{\pwi ddTahomaP/=   SS@h13( &(*,W. 09741@>FCQO MKISU' oG?+Jt &  {A& ' VPN ACCESSO B'  A(") Due soluzioni protocollariB)  A*  + L2TPB+~ A,  - PPTPB- A.W^/ Prevedono di funzionare entrambi nello stesso modo,secondo 2 modi di utilizzo diversi.B/!e $ { A0 8 ProblemaB8 A9 :;B: C;d@ qk<|}===sy x؃N|_~P P@@_> .8`O|@ 0D!2 AdP DP!A a' (/xҋ^=s;>>@@ iH B D `6a8 l0P'x 0" cN:CJ("(B66࢏O@@> " 9|ׁ8 >0@P4x7<&7!?{O<飃;pA7 685B6N C5@N[@[I|9@ ߟ6_ 6-|PB EP@@H0„L L(K\pl;A4 32B3 C2@- " 8J( b .v؁t 4 0B% A1< Stazione che si vuole connettere alla sua lan aziendale.Prima di vpn in azienda c' NAS che accetta connessione telefonica,con modem si ottiene collegamento punto punto.Dove si usa PPP trasporto di pkt su rete punto punto.A livello fisico come distinguere pkt??problema del framing,ex pkt ip su link fisico prevede uso di lv2 datalink tra fisico e ip.Si usano sequenze particolari 01111110 cn hdlc per delimitare pkt,nn funziona ovunque uso caratteri di escape. Si crea un byte di nove bit agg 1 in fondo per tx un byte cn stessa codifica.FCS serve a rilevare errori in tx e scartare la trama.Chi riceve con hdlc non sa cosa c' dentro al payload.B<0& "O  $  ' %f # * 'o $ ' $ ">  ( &    A@? PPP aggiunta ad hdlc di 2 byte per riuscire a capire protolli cntenuti in pkt.Avendo l'accesso ad una rete ip,a basso costo,contatta la vpn,manda trama ppp in un tunnel verso corporate gw cg.Che viene incapsulato in pkt ip ed estratto da cg e visto come un pkt ppp in arrivo da connessione dial up.Non serve + framing ne fcs,ma lo tengo perch connettendosi a sp ottengo indirizzo dinamico assegnato da provider.Via ppp mando dati a provider che mi assegna un indirizzo negoziando parametri di connessione,LCP negoziazione lv2 e B?(#p '} & "|   ( %  A "w % # !g  B   A> =HAB=y CA!@yxx9ߞ5^-8' Axsw^{ `& [|@$U gP.6{=; P |9`5ПAF E<DBEF CDZ@F \@kG> Nasce con tunnel terminato sul client sulla porta 1723 avviene la negoziazione usando TCP.X i dati si fa un tunnel usando pkt Ip via GRE. Il pkt IP eventualmente cifrato vine imbustato PPTP con intestazione GRE. B>&  ' (  & A+#, Puo non funzionare perch:B, A 1.Nat non supporta GRE.Bw A' 2.C' firewall blocca la 1723.B A 3.Firewall blocca GRE.B< AB A  VPN e FIREWALLB AJS -GW prima del firewall:GW pu essere attaccato perch non protettoB%( % A8 -GW dentro il firewall:da un lato qnd arriva il traffico e lo inoltro all'interno non lo controllo pi,mentre anche in uscita potrei aver bisogno di filtrare il traffico in uscita dalla vpn.B & , % *  A%t{ -GW in parallelo:prima paso per il firewall poi faccio tunnel verso gw e poi ricontrollo o il traffico con il gatewB#k & + A   Y.B2 A  B A  VPN e NATB  A&- Cerco di dare indirizzo publico a gw.B& A    B  A{  IDS e VPNB  A9 Le sonde messe a monte xmettono diidentifica attacchi a firewall, a valle non capisco se mi stanno attaccando.Conviene metterne uno fuori e uno dentro per prevenire attacchi esterni e interniB  *  ! !> n  [[ |& \]^_`ag\Cg[4$@9||p.!x;P Ͻヌ=6@@D{9A]v!~c^> dB>te^>$@c^<_dJ_BD"81(0?