurazione di tali device.
3) Riutilizzo di risorse presistenti e competenze presenti nel gruppo di lavoro della Anonimo
SRL
LAnonimo SRL in base alle scelte precedenti ha deciso di installare il software
OPENVPN sulla macchina server gi in possesso per i seguenti motivi:
25
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
SSL/TSL OPENVPN
La scelta del tipo di device (TUN o TAP) da utilizzare dipenda da che tipo di infrastruttura
si vuole realizzare.
26
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Con il device TAP viene creata uninterfaccia di rete virtuale simile ad una
interfaccia ethernet che trasporta frame ethernet e quindi in questo caso OpenVPN
interverr a livello 2, sui frame.
27
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
netfilter un componente del kernel del sistema operativo Linux, che permette
l'intercettazione e la manipolazione dei pacchetti che attraversano il computer. Netfilter
permette di realizzare alcune funzionalit di rete avanzate come la realizzazione di
firewall basata sul filtraggio stateful
(filtraggio dei pacchetti con status) dei
pacchetti o configurazioni anche
complesse di NAT, un sistema di
traduzione automatica degli indirizzi IP, tra
cui la condivisione di un'unica
connessione Internet tra diversi
computer di una rete locale, o ancora la
manipolazione dei pacchetti in transito.
In questo secondo caso viene utilizzato soprattutto come gateway di reti di piccole e
medie dimensioni
28
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Ogni zona possiede regole differenti che possono essere, per esempio, pi lasche
per il traffico all'interno della intranet aziendale, e contemporaneamente pi
stringenti per il traffico proveniente da Internet, ottenendo una maggiore
sicurezza senza avere penalit nel funzionamento dei nodi.
29
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
http://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-
mini-howto.html
Static key configurations offer the simplest setup, and are ideal for point-to-point VPNs or proof-of-
concept testing.
Simple Setup
No X509 PKI (Public Key Infrastructure) to maintain
Scenario:
30
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Sul Server:
Sul Client
# modprobe tun
31
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
# nano GW_PUB-GW_ANON_server.conf
# nano GW_PUB-GW_ANON_client.conf
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
# shorewall clear
Clearing Shorewall...
IP Forwarding Enabled
done.
33
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Avviare il servizio prima sul server e poi sul client della VPN
# /etc/init.d/openvpn restart
# /etc/init.d/openvpn restart
# ifconfig tun0
e sul server
# ifconfig tun0
34
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
# ping 10.8.0.2
PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data.
64 bytes from 10.8.0.2: icmp_seq=1 ttl=64 time=29.2 ms
35
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=30.2 ms
# nano /etc/default/openvpn
# update-rc.d openvpn defaults
# shorewall restart
Compiling...
Initializing...
...
Activating Rules...
done.
36
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Modifiche al firewall
Di seguito sono riportate le modifiche al firewall (SHOREWALL) sia sul Server VPN che
sul Client VPN
# nano /etc/shorewall/zones
# nano /etc/shorewall/interfaces
# nano /etc/shorewall/policy
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
38
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
# nano /etc/shorewall/policy
# nano /etc/shorewall/tunnels
sul client
# nano /etc/shorewall/tunnels
sul client
# nano /etc/shorewall/tunnels
sul server
# nano /etc/shorewall/tunnels
39
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Configurazione conclusa
Sul client
# ip route ls
Sul server
# ip route ls
40
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
#File: masq (fondamentale per far tornare i pacchetti indietro sulla vpn)
###############################################################################
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC
eth1 eth0
tun0:10.8.0.1 0.0.0.0/0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
#File: zones
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4
vpn1 ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
File: interfaces
###############################################################################
net eth1 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians
#routeback
loc eth0 detect tcpflags,detectnets,nosmurfs
# openvpn interfaces
vpn1 tun0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
File: policy
###############################################################################
# permetti tutto il traffico da lan a internet
loc net ACCEPT
# permetti tutto il traffico da lan al server
loc $FW ACCEPT
# chiudi tutto il resto
loc all REJECT info
# permetti dal server a internet
$FW net ACCEPT
# permetti dal server alla lan
$FW loc ACCEPT
# chiudi tutto il resto
$FW all REJECT info
### Policies for traffic originating from the Internet zone (net)
#
net $FW DROP info
net loc DROP info
net all DROP info
41
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
#*** OpenVpn
$FW vpn1 ACCEPT info
vpn1 $FW ACCEPT info
loc vpn1 ACCEPT info
vpn1 loc ACCEPT info
# THE FOLLOWING POLICY MUST BE LAST
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
42
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
File: tunnels
###############################################################################
#Apri tunnel openvpn su porta standard 1194/udp
openvpnclient:1194 net 0.0.0.0/0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
File: rules
################################################################################
#*** SSH ***#
#*** Esempio macro su porta 22 standard
#SSH/ACCEPT net $FW
#SSH Anon_GW su porta non standard 3030
ACCEPT net $FW tcp 3030
ACCEPT net $FW udp 3030
#*** PING & ICMP permesso dalla rete locale definito nelle policy***#
#Ping/ACCEPT loc $FW
#*** PING & ICMP permesso dalla rete esterna ***#
Ping/ACCEPT net $FW
#Sftp (SSH File Transfer Protocol) GW_Anon su porta non standard 3131
ACCEPT net $FW tcp 3131
ACCEPT net $FW udp 3131
43
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
44
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
FASTACCEPT=Yes
IMPLICIT_CONTINUE=Yes
HIGH_ROUTE_MARKS=No
BLACKLIST_DISPOSITION=DROP
MACLIST_DISPOSITION=REJECT
TCP_FLAGS_DISPOSITION=DROP
###############################################################################
45
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
File: masq (fondamentale per far andare i pacchetti esterni sulla vpn)
###############################################################################
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC
tun0:10.8.0.2 0.0.0.0/0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
#File: zones
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect routefilter,tcpflags,logmartians,nosmurfs
vpn1 tun0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
File: interfaces
###############################################################################
Missing
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
File: policy
###############################################################################
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
$FW net ACCEPT
net $FW DROP info
net all DROP info
File: tunnels
###############################################################################
#TYPE ZONE GATEWAY GATEWAY
# ZONE
#Apri tunnel openvpn su porta standard 1194/udp
openvpnserver:1194 net 0.0.0.0/0
openvpnserver:1195 net 0.0.0.0/0
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
46
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
File: rules
#################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
RATE USER/
# PORT PORT(S) DEST LIMIT
GROUP
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
47
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
48
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
FASTACCEPT=No
IMPLICIT_CONTINUE=Yes
HIGH_ROUTE_MARKS=No
BLACKLIST_DISPOSITION=DROP
MACLIST_DISPOSITION=REJECT
TCP_FLAGS_DISPOSITION=DROP
###############################################################################
49
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
La shared Key di OpenVPN facilit la configurazione della vpn rispetto alla modalit con
certificati digitali ma presenta i seguenti svantaggi:
La seconda parte usata come chiave per lalgoritmo di hash. Di default si usa la stessa chiave
per cifrare e decifrare dati, applicando lo stesso principio alla base degli algoritmi di Hash
Bisogna fare attenzione a non confondere la chiave di OPENVPN (composta da 512 caratteri in
esadecimale) con la chiave usata per lalgoritmo che effettua la fuzione di hash e cifratura per
proteggere il tunnel.
Questa seconda chiave sempre composta da caratteri in esadecimale ma interna alla stessa
chiave di OpenVPN
50
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
DI default viene utilizzato lalgoritmo di crittografia Blowfish con una chiave a 128 bits per cifrare e
decifrare e 160 bits sono usati per lalgorito di Hash sui dati in ingresso e uscita.
Ogni carattere in esadecimale rappresenta 4 bits del key meaning di cui 128 e 160 bits
rappresentano rispettivamente 32(128/4) e 40(160/4) caratteri esadecimali.
51
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
52
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
http://openvpn.net/index.php/open-source/documentation/howto.html#security
Una delle massime molto ripetute nella sicurezza delle reti che non si dovrebbe mai
porre tanta fiducia in un componente di sicurezza unico (shared Key) perch il suo
fallimento potrebbe provocare una violazione nella sicurezza alle volte anche catastrofica.
OpenVPN prevede diversi meccanismi per aggiungere ulteriori livelli di sicurezza per
proteggersi da tale rischio, ad esempio tls-auth
Ogni pacchetto UDP che non recano la corretta firma HMAC vengono droppati senza
ulteriore carico di lavoro. La firma tls-auth HMAC fornisce un ulteriore livello di
sicurezza oltre quella fornita da SSL / TLS.
Nella pratica usare tls-auth richieder una nuova shared-secret key usata insieme ai
certificati digitali definiti dallo standard RSA e quindi la modifica dei file di
configurazione sugli end point della VPN
53
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Christof Paar Jan Pelzl : Understanding Cryptography, A Textbook for Students and
Practitioners, Springer, 2010
Kenneth H. Rosen, Ph.D. : Codes The Guide to Secrecy from Ancient to Modern
Times, Chapman & Hall/CRC, 2005
Steve Burnett and Stephen Paine , RSA Security Official Guide to Cryptography,
McGraw-Hill, - 2001
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
http://www.imdb.com/title/tt0159784/
I signori della truffa (1992) Sneakers (original title)
http://www.imdb.com/title/tt0105435/
Die Hard - Vivere o morire
http://www.imdb.com/title/tt0337978/
Gli acciacchi del web 2.0
http://www.yootoo.it/wordpress/2009/02/12/gli-acciacchi-del-web-2-0/
Italia, sequestrati 364 siti
http://punto-informatico.it/1489815/PI/News/italia-sequestrati-364-siti.aspx
55
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
http://it.wikipedia.org/wiki/Licenza_%28informatica%29
QR CODE (simbolo in frontespizio)
http://programmazione.it/index.php?entity=eitem&idItem=44826
Gereratori
http://qrcode.kaywa.com/
http://zxing.appspot.com/generator/
Barcode Scanner per Android
http://www.androidzoom.com/android_applications/shopping/barcode-
scanner_clh.html
Libreria: ZXing Barcode Library
http://code.google.com/p/zxing/
58
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Shorewall
http://it.wikipedia.org/wiki/Shorewall
VPN, Netfilter and Shorewall The Basics
http://shorewall.net/VPNBasics.html
/etc/shorewall/tunnels
/usr/share/doc/shorewall/default-config/tunnels
http://shorewall.net/Documentation.htm#Tunnels
Shorewall & OpenVpn
59
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
http://shorewall.net/VPNBasics.html#id2457628
Shorewall 3.x Reference
http://shorewall.net/Documentation.htm
Standalone Firewall
http://shorewall.net/standalone.htm
Shorewall FAQs
http://shorewall.net/FAQ.htm
Shorewall Troubleshooting Guide
http://shorewall.net/troubleshoot.htm
60
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
OpenVpn
/usr/share/doc/openvpn/README.Debian
Examples
http://openvpn.net/examples.html
Introduzione a Metasploit
http://www.pillolhacking.net/2008/11/24/introduzione-a-metasploit/
61
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
62
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Zero-day exploit/ vulnerability: A zero-day exploit is one that takes advantage of a security
vulnerability on the same day that the vulnerability becomes generally known. There are zero
days between the time the vulnerability is discovered and the first attack.
Arbitrary code execution: In computer security, arbitrary code execution is used to describe
an attacker's ability to execute any commands of the attacker's choice on a target
machine or in a target process. It is commonly used in arbitrary code execution
vulnerability to describe a software bug that gives an attacker a way to execute arbitrary
code. A program that is designed to exploit such a vulnerability is called an arbitrary code
execution exploit. Most of these vulnerabilities allow the execution of machine code and
most exploits therefore inject and execute shellcode to give an attacker an easy way to
manually run arbitrary commands.
Remote code execution: the ability to trigger (innescare) arbitrary code execution from one
machine on another (especially via a wide-area network such as the Internet) is often
referred to as remote code execution.
Payload: Material transmitted over a network (either computer or telecommunications
network) includes both data and information that identifies the source and destination of the
material. The payload is the actual data, or the cargo, carried by the headers. When
referring to a computer exploit, the payload is the effect caused by a virus or other malicious
code executed by the exploit on the target computer.
Malicious payload: is a payload by a delivered by a mechanism, such as a Trojan horse, that
is generally intended to do harm to a computer system. The payload of a virus may include
moving, altering, overwriting, and deleting files, or other destructive activity. Penetration
testing tools such as the Metasploit Project enable hackers to choose payloads that give
them shell, file, or screen access.
Reverse connection: A reverse connection is usually used to bypass firewall restrictions
on open ports. A firewall usually blocks open ports, but does not block outgoing traffic. In a
normal forward connection, a client connects to a server through the server's open port, but in
the case of a reverse connection, the client opens the port that the server connects to. The
most common way a reverse connection is used is to bypass firewall and Router security
restrictions.
Multilevel security: or Multiple Levels of Security (abbreviated as MLS) is the application of a
computer system to process information with different sensitivities (i.e., at different
security levels), permit simultaneous access by users with different security clearances and
needs-to-know, and prevent users from obtaining access to information for which they lack
authorization.
Intrusion detection system: un dispositivo software o hardware (o a volte la combinazione
di entrambi, sotto forma di sistemi stand-alone pre-installati e pre-configurati) utilizzato per
identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono
essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano
programmi semiautomatici.
Shellcode: In computer security, a shellcode is a small piece of code used as the payload
in the exploitation of a software vulnerability. It is called "shellcode" because it typically
starts a command shell from which the attacker can control the compromised
machine. Shellcode is commonly written in machine code, but any piece of code that
performs a similar task can be called shellcode.
Buffer Overflow: Il buffer overflow una vulnerabilit di sicurezza che pu affliggere un
programma software. Consiste nel fatto che tale programma non controlla in anticipo la
lunghezza dei dati in arrivo, ma si limita a scrivere il loro valore in un buffer di lunghezza
63
Master.it 2010
Antonio Progetto di un VPN gateway
Lepore
prestabilita, confidando che l'utente (o il mittente) non immetta pi dati di quanti esso ne
possa contenere: questo pu accadere se il programma stato scritto usando funzioni di
libreria di input/output che non fanno controlli sulle dimensioni dei dati trasferiti.
DEA (Data Encryption Algorithm)
FIPS (Federal Information Processing Standard): n.46-1 descrive il DEA di DES
Algoritmi di Crittografia)a chiave simmetrica:
o DES (Data Encryption Standard)
o IDEA (International Data Encryption Algorithm)
o RC5 (Rons Code o Rivests Cipher [RSA Security])
o AES (Advanced Encryption Standard)
Algoritmi di Crittografia (DEA, Data Encryption Algorithm)a chiave asimmetrica:
o Diffie-Hellman (Key agreement protocol)
o RSA (Rivest Shamir Adelman)
o DSS (Digital Signature Standard, versione modificata del Diffie-Hellmann)
o DSA (Digital Signature Algorithm): Standard di autenticazione digitale per il governo
americano
o Curve ellittiche
o El Gamal
Key agreement protocol: protocollo che consente lo scambio di una chiave segreta
attraverso un mezzo non sicuro (non cifrato) senza il pre-scambio di un segreto (chiave
privata). Ad esempio per scambiare un per essere cifrato con un algoritmo a chiave pubblica si
ricorre agli algoritmi simmetrici Si deve concordare un protocollo per lo scambio della chiave
segreta (key agreement protocol). Il primo key agreement protocol fu inventato da Diffie e
Hellman nel 1976. Un esempio di protocollo diffuso di key agreement la "busta digitale"
(digital envelope), con cui ci si scambia la chiave segreta usando un algoritmo a chiave
pubblica, cio la chiave segreta viaggia criptata con la chiave pubblica di uno degli
interlocutori.
Funzioni Hash (pi note)
o MD4 e MD5 (Message Digest)
o SHA (Secure HAsh Algorithm)
X.509: In crittografia, X.509 uno standard ITU-T per le infrastrutture a chiave pubblica (PKI).
X.509 definisce, fra le altre cose, formati standard per i certificati a chiave pubblica ed un
certification path validation algorithm.
ITU-T (International Telecommunication Union - Telecommunication Standardization Bureau): il
settore della Unione Internazionale delle Telecomunicazioni che si occupa di regolare le
telecomunicazioni telefoniche e telegrafiche. L'ITU-T fornisce delle specifiche standard (o
raccomandazioni) riconosciute a livello internazionale. Le varie aree di lavoro corrispondono
ad altrettante serie, rappresentate da una lettera maiuscola, mentre le singole specifiche
interne a ciascuna serie sono rappresentate da un numero
PKI (Public key infrastructure): In crittografia una infrastruttura a chiave pubblica in inglese
public key infrastructure (PKI) una serie di accordi che consentono a terze parti fidate di
verificare e/o farsi garanti dell'identit di un utente, oltre che di associare una chiave pubblica
a un utente, normalmente per mezzo di software distribuito in modo coordinato su diversi
sistemi. Le chiavi pubbliche tipicamente assumono la forma di certificati digitali.
64
Master.it 2010
Progetto di un VPN gateway Antonio
Lepore
Licenza copyleft:
65
Master.it 2010