Linux in pillole: networking

Chiariamo!
Ci sono due diversi tipi di indirizzi IP disponibili: IPv4 (versione 4) e IPv6 (versione 6). IPv4 è più vecchio e di gran lunga il più diffuso, mentre IPv6 è più recente ed è progettato per superare i limiti del vecchio standard e fornire molti più indirizzi possibili.
IPv4 utilizza 32 bit per gli indirizzi. Ci sono solo 4,3 miliardi di indirizzi univoci disponibili e molti sono assegnati e riservati, ma non effettivamente utilizzati. IPv4 sta diventando dunque inadeguato perché il numero di dispositivi disponibili sulla rete globale è notevolmente aumentato negli ultimi anni.

IPv6 utilizza 128-bit per gli indirizzi; questo permette 3,4 X 1038 indirizzi univoci. Se si dispone di una rete più ampia di computer e si desidera aggiungerne di più, sarebbe consigliabile passare a IPv6, perché fornisce gli indirizzi più esclusivi. Tuttavia, è difficile per i due protocolli inter-operare e a causa di questo, la migrazione a IPv6 richiede uno sforzo notevole e non è stata veloce come era originariamente previsto.

Linux in pillole: decodificare gli indirizzi IPv4

Chiedo scusa ai lettori. Questo sarebbe dovuto essere il primo articolo, quello introduttivo, sugli indirizzi IP, invece ho pubblicato quello sulla classe A. Poco male eccolo:

Un indirizzo IPv4 a 32 bit è suddiviso in quattro sezioni di 8 bit chiamati ottetti.

Esempio:
Indirizzo IP → 172. 16. 31. 46
Formato Bit → 10101100.00010000.00011111.00101110

Gli indirizzi di rete sono divisi in cinque classi: A, B, C, D, ed E. Le classi A, B, e C sono classificati in due parti: gli indirizzi di rete (net ID) e l’indirizzo Host (Host ID). Il NET ID viene utilizzato per identificare la rete, mentre l’ID host viene utilizzato per identificare un host della rete. La classe D è utilizzata per applicazioni multicast speciali (informazioni che vengono trasmesse a più computer contemporaneamente) e la classe E è riservata per un uso futuro. Noi tratteremo le classi A, B, e C.

Linux in pillole: decodificare gli indirizzi IPv4. La classe A

Gli indirizzi di classe A utilizzano il primo ottetto di un indirizzo IP come ID di rete e gli altri tre ottetti come l’ID host. Il primo bit del primo ottetto è sempre impostato a zero. Così si possono utilizzare solo 7 bit per i numeri di rete univoci. Come risultato, ci sono un massimo di 127 reti di classe A disponibili. Questo era possibile fino a quando c’erano poche reti uniche con un gran numero di ospiti. Poiché l’utilizzo di Internet è andato via via crescendo in maniera esponenziale sono state aggiunte le classi B e C per accogliere la crescente domanda di reti indipendenti.
Ogni rete di una classe può avere fino a 16,7 milioni di host unici sulla sua rete. L’intervallo di indirizzi host è da 1.0.0.0 a 127.255.255.255.

Nota: Il valore di un ottetto, o 8-bit, può variare da 0 a 255.

Linux in pillole: rendere sicuro il bootloader con una password

È possibile proteggere il processo di avvio con una password sicura per impedire a qualcuno di aggirare la fase di autenticazione dell’utente. Per i sistemi che utilizzano il boot loader GRUB, per la vecchia versione di GRUB 1, è possibile richiamare grub-md5-crypt. È quindi necessario modificare /boot/grub/grub.conf aggiungendo la seguente riga sotto la voce timeout:

Password –md5 $ 1 $ Wnvo.1 $ qz781HRVG4jUnJXmdSCZ30

È anche possibile forzare le password solo per alcune scelte di avvio.
Per GRUB 2 le cose sono più complicate anche se si dispone di una maggiore flessibilità (es. si possono settare password specifiche per l’utente). Inoltre non c’è bisogno di modificare il file di configurazione, /boot/grub/grub.cfg, direttamente, piuttosto si interviene sul file di configurazione del sistema in /etc/grub.d e quindi si esegue update-grub. Per maggiori informazioni: https://help.ubuntu.com/community/Grub2/Passwords.

Linux in pillole: vulnerabilità

Quando l’hardware è fisicamente accessibile, la sicurezza può essere compromessa da attività di:

  1. Key logging: i key logger sono software capaci di registrare in tempo reale le attività di un utente compresi i tasti che si premono sulla keyboard. I dati acquisiti possono essere memorizzati in locale o trasmessi a macchine remote;
  2. Network sniffing: Acquisizione e visualizzazione dei dati a livello di pacchetti di rete;
  3. Boot da live o rescue disk;
  4. Remount e modifica del contenuto del disco

A fronte di queste minacce una politica di sicurezza decente dovrebbe iniziare a proteggere adeguatamente l’accesso fisico a server e workstation. L’accesso fisico a un sistema rende possibile per gli attaccanti sfruttare facilmente diversi vettori di attacco, rendendo inutili tutte le eventuali precauzioni prese a livello di sistema operativo.
Alcune linee guida per la sicurezza:

  • Bloccare workstation e server;
  • Proteggere collegamenti di rete in modo da renderli inaccessibili da persone non affidabili;
  • Proteggere le tastiere dove digitate le password per evitare che vengano manomesse;
  • Proteggere il BIOS con una password per evitare che il sistema posa essere avviato con un DVD live o di salvataggio o chiave USB.

Per i computer degli utenti singoli in un ambiente domestico alcune delle precauzioni di cui sopra (come impedire l’avvio da un supporto rimovibile) sono sicuramente eccessive, tuttavia, se le informazioni sensibili sul vostro sistema richiedono una protezione accurata provate a considerare l’idea.