Re: Firewall & RADIUS

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: Firewall & RADIUS
Mittente: Qu3St
Data: 17 Jun 2002 11:03:47 -0000


Martedė, giugno 11, 2002, alle 11:08 , tricaricog@tin.it ha scritto:
> Provo a descrivere lo scenario:
>
> L'host funge da firewall verso una rete X, quando un nuovo utente cerca
> di accedere il firewall riconosce l'indirizzo IP non autenticato, ed 
> effettua
> autenticazione Radius, se l'autenticazione ha successo aggiunge l'IP 
> dell'utente
> nella lista di quelli ammessi....
>


Sinceramente non ne capisco l'utilita', se non altro perche' un 
autenticazione di
questo tipo si presta bene qualsiasi forma di attacco su IP. Avrebbe 
gia' piu' senso
se a fronte di un autenticazione non solo sull'IP ma anche sul SSL/TSL 
per dirne una.
E cmq credo che se devi consentire ad una determinata macchina/IP di 
accedere alla tua
rete e vuoi un minimo di autenticazione, potresti pensare di mettere su 
una vpn, intesa
anche come un semplice tunnel over IP, se non vuoi appensantire il tutto 
con il classico
IPSEC, e fare cosi' anche accounting. Altrimenti ci sono rimedi piu' 
casarecci, ma non
meno efficaci, molto dipende da cosa devi realmente implementare. Un 
idea potrebbe
essere:
Ip/Tale si collega via ssh per dirne una su un ambiente "ristretto" al 
tuo firewall, all'atto dell'autenticazione il friewall non risponde con 
la shell, ma apre un canale di accesso dall'IP dell'autenticazione verso 
le macchine/porte verso cui il tipo e' autorizzato ad andare. NUlla 
vieta di mettere l'accounting ed i filtri relativi su un radius.

Se invece Parliamo di autenticazioni di macchine su una lan fisica be 
allora c'e' il
protocollo 802-1x standard iie per l'autenticazine delle macchine sulla 
lan:
http://www.dqc.org/~chris/specsheets/ieee802/802-1x-d11-changes.pdf
Personalmente lo sto provando proprio in questi giorni su alcuni apparti 
Enterasys e
finora si sta comportando abbastanza bene.

pax et bonum
quest

--
Visita Interiorae Terrae Rectificando Invenies Occultum Lapidem
         --> Qu3St alchimista delle reti del FreakNet MediaLab
         --> www.dyne.org :: www.freaknet.org :: www.mufhd0.net


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Firewall & RADIUS, tricaricog

Data:
- precedente: Re: Server applicativi appartenenti al dominio, Calogero
- successivo: [fwd] Consiglio evento di sicurezza, Igor Falcomata'
- indice

Argomento:
- precedente: Re: Firewall & RADIUS, Fausto Pasqualetti
- successivo: Server applicativi appartenenti al dominio, Tommaso Di Donato
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005