[Tech] firewall trasparente
a.podavini@mclink.it
a.podavini@mclink.it
Mar 7 Ago 2007 12:16:37 CEST
fabio franci wrote:
>Vuoi dire che anche se l'associazione MAC-IP non è nota, si può comunque
>ricavare dai pacchetti in transito una coppia valida e appropriarsene?
>
Ovviamente sì.
E in modo estremamente semplice, peraltro.
>Allora mi viene in mente, sarebbe possibile usare IPSEC per evitare che
>connettendomi ad una presa a muro, possa risalire a delle credenziali
>giuste?
>
Dunque, intendiamoci sui termini.
Se per "credenziali" intendi la coppia MAC-IP no, non è possibile
mascherarle. Sono l'indirizzo scritto sulla busta: se non sono
chiaramente leggibili, il postino non sa dove portarla.
Se invece intendi quello che comunemente si intende, ossia una coppia
User/Password o cose simili, allora sì.
Strettamente parlando, IPSEC è un device di livello 3 ( ossia il network
layer ) ed è quindi in grado di sicurizzare (mediante preventiva
autenticazione e successiva cifratura) tutto ciò che sta ai livelli più
alti (dal transport all'application), e pertanto anche le classiche
"credenziali", che risiedono tipicamente nel session layer (o
nell'application se usiamo il 5-layers model) (umh... spero di non
parlare cinese...).
>Che altre soluzioni potrei usare?
>
Ce ne sono diverse, tutte basate (AFAIK) su autenticazione mediante
password e/o certificati e crittazione del payload dei pacchetti.
E' chiaro che tutto sta a individuare il corretto livello di sicurezza
che a te serve, e quindi a determinare il giusto trade-off tra sicurezza
e semplicità.
Un conto è proteggere segreti militari, un altro impedire a un utente di
guardare le donne nude su Internet.
A.
Maggiori informazioni sulla lista
flug-tech