Chat del 30 Novembre 2017 dalle 19:35:16 alle 20:08:24

Marco MORONI

buonaseraa

Stefano Salvi

Okkei, ci siamo!

Nicola VENTURINI

Non volevo metterle fretta prof, era una battuta

Diego NOGARETTI

buonasera

Stefano Salvi

Stacci attento lo stesso, Venturini! (a volte non te ne accorgi ma potresti esagerare)

Marco MORONI

prof, ma le chiavi che si scambiano client e server SSH, per creare la connessione sicura, le macchine lo fanno automaticamente o bisonga farlo?

Sofia MARI

Cosa succede quando uso due coppie di chiavi invece che una pubblica e una privata solamente?

Stefano Salvi

In SSH ho due scelte: o mi loggo con utente e password (in questo caso le chiavi vengono scambiate automaticamente, ma in maniera meno sicura) oppure "installo" la mia chiave pubblica nel server, in questo caso gli scambi di chiave successivi avverranno in maiera più sicura.

Comunque, dopo lo scambio di chiavi iniziale SSH scambia di nuovo periodicamente delle chiavi.

Marco MORONI

ok perfetto grazie

Sofia MARI

Un attimo... io avevo scritto che il client cifrava la sua chiave privata con quella pubblica del server, mandava quella e la usava per loggarsi.. Se usa quella pubblica dove sta la sicurezza? Dato che tutti in teoria possono conoscerla?

Stefano Salvi

Mari: una cosa potrebbe essere che faccio due cifrature: una con la mia chiave privata ed una con la chiave pubblica del destinatatio. In questo modo il destinatario sa che l\'autore sono io, perché ha la mia chiave pubblica e nessuno può decifrare il contenuto perché solo lui ha la chiave privata per decifrarlo.

Mari: cifrando ma mia password con la chiave pubblica del server, nessuno eccetto il server la può conoscere, ma il server non ha la certezza che il vero mittente sia io. Questo lascia apera la possibilità di un attacco "man in the middle" che evito con la chiave pre-scambiata.

Marco MORONI

Mi attacco alla Sofia: Il primissimo scambio di chiavi che hanno client e server è però vulnerabile giusto?

Stefano Salvi

Moroni: nel "primissimo" scambio di chiavi io non ho la certezza di chi è chi. Il client per avere un minimo di certezza si registra la chiave pubblica del server e controlla che sia quella della volta precedente. Il server può solo controllare se la mia chiave pubblica gli è stata INSTALLATA.

Sofia MARI

si, ma comunque il fatto che le chiavi vengano registrate avviene comunque dopo il primissimo scambio, quindi è insicuro come aveva detto Moroni

Stefano Salvi

Mari: l\'installazione della chiave pubblica dle client nel server viene effettuata A MANO, quidi è sicura perché la garantisce l\'umano che fa l\'operazione. Di solito la registrazione della chiave pubblica del server nel client viene fatta in automatico, ma avvisando l\'utente che può magari prendere le sue precaiuzioni. Posso comunque anche effettuare la registrazioen della chiave del server manualmente, garantendomi sicurezza anche in quella fase.

Stefano VIGHINI

Quando eseguo le due cifrature, cifro lo stesso contenuto prima con una chiave e dopo (quello che risulta) con l\'altra?

Sofia MARI

Può rispiegare anche SSL?

Stefano Salvi

Vighini: se eseguo la doppia cifratura, si.

Mari: SSL (Secure Socket Layer) esegue sostanzialmente lo stesso tipo di cifrature di SSH, ma lo fa su di un "socket TCP" in modo da applicarlo non alla dhell (tipo telnet) ma da creare un "socket TCP sicuro" si cui veicolare qualunque protocollo. In fase di connessione di solito utilizza il sistema dei certificati per garantire l\'identità del server (e la segretezza dello scambio iniziale). Può anche utilizzare un secondo certificato per il client, per garantire anche l\'identità del client.

--- dhell -> shell;

Sofia MARI

va bene, grazie

Un\'altra cosa.. Con il port forwarding io apro una connessione su una porta specifica (del client) verso una porta specifica del server il quale inoltrerà la mia richiesta a una macchina interna della sua rete?

Stefano Salvi

Mari: si. Posso anche fare il contrario: aprire una porta specifica sul server da inoltrare ad una porta di ujna macchina nella mia rete. Spesso come ip di destinazione si usa 127.0.0.1 (localhost), ma potrei usare anche altre macchine (e addirittura avere una destinazione in internet generico).

Diego NOGARETTI

può spiegare il port forwarding di ssh?

Sofia MARI

alla fine è una sorta di NAT solo che il canale è, diciamo, "predefinito" e il server fa quello che fa il router? (più o meno e grandi linee)

Stefano Salvi

Nogaretti: Da CAPO... (ci aggiungo i parametri): se io idico -L222:127.0.0.1:22 allora se poi mi connetto alla MIA porta 2222 (o qualcuno si connette alla mia porta 2222), la connessione viene "rimbalzata" sula porta 22 del server.

Diego NOGARETTI

va bene, grazie

Stefano Salvi

Nogaretti: se invece io scrivo -R333:80.16.23.54:22 allora se qualcuno (o il server stesso) si conette alla porta 333 del server, la connesione verrà "rimbalzata" alla porta 22 della macchina (che probabilmente è in Internet) 80.16.23.54.

MARI: MOOLTO a grandi linee, anche perchè la prima porta del router è qui da me, mentr ela seconda è dal lato del server e i dati transitano tra le due cifrati e protetti.

Come siamo messi? Possiamo chudere?

Marco MORONI

per me si

Stefano VIGHINI

grazie, a domani

Stefano Salvi

Allora buona cena, buon riposo e in bocca al lupo.