Il crescente uso della trasmissione dei dati attraverso le linee telefoniche ha aumentato il problema della sicurezza e il costo dei

PGPnet

L'utilizzo di Internet come interconnessione tra siti mette a rischio la privacy delle reti completamente private che vi si collegano. Il problema di una qualunque organizzazione che usa Internet è come poter connettere i suoi siti mantenendo privati i suoi dati. PGP offre la soluzione a questo problema mediante l'uso di una nuova tecnologia denominata Virtual Private Networks (VPNs). La funzione di PGPnet è quella di abilitare tale tecnologia.

La VPN fornisce un link di comunicazione sicuro, noto come Security Association (SA), utilizzando un mezzo non sicuro (Internet). Ciò è realizzato grazie al software installato sulle macchine di entrambi i lati della comunicazione, il quale richiede l'autenticazione degli utenti ed esegue la cifratura dei dati trasmessi.

Una VPN è privata esattamente come una rete privata convenzionale ed è virtuale perché non usa linee dedicate per interconnettere i siti, bensì l'Internet mondiale.

Abilitando VPN solo gli utenti che hanno fornito un'autenticazione valida, possono partecipare alla trasmissione, e nessuno può manomettere o leggere i dati in transito. Questo tipo di tecnologia è utile quando si desidera inviare o ricevere dati via Internet ed essere sicuri che tali dati non saranno letti o cambiati da altri o trasmessi da un impostore. Per questo motivo VPN rappresenta un metodo sicuro per scambiare chiavi PGP via Internet.

Per abilitare la funzione VPN basta cliccare sull'icona PGPtray presente sullo schermo in basso a destra, scegliere PGPnet e dalla finestra che compare cliccare sul pulsante evidenziato.

Vediamo ora le caratteristiche dei quattro pannelli presenti nella finestra:

Status panel: lista le SA attive. PGPnet registra e monitorizza tutte le SA che la propria macchina avvia e che le altre macchine avviano con la propria. Quando PGPnet apre una SA gli associa un valore di terminazione, cioè un limite di tempo o un limite massimo di byte che possono essere trasmessi, e quando la SA raggiunge tale valore ne crea automaticamente una nuova.

Con il tasto Save è possibile salvare una lista di SA attive in un file di testo, mentre con Remove si può rimuovere una SA. Con il tasto Properties è possibile visualizzare in dettaglio le caratteristiche di una SA.

VPN panel: permette di aggiungere, visualizzare o rimuovere entrate (gateway, subnet e host sicuri) nella lista di PGPnet, e di stabilire e terminare manualmente le SA. Per importare una lista di host esistente ed aggiungerla al VPN panel si seleziona Import Hosts dal menù File dalla finestra di PGPnet, si seleziona il file che si vuole aprire e si clicca Open. Mentre per esportare una lista di host, si seleziona Export host dal menù File e si salva la lista come file di testo.

Nella colonna Authentication sono mostrate delle chiavi dorate, le quali indicano che la crittografia è di tipo Diffie-Hellman/DSS, (vedi PGPkeys). Mentre nella colonna SA un pallino verde indica che la SA è attiva, uno rosso che l'attivazione non è riuscita, mentre uno bianco e blu indica il tentativo di connessione in corso.

Per stabilire una SA con un host selezionato basta cliccare sul tasto Connect, dopodiché al suo posto ci sarà il tasto Disconnect per terminare la SA. I tasti Add e Remove servono per aggiungere o rimuovere un'entrata nella finestra. Con Properties è possibile richiedere l'identificazione dell'host con cui si vuole comunicare.

Intruders panel: visualizza le comunicazioni che sono state bloccate. Il blocco può avvenire automaticamente in seguito ad un’intrusione che si verifica quando un host attacca il sistema. Oppure la comunicazione con uno specifico host può essere bloccata manualmente come segue: si clicca sul tasto Add, PGPnet visualizza la finestra Blocked Host; dopodicchè si inserisce l'indirizzo IP del computer che si vuole bloccare oppure si clicca DNS Lookup per cercarlo; infine si inserisce il numero di minuti durante i quali si intende mantenere la comunicazione bloccata.

Il pannello conterrà gli host bloccati, ai quali dunque, non è permesso comunicare col nostro sistema, insieme ai motivi che hanno causato il blocco e la durata del blocco.

Nella colonna Blocked Reason apparirà Manual se la comunicazione è stata bloccata manualmente, altrimenti ci sarà il motivo del blocco automatico. Mentre nella colonna Time Remaining apparirà la durata del blocco in minuti oppure Until removed per specificare che il blocco durerà fino alla disconnessione dell'host.

Selezionando un host presente nel pannello e cliccando sul tasto Properties, appare la seguente finestra

Cliccando poi sul tasto Trace Source è possibile scoprire informazioni sull’attaccante quali il nome di dominio, informazioni NetBIOS ecc. Se Trace Source riesce ad ottenere tali informazioni, è possibile utilizzarle per identificare e localizzare l’attaccante.

Log panel: descrive gli eventi che si verificano durante una connessione o un attacco.

Dal riquadro Show Events presente nella finestra è possibile selezionare il tipo di eventi che si vuole visualizzare: Service, IKE (Internet Key Exchange), IPsec (Internet Protocol security), PGP, System, e Intrusion events.

Vediamo ora più in dettaglio come utilizzare la tecnologia VPN.

Configurazione di VPN

Attivare una comunicazione VPN è semplice:

1. attivare VPN dalla finestra di PGPnet, come mostrato in precedenza;

2. selezionare la chiave e/o il certificato per l'autenticazione. Seguendo il percorso View (dalla finestra di PGPnet) -> Option -> VPN Authentication si accede alla finestra mostrata di seguito dove è possibile effettuare tali scelte.

NOTA: i certificati X.509 non sono supportati in PGP freeware. La versione che stiamo utilizzando è freeware, quindi la finestra di PGP Options ha il seguente formato, in cui possiamo notare che manca il riquadro per le autenticazioni X.509

Ovviamente la chiave che si intende utilizzare verrà selezionata dal proprio keyring, quindi dovrà essere stata generata precedentemente. In particolare PGP utilizzerà la chiave privata della coppia di chiavi selezionata e dunque verrà richiesto di inserire la passphrase. E' importante notare che se si sta creando una connessione VPN con un altro host e si sta utilizzando una chiave per l'autenticazione, entrambi i lati della connessione devono selezionare lo stesso tipo di chiavi PGP. Non è possibile negoziare una SA se un lato della connessione usa una chiave RSA e l'altro lato una chiave DH/DSS.

3. Aggiungere un host, una sottorete o un gateway con cui si vuole comunicare. Per fare questo, dal pannello VPN della finestra PGPnet, cliccare sul tasto Add e seguire le istruzioni del wizard. Vediamo quali sono le informazioni necessarie per effettuare tale operazione:

- per aggiungere un host --> nome di dominio o indirizzo IP

- per aggiungere una sottorete --> indirizzo IP e subnet mask

- per aggiungere un gateway --> nome di dominio o indirizzo IP

4. Per comunicare con un host, una sottorete o un gateway aggiunto al passo 3, bisogna creare una SA. A tale scopo basta selezionare l'entità (host, sottorete o gateway) con cui si vuole comunicare e cliccare sul tasto Connect. Se la connessione è stata stabilita, apparirà un punto verde nella colonna delle SA.

Per terminare una SA si clicca invece sul tasto Disconnect.

Una volta configurato, PGPnet opera in background. Ogni volta che si inviano dati (per esempio, via e-mail o web browser), ad una macchina con cui è stata stabilita una SA, il software provvede ad inviarli secondo i termini stabiliti da tale SA.

Autenticazione remota

Selezionando una entrata nella lista del VPN panel e cliccando sul tasto Properties è possibile richiedere all'host, alla sottorete o al gateway con cui si vuole comunicare di fornire una chiave PGP o un certificato X.509 affinché si identifichi.

PGP visualizzerà la chiave o il certificato forniti nel riquadro Remote Authentication.