[Tech] firewall trasparente

a.podavini@mclink.it a.podavini@mclink.it
Mar 7 Ago 2007 12:16:37 CEST



fabio franci wrote:

>Vuoi dire che anche se l'associazione MAC-IP non è nota, si può comunque 
>ricavare dai pacchetti in transito una coppia valida e appropriarsene?
>
Ovviamente sì.
E in modo estremamente semplice, peraltro.

>Allora mi viene in mente, sarebbe possibile usare IPSEC per evitare che 
>connettendomi ad una presa a muro, possa risalire a delle credenziali 
>giuste?
>
Dunque, intendiamoci sui termini.
Se per "credenziali" intendi la coppia MAC-IP no, non è possibile 
mascherarle. Sono l'indirizzo scritto sulla busta: se non sono 
chiaramente leggibili, il postino non sa dove portarla.
Se invece intendi quello che comunemente si intende, ossia una coppia 
User/Password o cose simili, allora sì.
Strettamente parlando, IPSEC è un device di livello 3 ( ossia il network 
layer ) ed è quindi in grado di sicurizzare (mediante preventiva 
autenticazione e successiva cifratura) tutto ciò che sta ai livelli più 
alti (dal transport all'application), e pertanto anche le classiche 
"credenziali", che risiedono tipicamente nel session layer (o 
nell'application se usiamo il 5-layers model) (umh... spero di non 
parlare cinese...).

>Che altre soluzioni potrei usare?
>
Ce ne sono diverse, tutte basate (AFAIK) su autenticazione mediante 
password e/o certificati e crittazione del payload dei pacchetti.
E' chiaro che tutto sta a individuare il corretto livello di sicurezza 
che a te serve, e quindi a determinare il giusto trade-off tra sicurezza 
e semplicità.
Un conto è proteggere segreti militari, un altro impedire a un utente di 
guardare le donne nude su Internet.

A.





Maggiori informazioni sulla lista flug-tech