RELAZIONE STAGE POSTE ITALIANE

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "RELAZIONE STAGE POSTE ITALIANE"

Transcript

1 RELAZIONE STAGE POSTE ITALIANE Siracusa Alessandro, ELIS TM Sommario 1. INTRODUZIONE Posizionamento in ambito aziendale ARCHITETTURA A DATACENTER Benefici derivanti dall impiego di infrastrutture a data center Il caso Poste Italiane: PROGETTO SVOLTO IN AZIENDA; IMPLEMENTAZIONE PROVISIONING FORM Teoria della gestione di flussi di provisioning Gestione di flussi di provisioning in ambito di networking nel caso di Poste Italiane Caso pratico, linee guida per la compilazione di un Provisioning Form CONSIDERAZIONI FINALI...45 Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 1 di 45

2 1. INTRODUZIONE 1.1. Posizionamento in ambito aziendale All interno della struttura di Poste Italiane zona Eur di Roma mi sono occupato di tutto ciò che concerne la messa in produzione e in sicurezza di apparati di Networking aziendali. Il settore in cui ho svolto lo stage è stato Sviluppo/Progettazione Rete TLC a cui fa capo il Dottor Musella. La gerarchia include anche il dottor Antonio Talamo. Subito dopo si posiziona il mio tutor aziendale, Ingegner Andrea Pelino, che ha la funzione di progettare e revisionare tutti quei sistemi IT che vengono messi in produzione all interno dell infrastruttura di rete di Poste Italiane. Posizionamento in ambito aziendale Il tutor aziendale è sempre stato molto disponibile e grazie a lui ho potuto approfondire l esperienza e le competenze acquisite in questi due anni durante il corso Telecommunication Manager svolto presso il centro ELIS di Roma. La struttura organizzativa di Poste è Italiane è ben definita è non ho avuto mai grossi problemi nel reperire materiale per le attività o nel riferire i risultati. L ambiente è sempre Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 2 di 45

3 stato molto stimolante e c è sempre stata l occasione di approfondire nuove tematiche. Il punto di forza di questa azienda è l attenzione per i suoi dipendenti che si manifesta tramite piccoli accorgimenti come ad esempio il Family Day, una giornata in cui i dipendenti di Poste Italiane possono mostrare la loro azienda alla famiglia e dilettarsi in varie attività finanziate dall azienda stessa. Un altro esempio può essere la mensa molto igienica e ben organizzata con uno staff molto accogliente. I laboratori di sviluppo e gli uffici sono spaziosi e ben attrezzati e curati nei dettagli. Lavorando in coppia con un compagno del corso TM (Andrea Serreli) ho potuto applicare le competenze in campo di team working apprese durante tutto il corso ELIS. Inoltre grazie alle varie riunioni organizzate dal tutor aziendale, a cui facevano parte svariati organi di Poste Italiane, ho toccato con mano quello che viene comunemente chiamato Public Speaking, cioè la capacità di sapersi relazionare in pubblico e a persone completamente sconosciute. Le riunioni organizzate trattavano la compilazione di un provisioning form, strumento molto diffuso negli stabilimenti di Poste Italiane di cui introdurrò le funzioni nelle prossime pagine. Svariate volte mi è stato richiesto di validare le cosiddette schede di provisioning e di comunicare ai diretti interessati eventuali anomalie o correzioni da apportare al documento in questione. Durante questo periodo ho seguito le vicende e gli sviluppi di nuovi servizi offerti da Poste Italiane come il sistema di iptv che distribuisce contenuti di informazione e intrattenimento in tutti gli uffici postali italiani. Altre esperienze fondamentali sono stati i convegni e le presentazioni organizzate da consulenti di medie/grosse imprese che hanno presentato le loro soluzioni rivelatesi indispensabili per il lancio di nuovi servizi in PI. L esperienza è stata stimolante e ricca di contenuti formativi. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 3 di 45

4 2. ARCHITETTURA A DATACENTER 2.1. Benefici derivanti dall impiego di infrastrutture a data center La progettazione di una struttura DC/IDC si sviluppa attraverso la realizzazione di un insieme di moduli funzionali che possono essere composti per soddisfare i requisiti dei diversi progetti che queste strutture sono destinate ad accogliere. Gli elementi chiave su cui si sviluppa la fase progettuale sono elevata velocità, alta affidabilità, livelli funzionali (strutture di Backbone progettate mediante una logica divisione in livelli gerarchici sia a scopo erogativo che connettivo per i clienti: strutture di Backup separate disponibili per tutti i livelli logici, strutture di Sicurezza e Monitoraggio direttamente connesse a tutte le realtà per interventi rapidi e visione sempre attuale e coerente). Altri elementi fondamentali sono: sicurezza (strutture di cabling system e networking realizzate in modo da poter consentire l inserimento di Firewall, Network Intrusion Detection System ed IPS sui vari livelli funzionali; apparati di rete che supportano protocolli di autenticazione), scalabilità (strutture di trasporto dati e sicurezza realizzate in modo da essere adattabili a necessità specifiche che vengono a determinarsi dalla tipologia di servizi di volta in volta), modularità (percorsi di aggiornamento ed espansione delle varie parti della struttura, definiti ed applicabili con elevata granularità, in modo da incidere solo ove effettivamente richiesto garantendo competitività nei costi), flessibilità, conformità agli standards, implementazione modulare (l indipendenza tra i moduli ne rende possibile l evoluzione separata, riducendo anche in questo caso i tempi necessari alla definizione ed attuazione dei percorsi di sviluppo). I modelli architetturali per le reti dati sono del tipo mesh structure e hierarchical structure. La struttura di tipo mesh prevede una rete funzionalmente non gerarchica in cui tutti i nodi ricoprono le stesse funzioni ed ogni nodo è in grado di interagire direttamente con gli altri senza alcuna forma di dipendenza logica. In una struttura gerarchica invece la rete è divisa in livelli logici distinti, con conseguenti vantaggi in scalabilità, semplicità nell implentazione, semplicità delle procedure di problem determination, facilità nella definizione del piano d indirizzamento, conformità con il principio d isolamento, facilità nel dimensionamento delle risorse. Ogni livello è caratterizzato da una o più specifiche funzionalità. Nel caso specifico della progettazione di una rete basata sul protocollo IP, il modello gerarchico è applicabile in funzione del piano di indirizzamento che si vuole assegnare alla rete stessa: le regole di summarizzazione devono risultare applicabili nel passaggio da un livello logico a quello direttamente adiacente. Il modello di riferimento, per lo studio dell infrastruttura dei Data Center di Poste Italiane, si caratterizza di tre livelli logico-funzionali ognuno dei quali racchiude differenti componenti architetturali. I livelli logico/funzionali sono MAN/WAN layer (funzioni necessarie a garantire l interconnessione del Data Center alle reti dati private e/o pubbliche; a questo livello vengono quindi implementate le regole di instradamento e di sicurezza orientate al controllo dell accesso dell utenza ai servizi erogati), SERVICE Layer (prevede tutte le funzioni inerenti alla modalità con cui vengono presentati ed offerti i servizi all utenza; in esso vengono definite e implementate le architetture dei servizi sia dal punto di vista dei flussi informativi, che da quello della sicurezza dei sistemi e dell affidabilità della rete), HOSTING Layer (funzioni inerenti l interconnessione/accesso dei serventi in rete e la conseguente assegnazione degli stessi a differenti aree logiche ognuna associata, secondo la tipologia di servizio erogato, ad una componente architetturale specifica del Service Layer ). Le componenti che vengono implementate all interno di ogni livello logico si differenziano ulteriormente a seconda degli schemi architetturali specifici dei servizi e delle reti. Il livello MAN/WAN a sua volta rappresenta la componente Intranet (definisce l architettura di accesso al Data Center per l utenza interna aziendale), Extranet (definisce l architettura di accesso al Data Center per l utenza appartenente ad aziende partner o facenti parte della holding), Internet (definisce l architettura di interconnessione verso rete dati pubblica). Il Service Layer è composto da BackEnd (componente di accesso a tutti i sistemi considerati trusted ), Application (definisce la componente di accesso a tutti i sistemi applicativi business e le banche dati e gli storage), Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 4 di 45

5 Presentation (definisce la componente di accesso a tutti sistemi di tipo Web Server, Proxy, etc, ritenuti Internal Presentation) e FrontEnd (definisce la componente di accesso a tutti i sistemi di vetrina ritenuti External FrontEnd). L Hosting Layer prevede quattro componenti logiche che si distinguono per la tipologia contemplata dei sistemi e che condividono la medesima infrastruttura di rete. La separazione tra sistemi viene comunque mantenuta applicando la funzionalità di virtualizzazione del livello Data Link denominata di Virtual LAN. Le VLAN sono definite sulla base della classificazione dei servizi erogati, indicate nelle specifiche del Service Layer. Sono così identificati quattro tipi di serventi, che sono trusted server, application e db server, web e relay server External FrontEnd, web e relay server Internal Presentation. Il traffico intralayer e interlayer segue specifiche e stringenti regole di instradamento che vengono implementate dai sistemi di rete e dai firewall. I firewall vengono posizionati lungo le direttrici di traffico che interessano la comunicazione tra sistemi non in relazione di trusting tra loro. Parallelamente al Data Flow relativo ai flussi informativi si sviluppa anche quello relativo ai flussi di controllo. Per Data Flow di produzione Internet si intende il flusso dati standard seguito da una connessione di un utente Internet ai servizi offerti dall IDC. Per Data Flow di produzione RdG si intende il flusso dati standard seguito da una connessione di un utente sulla rete aziendale ai servizi offerti dall DC/IDC. Per Data Flow del Sistema di Backup si intende il flusso dati standard seguito dalle connessioni utilizzate per effettuare i backup dei dati dei Server. Per Data Flow del Sistema di Management si intende il flusso dati standard seguito dalle connessioni utilizzate dagli strumenti di management per effettuare il controllo e la gestione degli apparati di rete (Firewall, Router, Switch) e dei sistemi (Server). Il control plan del Data Center opera in base al principio di segnalazione in banda: il traffico ICMP ed il traffico generato dai protocolli di routing viene scambiato tra i nodi di rete sulle stesse direttrici fisiche e logiche dei flussi dati. Questo impone, là dove è contemplata la presenza di firewall, che le politiche di sicurezza prevedano anche specifiche regole inerenti al trattamento della segnalazione. Il management plan del Data Center invece opera in modalità scorrelata, a livello di traffico prodotto, rispetto al data e control plan. Un infrastruttura di rete out band è realizzata infatti parallelamente a quella di esercizio per garantire la gestione e il controllo dei nodi di rete (firewall, ids, router e switch) e la raccolta dei dati di logging prodotti dai sistemi. Il Data Center deve essere protetto sia dal punto di vista dei dati in esso conservati, che da quello dei sistemi, server e apparati attivi di rete. Nell ottica del network security ne consegue una classificazione dei requisiti secondo il controllo degli accessi (accesso ai servizi ed alle risorse deve essere discriminato in accordo con una precisa politica di sicurezza e previa identificazione dell utente), l integrità (i dati devono essere preservati integri durante il suo trasferimento in rete), la riservatezza e la confidenzialità dei dati (i dati sensibili trasferiti in rete non devono essere accessibili a utenti non autorizzati) e la disponibilità del servizio (i sistemi deputati all erogazione dei servizi devono essere protetti da attacchi che ne mirino la disponibilità). In ottica di ottimizzazione delle risorse e di gestione differenziata delle stesse, si sono sviluppate una serie di tecniche e funzionalità che di fatto permettono un sezionamento e una segmentazione logica degli apparati in sistemi indipendenti a livello di processi e di stack protocollari. Questo approccio prende il nome di virtualizzazione. Ad ogni livello dello stack protocollare la tecnica in oggetto trova una sua ben precisa funzionalità: layer 2 Virtual LAN (VLAN); layer 3 Virtual Routing Forwarding (VRF); layer 4/7 Virtual Firewall (VFW) e Server Load Balancing (SLB). Nel caso invece delle infrastrutture di rete, in cui l approccio non è applicato unicamente a livello di singolo apparato, ma a livello di intera network, la virtualizzazione si realizza mediante modalità Tunneling (in ottica di connettività logica essa offre un servizio di trasporto puro, che impiega il control plan dell infrastruttura di trasporto attraversata), e Virtual Private Network (in ottica di rete logica essa Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 5 di 45

6 offre un servizio di rete logica erogato da un infrastruttura di rete di trasporto e quindi come tale provvisto di un proprio control plan). L utilizzo di Virtual LAN è reso necessario perché permette di definire differenti domini di broadcast senza avere reti LAN separate a livello fisico. La segmentazione logica viene realizzata dagli apparati L2 switch mediante la separazione delle tabelle di instradamento. Particolare importanza riveste infine la definizione del piano di indirizzamento. Occorre distinguere il piano di indirizzamento di un DC dal piano di indirizzamento di un IDC. Nel caso di un DC, la mancanza di un accesso ad Internet fa preferire l utilizzo su tutta la struttura di indirizzi IP di tipo privato (RFC 1918), strettamente compatibili, nel caso dei DC Poste Italiane, col piano di numerazione adottato dalla rete RdG. In tale contesto appare opportuno assegnare ad ogni DC un piano di indirizzamento contiguo di ampiezza commisurata con la dimensione del DC stesso, in termine di utilizzo di porte LAN di erogazione nell arco temporale di due anni. Nel caso di un IDC, occorre gestire spazi di numerazione pubblici, spazi di numerazione privati confinabili in ristrette aree di erogazione e spazi di numerazione privati compatibili con la numerazione della intranet di Poste Italiane. In questo caso non è semplice definire delle linee guida di organizzazione e dimensionamento del piano di indirizzamento IDC e la gestione di tale attività non può che essere fatta su base pratica e per approssimazioni successive. I benefici ottenuti dall applicazione del modello a data center a struttura gerarchica sono: 1. Scalabilità: la rete può crescere o decrescere interessando unicamente un livello logico senza modificarne il sistema di controllo e di gestione; 2. Semplicità nell implentazione: permette una programmazione a passi successivi delle attività d installazione, attivazione e manutenzione; 3. Semplicità delle procedure di problem determination: riduce la complessità di un problema scomponendolo in più semplici affrontabili separatamente; 4. Facilità nella definizione del piano d indirizzamento: sono evidenziabili in maniera naturale i punti della rete in cui aggregare il traffico ed applicare le regole di address summarization ; 5. Conformità con il principio d isolamento : permette di gestire e mantenere la rete dividendola in aree di intervento e isolando ogni area dalle altre come se fosse un compartimento stagno ; 6. Facilità nel dimensionamento delle risorse: riduce la quantità d informazioni da memorizzare e processare. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 6 di 45

7 Una tipica configurazione a data center è quella a tre livelli: Schema logico di riferimento a 3 livelli (promosso da Cisco System) Ecco una breve descrizione dei livelli logico/funzionali indicati in precedenza: 1. MAN/WAN Layer: prevede le funzioni necessarie a garantire l interconnessione del Data Center alle reti dati private e/o pubbliche. A questo livello vengono quindi implementate le regole di instradamento e di sicurezza orientate al controllo dell accesso dell utenza ai servizi erogati; 2. SERVICE Layer: prevede tutte le funzioni inerenti alla modalità con cui vengono presentati ed offerti i servizi all utenza. In esso vengono definite e implementate le architetture dei servizi sia dal punto di vista dei flussi informativi, che da quello della sicurezza dei sistemi e dell affidabilità della rete; 3. HOSTING Layer: prevede le funzioni inerenti l interconnessione/accesso dei serventi in rete e la conseguente assegnazione degli stessi a differenti aree logiche, ognuna associata, secondo la tipologia di servizio erogato, ad una componente architetturale specifica del service layer Le componenti che vengono implementate all interno di ogni livello logico si differenziano ulteriormente a seconda degli schemi architetturali specifici dei servizi e delle reti. Ogni componente realizza quindi un set o un subset delle funzioni associate al livello logico di appartenenza, specializzandole di volta in volta Il caso Poste Italiane: Nel caso specifico di Poste Italiane le componenti in oggetto sono: 1. MAN/WAN LAYER Intranet: definisce l architettura di accesso al Data Center per l utenza interna aziendale; Extranet: definisce l architettura di accesso al Data Center per l utenza appartenente ad aziende partner o facenti parte della holding; Internet: definisce l architettura di interconnessione verso la rete dati pubblica. 2. SERVICE LAYER BackEnd (BE): definisce la componente di accesso a tutti i sistemi considerati trusted (es. Primary Domain Controller); Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 7 di 45

8 Application Layer (AL): definisce la componente di accesso a tutti i sistemi applicativi business (es. servizi transazionali quali Pensioni On Line) e le banche dati (es. database Oracle) e gli storage (es.i sistemi disco della EMC2); Presentation Internal Layer (PIL): definisce la componente di accesso a tutti sistemi di tipo Web Server, Proxy, etc, ritenuti Internal Presentation; FrontEnd(FE): definisce la componente di accesso a tutti i sistemi di vetrina (es. Portali web, relay e proxy), ritenuti External FrontEnd. 3. HOSTING LAYER Prevede quattro componenti logiche che si distinguono per la tipologia contemplata dei sistemi e che condividono la medesima infrastruttura di rete. La separazione tra sistemi viene comunque mantenuta applicando la funzionalità di virtualizzazione del livello Data Link denominata di Virtual LAN. Le VLAN sono definite sulla base della classificazione dei servizi erogati, indicati nelle specifiche del Service Layer. Sono così identificati quattro tipi di serventi: trusted server application e db server web e relay server External FrontEnd web e relay server Internal Presentation Per ogni tipologia di servente si ha una specifica VLAN: Access BE (BackEnd); Access AL (Application); Access PIL (Presentation); Access FE (FrontEnd). In aggiunta alle componenti architetturali sopra indicate si devono evidenziare altri due moduli che sono in overlay su tutti i tre i livelli funzionali sopradescritti: Management Module; Backup Module. 4. MANAGEMENT MODULE: La componente di Management interessa tutti i livelli logici facenti parte del modello di DC proposto. Essa prevede l infrastruttura di rete ed i sistemi ad essa connessi, demandati alla gestione dell intero Data Center. L architettura del sistema di gestione si basa su un modello di riferimento proposto dall ISO. Il modello di Management in questione aiuta la razionalizzazione e la comprensione delle principali funzioni di gestione mediante una classificazione delle stesse in 5 aree concettuali: 1. Fault Management: modalità di individuazione e comunicazione all operatore dei guasti presenti sugli elementi di rete. Esecuzione dei test diagnostici per la corretta localizzazione del guasto e per l avvio delle prime procedure di ripristino del servizio; 2. Configuration Management: gestione centralizzata della configurazione al fine di mantenere la conoscenza ed il controllo dei parametri operativi degli elementi. La gestione della configurazione consente inoltre la modifica dei parametri operativi di ciascuna risorsa in funzione delle condizioni di funzionamento richieste dalla rete; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 8 di 45

9 3. Accounting Management: verifica dell impiego delle risorse di rete. I dati prodotti permettono di effettuare il tuning periodico dell intera infrastruttura e di analizzarne il reale utilizzo; 4. Performance Management: procedure per il test delle performance della rete. I parametri analizzati sono di natura prestazionale (traffico sulle interfacce, tasso d errore, tempi di ritardo, etc.) e costituiscono il mezzo per valutare la qualità del servizio di rete sia in termini generali che più specificamente per ogni singolo utilizzatore; 5. Security Management: processo di gestione della sicurezza in tutti i suoi aspetti di configuration e di monitoring. È di estrema importanza per il gestore del servizio, oltre l accesso alle informazioni vitali del sistema di gestione, il controllo degli accessi da parte degli utilizzatori dei servizi offerti dalla rete. Di conseguenza il Security Management si occupa della gestione e distribuzione delle chiavi di cifratura, del mantenimento e della distribuzione delle password di accesso e dell autenticazione degli accessi. La raccolta delle informazioni relative alla gestione della rete può essere effettuata sfruttando la stessa infrastruttura di trasporto dei dati (management in band) o realizzandone una dedicata (management out band). La seconda soluzione permette, a differenza della prima, non solo di mantenere la gestione degli apparati anche in condizioni di malfunzionamento della rete, ma anche di effettuare le operazioni sopra riportate senza interferire con l erogazione dei servizi offerti e con un elevato livello di sicurezza e controllo degli accessi agli apparati. 5. BACKUP MODULE: Il modulo di Backup prevede l infrastruttura di rete e i sistemi ad essa connessi, demandati alla gestione e all implementazione delle procedure di backup dei dati sensibili, memorizzati dai sistemi presenti nei vari livelli del Data Center. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 9 di 45

10 MODELLO ARCHITETTURALE: Modello Architetturale Di Riferimento Il traffico intralayer e interlayer segue delle specifiche e stringenti regole di instradamento che vengono implementate dai sistemi di rete e dai firewall. La figura 3 mostra in sintesi il Data Flow. I firewall vengono posizionati lungo le direttrici di traffico che interessano la comunicazione tra sistemi non in relazione di trusting tra loro. Parallelamente al Data Flow relativo ai flussi informativi si sviluppa anche quello relativo ai flussi di controllo. Il control plan del Data Center opera sul principio di segnalazione in banda: il traffico ICMP ed il traffico generato dai protocolli di routing viene scambiato tra i nodi di rete sulle stesse direttrici fisiche e logiche dei flussi dati. Questo impone, là dove è contemplata la presenza di firewall, che le politiche di sicurezza prevedano anche specifiche regole inerenti al trattamento della segnalazione. Il management plan del Data Center opera invece in modalità scorrelata, a livello di traffico prodotto, rispetto al data e control plan. Un infrastruttura di rete out band è realizzata, infatti, parallelamente a quella di esercizio per garantire la gestione e il controllo dei nodi di rete (firewall, ids, router e switch) e la raccolta dei dati di logging prodotti dai sistemi. REQUISITY DI NETWORK SECURITY: Il data center deve essere protetto sia dal punto di vista dei dati in esso conservati, che da quello dei sistemi, server e apparati attivi di rete. Nell ottica del network security ne consegue una classificazione dei requisiti secondo quattro principi: Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 10 di 45

11 Il controllo degli accessi: l accesso ai servizi ed alle risorse deve essere discriminato in accordo con una precisa politica di sicurezza e previa identificazione dell utente; L integrità: i dati devono essere preservati integri durante il suo trasferimento in rete; La riservatezza e la confidenzialità dei dati: i dati sensibili trasferiti in rete non devono essere accessibili a utenti non autorizzati; La disponibilità del servizio: i sistemi deputati all erogazione dei servizi devono essere protetti da attacchi che ne mirino la disponibilità. Le prescrizioni di sicurezza descritte nei paragrafi successivi si traducono in funzionalità minime supportate dai sistemi di rete facenti parte dell infrastruttura di data center. SICUREZZA DEGLI APPARATI: Prevenire e circoscrivere attacchi alla sicurezza logica degli apparati deputati all erogazione dei servizi. Il sistema di sicurezza dovrà amministrare il diritto d accesso ai dati ed ai servizi, in modo da verificare la validità di ogni tentativo di accesso e stabilire l identità dell utente. PACKET FILTERING: Packet filtering sui protocolli e sulle porte del traffico in ingresso e in uscita dai BE, AL efe del Service Layer. ACL logging per il logging di tutti i matching verificatisi con ACL di tipo deny, con l obiettivo di identificare i tentativi di intrusione. Meccanismi di rate limiting e TCP message inspection per proteggere i sistemi da attacchi TCP SYN (ad es. TCP Intercept, SYN flag set ). Meccanismi di ICMP rate limiting per proteggere i sistemi da attacchi ICMP-based. ANTISPOOFING: Antispoofing e Reverse Path Verification sugli accessi della rete IP (Internet, Extranet e Intranet). BLACK-HOLE E NULL ROUTING: Null routing in particolari situazioni (ad esempio in occasione di attacco DoS con indirizzi sorgenti appartenenti ad uno specifico range), si deve poter implementare una la soluzione di filtraggio dei pacchetti di tipo null route in alternativa alle soluzioni di packet filtering tradizionali. ROUTING: Autenticazione routing per offrire un meccanimso di validazione reciproca tra apparati che si scambiano informazioni di routing mediante protocolli OSPF, RIP, IS-IS, ecc. SICUREZZA DEI SISTEMI SOFTWARE: Garantire la protezione dei sistemi operativi e del software di base delle apparecchiature informatiche critiche, dalle modifiche non autorizzate e disporre inoltre, per gli stessi sistemi operativi e per il software di base, di un processo di gestione degli aggiornamenti e di controllo periodico della loro integrità. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 11 di 45

12 Questo impone l implementazione di una serie di funzionalità e accortezze necessarie a controllare l accesso agli apparati di rete che deve essere sempre e comunque finalizzato alla loro gestione: Configurazione dei servizi: implica la definizione e l applicazione sui dispositivi di rete di una configurazione caratterizzata dall attivazione del solo set minimo di servizi strettamente necessari al corretto funzionamento della rete stessa e la conseguente disabilitazione dei servizi non indispensabili. Disabilitazione dei servizi: impone di disabilitare i servizi di TCP e UDP Small Server, finger, Bootp, http, PAD su tutti i CE. SNMPv3 come protocollo sicuro per la gestione degli apparati. LE FUNZIONALITÀ DI VIRTUALIZZAZIONE: In ottica di ottimizzazione delle risorse (memoria, cpu, banda trasmissiva ) e di gestione differenziata delle stesse (assegnazione, provisioning ) si sono sviluppate una serie di tecniche e funzionalità che di fatto permettono un sezionamento e una segmentazione logica degli apparati in sistemi indipendenti a livello di processi e di stack protocollari. Questo approccio prende il nome di virtualizzazione. Ad ogni livello dello stack protocollare la tecnica in oggetto trova una sua ben precisa funzionalità: layer 2 Virtual LAN (VLAN), layer 3 Virtual Routing Forwarding (VRF), layer 4/7 Virtual Firewall (VFW) e Server Load Balancing (SLB). Nel caso invece delle infrastrutture di rete, in cui l approccio non è applicato unicamente a livello di singolo apparato ma a livello di intera network, la virtualizzazione si realizza mediante due differenti modalità: Tunneling - in ottica di connettività logica essa offre un servizio di trasporto puro, che impiega il control plane dell infrastruttura di trasporto attraversata; Virtual Private Network in ottica di rete logica essa offre un servizio di rete logica erogato da un infrastruttura di rete di trasporto e quindi come tale provvisto di un proprio control plane. In questo caso il data plane eredita le caratteristiche proprie delle tecniche ditunneling del punto precedente. La tecnica di virutalizzazione viene applicata anche ai data center per implementare la divisione in livelli funzionali, prevista dall architettura N-Tier, senza dover duplicare per ogni livello l infrastruttura di switching e routing. Nel caso specifico si applicano le tecniche di VLAN, VRF e VFW sugli apparati, mentre le soluzioni VPN per gli accessi dell utenza via Internet e via Extranet. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 12 di 45

13 VIRTUAL LAN: Le Virtual LAN permettono di definire differenti domini di broadcast senza avere reti lan separate a livello fisico. La segmentazione logica viene realizzata dagli apparati L2 switch mediante la separazione delle tabelle di instradamento. Nel caso dei data center in oggetto la funzionalità di VLAN viene applicata a livello di hosting layer per differenziare i serventi secondo l appartenenza ad una particolare area: BackEnd, Application o FrontEnd. Tale separazione viene mantenuta fino al service layer dove sono predisposti i motori di routing e quindi abilitata la funzionalità di intervlan routing. Le policy aziendali specificano quali traffici a tal proposito sono da considerare permessi e quali no. L implementazione a questo livello delle stesse viene effettuata mediante interposizione di firewall. VIRTUAL ROUTE FORWARDING: La funzionalità di Virtual Route Forwarding nasce dal mondo delle reti di trasporto MPLS per permettere sugli apparati di accesso la suddivisione tra reti logiche associate a differenti VPN senza necessariamente abilitare il protocollo di segnalazione LDP. Un VRP e semplicemente un processo che simula un router virtuale all interno di un router fisico. La configurazione di differenti VRF all interno del medesimo router ottiene come effetto una segmentazione logica dello stesso. Le regole di impiego della funzionalità di VRF sono le seguenti: ogni VRF ha un proprio processo di routing e una propria tabella di instradamento ogni VRF ha assegnate delle interfacce fisiche (es. interface fastethernet) o logiche (es. interface VLAN) che non possono essere condivise con altri VRF i VRF non interoperano se non attraverso un interfacciamento fisico esterno al router che li ospita. SCHEMI DI VIRTUALIZZAZIONE APPLICATI AI DATA CENTER: Le funzionalità sopra descritte possono essere applicate nelle infrastrutture di data center per implementare le architetture di servizio N-Tier senza eccedere nelle componenti hardware. Le regole di implementazione sono le seguenti: VLAN applicate sugli hosting switch per separare a livello logico le tre farm di BE, AL e PIL; SLB applicato sulle suddette VLAN trasportate via connessioni trunk sul Service Layer con lo scopo di distribuire il carico elaborativo su differenti server fisici eroganti lo stesso servizio; VFW applicato sulle suddette VLAN in modalità transparent per implementare le network security policy; VRF applicato sulle suddette VLAN per implementare l intervlan routing. La figura seguente mostra l implementazione di quanto descritto con l aggiunta della funzionalità di failover che permette di ridondare ogni componente logica duplicandola su due apparati differenti. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 13 di 45

14 La figura seguente mostra l implementazione di quanto descritto con l aggiunta della funzionalità di failover che permette di ridondare ogni componente logica duplicandola su due apparati differenti. Schema di Virtualizzazione Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 14 di 45

15 VPN DI ACCESSO: Una parte dell utenza che accede ai servizi erogati dai data center via rete Internet o Extranet può avvalersi del servizio di VPN Accesso, che offre come valore aggiunto la protezione dei dati sensibili (confidenzialità e integrità) attraverso l impiego di meccanismi di cifratura. A tal scopo sono presenti nelle infrastrutture di accesso Internet e Extranet degli apparati denominati VPN Concentrator. Essi permettono di implementare le tecniche di tunneling cifrato utilizzate nelle soluzioni VPN. Un utente che opera su una workstation può in questo modo attivando l applicazione VPN client a sua disposizione e connettersi ai data center aziendali mediante connessioni virtuali sicure. La figura mostra i vari scenari. L utenza, a seconda delle sue caratteristiche, può operare su terminali managed, per i quali si può prevedere l impiego di VPN client specifici, oppure unmanaged, per i quali l ambiente operative consentito e il browser. Le soluzioni che si hanno sulla base di questa differenziazione sono sostanzialmente due: 1. terminali managed, VPN IPSec 2. terminali unmanaged, VPN SSL. Esempio VPN di accesso Organizzazione del routing nel Data Center All interno dell IDC sono presenti diversi domini di routing in ognuno dei quali possono essere utilizzati apparati, tecniche e protocolli diversi per garantirne il corretto funzionamento, le prestazioni, l alta affidabilità e la scalabilità. I domini di routing di seguito elencati verranno poi analizzati ad uno ad uno per meglio comprenderne i dettagli di funzionamento: Dominio di Accesso Dominio di Ingress/Egress Dominio di Egress/FrontEnd Domini interni Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 15 di 45

16 Dominio di BackEnd Alcuni aspetti sono però comuni a tutti i domini. In tutti i casi, ad eccezione delle LAN di erogazione del FrontEnd (attestate direttamente sui router di FrontEnd o sui sistemi di Load Balancing), viene utilizzato un indirizzamento IP di tipo privato. Le LAN citate fanno eccezione in quanto ospitano sistemi che devono essere raggiungibile da Internet: su di esse verranno utilizzati anche indirizzamenti pubblici. Per garantire elevate prestazioni, gli apparati utilizzati, siano essi router, firewall o load balancer, devono essere di tipo altamente performante e quindi funzionanti mediante circuiti ASIC. Per garantire l alta affidabilità dei livelli di routing, oltre a ridondare dove possibile le component vitali interne degli apparati (alimentazione elettrica, CPU, switch fabric), i dispositivi devono essere posizionati a coppie in ridondanza e ove possibile in bilanciamento. In particolare la ridondanza e il bilanciamento vengono gestiti utilizzando in diverse combinazioni i protocolli standard VRRP e OSPF. La scalabilità dell infrastruttura è garantita fino ad un certo punto dalle capacità (prestazionali e di connettività) delle singole coppie di apparati e in alcuni domini questo può già essere sufficiente. In caso di IDC/DC che necessitano di una alta capacità di connessioni, per i vari livelli occorre fissure delle soglie di erogazione oltre le quali è necessario aggiungere allo specifico livello altri apparati operanti con le stesse funzioni ed interconnessi con quelli già in esercizio. Dominio di Accesso Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 16 di 45

17 ARCHITETTURA POSTE ITALIANE A LIVELLO NAZIONALE L architettura di Poste Italiane mira ad una corretta disposizione degli apparati di rete e all ingegneria del traffico. Dall esperienza sviluppata negli anni Poste Italiane ha scelto per la sua infrastruttura di rete un sistema di data center disposti su scala nazionale. I data center principali sono 5: POMEZIA(produzione) PALAZZO DEI CONGRESSI(produzione, test) ARTE ANTICA(Test, Sviluppo) ROZZANO(produzione, test) BARI(produzione) Tutti i data center sono interconnessi con tecnologie fiber channel a velocità e banda variabile. Questa connettività di tipo geografico è garantita da svariati ISP italiani. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 17 di 45

18 3. PROGETTO SVOLTO IN AZIENDA; IMPLEMENTAZIONE PROVISIONING FORM 3.1. Teoria della gestione di flussi di provisioning Mano a mano che gli ambienti IT si fanno più complessi, diventano sempre più importanti la gestione e la protezione adeguate delle infrastrutture informatiche. Per questo motivo le aziende si stanno orientando verso alcune caratteristiche di eccellenza (le cosiddette best practices ) che corrispondono a metodologie già sperimentate sul campo per la standardizzazione dei processi e la gestione degli ambienti IT. Gli standard prevalenti in questo settore sono le norme ITIL ( Information Technology Infrastructure Library ); la normativa British Standard (BS15000), lo standard emergente per la gestione dei servizi informatici basato sulle metodologie ITIL; e la norma ISO 17799, lo standard mondiale basato sulla British Standard (BS7799) per la protezione delle informazioni aziendali. Queste best practices sono tuttavia da considerare alla stregua di semplici linee-guida il cui scopo è consentire alle organizzazioni di mettere a punto i processi interni per adattarli alle esigenze del business aziendale. Un approccio personalizzato di questo tipo impone una certa flessibilità negli strumenti adottati a supporto dei processi di business. Le soluzioni di Computer Associates International, Inc. (CA) offrono la flessibilità necessaria per aiutare le organizzazioni a mettere in pratica le indicazioni delle norme ITIL, BS15000 e ISO al fine di gestire i servizi IT in modo più efficiente ed economico. Le aziende che desiderano adottare un approccio standardizzato allo stato dell arte possono scegliere fra alcune metodologie: IT Infrastructure Library (ITIL) Include le definizioni delle best practices per la gestione dei servizi informatici (IT Service Management), suddivise in due volumi principali: Service Support Service Delivery BS15000 Prima normativa mondiale per la gestione dei servizi IT, rivolta sia ai fornitori di servizi di gestione dei servizi informatici, sia alle aziende che esternalizzano o gestiscono in proprio la funzione IT. La norma BS15000 specifica un insieme di processi gestionali correlati fra loro, ricalcati in gran parte sullo schema ITIL, che formano la base del controllo dei cosiddetti managed services, ovvero i servizi gestiti in toto. ISO Standard mondiale basato sulla normativa British Standard BS7799 che definisce le best practices per la gestione della sicurezza informatica. ITIL Security Management Processi allo stato dell arte per la protezione dell infrastruttura IT in gestione, strettamente legati all utilizzo delle best practices indicate dalla norma ISO La gestione del servizio secondo il modello ITIL e la norma ISO Il modello ITIL è costituito da un insieme di procedure ottimali per la gestione dei servizi informatici che hanno continuato ad evolversi sin dalla loro formulazione iniziale nel Sono nate originariamente come un insieme di processi ad uso e consumo della Pubblica Amministrazione britannica, finalizzati al miglioramento della gestione dei servizi IT, per essere successivamente adottati dal settore come base per una corretta gestione dei servizi informatici. Hanno continuato a diffondersi sempre di più in tutto il Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 18 di 45

19 mondo, affermandosi come standard per eccellenza per la gestione dei servizi informatici. Alla base di questo modello vi sono due volumi sulla disciplina di gestione del servizio, intitolati rispettivamente Service Support e Service Delivery, che sono stati successivamente riscritti nel biennio L argomento della security è trattato nell apposito volume uscito nel Le norme ITIL descrivono le prassi più adatte per ciascuna organizzazione. Ad esempio, l area Service Support comprende cinque discipline atte a garantire la flessibilità e la stabilità necessarie per erogare servizi IT utili a supportare il business aziendale: Incident Management Problem Management Change Management Release Management Configuration Management L area Service Delivery comprende cinque discipline per supportare gli aspetti finanziari e di qualità dei servizi IT messi a disposizione del business aziendale: Service Level Management Availability Management Capacity Management Financial Management per servizi IT IT Service Continuity Management Insieme, le discipline di Service Support e Service Delivery concorrono a offrire le funzioni necessarie per la gestione dei servizi a supporto del business aziendale. Le dieci discipline di gestione del servizio sono legate da relazioni complesse per consentire all infrastruttura informatica di erogare livelli elevati di servizio al business aziendale Gestione di flussi di provisioning in ambito di networking nel caso di Poste Italiane Definizione formale: Per gestione di flussi di provisioning si intende la gestione organizzata e centralizzata di risorse e processi aziendali tramite una serie ordinata di metodologie e attività mirate alla corretta raccolta e organizzazione di dati di sviluppo, gestione e vita di un processo, attività o risorsa aziendale. Nel caso di PI questa teoria trova applicazione in tutte le aree aziendali ma, in particolare, nell area sviluppo rete/tlc. Per far fronte alle esigenze di sicurezza messe in evidenza dagli standard BS15000 e ISO Poste Italiane ha creato un sistema di gestione di flussi di provisioning. Esso mira alla gestione e la messa in sicurezza dei sistemi e dei servizi ospitati all interno della sua infrastruttura di rete in accordo con la mission aziendale. Questa gestione teorica viene implementata con l ausilio del PF ( Provisioning Form ), un foglio di calcolo (compatibile con Office e OpenOffice) che consente di tracciare lo storico di ogni servizio implementato tramite risorse di rete. Nel caso di lancio o testing di un servizio deve essere eseguita una procedura standard che si concluderà con l approvazione e l implementazione del servizio nel caso in cui fossero rispettate tutte le linee guida aziendali pertinenti. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 19 di 45

20 Il provisionig form nella versione corrente è un foglio elettronico costituito da sezioni corrispondenti ai diversi servizi erogati dall IDC/DC. Ogni sezione deve essere compilata solo se richiesto dalle esigenze effettive del progetto; fa eccezione il primo modulo, contenente le informazioni generali indispensabili per l attivazione e la gestione del flusso di lavorazione che scaturisce dalla richiesta. In ciascun foglio le sotto-sezioni di cui è richiesta la compilazione sono funzione delle specifiche esigenze di progetto. L installazione di una nuova piattaforma all interno degli IDC/DC di Poste Italiane prevede la fruizione di una molteplicità di servizi: dall assegnazione di vlan e indirizzi ai server, all abilitazione di regole firewall; alla configurazione del bilanciamento di carico. Una richiesta esaustiva, corretta e tempestiva aiuta ad abbreviare il tempo di provisioning di quei servizi e a limitare la possibilità di errori o omissioni in fase di realizzazione. Limitare il numero di cambi di configurazioni, corrispondenti a versioni successive della richiesta, è un criterio organizzativo e progettuale raccomandato. Si riporta la lista delle sezioni, accompagnata da una breve descrizione, Una descrizione più esaustiva è riportata nei prossimi paragrafi. Input Form Summary Riporta tutte le informazioni utili all identificazione del tipo di attività, del soggetto richiedente, della data della richiesta e dell IDC/DC cui la stessa fa riferimento. Vlan & Address Contiene le informazioni riguardanti la richiesta di assegnazione di una o più VLAN e dei relativi indirizzi IP, pubblice e/o privati) necessari ai server,siano essi logici o fisici, ad erogare i propri servizi. Load Balancing Include tutte le informazioni necessarie per la configurazione del servizio di bilanciamento di carico ad opera dei dispositivi di rete dell IDC/DC. Regole Firewall Comprende le richieste riguardanti la messa in sicurezza di un servizio, in particolare la configurazione delle regole firewall funzione dei flussi dati da/verso i server, e della collocazione degli stessi all interno dei differenti domini di routing dell IDC/DC. Dettaglio Server Riporta tutti quei dati indispensabili per garantire la connettività dei sistemi serventi: numero di schede di rete, utilizzo previsto per ciascuna scheda, tipologia, configurazioni in alta affidabilità, virtualizzazione di più server su una o più macchine fisiche Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 20 di 45

21 VPN È un servizio indispensabile alla realizzazione dei collegamenti di tipo Extranet, e comprende tutte le informazioni necessari per la configurazione di una Virtual Private Network verso un ente esterno, nelle due modalità di VPN client-to-lan e lan-to-lan. Altri servizi In questa sezione è possibile richiedere gli ulteriori servizi messi a disposizione dell IDC. Quello di maggior interesse è la registrazione di domini e record nei DNS della Intranet di Poste Italiane e nei DNS pubblici. Allo stato attuale altri servizi sono in fase di definizione/standardizzazione. Schema di rete Mostra lo schema sintetico di rete della piattaforma/sistema. Propone un template facilmente editabile da integrare, eventualmente, con gli schemi utili ad una migliore comprensione dell architettura. Come si potrà notare nelle prossime pagine la corretta compilazione di un PF presuppone una conoscenza di base dei principi di funzionamento delle reti IP e dei meccanismi di sicurezza a tutela dell erogazione dei servizi IT. Inoltre richiede la conoscenza dell architettura di rete e sicurezza implementata negli Internet Data Center di Poste Italiane (qui entra in ballo la sezione Architettura a data center ). Questa documentazione formale è stata stilata per rendere fruibile dalla più ampia platea possibile lo strumento del PF. Essa si rivolge anche ad utenti non completamente tecnici e propone, oltre alla spiegazione per ogni modulo di tutte le sotto-sezioni di cui si compone, esempi significativi di compilazione, riferendosi dove opportuno a casi reali; offre, in aggiunta, alcune sintetiche linee guida sulla configurazione (e sulla corrispondente modalità di richiesta attraverso PF) dei più diffusi servizi, come il bilanciamento di carico, l impiego di interfacce multiple sui server (per l alta affidabilità o per la specializzazione delle funzioni), o l utilizzo di politiche di filtraggio del traffico tramite firewall. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 21 di 45

22 3.3. Caso pratico, linee guida per la compilazione di un Provisioning Form Di seguito viene allegata la guida per la compilazione di un Provisioning Form. La seguente guida è stata redatta da me, Siracusa Alessandro, e dal mio collaboratore Serreli Andrea. 1. INPUT FORM SUMMARY Tale modulo dovrà contenere tutte quelle informazioni necessarie ad identificare la tipologia e il fine del progetto che si vuole implementare. Riporta dati utili circa il tipo di attività, soggetto richiedente, data di richiesta e locazione del DC/IDC cui la stessa fa riferimento. Di seguito è elencata una breve descrizione dei campi da compilare: Sezione Input Form Summary Nome identificativo del progetto Tipologia richiesta: descrive il tipo di intervento che dovrà essere svolto; o Nuova attivazione: consiste nella implementazione di un nuovo progetto o servizio e non alla modifica o aggiornamento di uno già esistente. Per maggiore chiarezza si può fare una analogia in riferimento ad un contesto edile. Questa corrisponde alla costruzione di una nuova casa partendo da zero in un terreno vuoto. o Cambio di configurazione: consiste nella modifica di un progetto o servizio già esistente. Continuando sulla scia dell'analogia precedente un aggiornamento può essere comparato alla restaurazione di una casa già esistente. o Dismissione: consiste nel cessare l'erogazione di un servizio ritenuto non più necessario. Concludendo si può pensare a ciò come la demolizione di una casa dissestata al fine di crearne una nuova in seguito. Nome e cognome project manager Recapito telefonico project manager Codice Progetto: identifica in modo univoco il progetto ed è assegnato dalla sezione Project Support in fase di pianificazione. Ambiente di progetto: specifica il contesto in cui il progetto sarà collocato: o Produzione; o Collaudo/test; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 22 di 45

23 o Certificazione; o Sviluppo. Sede IDC/DC: specifica la sede geografica in cui sarà implementato il progetto: o Roma - Palazzo dei Congressi(Produzione); o Roma Arte Antica(Sviluppo); o Pomezia(Produzione, Sviluppo); o Rozzano(Produzione); o Bari(Produzione). Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 23 di 45

24 Vlan_Address Tale modulo dovrà contenere tutte quelle informazioni riguardanti la richiesta di VLAN e i rispettivi piani di indirizzamento. La richiesta può riferirsi ad una nuova VLAN o ad una già esistente. I piani di indirizzamento di indirizzamento devono comunque essere coerenti con quelli utilizzati nel rispettivo data center al fine di evitare conflitti di indirizzi ip con altri sistemi o servizi già esistenti. Le VLAN permettono di definire differenti domini di broadcast (management, backup, erogazione) senza avere reti lan separate a livello fisico. Sezione Attivazione VLAN e rilascio indirizzi Nel caso dei Data Center in oggetto le funzionalità di VLAN viene applicata a livello di hosting layer per differenziare i serventi secondo l appartenenza ad una determinata area(front End,BackEnd,etc.) Nel livello FrontEnd Layer andranno ad inserirsi tutte quelle VLAN con serventi aventi funzioni di vetrina,per esempio un insieme di web server, accessibili all esterno del DC/IDC attraverso internet ed extranet. Nel Presentation Internal Layer sono contenute le VLAN con serventi aventi funzioni analoghe al layer precedente. La differenza sta nel fatto che questi ultimi saranno visibili a livello di accesso solo alla intranet aziendale. Nel Application Layer sono contenute le VLAN con tutti i sistemi applicativi business (es. servizi transazionali quali pensioni On Line),banche dati e storage. (es. Oracle) Nel BackEnd sono presenti invece VLAN contenenti sistemi considerati trusted.(es. Primary Domain controller) VANTAGGI DELL IMPIEGO DI VLAN: Segmentando i domini di broadcast tramite VLAN o con l' impiego di router, si hanno grossi benefici in termini di sicurezza, utilizzo di banda e performance di rete. Il processo di segmentazione consiste nel fare in modo che solo un insieme di dispositivi di rete possano ricevere e di conseguenza processare un messaggio di broadcast o di multicast senza la necessità che i componenti di un gruppo occupino spazi fisicamente contigui. Pensiamo alle condivisioni di windows, segmentando i domini di broadcast queste condivisioni possono essere accedute solo agli utenti che stanno sullo stesso dominio di broadcast. Si ha inoltre un impiego migliore della banda trasmissiva perché su una stessa subnet o su una stessa VLAN si Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 24 di 45

25 riduce notevolmente il numero di trasmissioni in broadcast e di conseguenza un minore impiego del le risorse computazionali richieste ai dispositivi di rete interessati. Nel caso in cui ogni macchina, sia essa virtuale o fisica, si trovi su una VLAN separata per dialogare con una seconda macchina dovrà passare per un dispositivo di livello 3 che possa metterli in comunicazione. In questo caso si ottiene un grosso vantaggio in termini di sicurezza perché il dispositivo che si frappone tra i due host comunicanti può analizzare il traffico che i due si scambiano e se configurato opportunamente può applicare delle politiche (si pensi ad un router con access-list o un firewall). Nel caso in cui non vengano utilizzate delle VLAN spostare una macchina (o un gruppo di macchine) da una LAN ad un'altra spesso richiede non solo il cambiamento di indirizzamento assegnato ma anche quello della locazione fisica. Le reti basate su VLAN semplificano invece il processo di spostamento e configurazione grazie alla possibilità di inscrivere gli utenti in "domini virtuali di broadcast". SVANTAGGI: Nel caso di impiego di VLAN due o più host che vogliano comunicare tramite protocolli che si basano su trasmissione in broadcast o multicast a livello 2 devono essere spostati da VLAN a VLAN o essere posti contemporaneamente su più VLAN. Questo comporta uno svantaggio in quanto richiede un maggior tempo per la gestione delle risorse coinvolte. Un altro svantaggio che viene dall aggiunta di apparati per la comunicazione degli host su VLAN differenti è l aumento del ritardo di trasmissione, della complessità della rete e della necessità di manutenzione per questi apparati. NOTA BENE: In accordo con le politiche di Poste Italiane host posti su VLAN differenti si relazionano tra loro tramite i seguenti criteri: VLAN SU STESSO LAYER: il traffico viene filtrato in base ad access-list definite sul rispettivo gateway con il vantaggio di discriminare eventuale traffico non congruente con le politiche di sicurezza relative al livello interessato. VLAN SU STESSO LAYER MA CON SUBNET E VRF DIFFERENTI: il traffico viene filtrato da un firewall blade (modulo di firewalling) aggiunto all apparato che svolge la funzione di gateway. VLAN SU LAYER DIVERSI: il traffico viene filtrato da un firewall dedicato (esempio può essere il traffico proveniente o destinato al Core o alla Extranet). Si può scegliere tra due possibilità: richiesta indirizzamento su una nuova VLAN o richiesta di indirizzi su una VLAN preesistente RICHIESTA DI INDIRIZZAMENTO SU UNA NUOVA VLAN: La richiesta di una nuova VLAN o meno dipende anche dalla motivazione per cui è stata chiesta la verifica del PF presente nella parte input form summary della stessa richiesta. Nel caso si tratti di una Nuova Attivazione si procede in genere alla richiesta di una nuova VLAN con un piano di indirizzamento coerente con quello del DC/IDC in cui è collocato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 25 di 45

26 Di seguito è elencata una breve descrizione dei campi da compilare: Attivazione e rilascio indirizzi su nuova VLAN Layer: indica uno dei possibili Service Layer nel quale verrà collocata la VLAN. o Front End; o Presentation Internal Layer; o Application Layer; o Backend. Funzione: Erogazione Senza Bilanciamento di Carico: i sistemi posti sulla Vlan non sono soggetti a bilanciamento cioè non vengono messi a disposizione apparati o funzionalità che influiscano sul carico di lavoro dei server ripartendo equamente le richieste a tutti i serventi. Erogazione Con Bilanciamento di Carico: vengono utilizzati apparati di rete dedicati che attuano una logica di bilanciamento di carico ripartendo le richieste a tutti i server posti su quella determinata Vlan di erogazione. Questa funzionalità fornisce vantaggi sia in termini di risposta del servizio che di affidabilità, nel caso in cui un server sia affetto da fault. Il dispositivo incaricato del bilanciamento si accorge del problema e dirige tutte le richieste verso i serventi rimasti attivi(tipica configurazione in alta affidabilità). Management (gestione, manutenzione): fornisce funzionalità di gestione dei serventi e di monitoraggio del servizio tramite l impiego di particolari protocolli di rete (SNMP). Questa è una funzionalità fondamentale per verificare la corretta erogazione del servizio e per agire tempestivamente in caso di problemi. NOTA BENE: Backup: con questa richiesta verranno fornite funzionalità di backup dati e recupero di questi in caso di fault. Tipicamente si utilizza una metodologia di backup via LAN (cioè tramite rete). Il flusso risultante dal backup viene instradato verso un apparato dedicato(media server)che lo immagazzinerà in un nastro o su un disco (tape library). Management-Backup: con l impiego di una sola Vlan si possono fornire servizi di monitoraggio, manutenzione e backup. Interna: Utilizzata tipicamente nel caso di sistemi organizzati in cluster serve per tutto il traffico interno al cluster stesso e che quindi non deve essere istradato verso altre Vlan. La richiesta di una nuova Vlan comporta l utilizzo di una scheda di rete (si essa fisica o virtuale) e un indirizzamento dedicato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 26 di 45

27 Subnet Mask/Numero Max: indirizzi ip richiesti. Interna: Utilizzata tipicamente nel caso di sistemi organizzati in cluster serve per tutto il traffico interno al cluster stesso e che quindi non deve essere istradato verso altre Vlan. NOTA BENE: La richiesta di una nuova Vlan comporta l utilizzo di una scheda di rete (si essa fisica o virtuale) e un indirizzamento dedicato. Subnet Mask/Numero Max: indirizzi ip richiesti. NOTA BENE: Ogni qual volta si richieda un indirizzamento su una Vlan si deve tener conto dei seguenti aspetti: N 1 indirizzo per broadcast e N 1 indirizzo per la rete: questi non possono essere impiegati perché sono riservati a funzionalità intrinseche alla rete stessa. N 3 indirizzi per i gateway: su ogni Vlan vengono riservati 3 indirizzi per il gateway poiché si utilizza una configurazione in alta affidabilità. In questo caso un indirizzo rappresenta il virtuale (a cui a cui puntano le richieste dei client e tramite qui risponderanno entrambi i gateway fisici) e i restanti 2 rappresentano gli indirizzi reali dei due gateway. N 3 indirizzi per i load balancer: la logica è la stessa di quella applicata ai gateway. Classe IP Pubblica: Indica se è stata richiesta una classe di indirizzamento pubblico per un servizio destinato ad essere fruibile da utenti internet (quindi sul FE) in accordo con le specifiche dello standard RFC1918. Richiesta di indirizzi su una VLAN preesistente: La richiesta di una VLAN preesistente dipende anche dalla motivazione per cui è stata chiesta la verifica del PF presente nella parte input form summary della stessa richiesta. Nel caso si tratti di un aggiornamento si procede alla richiesta di una VLAN preesistente con relativo piano di indirizzamento che anche qui deve essere coerente con quello del DC/IDC. Sezione rilascio indirizzi su VLAN esistente Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 27 di 45

28 In tal caso saranno da inserire informazioni aggiuntive riguardo il nome/id della VLAN,il numero di indirizzi ip richiesti ed utilizzati dai serventi. Di seguito sono elencati i campi da compilare. VLAN Name / VLAN ID: identifica la VLAN richiesta che è già stata assegnata in precedenza dai rispettivi organi di competenza; Numero IP Richiesti: indica quanti indirizzi ip sono necessari sulla VLAN richiesta; NOTA BENE: Ogni qual volta si richieda un indirizzamento su una Vlan si deve tener conto dei seguenti aspetti: N 1 indirizzo per broadcast e N 1 indirizzo per la rete: questi non possono essere impiegati perché sono riservati a funzionalità intrinseche alla rete stessa. N 3 indirizzi per i gateway: su ogni Vlan vengono riservati 3 indirizzi per il gateway poiché si utilizza una configurazione in alta affidabilità. In questo caso un indirizzo rappresenta il virtuale (a cui a cui puntano le richieste dei client e tramite qui risponderanno entrambi i gateway fisici) e i restanti 2 rappresentano gli indirizzi reali dei due gateway. N 3 indirizzi per i load balancer: la logica è la stessa di quella applicata ai gateway. Classe IP Pubblica: Indica se è stata richiesta una classe di indirizzamento pubblico per un servizio destinato ad essere fruibile da utenti internet (quindi sul FE) in accordo con le specifiche dello standard RFC1918. Indirizzi di questo tipo possono trovarsi solo su un IDC. Host List: è la lista degli host per i quali si richiede l assegnazione degli indirizzi. Nota bene: I campi devono essere compilati ogni qual volta ci sia bisogno di una revisione di una indirizzamento su un determinato layer. classe di Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 28 di 45

29 Load Balancing Nota bene: È necessaria la compilazione se viene richiesta una VLAN con funzione di erogazione - con Bilanciamento di Carico. Nel caso venga richiesto l'inserimento di un indirizzo ip non ancora assegnato o l'identificativo della scheda di rete nel modulo dettaglio server si procede come segue: Inserire un codice che sia in grado di identificare la posizione fisica della scheda di rete all'interno di quel determinato servente. Nel caso ciò non sia possibile si deve procedere all'inserimento di un codice composto rispettivamente dal nome macchina del servente, funzionalità da erogare, id discriminante della scheda di rete. Di seguito viene mostrato un esempio: websero1. Webs: identifica il servente; Ero: identifica la funzione erogazione; 1: rappresenta l'id discriminante della scheda di rete. Ne consegue che una stessa risorsa venga identificata univocamente dallo stesso identificativo(codice) in tutti i moduli cui essa sia coinvolta. Questi saranno rispettivamente: Load Balancing, Regole Firewall_NAT, Dettaglio Server, Altri servizi. Vanno inserite tutte le informazioni riguardanti la funzionalità di Load Balancing (Bilanciamento di Carico) per il servizio da erogare. Più nello specifico si tratterà di Service Load Balancing. Con questa funzionalità un servizio può essere erogato da una batteria di server mascherata/presentata a livello Service Layer mediante un indirizzo ip virtuale. La fruizione del servizio da un server piuttosto che da un altro viene governata da una logica di bilanciamento,applicata sempre a livello Service,che si basa su vari criteri discrezionali legati fortemente alla tipologia di traffico caratterizzante l applicazione. In caso di fault detection di un server,il meccanismo di load balancing esclude automaticamente il servente e ridistribuisce il carico di lavoro che era ad esso demandato sugli altri sistemi. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 29 di 45

30 Sezione Load Balancing Di seguito è elencata una breve descrizione dei campi da compilare: Nome/Identificativo Servizio (Es. web Front End Banco Posta Ireland). Layer: indica uno dei possibili Service Layer nel quale verrà collocata la VLAN: o Front End o Presentation Internal Layer o Application Layer o Backend Servizio/Altro: specifica uno o più protocolli sottoposti al bilanciamento, esempio può essere una piattaforma di e- learning che si appoggia sui seguenti protocolli: HTTP, HTTPS, FTP, SMTP,ANY; Solo il traffico relativo al protocollo viene bilanciato verso i serventi appartenenti ad un certo pool.il traffico di altro tipo non viene bilanciato. L opzione ANY implica che tutto il traffico sia bilanciato. Tipo di Bilanciamento: a seconda delle esigenze si può scegliere fra le seguenti tipologie: o Standard-Round Robing: le richieste sono assegnate a turno al primo servente libero. o Avanzato: rende disponibili 5 possibili scelte in base al tipo d applicativo o servizio da erogare (Rif. CSM Cisco). Leastconn: Si seleziona il servente con il minor numero di connessioni; Hash Url: Si seleziona il servente usando un valore Hash basato sull Url; Hash Address: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di sorgente e destinazione; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 30 di 45

31 Source: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di sorgente; Destination: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di destinazione; Persistenza di Sessione: serve ad identificare un metodo per cui,a parità di politiche di SLB, il client continui ad essere servito dallo stesso servente per le successive connessioni. La persistenza della connessione può essere mantenuta su base: o Source Based: livello Network della pila ISO/OSI; o Socket Based: livello Session della pila ISO/OSI; o Cockie Based: livello Application pila ISO/OSI. La durata della persistenza è regolamentata da un timer programmabile che va da 1 a minuti. Il valore di default è 1440 minuti (24 ore). Nome/Indirizzo Server in Load Balancing: serve ad identificare in maniera univoca il servente a cui verrà delegato il carico di lavoro in funzione del tipo di bilanciamento scelto. Probe: serve a misurare e monitorare la corretta erogazione del servizio. Le opzioni sono: Nota bene: o o o Nodo: verifica la raggiungibilità (a livello di rete) di una determinata macchina Servizio,tcp/udp(es. Ftp): testa in remoto se il servizio tcp/udp funziona regolarmente Url: richiede una pagina web ad una URL di gestione per testare il corretto funzionamento del servizio (tipicamente per web server) o Http: fa delle richieste http al server sulla porta specificata (di default tcp 80) o Host (se si è selezionato nodo): deve essere specificato l' indirizzo/nome della macchina di cui si vuole testare la raggiungibilità Nel caso di ambienti virtualizzati se si vuole usare l' opzione nodo deve essere specificato il nome/indirizzo della macchina fisica che ospita le macchine virtuali; mentre nelle altre tre opzioni può essere specificato l' inidrizzo/nome di una delle macchine virtuali o l' indirizzo virtuale del servizio. Nel caso di clustering si può indicare l' indirizzo virtuale del cluster o una macchina interna al cluster stesso. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 31 di 45

32 2. REGOLE FIREWALL Nel modulo Regole Firewall vanno inserite tutte le richieste riguardanti la messa in sicurezza di un servizio. Stabilire delle regole firewall serve a definire il raggio d azione di un servente il quale non deve oltrepassare la propria area di competenza.(alcuni casi specifici possono violare tale norma). Questa dipende sia dal service layer in cui risiede che da particolari requisiti ed esigenze richieste per il corretto funzionamento del servizio stesso. Di seguito sono elencate alcune linee guide: In ingresso : o Verso il FrontEnd sono permessi accessi dalla rete Internet ed Extranet. Sezione Regole Firewall o Verso il Presentation Internal Layer devono essere permessi solo accessi dalla intranet; o Verso l Application Layer possono essere permessi solo accessi dal FronEnd, P.I.L. e BE. (non dalla Intranet) o layer; In uscita o Dal FrontEnd sono permessi accessi verso la rete Internet ed Extranet. o Dal Presentation Internal Layer verso la intranet o Dall'Application Layer verso FrontEnd,P.I.L. e BE Di seguito sono mostrati i campi necessari alla creazione di una regola: Identificativo Firewall o Firewall sul quale verranno applicate le regole,ci sono a disposizione 4 opzioni; o Fw con accesso Internet, appliance dedicato che si interpone tra l IDC e Internet; o Fw con accesso Extranet, appliance dedicato che si interpone tra il DC/IDC e la Extranet; o Fw FW-BE-PIL-AL, firewalls virtualizzato che si posiziona tra i vari service layers; o Altro. Source Ip address/name: indirizzo ip o nome dell servente considerato. Destination Ip address/name: indirizzo ip o nome dell servente considerato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 32 di 45

33 Nota bene: Nei campi Source ip address e Destination ip address possono essere definite: Liste di sottoreti: se si vuole che una determinata lista di sottoreti possa generare traffico verso una sottorete, un singolo indirizzo o una lista di indirizzi. Per esempio se nel campo "source" definiamo l' indirizzo " " e nel campo "destination" l' indirizzo " " tutti gli host della prima sottorete possono generare traffico verso tutti quelli della seconda sottorete e viceversa all interno di quella sessione. liste di indirizzi ip: se si vuole che una determinata lista di indirizzi ip possa generare traffico verso una sottorete, un singolo indirizzo o una lista di indirizzi(gli indirizzi vanno separati da segno ",") e viceversa all interno di quella sessione. Port: porta tcp o udp del servizio considerato; Nota bene: Nel campo "port" deve essere specificata la porta di destinazione a cui corrisponde un determinato protocollo. Anche in questo caso può essere definita una lista di porte. Protocol: può variare tra TCP,UDP,IP o altro. Action: indica l azione da applicare al traffico esaminato nel caso in cui sia verificata una regola firewall: o Permesso: Il traffico viene inoltrato. o Non permesso: Il traffico viene scartato. Altro/Note: campo aggiuntivo per la specifica di parametri addizionali. Nota bene: Nel caso di P.I. un firewall adotta sempre una metodologia "full inspection" ovvero i due soggetti interessati possono parlare fra loro senza problemi relativamente a una certa sessione inizializzata su una certa porta dall' host indicato sul campo "source ip address". Da notare che in questo tipo di logica solo l'host indicato nel campo "Source ip address" può inizializzare una sessione di traffico sulla porta identificata nel campo "Port". Nel caso si volesse permettere all'host identificato nel campo "destination ip address" di inizializzare a sua volta una sessione di traffico sulla porta indicata precedentemente bisogna inserire nel campo note la voce "Bidirezionale". In accordo con le politiche di sicurezza tutto ciò che non viene permesso tramite una regola esplicita viene di default non permesso. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 33 di 45

34 Regole Nat Sezione Regole NAT Il processo di NAT (Network Address Translation) è un processo per garantire la proiezione di un host su una rete a diverso indirizzamento. Secondo questo processo un indirizzo privato può essere tradotto in un indirizzo pubblico che può essere visibile su internet (RFC 1918). In questa parte devono essere definiti i seguenti campi: Identificativo Firewall: firewall sul quale verranno applicate le regole,ci sono a disposizione 4 opzioni: o Fw con accesso Internet, appliance dedicato che si interpone tra l IDC e Internet; o Fw con accesso Extranet, appliance dedicato che si interpone tra il DC/IDC e la Extranet; o Fw FW-BE-PIL-AL, firewalls virtualizzato che si posiziona tra i vari service layers; o Altro. Nat sorgente su IP pubblico o Privato: definisce se l' indirizzo verrà tradotto da privato a pubblico o viceversa Source e destination address Source e destination port: da specificare solo nel caso di Nat con Overloading Tipo di Nat: o -Statico: semplice traduzione statica di un indirizzo in un altro. In questo caso l' indirizzo sorgente verrà nattato sempre nello stesso indirizzo(corrispondenza 1:1). o -Dinamico: mappa l' indirizzo originario su un altro preso dinamicamente da una lista di possibili indirizzi. Non è garantito che l' indirizzo di partenza sia nattato sempre nello stesso indirizzo(non c'è corrispondenza 1:1). o -Overloading(PAT): le connessioni generate da un insieme di host vengono "presentate" verso l'esterno con un solo indirizzo IP. A ciascuna connessione viene assegnata una diversa porta TCP/UDP e il dispositivo che effettua il NAT associa ciascuna porta una connessione generata da un particolare host sorgente. Dinamico con overloading: Questa scelta comporta che, una volta esaurito il pool di indirizzi disponibili al nat dinamico, l'ultimo della lista sia sottoposto a un processo di overloading. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 34 di 45

35 Dettaglio server Sezione Dettaglio nodi Nel modulo Dettaglio Server vanno inseriti tutti quei dati che caratterizzano un determinato servente. E' buona norma associare ad ogni funzionalità (backup,management,erogazione) un'interfaccia di rete dedicata. Dedicando una funzione per ogni interfaccia di rete si ottiene che il carico da sopportare per singola interfaccia diminuisce notevolmente con un conseguente miglioramento in termini di affidabilità del servente stesso. Prendiamo per esempio un interfaccia che, ipoteticamente, svolga funzioni di erogazione e backup(nel caso fosse possibile farlo) la banda a disposizione per l' erogazione del servizio risulta essere notevolmente minore rispetto a quella che mette a disposizione un' interfaccia con una pura funzione di erogazione. Un altro beneficio deriva dall' ingegnerizzazione del traffico che non solo è separato in tipologie tramite instradamento su VLAN differenti(erogazione, Management, Backup, Management/Backup) ma viene differenziato anche a livello di interfaccia fisica da cui viene erogato con un aumento del livello di sicurezza non indifferente. 3. Compilazione Modulo Richiesta Service Element di Rete: Di seguito è elencata una breve descrizione dei campi da compilare: Host Name: nome del servente Layer: identifica il livello del IDC/DC sul quale verrà posto il servente o Front End; o Presentation Internal Layer(PIL); o Application Layer(AL); o Backend(BE); Tipo di host: può essere di tipo fisico o virtuale. Se virtuale nel campo macchina host deve essere specificato il nome host/indirizzo della macchina fisica che ospita la macchina virtuale in esame. Identificativo scheda rete: discrimina le varie interfacce del servente. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 35 di 45

36 Funzione: Mostra la funzione a cui sarà adibita tale scheda, può essere di: o Erogazione Senza Bilanciamento di Carico; o Erogazione Con Bilanciamento di Carico; o Management -Gestione,manutenzione; o Management/Backup; o Backup; o Interna; flussi intra-layer, clustering, ecc. High availability: funzionalità che permette di rilevare automaticamente il guasto di un interfaccia del servente e commutare le richieste dei client su un altra interfaccia dello stesso server (operazione trasparente all' utente) senza perdita di transazioni. Requisito indispensabile sono almeno 2 schede per ciascuna VLAN da porre sotto bilanciamento. Per evitare il cosiddetto single point of failure si è deciso di attestare ciascuna scheda di rete su uno switch di piano differente. La modalità consigliata è una configurazione di tipo Active-Standby. In tal caso interfaccia attiva è quella che eroga il servizio mentre quella standby subentra solo quando l active va in fault. Tutte le altre modalità sono sconsigliate in quanto sono stati riscontrati problemi di compatibilità con il bilanciamento a livello di rete. Ciò non preclude a priori,salvo una discussione con gli appositi responsabili,l utilizzo di altre modalità. Velocità: da una misura della banda a disposizione per una determinata interfaccia. Questa può operare in due modalità: full-duplex o half-duplex e ad una velocità compresa tra 10 Mbps(nel caso di Ethernet) e 100 Mbps(nel caso di fast Ethernet) o 1000 Mbps nel caso di schede gigabit-ethernet. Numero IP associati ad una NIC: In casi particolari è possibile associare più indirizzi IP ad ogni scheda di rete, sia essa fisica o virtuale; il primo della lista è il primario, i successivi sono i secondari. Trunk 802.1q (virtualizzazione): Secondo questo standard è possibile trasportare il traffico generato da interfacce virtuali appartenenti a VLAN differenti su una stessa interfaccia fisica configurata come trunk 802.1q. Nella configurazione di quest ultima interfaccia vanno specificate le Vlan a cui sono associate le NIC degli host virtuali. Ambiente virtualizzato: Qualora ci si ritrovasse in un ambiente di questo tipo si dovranno inserire ulteriori informazioni necessarie ad identificare le risorse richieste sia dai server fisici che virtuali. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 36 di 45

37 IEEE 802.1q è uno standard che permette a più reti virtuali ( vlan ) di condividere lo stesso collegamento fisico senza perdita di informazioni tra un apparato e un altro q è il nome del protocollo di incapsulamento utilizzato nel processo di trunking nelle reti Ethernet. Si procede come segue: Inserire negli opportuni campi le informazioni riguardanti le interfacce reali dei server fisici. Qual ora si volessero trasportare più reti virtuali ( vlan ) su una stessa interfaccia fisica questa sarà da configurare come trunk 802.1q specificando il vlan id delle reti virtuali che si vogliono trasportare Sezione interfaccia virtuale Per quanto riguarda le informazioni circa la singola interfaccia virtuale questa richiede la medesima configurazione necessaria alla controparte fisica. La presenza di più interfacce di rete, siano esse fisiche o virtuali, richiede lato server la configurazione di politiche di routing per l' instradamento del flusso di traffico verso una determinata destinazione. Prendiamo in esame il traffico di backup, lato server verrà configurata una politica secondo la quale tutto il traffico di backup destinato al media server dovrà essere erogato sempre dalla stessa interfaccia di rete collegata alla VLAN di backup o di management/backup. Questa configurazione viene attuata tramite l' impiego di rotte statiche che il sistema operativo del servente mette a disposizione. Configurazione rotte statiche: viene allegata una breve descrizione dei comandi usati in ambiente Unix,Windows per impostare una rotta statica necessaria per instradare i diversi flussi dati (backup,managment,erogazione)verso le rispettive reti di competenza. o Impostazione rotte statiche unix: Il comando Route manipola la tabella di IP routing del kernel. Il suo uso primario è per configurare percorsi statici (static route) verso host o reti specifiche tramite un'interfaccia, dopo che questa è stata configurata con il programma ifconfig. Parametri principali sono: Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 37 di 45

38 del : cancella una route; add: aggiunge una route; netmask: specifica la netmask per un percorso da aggiungere. net: specifica l'host o la rete di destinazione. Si può fornire un indirizzo IP nella notazione dotted decimal oppure un nome di host/rete. Sintassi comando: route add -net <Destinazione> netmask< maschera di rete destinazione> dev <interfaccia di rete di uscita> Esempio: route add -net netmask dev eth0 metric 1 aggiunge un percorso per la rete x tramite l interfaccia di uscita "eth0". Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 38 di 45

39 Impostazione rotte statiche windows il comando route consente la gestione delle tabelle di routing della rete. Questo comando è disponibile sole se installato il protocollo TCP/IP. Parametri: o f: Cancella tutte le voci relative al gateway delle tabelle di routing della rete. Se questo parametro viene utilizzato insieme ad un comando,le voci delle tabelle verranno eliminate prima dell'esecuzione del comando. o p: se utilizzato con il comando add,rende una rotta permanente anche nel caso di riavvii del sistema.se utilizzato con il comando print, visualizza l'elenco delle route permanentemente registrate. Viene ignorato se usato insieme a tutti gli altri comandi che modificano le route permanentemente specificate. Sintassi comando route<- f -p> [comando <destinazione> mask <subnetmask> <gateway> ][metric <costo>] l opzione comando specifica uno dei seguenti comandi: Print: Stampa una route Add: aggiunge una route Change: modifica una route esistente Delete: elimina una route esistente Altri parametri sono: Destinazion: indirizzo ip del dispositivo da raggiungere mask: specifica un valore per la subnet mask da associare alla voce di route. Se non è specificata, verrà utilizzato il valore gateway: specifica l'indirizzo ip dell'interfaccia di uscita per la destinazione specificata. Metric: assegna un costo complessivo, compreso tra 1 e 9999, da utilizzare per calcolare le route più veloci, più affidabili e/o meno costose. Esempio: route -p add mask metric 1 esempio default gateway,interfaccia di erogazione route -p add mask metric 1 Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 39 di 45

40 Richiesta VPN Una Virtual Private Network o VPN è una rete privata instaurata tra host o reti che comunicano attraverso un sistema di trasmissione pubblico e condiviso (internet) invece di usare canali dedicati. Il collegamento tramite VPN viene instaurato dopo una procedura di autenticazione per garantire che solo gli utenti autorizzati vi possano accedere. Inoltre per garantire la sicurezzadei dati durante il transito attraverso la rete pubblica o di terze parti il canale viene completamente cifrato. Richiesta VPN IPSEC Campi da compilare: Ragione sociale azienda Riferimento Tecnico Azienda Riferimento Poste Italiane del servizio Tipo VPN(Internet, MPLS con cifratura, MPLS senza cifratura) Numero sistemi lato cliente (max 10) Elenco sistemi Poste Italiane (separati da ; ) Spazio riservato alle opzioni per collegamento extranet via VPN INTERNET: Sezione richiesta VPN IPSEC o Autenticazione: preshared key; i due host sono a conoscenza della chiave per instaurare il tunnel VPN. Questa chiave deve essere configurata su gli apparati che terminano il tunnel VPN (VPN concentrator). o Cifratura: indica il protocollo che dovrà essere utilizzato per la cifratura del canale VPN. Si può scegliere tra 3DES-168 bits (default), AES-192 bits, AES-256 bits. Più è alto il valore dei bit usati per la cifratura migliore sarà il grado di protezione del canale; anche se una cifratura più forte richiede maggiore tempo computazionale e maggiore spreco di risorse. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 40 di 45

41 o Hashing: garantisce l' integrità del dato durante il suo transito attraverso la rete. Si può scegliere tra: MD5-128 bits(default) SHA1-160 bits. o Gruppo Diffie Helmann: usato per generare una chiave segreta che verrà scambiata attraverso il canale. Essa verrà usata per cifrare la comunicazione. Si può selezionare tra: group1-768 bits; VPN IPSEC CLIENT TO LAN group bits(default); group bits. Indirizzo internet terminazione VPN cliente: indirizzo IP dell' apparato (tipicamente un firewall o un concentratore VPN) su cui viene terminata la VPN. Sezione VPN IPSEC Client to LAN Consiste nella creazione di una rete private virtuale (VPN) per mettere in comunicazione un singolo host con un intera LAN. I campi da compilare sono: Ragione sociale azienda Riferimento Poste Italiane del servizio Numero sistemi lato cliente (max 10) Elenco sistemi Poste Italiane (separare con ";") Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 41 di 45

42 4. Altri Servizi Sezione altri servizi Vanno inseriti i dati per la richiesta di servizi aggiuntivi quali la richiesta di un dominio,web server,mail server o altro. Di seguito è elencata una breve descrizione dei campi da compilare: Nome di Dominio di 1 /2 livello (o superiore): es. rete. poste (esempio di dominio di secondo livello). Pubblico/Privato: indica se il dominio sarà visibile solo alla intranet aziendale o anche al resto della rete pubblica. Nel caso in cui il dominio sarà visibile alla rete pubblica si avvierà un processo di registrazione del dominio verso un provider (es. Telecom Italia). Operazione Richiesta: verifica se la richiesta comporta la registrazione di un nuovo dominio o lo spostamento di uno già precedentemente registrato. Sono disponibili le seguenti opzioni: Registrazione Spostamento Intestatario Dominio: identifica il nome del responsabile. Rif: va inserito,se possibile,un recapito dell intestatario sia esso telefonico o di altro tipo. Servizio: identifica il tipo di servizio erogato. Sono disponibili le seguenti opzioni: o Web server; o Mail server; o Altro,altro tipo di servizio. Nome Server/Servizio: es. può essere il nome della applicazione web. Indirizzo IP/Identificativo Server: va inserito l indirizzo ip/nome host che conterrà i servizi sopra citati. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 42 di 45

43 5. Schema di rete Si deve inserire uno schema che mostrerà come il servizio da installare,modificare,dismettere andrà ad impattare e interagire sulla infrastruttura di rete esistente attraverso i vari service layer. Questo per maggiore chiarezza può essere integrato con un disegno architetturale. Nello schema di rete si deve cercare di astrarre e non inserire dettagli implementativi come indirizzi ip,versioni O.S. o altro. Questi verranno poi rappresentati sullo schema architetturale. Sezione schema architetturale Come si può notare non sono mostrati dettagli implementativi,ma solo come i dispositivi del sistema considerato vanno a posizionarsi nell architettura di rete esistente. Nota bene: Nel caso debbano essere rappresentati sistemi virtualizzati questi vanno rappresentati come se fossero dei server fisici. Un suggerimento sarebbe assegnare ad ogni server un numero che lo identificherà univocamente facendoci capire attraverso una descrizione posta al lato dello schema quali sono i server fisici e quali non lo sono. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 43 di 45

44 Di seguito viene mostrato un esempio Sezione schema di rete in ambiente virtualizzato Come si può vedere i dettagli riguardo l architettura del FE layer e BE layer, non interattivi col sistema considerato, vengano del tutto ignorati. Di contro sono mostrati con i dovuti dettagli le caratteristiche dei layer associati ai serventi utilizzati. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 44 di 45

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Architettura di un sistema informatico 1 CONCETTI GENERALI

Architettura di un sistema informatico 1 CONCETTI GENERALI Architettura di un sistema informatico Realizzata dal Dott. Dino Feragalli 1 CONCETTI GENERALI 1.1 Obiettivi Il seguente progetto vuole descrivere l amministrazione dell ITC (Information Tecnology end

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa

MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa Cosa è MPLS MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa L idea di base consiste nell associare a ciascun pacchetto un breve identificativo

Dettagli

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP. Configurazione di indirizzi IP statici multipli Per mappare gli indirizzi IP pubblici, associandoli a Server interni, è possibile sfruttare due differenti metodi: 1. uso della funzione di Address Translation

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

DigitPA egovernment e Cloud computing

DigitPA egovernment e Cloud computing DigitPA egovernment e Cloud computing Esigenze ed esperienze dal punto di vista della domanda RELATORE: Francesco GERBINO 5 ottobre 2010 Agenda Presentazione della Società Le infrastrutture elaborative

Dettagli

Webinar: Cloud Computing e Pubblica Amministrazione

Webinar: Cloud Computing e Pubblica Amministrazione Webinar: Cloud Computing e Pubblica Amministrazione Forum PA Webinar, 21 luglio 2015 Parleremo di: Il Gruppo e il network di Data Center Panoramica sul Cloud Computing Success Case: Regione Basilicata

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello della Web Application 5 3 Struttura della web Application 6 4 Casi di utilizzo della Web

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Servizi di consulenza e soluzioni ICT

Servizi di consulenza e soluzioni ICT Servizi di consulenza e soluzioni ICT Juniortek S.r.l. Fondata nell'anno 2004, Juniortek offre consulenza e servizi nell ambito dell informatica ad imprese e professionisti. L'organizzazione dell'azienda

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless La configurazione degli indirizzi IP Configurazione statica, con DHCP, e stateless 1 Parametri essenziali per una stazione IP Parametri obbligatori Indirizzo IP Netmask Parametri formalmente non obbligatori,

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Per questa ragione il nostro sforzo si è concentrato sugli aspetti elencati qui di seguito:

Per questa ragione il nostro sforzo si è concentrato sugli aspetti elencati qui di seguito: Autore : Giulio Martino IT Security, Network and Voice Manager Technical Writer e Supporter di ISAServer.it www.isaserver.it www.ocsserver.it www.voipexperts.it - blogs.dotnethell.it/isacab giulio.martino@isaserver.it

Dettagli

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Protocolli di rete Sommario Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Configurazione statica e dinamica

Dettagli

Inizializzazione degli Host. BOOTP e DHCP

Inizializzazione degli Host. BOOTP e DHCP BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

***** Il software IBM e semplice *****

***** Il software IBM e semplice ***** Il IBM e semplice ***** ***** Tutto quello che hai sempre voluto sapere sui prodotti IBM per qualificare i potenziali clienti, sensibilizzarli sulle nostre offerte e riuscire a convincerli. WebSphere IL

Dettagli

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Asset sotto controllo... in un TAC. Latitudo Total Asset Control Asset sotto controllo... in un TAC Latitudo Total Asset Control Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management hanno dimostrato un significativo risparmio

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

Sizing di un infrastruttura server con VMware

Sizing di un infrastruttura server con VMware Sizing di un infrastruttura server con VMware v1.1 Matteo Cappelli Vediamo una serie di best practices per progettare e dimensionare un infrastruttura di server virtuali con VMware vsphere 5.0. Innanzitutto

Dettagli

IT-BOOK. Domini Hosting Web marketing E-mail e PEC

IT-BOOK. Domini Hosting Web marketing E-mail e PEC 5 giugno 09 IT-BOOK Configurazioni e cartatteristiche tecniche possono essere soggette a variazioni senza preavviso. Tutti i marchi citati sono registrati dai rispettivi proprietari. Non gettare per terra:

Dettagli

Guida Dell di base all'acquisto dei server

Guida Dell di base all'acquisto dei server Guida Dell di base all'acquisto dei server Per le piccole aziende che dispongono di più computer è opportuno investire in un server che aiuti a garantire la sicurezza e l'organizzazione dei dati, consentendo

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Esperienze e soluzioni realizzate nell ambito del Progetto S.I.MO.NE

Esperienze e soluzioni realizzate nell ambito del Progetto S.I.MO.NE Programma Enti Locali Innovazione di Sistema Esperienze e soluzioni realizzate nell ambito del Progetto S.I.MO.NE 1 Premessa Il presente documento ha lo scopo di facilitare la disseminazione e il riuso

Dettagli

Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015

Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015 Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015 Definizione Mentre una LAN è una rete locale costituita da un certo numero di pc connessi ad uno switch, una VLAN è una LAN VIRTUALE (Virtual

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli

Dettagli

ITIL. Introduzione. Mariosa Pietro

ITIL. Introduzione. Mariosa Pietro ITIL Introduzione Contenuti ITIL IT Service Management Il Servizio Perchè ITIL ITIL Service Management life cycle ITIL ITIL (Information Technology Infrastructure Library) è una raccolta di linee guida,

Dettagli

www.queen.it info@mbox.queen.it Gruppo Queen.it Listino Utente Finale Gennaio 2001

www.queen.it info@mbox.queen.it Gruppo Queen.it Listino Utente Finale Gennaio 2001 Listino Gennaio 2001 pag. 1 Gruppo Queen.it Listino Utente Finale Gennaio 2001 Profilo aziendale Chi è il Gruppo Queen.it Pag. 2 Listino connettività Listino Connettività RTC Pag. 3 Listino Connettività

Dettagli

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 Sistemi Web-Based - Terminologia Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 CLIENT: il client è il programma che richiede un servizio a un computer collegato in

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

Cos è un protocollo? Ciao. Ciao 2:00. tempo. Un protocollo umano e un protocollo di reti di computer:

Cos è un protocollo? Ciao. Ciao 2:00. <file> tempo. Un protocollo umano e un protocollo di reti di computer: Cos è un protocollo? Un protocollo umano e un protocollo di reti di computer: Ciao Ciao Hai l ora? 2:00 tempo TCP connection request TCP connection reply. Get http://www.di.unito.it/index.htm Domanda:

Dettagli

DNS (Domain Name System) Gruppo Linux

DNS (Domain Name System) Gruppo Linux DNS (Domain Name System) Gruppo Linux Luca Sozio Matteo Giordano Vincenzo Sgaramella Enrico Palmerini DNS (Domain Name System) Ci sono due modi per identificare un host nella rete: - Attraverso un hostname

Dettagli

Consulenza tecnologica globale

Consulenza tecnologica globale Orientamento al cliente Innovazione Spirito di squadra Flessibilità Un gruppo di professionisti dedicati alle imprese di ogni settore merceologico e dimensione, capaci di supportare il Cliente nella scelta

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l.

La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l. La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l. Babel S.r.l. - P.zza S. Benedetto da Norcia 33, 00040 Pomezia (RM) www.babel.it

Dettagli

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER Alessio Cuppari Presidente itsmf Italia itsmf International 6000 Aziende - 40000 Individui itsmf Italia Comunità di Soci Base di conoscenze e di risorse Forum

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

I veri benefici dell Open Source nell ambito del monitoraggio IT. Georg Kostner, Department Manager Würth Phoenix

I veri benefici dell Open Source nell ambito del monitoraggio IT. Georg Kostner, Department Manager Würth Phoenix I veri benefici dell Open Source nell ambito del monitoraggio IT Georg Kostner, Department Manager Würth Phoenix IT Service secondo ITIL Il valore aggiunto dell Open Source Servizi IT Hanno lo scopo di

Dettagli

Introduzione alla VPN del progetto Sa.Sol Desk Formazione VPN

Introduzione alla VPN del progetto Sa.Sol Desk Formazione VPN Introduzione alla VPN del progetto Sa.Sol Desk Sommario Premessa Definizione di VPN Rete Privata Virtuale VPN nel progetto Sa.Sol Desk Configurazione Esempi guidati Scenari futuri Premessa Tante Associazioni

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

1.1 ITIL e la gestione dei servizi IT

1.1 ITIL e la gestione dei servizi IT Via Turati 4/3, 16128 Genova Tel. 348/4103643 Fax 010/8932429 ITIL (Information Technology Infrastructure Library) 1.1 ITIL e la gestione dei servizi IT In un mercato in cui il successo delle aziende è

Dettagli

www.bistrategy.it In un momento di crisi perché scegliere di investire sulla Business Intelligence?

www.bistrategy.it In un momento di crisi perché scegliere di investire sulla Business Intelligence? In un momento di crisi perché scegliere di investire sulla Business Intelligence? Cos è? Per definizione, la Business Intelligence è: la trasformazione dei dati in INFORMAZIONI messe a supporto delle decisioni

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

Mai più offline. viprinet. Multichannel VPN Router Multichannel VPN Hub

Mai più offline. viprinet. Multichannel VPN Router Multichannel VPN Hub viprinet Mai più offline. Multichannel VPN Router Multichannel VPN Hub Adatti per la connettività Internet e reti VPN Site-to-Site Bounding effettivo delle connessioni WAN (fino a sei) Design modulare

Dettagli

Profilo Aziendale ISO 9001: 2008. METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it

Profilo Aziendale ISO 9001: 2008. METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it ISO 9001: 2008 Profilo Aziendale METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it Sede legale: * Viale Brodolini, 117-60044 - Fabriano (AN) - Tel. 0732.251856 Sede amministrativa:

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

- Antivirus, Firewall e buone norme di comportamento

- Antivirus, Firewall e buone norme di comportamento Reti Di cosa parleremo? - Definizione di Rete e Concetti di Base - Tipologie di reti - Tecnologie Wireless - Internet e WWW - Connessioni casalinghe a Internet - Posta elettronica, FTP e Internet Browser

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli

Le funzionalità di un DBMS

Le funzionalità di un DBMS Le funzionalità di un DBMS Sistemi Informativi L-A Home Page del corso: http://www-db.deis.unibo.it/courses/sil-a/ Versione elettronica: DBMS.pdf Sistemi Informativi L-A DBMS: principali funzionalità Le

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

Il World Wide Web: nozioni introduttive

Il World Wide Web: nozioni introduttive Il World Wide Web: nozioni introduttive Dott. Nicole NOVIELLI novielli@di.uniba.it http://www.di.uniba.it/intint/people/nicole.html Cos è Internet! Acronimo di "interconnected networks" ("reti interconnesse")!

Dettagli

Interfaccia Web per customizzare l interfaccia dei terminali e

Interfaccia Web per customizzare l interfaccia dei terminali e SIP - Session Initiation Protocol Il protocollo SIP (RFC 2543) è un protocollo di segnalazione e controllo in architettura peer-to-peer che opera al livello delle applicazioni e quindi sviluppato per stabilire

Dettagli

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE Oracle Business Intelligence Standard Edition One è una soluzione BI completa, integrata destinata alle piccole e medie imprese.oracle

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Configuration Management

Configuration Management Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni

Dettagli

Dal punto di vista organizzativo sono possibili due soluzioni per il sistema di rete.

Dal punto di vista organizzativo sono possibili due soluzioni per il sistema di rete. Premessa. La traccia di questo anno integra richieste che possono essere ricondotte a due tipi di prove, informatica sistemi, senza lasciare spazio ad opzioni facoltative. Alcuni quesiti vanno oltre le

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

CORPORATE OVERVIEW. www.akhela.com

CORPORATE OVERVIEW. www.akhela.com CORPORATE OVERVIEW www.akhela.com BRIDGE THE GAP CORPORATE OVERVIEW Bridge the gap Akhela è un azienda IT innovativa che offre al mercato servizi e soluzioni Cloud Based che aiutano le aziende a colmare

Dettagli

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina Cosa è il DSS L elevato sviluppo dei personal computer, delle reti di calcolatori, dei sistemi database di grandi dimensioni, e la forte espansione di modelli basati sui calcolatori rappresentano gli sviluppi

Dettagli

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic

Dettagli

Progetto VirtualCED Clustered

Progetto VirtualCED Clustered Progetto VirtualCED Clustered Un passo indietro Il progetto VirtualCED, descritto in un precedente articolo 1, è ormai stato implementato con successo. Riassumendo brevemente, si tratta di un progetto

Dettagli

QUADRO INTRODUTTIVO ALLA GARA MULTIFORNITORE

QUADRO INTRODUTTIVO ALLA GARA MULTIFORNITORE Centro Nazionale per l informatica nella Pubblica Amministrazione Allegato 2a alla lettera d invito QUADRO INTRODUTTIVO ALLA GARA MULTIFORNITORE GARA A LICITAZIONE PRIVATA PER L APPALTO DEI SERVIZI DI

Dettagli

BPEL: Business Process Execution Language

BPEL: Business Process Execution Language Ingegneria dei processi aziendali BPEL: Business Process Execution Language Ghilardi Dario 753708 Manenti Andrea 755454 Docente: Prof. Ernesto Damiani BPEL - definizione Business Process Execution Language

Dettagli

Enterprise Services Infrastructure ESI 2.0

Enterprise Services Infrastructure ESI 2.0 Enterprise Services Infrastructure ESI 2.0 Caratteristiche e Posizionamento ver. 2.1 del 21/01/2013 Cos è ESI - Enterprise Service Infrastructure? Cos è ESI? ESI (Enteprise Service Infrastructure) è una

Dettagli

ARP (Address Resolution Protocol)

ARP (Address Resolution Protocol) ARP (Address Resolution Protocol) Il routing Indirizzo IP della stazione mittente conosce: - il proprio indirizzo (IP e MAC) - la netmask (cioè la subnet) - l indirizzo IP del default gateway, il router

Dettagli

Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali

Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali Riusabilità del software - Catalogo delle applicazioni: Applicativo verticale Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali Amministrazione: Regione Piemonte - Direzione Innovazione,

Dettagli

Risposte ai quesiti ricevuti per l Avviso di gara per la realizzazione del sistema informatico per la gestione richieste di finanziamento FAPISI

Risposte ai quesiti ricevuti per l Avviso di gara per la realizzazione del sistema informatico per la gestione richieste di finanziamento FAPISI Risposte ai quesiti ricevuti per l Avviso di gara per la realizzazione del sistema informatico per la gestione richieste di finanziamento FAPISI Forniamo in questo articolo le risposte ai 53 quesiti ricevuti

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

PROFILI ALLEGATO A. Profili professionali

PROFILI ALLEGATO A. Profili professionali ALLEGATO A Profili professionali Nei profili di seguito descritti vengono sintetizzate le caratteristiche di delle figure professionali che verranno coinvolte nell erogazione dei servizi oggetto della

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014 Processi di business sovra-regionali relativi ai sistemi regionali di FSE Versione 1.0 24 Giugno 2014 1 Indice Indice... 2 Indice delle figure... 3 Indice delle tabelle... 4 Obiettivi del documento...

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI Security for Virtual and Cloud Environments PROTEZIONE O PRESTAZIONI? Già nel 2009, il numero di macchine virtuali aveva superato quello dei

Dettagli

Tematiche tecniche relative ai contratti di Housing/Hosting e Servizi Web-Based

Tematiche tecniche relative ai contratti di Housing/Hosting e Servizi Web-Based Tematiche tecniche relative ai contratti di Housing/Hosting e Servizi Web-Based Prof. Franco Sirovich Dipartimento di Informatica Università di Torino www.di.unito.it franco.sirovich@di.unito.it 1 Definizioni

Dettagli

AVVISO PER LA PRESENTAZIONE DEI PROGETTI DI INFOMOBILITÀ - ATTIVITÀ IV.4 DEL POR CREO 2007-2013. Giunta Regionale

AVVISO PER LA PRESENTAZIONE DEI PROGETTI DI INFOMOBILITÀ - ATTIVITÀ IV.4 DEL POR CREO 2007-2013. Giunta Regionale Giunta Regionale Direzione Generale delle Politiche Territoriali, Ambientali e per la Mobilità Area di Coordinamento Mobilità e Infrastrutture Settore Pianificazione del Sistema Integrato della Mobilità

Dettagli

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy IT Service Management: il Framework ITIL Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy Quint Wellington Redwood 2007 Agenda Quint Wellington Redwood Italia IT Service Management

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Active Solution & Systems illustra La virtualizzazione dei Server secondo il produttore di Storage Qsan

Active Solution & Systems illustra La virtualizzazione dei Server secondo il produttore di Storage Qsan Active Solution & Systems illustra La virtualizzazione dei secondo il produttore di Storage Qsan Milano, 9 Febbraio 2012 -Active Solution & Systems, società attiva sul mercato dal 1993, e da sempre alla

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli