Chat del 13 Novembre 2018 dalle 19:33:53 alle 20:04:56
- Stefano Salvi
- Ok, ci siamo!
- Nicholas BRACCAIOLI
- Buonasera
- Francesco ROCCA
- Buonasera
- Alessandro BRANCHINI
- Come faccio la scelta tra bridged e routed?
- Stefano Salvi
- Buonasera a tutto.
- Nicholas BRACCAIOLI
- Cos\'è il Secure Shell detto SSH? e cosa fa?
- Alessandro CONSOLINI
- Cosa fa di preciso il VPN?
- Alessandro BRANCHINI
- a cosa serve il bridge nella VPN?
- Stefano Salvi
- Branchini: i vantaggi e gli svantaggi li abbiamo visti stamattina. Se non è necessario avere accesso fisico (livello 2) alla rete remota magari per cercare servizi, io sceglierei la routed, che manda meno cose inutuli a saturare la banda.
- Alessandro BRANCHINI
- come sono le reti bridged e routed a livello di indirizzi da una parte e dall\'altra?
- Alberto COMPAGNONI
- Per impedire gli attacchi DDOS del tipo “mittente sbagliato” cosa deve fare l\'ACL che metto in ingresso?
- Alessandro BRANCHINI
- cos\'è la LAN to LAN?
- Nicholas BRACCAIOLI
- Cosa fa l\'SFTP?
- Alessandro BRANCHINI
- se ICMP è di livello 3 posso gestirlo con le ACL standard?
- Stefano Salvi
- Braccaioli: SSH è un protocollo/servizio che consente (come base) di connettersi ad una sessione di terminale dulla macchina remota (come il terminale virtuale di ISO/OSI o Telnet) attraverso una connessione siucra. Oltre a questo ha come "accessorio" la possibilità di fare tunnel di una o più connessioni TCP configurate.
- Francesco ROCCA
- Potrebbe spiegare come funziona l\'opzione Port Forwarding di SSH?
- Alberto COMPAGNONI
- Che differenza c’è tra i controlli fatti dalle ACL e i controlli fatti dallo stateless firewall? Cosa cambia dalle ACL standard a quelle avanzate?
- Stefano Salvi
- Consolini: una VPN crea un tunnel tra due apparati, su questo tunnel può installare una rete IP (quinidi facendo routing) o instradare trame ethernet (quindi crenado una sorta di switch "distribuito" detto bridge).
- Alessandro BRANCHINI
- tutti i siti che si registrano alle CA hanno la stessa chiave privata oppure ogni sito ha la sua chiave privata? perchè mi sembra strano che io mi scarico tutte le chiavi pubbliche di tutti i siti che hanno il certificato
- Stefano Salvi
- Branchini: a cosa serve il bridge l\'ho appena scritto. Nel caso di reti routed, da una parte (o da entrambe) c\'è un router che quindi deve configurare una rete sul link VPN diversa da tutte le altre cui è connesso. Nel caso della bridged invece gli apparati agli estremi è come se fossero attaccati ad uno switch, quindi la rete IP deve essere identica e non ci devono essere indirizzi duplicati tra uno e l\'altro estremo della VPN.
- Alessandro BRANCHINI
- in SSH abbiamo detto che posso memorizzare sul server la chiave pubblica. Ma poi questa chiave a cosa serve? La utilizzo al posto della cifratura blanda che avrei altrimenti nella fase di login?
- La VPN usa SSH o una cifratura a piacere?
- Stefano Salvi
- Compagnoni: per bloccare un attacco DDOS eseguito indicando un indirizzo diverso dal mio come mittente (che costringe il destinatario a rispondere ad una macchina diversa da me) posso usare una ACL che controlli che i pacchetti provenienti da un\'interfaccia abbiamo come mittente un indirizzo della mrete connessa a quell\'intefaccia (ma funziona solo nella rete di chi scatena l\'attacco)
- Alberto COMPAGNONI
- ok grazie
- Stefano Salvi
- Brancini: una VPN LAN-to-LAN è una VPN (bridged o routed) che connette due intere reti. Si contrappone alla Remote Access che collega una singola macchina ad una rete remota. Nella LAN-to-LAN tutte le macchine di entrambe le reti possono parlare con tutte quelle dell\'altra rete all\'altro estremo della VPN. Nella Remote Access da una parte non c\'è una rete intera ma una singola macchina.
- Braccaioli: L\'SFTP ha le stesse funzioni dell\'FTP, ma le svolge tramite un canale SSH, quindi in maiera sicura e protetta.
- Branchini: ICMP è di livello 4... purtroppo... (viaggia su IP)
- Alessandro BRANCHINI
- avevo letto male da wikipedia
- mi scusi
- Stefano Salvi
- Rocca: SSH è in grado di "incapsulare" (fare il tunnel) di una o più connessioni TCP. PEr fare questo quando avvio il client devo indicare quali connessioni intendo trasferire e in che direzione. Il client predisporrà auindi delle porte in ascolot su di se o sul server e quando avverranno connessioni sulle porte configurte queste verranno "trasferite" all\'altro estremo.
- Francesco ROCCA
- ok grazie
- Nicolas BENATTI
- Quando faccio un bridge tra un\'interfaccia di rete fisica ed quella virtuale creata dalla VPN, che IP viene assegnato alla "coppia"?
- Stefano Salvi
- Compagnoni: uno stateless firewall ha le potenzialità simili alle ACL avanzate. Cosa fa una ACL avanzata dipende poi dall\'apparecchio che la implementa, può essere piò o menno sofisticata nel consentire i filtri.
- Alessandro BRANCHINI
- SSH usa solo TCP?
- Nicolas BENATTI
- 2) che differenze ci sono tra una serie di regole ACL avanzate e un firewall software stateless (per esempio fatto usando iptables)
- Nicholas BRACCAIOLI
- Cosa fa il Proxy?
- Alberto COMPAGNONI
- Cosa fa in più un\' ACL avanzata rispetto a una standard?
- Stefano Salvi
- Branchini: nel browser ci sono tutte le chiavi pubbliche delle CA, che servono per decodificare i certificati che emettono. Nel certificato c\'è la chiave pubblica del sito (cifrata con la chiave privata dlla CA) che mi consente di avviare un colloquio per avviare la cifratura sicura.
- Branchini: posso memorizzare sul server la mia chiave pubblica, in questo modo posso mandare un pacchetto cifrato con la mia chiave privata ed in questo modo il server mi riconosce perché riesce a decifrarlo con la mia chiave pubblica, che lui possiede. Da ,i comincio la cifratura forte.
- Branchini: la VPN NON usa SSH ma una "cifratura a piacere" dipendente dal modello di VPN (ce ne sono più d\'uno).
- Benatti: quando faccio il bridge tra l\'interfaccia di rete fisica e quella virtuale della VPN (se lo faccio davvero e non uso altri sotterfugi) viene creata una "terza" interfaccia virtuale, che rappresenta il bridge, cioè la coppia, e questa interfaccia viene configurata come un\'interfaccia normale, fissa o in DHCP.
- Branchini: SSH usa TCP per la connessione sicura e fa port forwarding solo di connessioni TCP.
- Benatti: mi sembra di aver già risposto. Dipende dalla "marca" del router, che può avere ACL avanzate "più o meno avanzate"...
- Nicolas BENATTI
- Perfetto, grazie
- Stefano Salvi
- Braccaioli: un proxy intercetta un protocollo applicativo e, interpretandolo, fa delle operazioni oppure anche delle modifiche al flusso trasferito.
- Compagnoni: con un\'ACL standard posso fare esclusivamente regole basate sugli indirizzi IP dei pacchetti (o al limite, ma raramente, sugli altri campi del pacchetto IP). Con le ACL avanzate invece riesco fare regole che tengano conot anche del protocollo incapsulato e dei suoi campi.
- Ho risposto a tutto? Ho saltato qualche domanda?
- Alberto COMPAGNONI
- ok grazie
- Nicholas BRACCAIOLI
- Non credo
- Stefano Salvi
- Bene. Avete altre domande?
- Nicholas BRACCAIOLI
- Io no
- Alessandro BRANCHINI
- mi paicerebbe dire di no
- Alberto COMPAGNONI
- neanche io
- Stefano Salvi
- Ti capisco...
- Ok, allora buona cena, buon riposo e in bocca al lupo.
|