Chat del 30 Novembre 2017 dalle 19:35:16 alle 20:08:24
- Marco MORONI
- buonaseraa
- Stefano Salvi
- Okkei, ci siamo!
- Nicola VENTURINI
- Non volevo metterle fretta prof, era una battuta
- Diego NOGARETTI
- buonasera
- Stefano Salvi
- Stacci attento lo stesso, Venturini! (a volte non te ne accorgi ma potresti esagerare)
- Marco MORONI
- prof, ma le chiavi che si scambiano client e server SSH, per creare la connessione sicura, le macchine lo fanno automaticamente o bisonga farlo?
- Sofia MARI
- Cosa succede quando uso due coppie di chiavi invece che una pubblica e una privata solamente?
- Stefano Salvi
- In SSH ho due scelte: o mi loggo con utente e password (in questo caso le chiavi vengono scambiate automaticamente, ma in maniera meno sicura) oppure "installo" la mia chiave pubblica nel server, in questo caso gli scambi di chiave successivi avverranno in maiera più sicura.
- Comunque, dopo lo scambio di chiavi iniziale SSH scambia di nuovo periodicamente delle chiavi.
- Marco MORONI
- ok perfetto grazie
- Sofia MARI
- Un attimo... io avevo scritto che il client cifrava la sua chiave privata con quella pubblica del server, mandava quella e la usava per loggarsi.. Se usa quella pubblica dove sta la sicurezza? Dato che tutti in teoria possono conoscerla?
- Stefano Salvi
- Mari: una cosa potrebbe essere che faccio due cifrature: una con la mia chiave privata ed una con la chiave pubblica del destinatatio. In questo modo il destinatario sa che l\'autore sono io, perché ha la mia chiave pubblica e nessuno può decifrare il contenuto perché solo lui ha la chiave privata per decifrarlo.
- Mari: cifrando ma mia password con la chiave pubblica del server, nessuno eccetto il server la può conoscere, ma il server non ha la certezza che il vero mittente sia io. Questo lascia apera la possibilità di un attacco "man in the middle" che evito con la chiave pre-scambiata.
- Marco MORONI
- Mi attacco alla Sofia: Il primissimo scambio di chiavi che hanno client e server è però vulnerabile giusto?
- Stefano Salvi
- Moroni: nel "primissimo" scambio di chiavi io non ho la certezza di chi è chi. Il client per avere un minimo di certezza si registra la chiave pubblica del server e controlla che sia quella della volta precedente. Il server può solo controllare se la mia chiave pubblica gli è stata INSTALLATA.
- Sofia MARI
- si, ma comunque il fatto che le chiavi vengano registrate avviene comunque dopo il primissimo scambio, quindi è insicuro come aveva detto Moroni
- Stefano Salvi
- Mari: l\'installazione della chiave pubblica dle client nel server viene effettuata A MANO, quidi è sicura perché la garantisce l\'umano che fa l\'operazione. Di solito la registrazione della chiave pubblica del server nel client viene fatta in automatico, ma avvisando l\'utente che può magari prendere le sue precaiuzioni. Posso comunque anche effettuare la registrazioen della chiave del server manualmente, garantendomi sicurezza anche in quella fase.
- Stefano VIGHINI
- Quando eseguo le due cifrature, cifro lo stesso contenuto prima con una chiave e dopo (quello che risulta) con l\'altra?
- Sofia MARI
- Può rispiegare anche SSL?
- Stefano Salvi
- Vighini: se eseguo la doppia cifratura, si.
- Mari: SSL (Secure Socket Layer) esegue sostanzialmente lo stesso tipo di cifrature di SSH, ma lo fa su di un "socket TCP" in modo da applicarlo non alla dhell (tipo telnet) ma da creare un "socket TCP sicuro" si cui veicolare qualunque protocollo. In fase di connessione di solito utilizza il sistema dei certificati per garantire l\'identità del server (e la segretezza dello scambio iniziale). Può anche utilizzare un secondo certificato per il client, per garantire anche l\'identità del client.
- --- dhell -> shell;
- Sofia MARI
- va bene, grazie
- Un\'altra cosa.. Con il port forwarding io apro una connessione su una porta specifica (del client) verso una porta specifica del server il quale inoltrerà la mia richiesta a una macchina interna della sua rete?
- Stefano Salvi
- Mari: si. Posso anche fare il contrario: aprire una porta specifica sul server da inoltrare ad una porta di ujna macchina nella mia rete. Spesso come ip di destinazione si usa 127.0.0.1 (localhost), ma potrei usare anche altre macchine (e addirittura avere una destinazione in internet generico).
- Diego NOGARETTI
- può spiegare il port forwarding di ssh?
- Sofia MARI
- alla fine è una sorta di NAT solo che il canale è, diciamo, "predefinito" e il server fa quello che fa il router? (più o meno e grandi linee)
- Stefano Salvi
- Nogaretti: Da CAPO... (ci aggiungo i parametri): se io idico -L222:127.0.0.1:22 allora se poi mi connetto alla MIA porta 2222 (o qualcuno si connette alla mia porta 2222), la connessione viene "rimbalzata" sula porta 22 del server.
- Diego NOGARETTI
- va bene, grazie
- Stefano Salvi
- Nogaretti: se invece io scrivo -R333:80.16.23.54:22 allora se qualcuno (o il server stesso) si conette alla porta 333 del server, la connesione verrà "rimbalzata" alla porta 22 della macchina (che probabilmente è in Internet) 80.16.23.54.
- MARI: MOOLTO a grandi linee, anche perchè la prima porta del router è qui da me, mentr ela seconda è dal lato del server e i dati transitano tra le due cifrati e protetti.
- Come siamo messi? Possiamo chudere?
- Marco MORONI
- per me si
- Stefano VIGHINI
- grazie, a domani
- Stefano Salvi
- Allora buona cena, buon riposo e in bocca al lupo.
|