RELAZIONE STAGE POSTE ITALIANE

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "RELAZIONE STAGE POSTE ITALIANE"

Transcript

1 RELAZIONE STAGE POSTE ITALIANE Siracusa Alessandro, ELIS TM Sommario 1. INTRODUZIONE Posizionamento in ambito aziendale ARCHITETTURA A DATACENTER Benefici derivanti dall impiego di infrastrutture a data center Il caso Poste Italiane: PROGETTO SVOLTO IN AZIENDA; IMPLEMENTAZIONE PROVISIONING FORM Teoria della gestione di flussi di provisioning Gestione di flussi di provisioning in ambito di networking nel caso di Poste Italiane Caso pratico, linee guida per la compilazione di un Provisioning Form CONSIDERAZIONI FINALI...45 Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 1 di 45

2 1. INTRODUZIONE 1.1. Posizionamento in ambito aziendale All interno della struttura di Poste Italiane zona Eur di Roma mi sono occupato di tutto ciò che concerne la messa in produzione e in sicurezza di apparati di Networking aziendali. Il settore in cui ho svolto lo stage è stato Sviluppo/Progettazione Rete TLC a cui fa capo il Dottor Musella. La gerarchia include anche il dottor Antonio Talamo. Subito dopo si posiziona il mio tutor aziendale, Ingegner Andrea Pelino, che ha la funzione di progettare e revisionare tutti quei sistemi IT che vengono messi in produzione all interno dell infrastruttura di rete di Poste Italiane. Posizionamento in ambito aziendale Il tutor aziendale è sempre stato molto disponibile e grazie a lui ho potuto approfondire l esperienza e le competenze acquisite in questi due anni durante il corso Telecommunication Manager svolto presso il centro ELIS di Roma. La struttura organizzativa di Poste è Italiane è ben definita è non ho avuto mai grossi problemi nel reperire materiale per le attività o nel riferire i risultati. L ambiente è sempre Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 2 di 45

3 stato molto stimolante e c è sempre stata l occasione di approfondire nuove tematiche. Il punto di forza di questa azienda è l attenzione per i suoi dipendenti che si manifesta tramite piccoli accorgimenti come ad esempio il Family Day, una giornata in cui i dipendenti di Poste Italiane possono mostrare la loro azienda alla famiglia e dilettarsi in varie attività finanziate dall azienda stessa. Un altro esempio può essere la mensa molto igienica e ben organizzata con uno staff molto accogliente. I laboratori di sviluppo e gli uffici sono spaziosi e ben attrezzati e curati nei dettagli. Lavorando in coppia con un compagno del corso TM (Andrea Serreli) ho potuto applicare le competenze in campo di team working apprese durante tutto il corso ELIS. Inoltre grazie alle varie riunioni organizzate dal tutor aziendale, a cui facevano parte svariati organi di Poste Italiane, ho toccato con mano quello che viene comunemente chiamato Public Speaking, cioè la capacità di sapersi relazionare in pubblico e a persone completamente sconosciute. Le riunioni organizzate trattavano la compilazione di un provisioning form, strumento molto diffuso negli stabilimenti di Poste Italiane di cui introdurrò le funzioni nelle prossime pagine. Svariate volte mi è stato richiesto di validare le cosiddette schede di provisioning e di comunicare ai diretti interessati eventuali anomalie o correzioni da apportare al documento in questione. Durante questo periodo ho seguito le vicende e gli sviluppi di nuovi servizi offerti da Poste Italiane come il sistema di iptv che distribuisce contenuti di informazione e intrattenimento in tutti gli uffici postali italiani. Altre esperienze fondamentali sono stati i convegni e le presentazioni organizzate da consulenti di medie/grosse imprese che hanno presentato le loro soluzioni rivelatesi indispensabili per il lancio di nuovi servizi in PI. L esperienza è stata stimolante e ricca di contenuti formativi. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 3 di 45

4 2. ARCHITETTURA A DATACENTER 2.1. Benefici derivanti dall impiego di infrastrutture a data center La progettazione di una struttura DC/IDC si sviluppa attraverso la realizzazione di un insieme di moduli funzionali che possono essere composti per soddisfare i requisiti dei diversi progetti che queste strutture sono destinate ad accogliere. Gli elementi chiave su cui si sviluppa la fase progettuale sono elevata velocità, alta affidabilità, livelli funzionali (strutture di Backbone progettate mediante una logica divisione in livelli gerarchici sia a scopo erogativo che connettivo per i clienti: strutture di Backup separate disponibili per tutti i livelli logici, strutture di Sicurezza e Monitoraggio direttamente connesse a tutte le realtà per interventi rapidi e visione sempre attuale e coerente). Altri elementi fondamentali sono: sicurezza (strutture di cabling system e networking realizzate in modo da poter consentire l inserimento di Firewall, Network Intrusion Detection System ed IPS sui vari livelli funzionali; apparati di rete che supportano protocolli di autenticazione), scalabilità (strutture di trasporto dati e sicurezza realizzate in modo da essere adattabili a necessità specifiche che vengono a determinarsi dalla tipologia di servizi di volta in volta), modularità (percorsi di aggiornamento ed espansione delle varie parti della struttura, definiti ed applicabili con elevata granularità, in modo da incidere solo ove effettivamente richiesto garantendo competitività nei costi), flessibilità, conformità agli standards, implementazione modulare (l indipendenza tra i moduli ne rende possibile l evoluzione separata, riducendo anche in questo caso i tempi necessari alla definizione ed attuazione dei percorsi di sviluppo). I modelli architetturali per le reti dati sono del tipo mesh structure e hierarchical structure. La struttura di tipo mesh prevede una rete funzionalmente non gerarchica in cui tutti i nodi ricoprono le stesse funzioni ed ogni nodo è in grado di interagire direttamente con gli altri senza alcuna forma di dipendenza logica. In una struttura gerarchica invece la rete è divisa in livelli logici distinti, con conseguenti vantaggi in scalabilità, semplicità nell implentazione, semplicità delle procedure di problem determination, facilità nella definizione del piano d indirizzamento, conformità con il principio d isolamento, facilità nel dimensionamento delle risorse. Ogni livello è caratterizzato da una o più specifiche funzionalità. Nel caso specifico della progettazione di una rete basata sul protocollo IP, il modello gerarchico è applicabile in funzione del piano di indirizzamento che si vuole assegnare alla rete stessa: le regole di summarizzazione devono risultare applicabili nel passaggio da un livello logico a quello direttamente adiacente. Il modello di riferimento, per lo studio dell infrastruttura dei Data Center di Poste Italiane, si caratterizza di tre livelli logico-funzionali ognuno dei quali racchiude differenti componenti architetturali. I livelli logico/funzionali sono MAN/WAN layer (funzioni necessarie a garantire l interconnessione del Data Center alle reti dati private e/o pubbliche; a questo livello vengono quindi implementate le regole di instradamento e di sicurezza orientate al controllo dell accesso dell utenza ai servizi erogati), SERVICE Layer (prevede tutte le funzioni inerenti alla modalità con cui vengono presentati ed offerti i servizi all utenza; in esso vengono definite e implementate le architetture dei servizi sia dal punto di vista dei flussi informativi, che da quello della sicurezza dei sistemi e dell affidabilità della rete), HOSTING Layer (funzioni inerenti l interconnessione/accesso dei serventi in rete e la conseguente assegnazione degli stessi a differenti aree logiche ognuna associata, secondo la tipologia di servizio erogato, ad una componente architetturale specifica del Service Layer ). Le componenti che vengono implementate all interno di ogni livello logico si differenziano ulteriormente a seconda degli schemi architetturali specifici dei servizi e delle reti. Il livello MAN/WAN a sua volta rappresenta la componente Intranet (definisce l architettura di accesso al Data Center per l utenza interna aziendale), Extranet (definisce l architettura di accesso al Data Center per l utenza appartenente ad aziende partner o facenti parte della holding), Internet (definisce l architettura di interconnessione verso rete dati pubblica). Il Service Layer è composto da BackEnd (componente di accesso a tutti i sistemi considerati trusted ), Application (definisce la componente di accesso a tutti i sistemi applicativi business e le banche dati e gli storage), Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 4 di 45

5 Presentation (definisce la componente di accesso a tutti sistemi di tipo Web Server, Proxy, etc, ritenuti Internal Presentation) e FrontEnd (definisce la componente di accesso a tutti i sistemi di vetrina ritenuti External FrontEnd). L Hosting Layer prevede quattro componenti logiche che si distinguono per la tipologia contemplata dei sistemi e che condividono la medesima infrastruttura di rete. La separazione tra sistemi viene comunque mantenuta applicando la funzionalità di virtualizzazione del livello Data Link denominata di Virtual LAN. Le VLAN sono definite sulla base della classificazione dei servizi erogati, indicate nelle specifiche del Service Layer. Sono così identificati quattro tipi di serventi, che sono trusted server, application e db server, web e relay server External FrontEnd, web e relay server Internal Presentation. Il traffico intralayer e interlayer segue specifiche e stringenti regole di instradamento che vengono implementate dai sistemi di rete e dai firewall. I firewall vengono posizionati lungo le direttrici di traffico che interessano la comunicazione tra sistemi non in relazione di trusting tra loro. Parallelamente al Data Flow relativo ai flussi informativi si sviluppa anche quello relativo ai flussi di controllo. Per Data Flow di produzione Internet si intende il flusso dati standard seguito da una connessione di un utente Internet ai servizi offerti dall IDC. Per Data Flow di produzione RdG si intende il flusso dati standard seguito da una connessione di un utente sulla rete aziendale ai servizi offerti dall DC/IDC. Per Data Flow del Sistema di Backup si intende il flusso dati standard seguito dalle connessioni utilizzate per effettuare i backup dei dati dei Server. Per Data Flow del Sistema di Management si intende il flusso dati standard seguito dalle connessioni utilizzate dagli strumenti di management per effettuare il controllo e la gestione degli apparati di rete (Firewall, Router, Switch) e dei sistemi (Server). Il control plan del Data Center opera in base al principio di segnalazione in banda: il traffico ICMP ed il traffico generato dai protocolli di routing viene scambiato tra i nodi di rete sulle stesse direttrici fisiche e logiche dei flussi dati. Questo impone, là dove è contemplata la presenza di firewall, che le politiche di sicurezza prevedano anche specifiche regole inerenti al trattamento della segnalazione. Il management plan del Data Center invece opera in modalità scorrelata, a livello di traffico prodotto, rispetto al data e control plan. Un infrastruttura di rete out band è realizzata infatti parallelamente a quella di esercizio per garantire la gestione e il controllo dei nodi di rete (firewall, ids, router e switch) e la raccolta dei dati di logging prodotti dai sistemi. Il Data Center deve essere protetto sia dal punto di vista dei dati in esso conservati, che da quello dei sistemi, server e apparati attivi di rete. Nell ottica del network security ne consegue una classificazione dei requisiti secondo il controllo degli accessi (accesso ai servizi ed alle risorse deve essere discriminato in accordo con una precisa politica di sicurezza e previa identificazione dell utente), l integrità (i dati devono essere preservati integri durante il suo trasferimento in rete), la riservatezza e la confidenzialità dei dati (i dati sensibili trasferiti in rete non devono essere accessibili a utenti non autorizzati) e la disponibilità del servizio (i sistemi deputati all erogazione dei servizi devono essere protetti da attacchi che ne mirino la disponibilità). In ottica di ottimizzazione delle risorse e di gestione differenziata delle stesse, si sono sviluppate una serie di tecniche e funzionalità che di fatto permettono un sezionamento e una segmentazione logica degli apparati in sistemi indipendenti a livello di processi e di stack protocollari. Questo approccio prende il nome di virtualizzazione. Ad ogni livello dello stack protocollare la tecnica in oggetto trova una sua ben precisa funzionalità: layer 2 Virtual LAN (VLAN); layer 3 Virtual Routing Forwarding (VRF); layer 4/7 Virtual Firewall (VFW) e Server Load Balancing (SLB). Nel caso invece delle infrastrutture di rete, in cui l approccio non è applicato unicamente a livello di singolo apparato, ma a livello di intera network, la virtualizzazione si realizza mediante modalità Tunneling (in ottica di connettività logica essa offre un servizio di trasporto puro, che impiega il control plan dell infrastruttura di trasporto attraversata), e Virtual Private Network (in ottica di rete logica essa Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 5 di 45

6 offre un servizio di rete logica erogato da un infrastruttura di rete di trasporto e quindi come tale provvisto di un proprio control plan). L utilizzo di Virtual LAN è reso necessario perché permette di definire differenti domini di broadcast senza avere reti LAN separate a livello fisico. La segmentazione logica viene realizzata dagli apparati L2 switch mediante la separazione delle tabelle di instradamento. Particolare importanza riveste infine la definizione del piano di indirizzamento. Occorre distinguere il piano di indirizzamento di un DC dal piano di indirizzamento di un IDC. Nel caso di un DC, la mancanza di un accesso ad Internet fa preferire l utilizzo su tutta la struttura di indirizzi IP di tipo privato (RFC 1918), strettamente compatibili, nel caso dei DC Poste Italiane, col piano di numerazione adottato dalla rete RdG. In tale contesto appare opportuno assegnare ad ogni DC un piano di indirizzamento contiguo di ampiezza commisurata con la dimensione del DC stesso, in termine di utilizzo di porte LAN di erogazione nell arco temporale di due anni. Nel caso di un IDC, occorre gestire spazi di numerazione pubblici, spazi di numerazione privati confinabili in ristrette aree di erogazione e spazi di numerazione privati compatibili con la numerazione della intranet di Poste Italiane. In questo caso non è semplice definire delle linee guida di organizzazione e dimensionamento del piano di indirizzamento IDC e la gestione di tale attività non può che essere fatta su base pratica e per approssimazioni successive. I benefici ottenuti dall applicazione del modello a data center a struttura gerarchica sono: 1. Scalabilità: la rete può crescere o decrescere interessando unicamente un livello logico senza modificarne il sistema di controllo e di gestione; 2. Semplicità nell implentazione: permette una programmazione a passi successivi delle attività d installazione, attivazione e manutenzione; 3. Semplicità delle procedure di problem determination: riduce la complessità di un problema scomponendolo in più semplici affrontabili separatamente; 4. Facilità nella definizione del piano d indirizzamento: sono evidenziabili in maniera naturale i punti della rete in cui aggregare il traffico ed applicare le regole di address summarization ; 5. Conformità con il principio d isolamento : permette di gestire e mantenere la rete dividendola in aree di intervento e isolando ogni area dalle altre come se fosse un compartimento stagno ; 6. Facilità nel dimensionamento delle risorse: riduce la quantità d informazioni da memorizzare e processare. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 6 di 45

7 Una tipica configurazione a data center è quella a tre livelli: Schema logico di riferimento a 3 livelli (promosso da Cisco System) Ecco una breve descrizione dei livelli logico/funzionali indicati in precedenza: 1. MAN/WAN Layer: prevede le funzioni necessarie a garantire l interconnessione del Data Center alle reti dati private e/o pubbliche. A questo livello vengono quindi implementate le regole di instradamento e di sicurezza orientate al controllo dell accesso dell utenza ai servizi erogati; 2. SERVICE Layer: prevede tutte le funzioni inerenti alla modalità con cui vengono presentati ed offerti i servizi all utenza. In esso vengono definite e implementate le architetture dei servizi sia dal punto di vista dei flussi informativi, che da quello della sicurezza dei sistemi e dell affidabilità della rete; 3. HOSTING Layer: prevede le funzioni inerenti l interconnessione/accesso dei serventi in rete e la conseguente assegnazione degli stessi a differenti aree logiche, ognuna associata, secondo la tipologia di servizio erogato, ad una componente architetturale specifica del service layer Le componenti che vengono implementate all interno di ogni livello logico si differenziano ulteriormente a seconda degli schemi architetturali specifici dei servizi e delle reti. Ogni componente realizza quindi un set o un subset delle funzioni associate al livello logico di appartenenza, specializzandole di volta in volta Il caso Poste Italiane: Nel caso specifico di Poste Italiane le componenti in oggetto sono: 1. MAN/WAN LAYER Intranet: definisce l architettura di accesso al Data Center per l utenza interna aziendale; Extranet: definisce l architettura di accesso al Data Center per l utenza appartenente ad aziende partner o facenti parte della holding; Internet: definisce l architettura di interconnessione verso la rete dati pubblica. 2. SERVICE LAYER BackEnd (BE): definisce la componente di accesso a tutti i sistemi considerati trusted (es. Primary Domain Controller); Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 7 di 45

8 Application Layer (AL): definisce la componente di accesso a tutti i sistemi applicativi business (es. servizi transazionali quali Pensioni On Line) e le banche dati (es. database Oracle) e gli storage (es.i sistemi disco della EMC2); Presentation Internal Layer (PIL): definisce la componente di accesso a tutti sistemi di tipo Web Server, Proxy, etc, ritenuti Internal Presentation; FrontEnd(FE): definisce la componente di accesso a tutti i sistemi di vetrina (es. Portali web, relay e proxy), ritenuti External FrontEnd. 3. HOSTING LAYER Prevede quattro componenti logiche che si distinguono per la tipologia contemplata dei sistemi e che condividono la medesima infrastruttura di rete. La separazione tra sistemi viene comunque mantenuta applicando la funzionalità di virtualizzazione del livello Data Link denominata di Virtual LAN. Le VLAN sono definite sulla base della classificazione dei servizi erogati, indicati nelle specifiche del Service Layer. Sono così identificati quattro tipi di serventi: trusted server application e db server web e relay server External FrontEnd web e relay server Internal Presentation Per ogni tipologia di servente si ha una specifica VLAN: Access BE (BackEnd); Access AL (Application); Access PIL (Presentation); Access FE (FrontEnd). In aggiunta alle componenti architetturali sopra indicate si devono evidenziare altri due moduli che sono in overlay su tutti i tre i livelli funzionali sopradescritti: Management Module; Backup Module. 4. MANAGEMENT MODULE: La componente di Management interessa tutti i livelli logici facenti parte del modello di DC proposto. Essa prevede l infrastruttura di rete ed i sistemi ad essa connessi, demandati alla gestione dell intero Data Center. L architettura del sistema di gestione si basa su un modello di riferimento proposto dall ISO. Il modello di Management in questione aiuta la razionalizzazione e la comprensione delle principali funzioni di gestione mediante una classificazione delle stesse in 5 aree concettuali: 1. Fault Management: modalità di individuazione e comunicazione all operatore dei guasti presenti sugli elementi di rete. Esecuzione dei test diagnostici per la corretta localizzazione del guasto e per l avvio delle prime procedure di ripristino del servizio; 2. Configuration Management: gestione centralizzata della configurazione al fine di mantenere la conoscenza ed il controllo dei parametri operativi degli elementi. La gestione della configurazione consente inoltre la modifica dei parametri operativi di ciascuna risorsa in funzione delle condizioni di funzionamento richieste dalla rete; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 8 di 45

9 3. Accounting Management: verifica dell impiego delle risorse di rete. I dati prodotti permettono di effettuare il tuning periodico dell intera infrastruttura e di analizzarne il reale utilizzo; 4. Performance Management: procedure per il test delle performance della rete. I parametri analizzati sono di natura prestazionale (traffico sulle interfacce, tasso d errore, tempi di ritardo, etc.) e costituiscono il mezzo per valutare la qualità del servizio di rete sia in termini generali che più specificamente per ogni singolo utilizzatore; 5. Security Management: processo di gestione della sicurezza in tutti i suoi aspetti di configuration e di monitoring. È di estrema importanza per il gestore del servizio, oltre l accesso alle informazioni vitali del sistema di gestione, il controllo degli accessi da parte degli utilizzatori dei servizi offerti dalla rete. Di conseguenza il Security Management si occupa della gestione e distribuzione delle chiavi di cifratura, del mantenimento e della distribuzione delle password di accesso e dell autenticazione degli accessi. La raccolta delle informazioni relative alla gestione della rete può essere effettuata sfruttando la stessa infrastruttura di trasporto dei dati (management in band) o realizzandone una dedicata (management out band). La seconda soluzione permette, a differenza della prima, non solo di mantenere la gestione degli apparati anche in condizioni di malfunzionamento della rete, ma anche di effettuare le operazioni sopra riportate senza interferire con l erogazione dei servizi offerti e con un elevato livello di sicurezza e controllo degli accessi agli apparati. 5. BACKUP MODULE: Il modulo di Backup prevede l infrastruttura di rete e i sistemi ad essa connessi, demandati alla gestione e all implementazione delle procedure di backup dei dati sensibili, memorizzati dai sistemi presenti nei vari livelli del Data Center. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 9 di 45

10 MODELLO ARCHITETTURALE: Modello Architetturale Di Riferimento Il traffico intralayer e interlayer segue delle specifiche e stringenti regole di instradamento che vengono implementate dai sistemi di rete e dai firewall. La figura 3 mostra in sintesi il Data Flow. I firewall vengono posizionati lungo le direttrici di traffico che interessano la comunicazione tra sistemi non in relazione di trusting tra loro. Parallelamente al Data Flow relativo ai flussi informativi si sviluppa anche quello relativo ai flussi di controllo. Il control plan del Data Center opera sul principio di segnalazione in banda: il traffico ICMP ed il traffico generato dai protocolli di routing viene scambiato tra i nodi di rete sulle stesse direttrici fisiche e logiche dei flussi dati. Questo impone, là dove è contemplata la presenza di firewall, che le politiche di sicurezza prevedano anche specifiche regole inerenti al trattamento della segnalazione. Il management plan del Data Center opera invece in modalità scorrelata, a livello di traffico prodotto, rispetto al data e control plan. Un infrastruttura di rete out band è realizzata, infatti, parallelamente a quella di esercizio per garantire la gestione e il controllo dei nodi di rete (firewall, ids, router e switch) e la raccolta dei dati di logging prodotti dai sistemi. REQUISITY DI NETWORK SECURITY: Il data center deve essere protetto sia dal punto di vista dei dati in esso conservati, che da quello dei sistemi, server e apparati attivi di rete. Nell ottica del network security ne consegue una classificazione dei requisiti secondo quattro principi: Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 10 di 45

11 Il controllo degli accessi: l accesso ai servizi ed alle risorse deve essere discriminato in accordo con una precisa politica di sicurezza e previa identificazione dell utente; L integrità: i dati devono essere preservati integri durante il suo trasferimento in rete; La riservatezza e la confidenzialità dei dati: i dati sensibili trasferiti in rete non devono essere accessibili a utenti non autorizzati; La disponibilità del servizio: i sistemi deputati all erogazione dei servizi devono essere protetti da attacchi che ne mirino la disponibilità. Le prescrizioni di sicurezza descritte nei paragrafi successivi si traducono in funzionalità minime supportate dai sistemi di rete facenti parte dell infrastruttura di data center. SICUREZZA DEGLI APPARATI: Prevenire e circoscrivere attacchi alla sicurezza logica degli apparati deputati all erogazione dei servizi. Il sistema di sicurezza dovrà amministrare il diritto d accesso ai dati ed ai servizi, in modo da verificare la validità di ogni tentativo di accesso e stabilire l identità dell utente. PACKET FILTERING: Packet filtering sui protocolli e sulle porte del traffico in ingresso e in uscita dai BE, AL efe del Service Layer. ACL logging per il logging di tutti i matching verificatisi con ACL di tipo deny, con l obiettivo di identificare i tentativi di intrusione. Meccanismi di rate limiting e TCP message inspection per proteggere i sistemi da attacchi TCP SYN (ad es. TCP Intercept, SYN flag set ). Meccanismi di ICMP rate limiting per proteggere i sistemi da attacchi ICMP-based. ANTISPOOFING: Antispoofing e Reverse Path Verification sugli accessi della rete IP (Internet, Extranet e Intranet). BLACK-HOLE E NULL ROUTING: Null routing in particolari situazioni (ad esempio in occasione di attacco DoS con indirizzi sorgenti appartenenti ad uno specifico range), si deve poter implementare una la soluzione di filtraggio dei pacchetti di tipo null route in alternativa alle soluzioni di packet filtering tradizionali. ROUTING: Autenticazione routing per offrire un meccanimso di validazione reciproca tra apparati che si scambiano informazioni di routing mediante protocolli OSPF, RIP, IS-IS, ecc. SICUREZZA DEI SISTEMI SOFTWARE: Garantire la protezione dei sistemi operativi e del software di base delle apparecchiature informatiche critiche, dalle modifiche non autorizzate e disporre inoltre, per gli stessi sistemi operativi e per il software di base, di un processo di gestione degli aggiornamenti e di controllo periodico della loro integrità. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 11 di 45

12 Questo impone l implementazione di una serie di funzionalità e accortezze necessarie a controllare l accesso agli apparati di rete che deve essere sempre e comunque finalizzato alla loro gestione: Configurazione dei servizi: implica la definizione e l applicazione sui dispositivi di rete di una configurazione caratterizzata dall attivazione del solo set minimo di servizi strettamente necessari al corretto funzionamento della rete stessa e la conseguente disabilitazione dei servizi non indispensabili. Disabilitazione dei servizi: impone di disabilitare i servizi di TCP e UDP Small Server, finger, Bootp, http, PAD su tutti i CE. SNMPv3 come protocollo sicuro per la gestione degli apparati. LE FUNZIONALITÀ DI VIRTUALIZZAZIONE: In ottica di ottimizzazione delle risorse (memoria, cpu, banda trasmissiva ) e di gestione differenziata delle stesse (assegnazione, provisioning ) si sono sviluppate una serie di tecniche e funzionalità che di fatto permettono un sezionamento e una segmentazione logica degli apparati in sistemi indipendenti a livello di processi e di stack protocollari. Questo approccio prende il nome di virtualizzazione. Ad ogni livello dello stack protocollare la tecnica in oggetto trova una sua ben precisa funzionalità: layer 2 Virtual LAN (VLAN), layer 3 Virtual Routing Forwarding (VRF), layer 4/7 Virtual Firewall (VFW) e Server Load Balancing (SLB). Nel caso invece delle infrastrutture di rete, in cui l approccio non è applicato unicamente a livello di singolo apparato ma a livello di intera network, la virtualizzazione si realizza mediante due differenti modalità: Tunneling - in ottica di connettività logica essa offre un servizio di trasporto puro, che impiega il control plane dell infrastruttura di trasporto attraversata; Virtual Private Network in ottica di rete logica essa offre un servizio di rete logica erogato da un infrastruttura di rete di trasporto e quindi come tale provvisto di un proprio control plane. In questo caso il data plane eredita le caratteristiche proprie delle tecniche ditunneling del punto precedente. La tecnica di virutalizzazione viene applicata anche ai data center per implementare la divisione in livelli funzionali, prevista dall architettura N-Tier, senza dover duplicare per ogni livello l infrastruttura di switching e routing. Nel caso specifico si applicano le tecniche di VLAN, VRF e VFW sugli apparati, mentre le soluzioni VPN per gli accessi dell utenza via Internet e via Extranet. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 12 di 45

13 VIRTUAL LAN: Le Virtual LAN permettono di definire differenti domini di broadcast senza avere reti lan separate a livello fisico. La segmentazione logica viene realizzata dagli apparati L2 switch mediante la separazione delle tabelle di instradamento. Nel caso dei data center in oggetto la funzionalità di VLAN viene applicata a livello di hosting layer per differenziare i serventi secondo l appartenenza ad una particolare area: BackEnd, Application o FrontEnd. Tale separazione viene mantenuta fino al service layer dove sono predisposti i motori di routing e quindi abilitata la funzionalità di intervlan routing. Le policy aziendali specificano quali traffici a tal proposito sono da considerare permessi e quali no. L implementazione a questo livello delle stesse viene effettuata mediante interposizione di firewall. VIRTUAL ROUTE FORWARDING: La funzionalità di Virtual Route Forwarding nasce dal mondo delle reti di trasporto MPLS per permettere sugli apparati di accesso la suddivisione tra reti logiche associate a differenti VPN senza necessariamente abilitare il protocollo di segnalazione LDP. Un VRP e semplicemente un processo che simula un router virtuale all interno di un router fisico. La configurazione di differenti VRF all interno del medesimo router ottiene come effetto una segmentazione logica dello stesso. Le regole di impiego della funzionalità di VRF sono le seguenti: ogni VRF ha un proprio processo di routing e una propria tabella di instradamento ogni VRF ha assegnate delle interfacce fisiche (es. interface fastethernet) o logiche (es. interface VLAN) che non possono essere condivise con altri VRF i VRF non interoperano se non attraverso un interfacciamento fisico esterno al router che li ospita. SCHEMI DI VIRTUALIZZAZIONE APPLICATI AI DATA CENTER: Le funzionalità sopra descritte possono essere applicate nelle infrastrutture di data center per implementare le architetture di servizio N-Tier senza eccedere nelle componenti hardware. Le regole di implementazione sono le seguenti: VLAN applicate sugli hosting switch per separare a livello logico le tre farm di BE, AL e PIL; SLB applicato sulle suddette VLAN trasportate via connessioni trunk sul Service Layer con lo scopo di distribuire il carico elaborativo su differenti server fisici eroganti lo stesso servizio; VFW applicato sulle suddette VLAN in modalità transparent per implementare le network security policy; VRF applicato sulle suddette VLAN per implementare l intervlan routing. La figura seguente mostra l implementazione di quanto descritto con l aggiunta della funzionalità di failover che permette di ridondare ogni componente logica duplicandola su due apparati differenti. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 13 di 45

14 La figura seguente mostra l implementazione di quanto descritto con l aggiunta della funzionalità di failover che permette di ridondare ogni componente logica duplicandola su due apparati differenti. Schema di Virtualizzazione Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 14 di 45

15 VPN DI ACCESSO: Una parte dell utenza che accede ai servizi erogati dai data center via rete Internet o Extranet può avvalersi del servizio di VPN Accesso, che offre come valore aggiunto la protezione dei dati sensibili (confidenzialità e integrità) attraverso l impiego di meccanismi di cifratura. A tal scopo sono presenti nelle infrastrutture di accesso Internet e Extranet degli apparati denominati VPN Concentrator. Essi permettono di implementare le tecniche di tunneling cifrato utilizzate nelle soluzioni VPN. Un utente che opera su una workstation può in questo modo attivando l applicazione VPN client a sua disposizione e connettersi ai data center aziendali mediante connessioni virtuali sicure. La figura mostra i vari scenari. L utenza, a seconda delle sue caratteristiche, può operare su terminali managed, per i quali si può prevedere l impiego di VPN client specifici, oppure unmanaged, per i quali l ambiente operative consentito e il browser. Le soluzioni che si hanno sulla base di questa differenziazione sono sostanzialmente due: 1. terminali managed, VPN IPSec 2. terminali unmanaged, VPN SSL. Esempio VPN di accesso Organizzazione del routing nel Data Center All interno dell IDC sono presenti diversi domini di routing in ognuno dei quali possono essere utilizzati apparati, tecniche e protocolli diversi per garantirne il corretto funzionamento, le prestazioni, l alta affidabilità e la scalabilità. I domini di routing di seguito elencati verranno poi analizzati ad uno ad uno per meglio comprenderne i dettagli di funzionamento: Dominio di Accesso Dominio di Ingress/Egress Dominio di Egress/FrontEnd Domini interni Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 15 di 45

16 Dominio di BackEnd Alcuni aspetti sono però comuni a tutti i domini. In tutti i casi, ad eccezione delle LAN di erogazione del FrontEnd (attestate direttamente sui router di FrontEnd o sui sistemi di Load Balancing), viene utilizzato un indirizzamento IP di tipo privato. Le LAN citate fanno eccezione in quanto ospitano sistemi che devono essere raggiungibile da Internet: su di esse verranno utilizzati anche indirizzamenti pubblici. Per garantire elevate prestazioni, gli apparati utilizzati, siano essi router, firewall o load balancer, devono essere di tipo altamente performante e quindi funzionanti mediante circuiti ASIC. Per garantire l alta affidabilità dei livelli di routing, oltre a ridondare dove possibile le component vitali interne degli apparati (alimentazione elettrica, CPU, switch fabric), i dispositivi devono essere posizionati a coppie in ridondanza e ove possibile in bilanciamento. In particolare la ridondanza e il bilanciamento vengono gestiti utilizzando in diverse combinazioni i protocolli standard VRRP e OSPF. La scalabilità dell infrastruttura è garantita fino ad un certo punto dalle capacità (prestazionali e di connettività) delle singole coppie di apparati e in alcuni domini questo può già essere sufficiente. In caso di IDC/DC che necessitano di una alta capacità di connessioni, per i vari livelli occorre fissure delle soglie di erogazione oltre le quali è necessario aggiungere allo specifico livello altri apparati operanti con le stesse funzioni ed interconnessi con quelli già in esercizio. Dominio di Accesso Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 16 di 45

17 ARCHITETTURA POSTE ITALIANE A LIVELLO NAZIONALE L architettura di Poste Italiane mira ad una corretta disposizione degli apparati di rete e all ingegneria del traffico. Dall esperienza sviluppata negli anni Poste Italiane ha scelto per la sua infrastruttura di rete un sistema di data center disposti su scala nazionale. I data center principali sono 5: POMEZIA(produzione) PALAZZO DEI CONGRESSI(produzione, test) ARTE ANTICA(Test, Sviluppo) ROZZANO(produzione, test) BARI(produzione) Tutti i data center sono interconnessi con tecnologie fiber channel a velocità e banda variabile. Questa connettività di tipo geografico è garantita da svariati ISP italiani. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 17 di 45

18 3. PROGETTO SVOLTO IN AZIENDA; IMPLEMENTAZIONE PROVISIONING FORM 3.1. Teoria della gestione di flussi di provisioning Mano a mano che gli ambienti IT si fanno più complessi, diventano sempre più importanti la gestione e la protezione adeguate delle infrastrutture informatiche. Per questo motivo le aziende si stanno orientando verso alcune caratteristiche di eccellenza (le cosiddette best practices ) che corrispondono a metodologie già sperimentate sul campo per la standardizzazione dei processi e la gestione degli ambienti IT. Gli standard prevalenti in questo settore sono le norme ITIL ( Information Technology Infrastructure Library ); la normativa British Standard (BS15000), lo standard emergente per la gestione dei servizi informatici basato sulle metodologie ITIL; e la norma ISO 17799, lo standard mondiale basato sulla British Standard (BS7799) per la protezione delle informazioni aziendali. Queste best practices sono tuttavia da considerare alla stregua di semplici linee-guida il cui scopo è consentire alle organizzazioni di mettere a punto i processi interni per adattarli alle esigenze del business aziendale. Un approccio personalizzato di questo tipo impone una certa flessibilità negli strumenti adottati a supporto dei processi di business. Le soluzioni di Computer Associates International, Inc. (CA) offrono la flessibilità necessaria per aiutare le organizzazioni a mettere in pratica le indicazioni delle norme ITIL, BS15000 e ISO al fine di gestire i servizi IT in modo più efficiente ed economico. Le aziende che desiderano adottare un approccio standardizzato allo stato dell arte possono scegliere fra alcune metodologie: IT Infrastructure Library (ITIL) Include le definizioni delle best practices per la gestione dei servizi informatici (IT Service Management), suddivise in due volumi principali: Service Support Service Delivery BS15000 Prima normativa mondiale per la gestione dei servizi IT, rivolta sia ai fornitori di servizi di gestione dei servizi informatici, sia alle aziende che esternalizzano o gestiscono in proprio la funzione IT. La norma BS15000 specifica un insieme di processi gestionali correlati fra loro, ricalcati in gran parte sullo schema ITIL, che formano la base del controllo dei cosiddetti managed services, ovvero i servizi gestiti in toto. ISO Standard mondiale basato sulla normativa British Standard BS7799 che definisce le best practices per la gestione della sicurezza informatica. ITIL Security Management Processi allo stato dell arte per la protezione dell infrastruttura IT in gestione, strettamente legati all utilizzo delle best practices indicate dalla norma ISO La gestione del servizio secondo il modello ITIL e la norma ISO Il modello ITIL è costituito da un insieme di procedure ottimali per la gestione dei servizi informatici che hanno continuato ad evolversi sin dalla loro formulazione iniziale nel Sono nate originariamente come un insieme di processi ad uso e consumo della Pubblica Amministrazione britannica, finalizzati al miglioramento della gestione dei servizi IT, per essere successivamente adottati dal settore come base per una corretta gestione dei servizi informatici. Hanno continuato a diffondersi sempre di più in tutto il Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 18 di 45

19 mondo, affermandosi come standard per eccellenza per la gestione dei servizi informatici. Alla base di questo modello vi sono due volumi sulla disciplina di gestione del servizio, intitolati rispettivamente Service Support e Service Delivery, che sono stati successivamente riscritti nel biennio L argomento della security è trattato nell apposito volume uscito nel Le norme ITIL descrivono le prassi più adatte per ciascuna organizzazione. Ad esempio, l area Service Support comprende cinque discipline atte a garantire la flessibilità e la stabilità necessarie per erogare servizi IT utili a supportare il business aziendale: Incident Management Problem Management Change Management Release Management Configuration Management L area Service Delivery comprende cinque discipline per supportare gli aspetti finanziari e di qualità dei servizi IT messi a disposizione del business aziendale: Service Level Management Availability Management Capacity Management Financial Management per servizi IT IT Service Continuity Management Insieme, le discipline di Service Support e Service Delivery concorrono a offrire le funzioni necessarie per la gestione dei servizi a supporto del business aziendale. Le dieci discipline di gestione del servizio sono legate da relazioni complesse per consentire all infrastruttura informatica di erogare livelli elevati di servizio al business aziendale Gestione di flussi di provisioning in ambito di networking nel caso di Poste Italiane Definizione formale: Per gestione di flussi di provisioning si intende la gestione organizzata e centralizzata di risorse e processi aziendali tramite una serie ordinata di metodologie e attività mirate alla corretta raccolta e organizzazione di dati di sviluppo, gestione e vita di un processo, attività o risorsa aziendale. Nel caso di PI questa teoria trova applicazione in tutte le aree aziendali ma, in particolare, nell area sviluppo rete/tlc. Per far fronte alle esigenze di sicurezza messe in evidenza dagli standard BS15000 e ISO Poste Italiane ha creato un sistema di gestione di flussi di provisioning. Esso mira alla gestione e la messa in sicurezza dei sistemi e dei servizi ospitati all interno della sua infrastruttura di rete in accordo con la mission aziendale. Questa gestione teorica viene implementata con l ausilio del PF ( Provisioning Form ), un foglio di calcolo (compatibile con Office e OpenOffice) che consente di tracciare lo storico di ogni servizio implementato tramite risorse di rete. Nel caso di lancio o testing di un servizio deve essere eseguita una procedura standard che si concluderà con l approvazione e l implementazione del servizio nel caso in cui fossero rispettate tutte le linee guida aziendali pertinenti. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 19 di 45

20 Il provisionig form nella versione corrente è un foglio elettronico costituito da sezioni corrispondenti ai diversi servizi erogati dall IDC/DC. Ogni sezione deve essere compilata solo se richiesto dalle esigenze effettive del progetto; fa eccezione il primo modulo, contenente le informazioni generali indispensabili per l attivazione e la gestione del flusso di lavorazione che scaturisce dalla richiesta. In ciascun foglio le sotto-sezioni di cui è richiesta la compilazione sono funzione delle specifiche esigenze di progetto. L installazione di una nuova piattaforma all interno degli IDC/DC di Poste Italiane prevede la fruizione di una molteplicità di servizi: dall assegnazione di vlan e indirizzi ai server, all abilitazione di regole firewall; alla configurazione del bilanciamento di carico. Una richiesta esaustiva, corretta e tempestiva aiuta ad abbreviare il tempo di provisioning di quei servizi e a limitare la possibilità di errori o omissioni in fase di realizzazione. Limitare il numero di cambi di configurazioni, corrispondenti a versioni successive della richiesta, è un criterio organizzativo e progettuale raccomandato. Si riporta la lista delle sezioni, accompagnata da una breve descrizione, Una descrizione più esaustiva è riportata nei prossimi paragrafi. Input Form Summary Riporta tutte le informazioni utili all identificazione del tipo di attività, del soggetto richiedente, della data della richiesta e dell IDC/DC cui la stessa fa riferimento. Vlan & Address Contiene le informazioni riguardanti la richiesta di assegnazione di una o più VLAN e dei relativi indirizzi IP, pubblice e/o privati) necessari ai server,siano essi logici o fisici, ad erogare i propri servizi. Load Balancing Include tutte le informazioni necessarie per la configurazione del servizio di bilanciamento di carico ad opera dei dispositivi di rete dell IDC/DC. Regole Firewall Comprende le richieste riguardanti la messa in sicurezza di un servizio, in particolare la configurazione delle regole firewall funzione dei flussi dati da/verso i server, e della collocazione degli stessi all interno dei differenti domini di routing dell IDC/DC. Dettaglio Server Riporta tutti quei dati indispensabili per garantire la connettività dei sistemi serventi: numero di schede di rete, utilizzo previsto per ciascuna scheda, tipologia, configurazioni in alta affidabilità, virtualizzazione di più server su una o più macchine fisiche Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 20 di 45

21 VPN È un servizio indispensabile alla realizzazione dei collegamenti di tipo Extranet, e comprende tutte le informazioni necessari per la configurazione di una Virtual Private Network verso un ente esterno, nelle due modalità di VPN client-to-lan e lan-to-lan. Altri servizi In questa sezione è possibile richiedere gli ulteriori servizi messi a disposizione dell IDC. Quello di maggior interesse è la registrazione di domini e record nei DNS della Intranet di Poste Italiane e nei DNS pubblici. Allo stato attuale altri servizi sono in fase di definizione/standardizzazione. Schema di rete Mostra lo schema sintetico di rete della piattaforma/sistema. Propone un template facilmente editabile da integrare, eventualmente, con gli schemi utili ad una migliore comprensione dell architettura. Come si potrà notare nelle prossime pagine la corretta compilazione di un PF presuppone una conoscenza di base dei principi di funzionamento delle reti IP e dei meccanismi di sicurezza a tutela dell erogazione dei servizi IT. Inoltre richiede la conoscenza dell architettura di rete e sicurezza implementata negli Internet Data Center di Poste Italiane (qui entra in ballo la sezione Architettura a data center ). Questa documentazione formale è stata stilata per rendere fruibile dalla più ampia platea possibile lo strumento del PF. Essa si rivolge anche ad utenti non completamente tecnici e propone, oltre alla spiegazione per ogni modulo di tutte le sotto-sezioni di cui si compone, esempi significativi di compilazione, riferendosi dove opportuno a casi reali; offre, in aggiunta, alcune sintetiche linee guida sulla configurazione (e sulla corrispondente modalità di richiesta attraverso PF) dei più diffusi servizi, come il bilanciamento di carico, l impiego di interfacce multiple sui server (per l alta affidabilità o per la specializzazione delle funzioni), o l utilizzo di politiche di filtraggio del traffico tramite firewall. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 21 di 45

22 3.3. Caso pratico, linee guida per la compilazione di un Provisioning Form Di seguito viene allegata la guida per la compilazione di un Provisioning Form. La seguente guida è stata redatta da me, Siracusa Alessandro, e dal mio collaboratore Serreli Andrea. 1. INPUT FORM SUMMARY Tale modulo dovrà contenere tutte quelle informazioni necessarie ad identificare la tipologia e il fine del progetto che si vuole implementare. Riporta dati utili circa il tipo di attività, soggetto richiedente, data di richiesta e locazione del DC/IDC cui la stessa fa riferimento. Di seguito è elencata una breve descrizione dei campi da compilare: Sezione Input Form Summary Nome identificativo del progetto Tipologia richiesta: descrive il tipo di intervento che dovrà essere svolto; o Nuova attivazione: consiste nella implementazione di un nuovo progetto o servizio e non alla modifica o aggiornamento di uno già esistente. Per maggiore chiarezza si può fare una analogia in riferimento ad un contesto edile. Questa corrisponde alla costruzione di una nuova casa partendo da zero in un terreno vuoto. o Cambio di configurazione: consiste nella modifica di un progetto o servizio già esistente. Continuando sulla scia dell'analogia precedente un aggiornamento può essere comparato alla restaurazione di una casa già esistente. o Dismissione: consiste nel cessare l'erogazione di un servizio ritenuto non più necessario. Concludendo si può pensare a ciò come la demolizione di una casa dissestata al fine di crearne una nuova in seguito. Nome e cognome project manager Recapito telefonico project manager Codice Progetto: identifica in modo univoco il progetto ed è assegnato dalla sezione Project Support in fase di pianificazione. Ambiente di progetto: specifica il contesto in cui il progetto sarà collocato: o Produzione; o Collaudo/test; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 22 di 45

23 o Certificazione; o Sviluppo. Sede IDC/DC: specifica la sede geografica in cui sarà implementato il progetto: o Roma - Palazzo dei Congressi(Produzione); o Roma Arte Antica(Sviluppo); o Pomezia(Produzione, Sviluppo); o Rozzano(Produzione); o Bari(Produzione). Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 23 di 45

24 Vlan_Address Tale modulo dovrà contenere tutte quelle informazioni riguardanti la richiesta di VLAN e i rispettivi piani di indirizzamento. La richiesta può riferirsi ad una nuova VLAN o ad una già esistente. I piani di indirizzamento di indirizzamento devono comunque essere coerenti con quelli utilizzati nel rispettivo data center al fine di evitare conflitti di indirizzi ip con altri sistemi o servizi già esistenti. Le VLAN permettono di definire differenti domini di broadcast (management, backup, erogazione) senza avere reti lan separate a livello fisico. Sezione Attivazione VLAN e rilascio indirizzi Nel caso dei Data Center in oggetto le funzionalità di VLAN viene applicata a livello di hosting layer per differenziare i serventi secondo l appartenenza ad una determinata area(front End,BackEnd,etc.) Nel livello FrontEnd Layer andranno ad inserirsi tutte quelle VLAN con serventi aventi funzioni di vetrina,per esempio un insieme di web server, accessibili all esterno del DC/IDC attraverso internet ed extranet. Nel Presentation Internal Layer sono contenute le VLAN con serventi aventi funzioni analoghe al layer precedente. La differenza sta nel fatto che questi ultimi saranno visibili a livello di accesso solo alla intranet aziendale. Nel Application Layer sono contenute le VLAN con tutti i sistemi applicativi business (es. servizi transazionali quali pensioni On Line),banche dati e storage. (es. Oracle) Nel BackEnd sono presenti invece VLAN contenenti sistemi considerati trusted.(es. Primary Domain controller) VANTAGGI DELL IMPIEGO DI VLAN: Segmentando i domini di broadcast tramite VLAN o con l' impiego di router, si hanno grossi benefici in termini di sicurezza, utilizzo di banda e performance di rete. Il processo di segmentazione consiste nel fare in modo che solo un insieme di dispositivi di rete possano ricevere e di conseguenza processare un messaggio di broadcast o di multicast senza la necessità che i componenti di un gruppo occupino spazi fisicamente contigui. Pensiamo alle condivisioni di windows, segmentando i domini di broadcast queste condivisioni possono essere accedute solo agli utenti che stanno sullo stesso dominio di broadcast. Si ha inoltre un impiego migliore della banda trasmissiva perché su una stessa subnet o su una stessa VLAN si Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 24 di 45

25 riduce notevolmente il numero di trasmissioni in broadcast e di conseguenza un minore impiego del le risorse computazionali richieste ai dispositivi di rete interessati. Nel caso in cui ogni macchina, sia essa virtuale o fisica, si trovi su una VLAN separata per dialogare con una seconda macchina dovrà passare per un dispositivo di livello 3 che possa metterli in comunicazione. In questo caso si ottiene un grosso vantaggio in termini di sicurezza perché il dispositivo che si frappone tra i due host comunicanti può analizzare il traffico che i due si scambiano e se configurato opportunamente può applicare delle politiche (si pensi ad un router con access-list o un firewall). Nel caso in cui non vengano utilizzate delle VLAN spostare una macchina (o un gruppo di macchine) da una LAN ad un'altra spesso richiede non solo il cambiamento di indirizzamento assegnato ma anche quello della locazione fisica. Le reti basate su VLAN semplificano invece il processo di spostamento e configurazione grazie alla possibilità di inscrivere gli utenti in "domini virtuali di broadcast". SVANTAGGI: Nel caso di impiego di VLAN due o più host che vogliano comunicare tramite protocolli che si basano su trasmissione in broadcast o multicast a livello 2 devono essere spostati da VLAN a VLAN o essere posti contemporaneamente su più VLAN. Questo comporta uno svantaggio in quanto richiede un maggior tempo per la gestione delle risorse coinvolte. Un altro svantaggio che viene dall aggiunta di apparati per la comunicazione degli host su VLAN differenti è l aumento del ritardo di trasmissione, della complessità della rete e della necessità di manutenzione per questi apparati. NOTA BENE: In accordo con le politiche di Poste Italiane host posti su VLAN differenti si relazionano tra loro tramite i seguenti criteri: VLAN SU STESSO LAYER: il traffico viene filtrato in base ad access-list definite sul rispettivo gateway con il vantaggio di discriminare eventuale traffico non congruente con le politiche di sicurezza relative al livello interessato. VLAN SU STESSO LAYER MA CON SUBNET E VRF DIFFERENTI: il traffico viene filtrato da un firewall blade (modulo di firewalling) aggiunto all apparato che svolge la funzione di gateway. VLAN SU LAYER DIVERSI: il traffico viene filtrato da un firewall dedicato (esempio può essere il traffico proveniente o destinato al Core o alla Extranet). Si può scegliere tra due possibilità: richiesta indirizzamento su una nuova VLAN o richiesta di indirizzi su una VLAN preesistente RICHIESTA DI INDIRIZZAMENTO SU UNA NUOVA VLAN: La richiesta di una nuova VLAN o meno dipende anche dalla motivazione per cui è stata chiesta la verifica del PF presente nella parte input form summary della stessa richiesta. Nel caso si tratti di una Nuova Attivazione si procede in genere alla richiesta di una nuova VLAN con un piano di indirizzamento coerente con quello del DC/IDC in cui è collocato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 25 di 45

26 Di seguito è elencata una breve descrizione dei campi da compilare: Attivazione e rilascio indirizzi su nuova VLAN Layer: indica uno dei possibili Service Layer nel quale verrà collocata la VLAN. o Front End; o Presentation Internal Layer; o Application Layer; o Backend. Funzione: Erogazione Senza Bilanciamento di Carico: i sistemi posti sulla Vlan non sono soggetti a bilanciamento cioè non vengono messi a disposizione apparati o funzionalità che influiscano sul carico di lavoro dei server ripartendo equamente le richieste a tutti i serventi. Erogazione Con Bilanciamento di Carico: vengono utilizzati apparati di rete dedicati che attuano una logica di bilanciamento di carico ripartendo le richieste a tutti i server posti su quella determinata Vlan di erogazione. Questa funzionalità fornisce vantaggi sia in termini di risposta del servizio che di affidabilità, nel caso in cui un server sia affetto da fault. Il dispositivo incaricato del bilanciamento si accorge del problema e dirige tutte le richieste verso i serventi rimasti attivi(tipica configurazione in alta affidabilità). Management (gestione, manutenzione): fornisce funzionalità di gestione dei serventi e di monitoraggio del servizio tramite l impiego di particolari protocolli di rete (SNMP). Questa è una funzionalità fondamentale per verificare la corretta erogazione del servizio e per agire tempestivamente in caso di problemi. NOTA BENE: Backup: con questa richiesta verranno fornite funzionalità di backup dati e recupero di questi in caso di fault. Tipicamente si utilizza una metodologia di backup via LAN (cioè tramite rete). Il flusso risultante dal backup viene instradato verso un apparato dedicato(media server)che lo immagazzinerà in un nastro o su un disco (tape library). Management-Backup: con l impiego di una sola Vlan si possono fornire servizi di monitoraggio, manutenzione e backup. Interna: Utilizzata tipicamente nel caso di sistemi organizzati in cluster serve per tutto il traffico interno al cluster stesso e che quindi non deve essere istradato verso altre Vlan. La richiesta di una nuova Vlan comporta l utilizzo di una scheda di rete (si essa fisica o virtuale) e un indirizzamento dedicato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 26 di 45

27 Subnet Mask/Numero Max: indirizzi ip richiesti. Interna: Utilizzata tipicamente nel caso di sistemi organizzati in cluster serve per tutto il traffico interno al cluster stesso e che quindi non deve essere istradato verso altre Vlan. NOTA BENE: La richiesta di una nuova Vlan comporta l utilizzo di una scheda di rete (si essa fisica o virtuale) e un indirizzamento dedicato. Subnet Mask/Numero Max: indirizzi ip richiesti. NOTA BENE: Ogni qual volta si richieda un indirizzamento su una Vlan si deve tener conto dei seguenti aspetti: N 1 indirizzo per broadcast e N 1 indirizzo per la rete: questi non possono essere impiegati perché sono riservati a funzionalità intrinseche alla rete stessa. N 3 indirizzi per i gateway: su ogni Vlan vengono riservati 3 indirizzi per il gateway poiché si utilizza una configurazione in alta affidabilità. In questo caso un indirizzo rappresenta il virtuale (a cui a cui puntano le richieste dei client e tramite qui risponderanno entrambi i gateway fisici) e i restanti 2 rappresentano gli indirizzi reali dei due gateway. N 3 indirizzi per i load balancer: la logica è la stessa di quella applicata ai gateway. Classe IP Pubblica: Indica se è stata richiesta una classe di indirizzamento pubblico per un servizio destinato ad essere fruibile da utenti internet (quindi sul FE) in accordo con le specifiche dello standard RFC1918. Richiesta di indirizzi su una VLAN preesistente: La richiesta di una VLAN preesistente dipende anche dalla motivazione per cui è stata chiesta la verifica del PF presente nella parte input form summary della stessa richiesta. Nel caso si tratti di un aggiornamento si procede alla richiesta di una VLAN preesistente con relativo piano di indirizzamento che anche qui deve essere coerente con quello del DC/IDC. Sezione rilascio indirizzi su VLAN esistente Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 27 di 45

28 In tal caso saranno da inserire informazioni aggiuntive riguardo il nome/id della VLAN,il numero di indirizzi ip richiesti ed utilizzati dai serventi. Di seguito sono elencati i campi da compilare. VLAN Name / VLAN ID: identifica la VLAN richiesta che è già stata assegnata in precedenza dai rispettivi organi di competenza; Numero IP Richiesti: indica quanti indirizzi ip sono necessari sulla VLAN richiesta; NOTA BENE: Ogni qual volta si richieda un indirizzamento su una Vlan si deve tener conto dei seguenti aspetti: N 1 indirizzo per broadcast e N 1 indirizzo per la rete: questi non possono essere impiegati perché sono riservati a funzionalità intrinseche alla rete stessa. N 3 indirizzi per i gateway: su ogni Vlan vengono riservati 3 indirizzi per il gateway poiché si utilizza una configurazione in alta affidabilità. In questo caso un indirizzo rappresenta il virtuale (a cui a cui puntano le richieste dei client e tramite qui risponderanno entrambi i gateway fisici) e i restanti 2 rappresentano gli indirizzi reali dei due gateway. N 3 indirizzi per i load balancer: la logica è la stessa di quella applicata ai gateway. Classe IP Pubblica: Indica se è stata richiesta una classe di indirizzamento pubblico per un servizio destinato ad essere fruibile da utenti internet (quindi sul FE) in accordo con le specifiche dello standard RFC1918. Indirizzi di questo tipo possono trovarsi solo su un IDC. Host List: è la lista degli host per i quali si richiede l assegnazione degli indirizzi. Nota bene: I campi devono essere compilati ogni qual volta ci sia bisogno di una revisione di una indirizzamento su un determinato layer. classe di Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 28 di 45

29 Load Balancing Nota bene: È necessaria la compilazione se viene richiesta una VLAN con funzione di erogazione - con Bilanciamento di Carico. Nel caso venga richiesto l'inserimento di un indirizzo ip non ancora assegnato o l'identificativo della scheda di rete nel modulo dettaglio server si procede come segue: Inserire un codice che sia in grado di identificare la posizione fisica della scheda di rete all'interno di quel determinato servente. Nel caso ciò non sia possibile si deve procedere all'inserimento di un codice composto rispettivamente dal nome macchina del servente, funzionalità da erogare, id discriminante della scheda di rete. Di seguito viene mostrato un esempio: websero1. Webs: identifica il servente; Ero: identifica la funzione erogazione; 1: rappresenta l'id discriminante della scheda di rete. Ne consegue che una stessa risorsa venga identificata univocamente dallo stesso identificativo(codice) in tutti i moduli cui essa sia coinvolta. Questi saranno rispettivamente: Load Balancing, Regole Firewall_NAT, Dettaglio Server, Altri servizi. Vanno inserite tutte le informazioni riguardanti la funzionalità di Load Balancing (Bilanciamento di Carico) per il servizio da erogare. Più nello specifico si tratterà di Service Load Balancing. Con questa funzionalità un servizio può essere erogato da una batteria di server mascherata/presentata a livello Service Layer mediante un indirizzo ip virtuale. La fruizione del servizio da un server piuttosto che da un altro viene governata da una logica di bilanciamento,applicata sempre a livello Service,che si basa su vari criteri discrezionali legati fortemente alla tipologia di traffico caratterizzante l applicazione. In caso di fault detection di un server,il meccanismo di load balancing esclude automaticamente il servente e ridistribuisce il carico di lavoro che era ad esso demandato sugli altri sistemi. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 29 di 45

30 Sezione Load Balancing Di seguito è elencata una breve descrizione dei campi da compilare: Nome/Identificativo Servizio (Es. web Front End Banco Posta Ireland). Layer: indica uno dei possibili Service Layer nel quale verrà collocata la VLAN: o Front End o Presentation Internal Layer o Application Layer o Backend Servizio/Altro: specifica uno o più protocolli sottoposti al bilanciamento, esempio può essere una piattaforma di e- learning che si appoggia sui seguenti protocolli: HTTP, HTTPS, FTP, SMTP,ANY; Solo il traffico relativo al protocollo viene bilanciato verso i serventi appartenenti ad un certo pool.il traffico di altro tipo non viene bilanciato. L opzione ANY implica che tutto il traffico sia bilanciato. Tipo di Bilanciamento: a seconda delle esigenze si può scegliere fra le seguenti tipologie: o Standard-Round Robing: le richieste sono assegnate a turno al primo servente libero. o Avanzato: rende disponibili 5 possibili scelte in base al tipo d applicativo o servizio da erogare (Rif. CSM Cisco). Leastconn: Si seleziona il servente con il minor numero di connessioni; Hash Url: Si seleziona il servente usando un valore Hash basato sull Url; Hash Address: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di sorgente e destinazione; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 30 di 45

31 Source: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di sorgente; Destination: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di destinazione; Persistenza di Sessione: serve ad identificare un metodo per cui,a parità di politiche di SLB, il client continui ad essere servito dallo stesso servente per le successive connessioni. La persistenza della connessione può essere mantenuta su base: o Source Based: livello Network della pila ISO/OSI; o Socket Based: livello Session della pila ISO/OSI; o Cockie Based: livello Application pila ISO/OSI. La durata della persistenza è regolamentata da un timer programmabile che va da 1 a minuti. Il valore di default è 1440 minuti (24 ore). Nome/Indirizzo Server in Load Balancing: serve ad identificare in maniera univoca il servente a cui verrà delegato il carico di lavoro in funzione del tipo di bilanciamento scelto. Probe: serve a misurare e monitorare la corretta erogazione del servizio. Le opzioni sono: Nota bene: o o o Nodo: verifica la raggiungibilità (a livello di rete) di una determinata macchina Servizio,tcp/udp(es. Ftp): testa in remoto se il servizio tcp/udp funziona regolarmente Url: richiede una pagina web ad una URL di gestione per testare il corretto funzionamento del servizio (tipicamente per web server) o Http: fa delle richieste http al server sulla porta specificata (di default tcp 80) o Host (se si è selezionato nodo): deve essere specificato l' indirizzo/nome della macchina di cui si vuole testare la raggiungibilità Nel caso di ambienti virtualizzati se si vuole usare l' opzione nodo deve essere specificato il nome/indirizzo della macchina fisica che ospita le macchine virtuali; mentre nelle altre tre opzioni può essere specificato l' inidrizzo/nome di una delle macchine virtuali o l' indirizzo virtuale del servizio. Nel caso di clustering si può indicare l' indirizzo virtuale del cluster o una macchina interna al cluster stesso. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 31 di 45

32 2. REGOLE FIREWALL Nel modulo Regole Firewall vanno inserite tutte le richieste riguardanti la messa in sicurezza di un servizio. Stabilire delle regole firewall serve a definire il raggio d azione di un servente il quale non deve oltrepassare la propria area di competenza.(alcuni casi specifici possono violare tale norma). Questa dipende sia dal service layer in cui risiede che da particolari requisiti ed esigenze richieste per il corretto funzionamento del servizio stesso. Di seguito sono elencate alcune linee guide: In ingresso : o Verso il FrontEnd sono permessi accessi dalla rete Internet ed Extranet. Sezione Regole Firewall o Verso il Presentation Internal Layer devono essere permessi solo accessi dalla intranet; o Verso l Application Layer possono essere permessi solo accessi dal FronEnd, P.I.L. e BE. (non dalla Intranet) o layer; In uscita o Dal FrontEnd sono permessi accessi verso la rete Internet ed Extranet. o Dal Presentation Internal Layer verso la intranet o Dall'Application Layer verso FrontEnd,P.I.L. e BE Di seguito sono mostrati i campi necessari alla creazione di una regola: Identificativo Firewall o Firewall sul quale verranno applicate le regole,ci sono a disposizione 4 opzioni; o Fw con accesso Internet, appliance dedicato che si interpone tra l IDC e Internet; o Fw con accesso Extranet, appliance dedicato che si interpone tra il DC/IDC e la Extranet; o Fw FW-BE-PIL-AL, firewalls virtualizzato che si posiziona tra i vari service layers; o Altro. Source Ip address/name: indirizzo ip o nome dell servente considerato. Destination Ip address/name: indirizzo ip o nome dell servente considerato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 32 di 45

33 Nota bene: Nei campi Source ip address e Destination ip address possono essere definite: Liste di sottoreti: se si vuole che una determinata lista di sottoreti possa generare traffico verso una sottorete, un singolo indirizzo o una lista di indirizzi. Per esempio se nel campo "source" definiamo l' indirizzo " " e nel campo "destination" l' indirizzo " " tutti gli host della prima sottorete possono generare traffico verso tutti quelli della seconda sottorete e viceversa all interno di quella sessione. liste di indirizzi ip: se si vuole che una determinata lista di indirizzi ip possa generare traffico verso una sottorete, un singolo indirizzo o una lista di indirizzi(gli indirizzi vanno separati da segno ",") e viceversa all interno di quella sessione. Port: porta tcp o udp del servizio considerato; Nota bene: Nel campo "port" deve essere specificata la porta di destinazione a cui corrisponde un determinato protocollo. Anche in questo caso può essere definita una lista di porte. Protocol: può variare tra TCP,UDP,IP o altro. Action: indica l azione da applicare al traffico esaminato nel caso in cui sia verificata una regola firewall: o Permesso: Il traffico viene inoltrato. o Non permesso: Il traffico viene scartato. Altro/Note: campo aggiuntivo per la specifica di parametri addizionali. Nota bene: Nel caso di P.I. un firewall adotta sempre una metodologia "full inspection" ovvero i due soggetti interessati possono parlare fra loro senza problemi relativamente a una certa sessione inizializzata su una certa porta dall' host indicato sul campo "source ip address". Da notare che in questo tipo di logica solo l'host indicato nel campo "Source ip address" può inizializzare una sessione di traffico sulla porta identificata nel campo "Port". Nel caso si volesse permettere all'host identificato nel campo "destination ip address" di inizializzare a sua volta una sessione di traffico sulla porta indicata precedentemente bisogna inserire nel campo note la voce "Bidirezionale". In accordo con le politiche di sicurezza tutto ciò che non viene permesso tramite una regola esplicita viene di default non permesso. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 33 di 45

34 Regole Nat Sezione Regole NAT Il processo di NAT (Network Address Translation) è un processo per garantire la proiezione di un host su una rete a diverso indirizzamento. Secondo questo processo un indirizzo privato può essere tradotto in un indirizzo pubblico che può essere visibile su internet (RFC 1918). In questa parte devono essere definiti i seguenti campi: Identificativo Firewall: firewall sul quale verranno applicate le regole,ci sono a disposizione 4 opzioni: o Fw con accesso Internet, appliance dedicato che si interpone tra l IDC e Internet; o Fw con accesso Extranet, appliance dedicato che si interpone tra il DC/IDC e la Extranet; o Fw FW-BE-PIL-AL, firewalls virtualizzato che si posiziona tra i vari service layers; o Altro. Nat sorgente su IP pubblico o Privato: definisce se l' indirizzo verrà tradotto da privato a pubblico o viceversa Source e destination address Source e destination port: da specificare solo nel caso di Nat con Overloading Tipo di Nat: o -Statico: semplice traduzione statica di un indirizzo in un altro. In questo caso l' indirizzo sorgente verrà nattato sempre nello stesso indirizzo(corrispondenza 1:1). o -Dinamico: mappa l' indirizzo originario su un altro preso dinamicamente da una lista di possibili indirizzi. Non è garantito che l' indirizzo di partenza sia nattato sempre nello stesso indirizzo(non c'è corrispondenza 1:1). o -Overloading(PAT): le connessioni generate da un insieme di host vengono "presentate" verso l'esterno con un solo indirizzo IP. A ciascuna connessione viene assegnata una diversa porta TCP/UDP e il dispositivo che effettua il NAT associa ciascuna porta una connessione generata da un particolare host sorgente. Dinamico con overloading: Questa scelta comporta che, una volta esaurito il pool di indirizzi disponibili al nat dinamico, l'ultimo della lista sia sottoposto a un processo di overloading. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 34 di 45

35 Dettaglio server Sezione Dettaglio nodi Nel modulo Dettaglio Server vanno inseriti tutti quei dati che caratterizzano un determinato servente. E' buona norma associare ad ogni funzionalità (backup,management,erogazione) un'interfaccia di rete dedicata. Dedicando una funzione per ogni interfaccia di rete si ottiene che il carico da sopportare per singola interfaccia diminuisce notevolmente con un conseguente miglioramento in termini di affidabilità del servente stesso. Prendiamo per esempio un interfaccia che, ipoteticamente, svolga funzioni di erogazione e backup(nel caso fosse possibile farlo) la banda a disposizione per l' erogazione del servizio risulta essere notevolmente minore rispetto a quella che mette a disposizione un' interfaccia con una pura funzione di erogazione. Un altro beneficio deriva dall' ingegnerizzazione del traffico che non solo è separato in tipologie tramite instradamento su VLAN differenti(erogazione, Management, Backup, Management/Backup) ma viene differenziato anche a livello di interfaccia fisica da cui viene erogato con un aumento del livello di sicurezza non indifferente. 3. Compilazione Modulo Richiesta Service Element di Rete: Di seguito è elencata una breve descrizione dei campi da compilare: Host Name: nome del servente Layer: identifica il livello del IDC/DC sul quale verrà posto il servente o Front End; o Presentation Internal Layer(PIL); o Application Layer(AL); o Backend(BE); Tipo di host: può essere di tipo fisico o virtuale. Se virtuale nel campo macchina host deve essere specificato il nome host/indirizzo della macchina fisica che ospita la macchina virtuale in esame. Identificativo scheda rete: discrimina le varie interfacce del servente. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 35 di 45

36 Funzione: Mostra la funzione a cui sarà adibita tale scheda, può essere di: o Erogazione Senza Bilanciamento di Carico; o Erogazione Con Bilanciamento di Carico; o Management -Gestione,manutenzione; o Management/Backup; o Backup; o Interna; flussi intra-layer, clustering, ecc. High availability: funzionalità che permette di rilevare automaticamente il guasto di un interfaccia del servente e commutare le richieste dei client su un altra interfaccia dello stesso server (operazione trasparente all' utente) senza perdita di transazioni. Requisito indispensabile sono almeno 2 schede per ciascuna VLAN da porre sotto bilanciamento. Per evitare il cosiddetto single point of failure si è deciso di attestare ciascuna scheda di rete su uno switch di piano differente. La modalità consigliata è una configurazione di tipo Active-Standby. In tal caso interfaccia attiva è quella che eroga il servizio mentre quella standby subentra solo quando l active va in fault. Tutte le altre modalità sono sconsigliate in quanto sono stati riscontrati problemi di compatibilità con il bilanciamento a livello di rete. Ciò non preclude a priori,salvo una discussione con gli appositi responsabili,l utilizzo di altre modalità. Velocità: da una misura della banda a disposizione per una determinata interfaccia. Questa può operare in due modalità: full-duplex o half-duplex e ad una velocità compresa tra 10 Mbps(nel caso di Ethernet) e 100 Mbps(nel caso di fast Ethernet) o 1000 Mbps nel caso di schede gigabit-ethernet. Numero IP associati ad una NIC: In casi particolari è possibile associare più indirizzi IP ad ogni scheda di rete, sia essa fisica o virtuale; il primo della lista è il primario, i successivi sono i secondari. Trunk 802.1q (virtualizzazione): Secondo questo standard è possibile trasportare il traffico generato da interfacce virtuali appartenenti a VLAN differenti su una stessa interfaccia fisica configurata come trunk 802.1q. Nella configurazione di quest ultima interfaccia vanno specificate le Vlan a cui sono associate le NIC degli host virtuali. Ambiente virtualizzato: Qualora ci si ritrovasse in un ambiente di questo tipo si dovranno inserire ulteriori informazioni necessarie ad identificare le risorse richieste sia dai server fisici che virtuali. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 36 di 45

37 IEEE 802.1q è uno standard che permette a più reti virtuali ( vlan ) di condividere lo stesso collegamento fisico senza perdita di informazioni tra un apparato e un altro q è il nome del protocollo di incapsulamento utilizzato nel processo di trunking nelle reti Ethernet. Si procede come segue: Inserire negli opportuni campi le informazioni riguardanti le interfacce reali dei server fisici. Qual ora si volessero trasportare più reti virtuali ( vlan ) su una stessa interfaccia fisica questa sarà da configurare come trunk 802.1q specificando il vlan id delle reti virtuali che si vogliono trasportare Sezione interfaccia virtuale Per quanto riguarda le informazioni circa la singola interfaccia virtuale questa richiede la medesima configurazione necessaria alla controparte fisica. La presenza di più interfacce di rete, siano esse fisiche o virtuali, richiede lato server la configurazione di politiche di routing per l' instradamento del flusso di traffico verso una determinata destinazione. Prendiamo in esame il traffico di backup, lato server verrà configurata una politica secondo la quale tutto il traffico di backup destinato al media server dovrà essere erogato sempre dalla stessa interfaccia di rete collegata alla VLAN di backup o di management/backup. Questa configurazione viene attuata tramite l' impiego di rotte statiche che il sistema operativo del servente mette a disposizione. Configurazione rotte statiche: viene allegata una breve descrizione dei comandi usati in ambiente Unix,Windows per impostare una rotta statica necessaria per instradare i diversi flussi dati (backup,managment,erogazione)verso le rispettive reti di competenza. o Impostazione rotte statiche unix: Il comando Route manipola la tabella di IP routing del kernel. Il suo uso primario è per configurare percorsi statici (static route) verso host o reti specifiche tramite un'interfaccia, dopo che questa è stata configurata con il programma ifconfig. Parametri principali sono: Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 37 di 45

38 del : cancella una route; add: aggiunge una route; netmask: specifica la netmask per un percorso da aggiungere. net: specifica l'host o la rete di destinazione. Si può fornire un indirizzo IP nella notazione dotted decimal oppure un nome di host/rete. Sintassi comando: route add -net <Destinazione> netmask< maschera di rete destinazione> dev <interfaccia di rete di uscita> Esempio: route add -net netmask dev eth0 metric 1 aggiunge un percorso per la rete x tramite l interfaccia di uscita "eth0". Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 38 di 45

39 Impostazione rotte statiche windows il comando route consente la gestione delle tabelle di routing della rete. Questo comando è disponibile sole se installato il protocollo TCP/IP. Parametri: o f: Cancella tutte le voci relative al gateway delle tabelle di routing della rete. Se questo parametro viene utilizzato insieme ad un comando,le voci delle tabelle verranno eliminate prima dell'esecuzione del comando. o p: se utilizzato con il comando add,rende una rotta permanente anche nel caso di riavvii del sistema.se utilizzato con il comando print, visualizza l'elenco delle route permanentemente registrate. Viene ignorato se usato insieme a tutti gli altri comandi che modificano le route permanentemente specificate. Sintassi comando route<- f -p> [comando <destinazione> mask <subnetmask> <gateway> ][metric <costo>] l opzione comando specifica uno dei seguenti comandi: Print: Stampa una route Add: aggiunge una route Change: modifica una route esistente Delete: elimina una route esistente Altri parametri sono: Destinazion: indirizzo ip del dispositivo da raggiungere mask: specifica un valore per la subnet mask da associare alla voce di route. Se non è specificata, verrà utilizzato il valore gateway: specifica l'indirizzo ip dell'interfaccia di uscita per la destinazione specificata. Metric: assegna un costo complessivo, compreso tra 1 e 9999, da utilizzare per calcolare le route più veloci, più affidabili e/o meno costose. Esempio: route -p add mask metric 1 esempio default gateway,interfaccia di erogazione route -p add mask metric 1 Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 39 di 45

40 Richiesta VPN Una Virtual Private Network o VPN è una rete privata instaurata tra host o reti che comunicano attraverso un sistema di trasmissione pubblico e condiviso (internet) invece di usare canali dedicati. Il collegamento tramite VPN viene instaurato dopo una procedura di autenticazione per garantire che solo gli utenti autorizzati vi possano accedere. Inoltre per garantire la sicurezzadei dati durante il transito attraverso la rete pubblica o di terze parti il canale viene completamente cifrato. Richiesta VPN IPSEC Campi da compilare: Ragione sociale azienda Riferimento Tecnico Azienda Riferimento Poste Italiane del servizio Tipo VPN(Internet, MPLS con cifratura, MPLS senza cifratura) Numero sistemi lato cliente (max 10) Elenco sistemi Poste Italiane (separati da ; ) Spazio riservato alle opzioni per collegamento extranet via VPN INTERNET: Sezione richiesta VPN IPSEC o Autenticazione: preshared key; i due host sono a conoscenza della chiave per instaurare il tunnel VPN. Questa chiave deve essere configurata su gli apparati che terminano il tunnel VPN (VPN concentrator). o Cifratura: indica il protocollo che dovrà essere utilizzato per la cifratura del canale VPN. Si può scegliere tra 3DES-168 bits (default), AES-192 bits, AES-256 bits. Più è alto il valore dei bit usati per la cifratura migliore sarà il grado di protezione del canale; anche se una cifratura più forte richiede maggiore tempo computazionale e maggiore spreco di risorse. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 40 di 45

41 o Hashing: garantisce l' integrità del dato durante il suo transito attraverso la rete. Si può scegliere tra: MD5-128 bits(default) SHA1-160 bits. o Gruppo Diffie Helmann: usato per generare una chiave segreta che verrà scambiata attraverso il canale. Essa verrà usata per cifrare la comunicazione. Si può selezionare tra: group1-768 bits; VPN IPSEC CLIENT TO LAN group bits(default); group bits. Indirizzo internet terminazione VPN cliente: indirizzo IP dell' apparato (tipicamente un firewall o un concentratore VPN) su cui viene terminata la VPN. Sezione VPN IPSEC Client to LAN Consiste nella creazione di una rete private virtuale (VPN) per mettere in comunicazione un singolo host con un intera LAN. I campi da compilare sono: Ragione sociale azienda Riferimento Poste Italiane del servizio Numero sistemi lato cliente (max 10) Elenco sistemi Poste Italiane (separare con ";") Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 41 di 45

42 4. Altri Servizi Sezione altri servizi Vanno inseriti i dati per la richiesta di servizi aggiuntivi quali la richiesta di un dominio,web server,mail server o altro. Di seguito è elencata una breve descrizione dei campi da compilare: Nome di Dominio di 1 /2 livello (o superiore): es. rete. poste (esempio di dominio di secondo livello). Pubblico/Privato: indica se il dominio sarà visibile solo alla intranet aziendale o anche al resto della rete pubblica. Nel caso in cui il dominio sarà visibile alla rete pubblica si avvierà un processo di registrazione del dominio verso un provider (es. Telecom Italia). Operazione Richiesta: verifica se la richiesta comporta la registrazione di un nuovo dominio o lo spostamento di uno già precedentemente registrato. Sono disponibili le seguenti opzioni: Registrazione Spostamento Intestatario Dominio: identifica il nome del responsabile. Rif: va inserito,se possibile,un recapito dell intestatario sia esso telefonico o di altro tipo. Servizio: identifica il tipo di servizio erogato. Sono disponibili le seguenti opzioni: o Web server; o Mail server; o Altro,altro tipo di servizio. Nome Server/Servizio: es. può essere il nome della applicazione web. Indirizzo IP/Identificativo Server: va inserito l indirizzo ip/nome host che conterrà i servizi sopra citati. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 42 di 45

43 5. Schema di rete Si deve inserire uno schema che mostrerà come il servizio da installare,modificare,dismettere andrà ad impattare e interagire sulla infrastruttura di rete esistente attraverso i vari service layer. Questo per maggiore chiarezza può essere integrato con un disegno architetturale. Nello schema di rete si deve cercare di astrarre e non inserire dettagli implementativi come indirizzi ip,versioni O.S. o altro. Questi verranno poi rappresentati sullo schema architetturale. Sezione schema architetturale Come si può notare non sono mostrati dettagli implementativi,ma solo come i dispositivi del sistema considerato vanno a posizionarsi nell architettura di rete esistente. Nota bene: Nel caso debbano essere rappresentati sistemi virtualizzati questi vanno rappresentati come se fossero dei server fisici. Un suggerimento sarebbe assegnare ad ogni server un numero che lo identificherà univocamente facendoci capire attraverso una descrizione posta al lato dello schema quali sono i server fisici e quali non lo sono. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 43 di 45

44 Di seguito viene mostrato un esempio Sezione schema di rete in ambiente virtualizzato Come si può vedere i dettagli riguardo l architettura del FE layer e BE layer, non interattivi col sistema considerato, vengano del tutto ignorati. Di contro sono mostrati con i dovuti dettagli le caratteristiche dei layer associati ai serventi utilizzati. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 44 di 45

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

2 DESCRIZIONE DEI SERVIZI

2 DESCRIZIONE DEI SERVIZI Premessa In generale i servizi di un Full Service Provider sono più o meno paragonabili. Qui di seguito viene descritto il servizio di Firewalling specifico di un fornitore ma di contenuto assolutamente

Dettagli

Giuseppe MARULLO, Antonio CAMPA, Antonio TOMMASI, Marco FERRI Ufficio Gestione Dorsale di Ateneo dorsale@unisalento.it

Giuseppe MARULLO, Antonio CAMPA, Antonio TOMMASI, Marco FERRI Ufficio Gestione Dorsale di Ateneo dorsale@unisalento.it La virtualizzazione delle risorse di rete e dei sistemi di sicurezza: l implementazione di router e firewall virtuali sul bordo di una rete dati di accesso al GARR Giuseppe MARULLO, Antonio CAMPA, Antonio

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

soluzioni e servizi per fare grande una media impresa Soluzioni di Cloud Computing per imprese con i piedi per terra.

soluzioni e servizi per fare grande una media impresa Soluzioni di Cloud Computing per imprese con i piedi per terra. soluzioni e servizi per fare grande una media impresa Soluzioni di Cloud Computing per imprese con i piedi per terra. FASTCLOUD È un dato di fatto che le soluzioni IT tradizionali richiedono investimenti

Dettagli

I SERVIZI DI DATA VENDING DI BORSA ITALIANA. Milano 3 Ottobre 2005. Training & Congress Center - Palazzo Mezzanotte

I SERVIZI DI DATA VENDING DI BORSA ITALIANA. Milano 3 Ottobre 2005. Training & Congress Center - Palazzo Mezzanotte I SERVIZI DI DATA VENDING DI BORSA ITALIANA Milano Training & Congress Center - Palazzo Mezzanotte La soluzione ASP di BIt Systems Titolo capitolo I Servizi di Data Vending di Borsa Italiana Offre soluzioni

Dettagli

La virtualizzazione dell infrastruttura di rete

La virtualizzazione dell infrastruttura di rete La virtualizzazione dell infrastruttura di rete La rete: la visione tradizionale La rete è un componente passivo del processo che trasporta i dati meglio che può L attenzione è sulla disponibilità di banda

Dettagli

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio

Dettagli

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it Livello di Rete Gaia Maselli maselli@di.uniroma1.it Queste slide sono un adattamento delle slide fornite dal libro di testo e pertanto protette da copyright. All material copyright 1996-2007 J.F Kurose

Dettagli

Evoluzione Backbone Internet Data Center POSTE italiane. Massimiliano Sbaraglia. maggio 2005

Evoluzione Backbone Internet Data Center POSTE italiane. Massimiliano Sbaraglia. maggio 2005 Evoluzione Backbone Internet Data Center POSTE italiane maggio 2005 Situazione attuale: architettura a margherita L attuale rete Backbone di Poste Italiane è costituita da una architettura a margherita

Dettagli

TECHNOLOGY SOLUTIONS

TECHNOLOGY SOLUTIONS TECHNOLOGY SOLUTIONS DA PIÙ DI 25 ANNI OL3 GARANTISCE AFFIDABILITÀ E INNOVAZIONE AI CLIENTI CHE HANNO SCELTO DI AFFIDARSI AD UN PARTNER TECNOLOGICO PER LA GESTIONE E LA CRESCITA DEL COMPARTO ICT DELLA

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Un caso di successo: TIM

Un caso di successo: TIM Un caso di successo: TIM Flavio Lucariello Servizi Informatici/Architettura TIM Coordinatore Progettazione Reti Aziendali Presenza TIM nel Mondo Case Study Iniziativa TIM Italia per la creazione di un

Dettagli

Flessibilità e Sicurezza Tecnologica per il Lavoro e la Sperimentazione delle Imprese

Flessibilità e Sicurezza Tecnologica per il Lavoro e la Sperimentazione delle Imprese INCUBATORI OMC E LIB Flessibilità e Sicurezza Tecnologica per il Lavoro e la Sperimentazione delle Imprese ASNM e i servizi di incubazione Agenzia Sviluppo Nord Milano (ASNM) è una società mista, a prevalente

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Le principali caratteristiche di Wind Cloud:

Le principali caratteristiche di Wind Cloud: Wind Cloud per Aziende, semplice e conveniente, soluzioni e servizi dedicati alle aziende che intendono esternalizzare le proprie infrastrutture IT, o che hanno esigenze di un data-center secondario per

Dettagli

ANALISI DELL INFRASTRUTTURA IT

ANALISI DELL INFRASTRUTTURA IT ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

b.dataline INTERCONNETTI LE SEDI DELLA TUA AZIENDA

b.dataline INTERCONNETTI LE SEDI DELLA TUA AZIENDA b.dataline INTERCONNETTI LE SEDI DELLA TUA AZIENDA DESCRIZIONE DEL SERVIZIO CARATTERISTICHE TECNICHE 2015 PAGINA 2 DI 10 DATA PRIVATE NETWORK INTRODUZIONE GENERALE Brennercom Data Private Network costituisce

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

Autorità per l Informatica nella Pubblica Amministrazione

Autorità per l Informatica nella Pubblica Amministrazione Autorità per l Informatica nella Pubblica Amministrazione Lotto 2 - Interoperabilità Allegato C/1 INDICE PROGETTO TECNICO INDICE DEL PROGETTO 1 SERVIZI PER L'INTEROPERABILITÀ NEL DOMINIO DELLA RETE UNITARIA

Dettagli

MASTER DI II LIVELLO IN ESPERTO DI NETWORKING E RETI IP MULTISERVIZIO

MASTER DI II LIVELLO IN ESPERTO DI NETWORKING E RETI IP MULTISERVIZIO Ordine degli Studi a.a. 20/202 MASTER DI II LIVELLO IN ESPERTO DI NETWORKING E RETI IP MULTISERVIZIO L Università degli Studi dell Aquila, in collaborazione con Reiss Romoli, propone la riedizione del

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Reti di computer. Agostino Lorenzi - Reti di computer - 2008

Reti di computer. Agostino Lorenzi - Reti di computer - 2008 Reti di computer Telematica : termine che evidenzia l integrazione tra tecnologie informatiche e tecnologie delle comunicazioni. Rete (network) : insieme di sistemi per l elaborazione delle informazioni

Dettagli

L iniziativa Cloud DT

L iniziativa Cloud DT L iniziativa Cloud DT Francesco Castanò Dipartimento del Tesoro Ufficio per il Coordinamento Informatico Dipartimentale (UCID) Roma, Luglio 2011 Il Cloud Computing Alcune definizioni Il Cloud Computing

Dettagli

PROGETTO SISTEMA DI GESTIONE UNIFICATA DELLE CHIAMATE DI EMERGENZA - NUMERO UNICO DELLE EMERGENZE ( NUE )

PROGETTO SISTEMA DI GESTIONE UNIFICATA DELLE CHIAMATE DI EMERGENZA - NUMERO UNICO DELLE EMERGENZE ( NUE ) ALLEGATO 4 PROGETTO SISTEMA DI GESTIONE UNIFICATA DELLE CHIAMATE DI EMERGENZA - NUMERO UNICO DELLE EMERGENZE ( NUE ) INTERCONNESSIONE TRA IL CED INTERFORZE E GLI OPERATORI DI TELEFONIA PER LA FORNITURA

Dettagli

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente Cos'è una vlan Da Wikipedia: Una LAN virtuale, comunemente detta VLAN, è un gruppo di host che comunicano tra di loro come se fossero collegati allo stesso cablaggio, a prescindere dalla loro posizione

Dettagli

VPN (OpenVPN - IPCop)

VPN (OpenVPN - IPCop) VPN (OpenVPN - IPCop) Davide Merzi 1 Sommario Indirizzo IP Reti Pubbliche Private Internet Protocollo Firewall (IPCop) VPN (OpenVPN IPsec on IPCop) 2 Indirizzo IP L'indirizzo IP (Internet Protocol address)

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Prefazione all edizione italiana

Prefazione all edizione italiana Sommario Prefazione all edizione italiana XIII Capitolo 1 Introduzione 1.1 Applicazioni delle reti di calcolatori 2 1.1.1 Applicazioni aziendali 3 1.1.2 Applicazioni domestiche 5 1.1.3 Utenti mobili 8

Dettagli

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33 .ind g/p.vii-xii 26-06-2002 12:18 Pagina VII Indice Capitolo 1 Introduzione 1 Capitolo 2 Le reti Ethernet e IEEE 802.3 5 2.1 Il progetto IEEE 802 6 2.2 Protocolli di livello MAC 7 2.3 Indirizzi 8 2.4 Ethernet

Dettagli

Seqrite TERMINATOR (UTM) Soluzione Unificata per la Gestione di Minacce. www.seqrite.it

Seqrite TERMINATOR (UTM) Soluzione Unificata per la Gestione di Minacce. www.seqrite.it Soluzione Unificata per la Gestione di Minacce Introduzione TERMINATOR Seqrite TERMINATOR è una soluzione ad alte prestazioni per la gestione di ogni tipo di minaccia proveniente dall esterno. Facile da

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Making the Internet Secure TM

Making the Internet Secure TM Making the Internet Secure TM e-security DAY 3 luglio 2003, Milano Kenneth Udd Senior Sales Manager SSH Communications Security Corp. SSH Communications Security Corp Storia Fondata nel 1995 Ideatrice

Dettagli

Firewall applicativo per la protezione di portali intranet/extranet

Firewall applicativo per la protezione di portali intranet/extranet Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)

Dettagli

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall A. Memo 1987, esce l RFC 1009, che specifica come una sottorete può utilizzare più Subnet Mask ammette lunghezze diverse dell

Dettagli

Networking Security. SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa

Networking Security. SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa Denominazione intervento: Networking Security SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa F.l- Modalita organizzative, gestione operativa e calendario dell'intervento. (Max 200 righe):

Dettagli

A passo sicuro nel mondo IT

A passo sicuro nel mondo IT A passo sicuro nel mondo IT A passo sicuro nel mondo IT Le scelte effettuate, le esperienze acquisite e la capacità di applicarle nella realizzazione dei progetti hanno fatto sì che, nel corso degli anni,

Dettagli

Master di II livello. Networking e Reti IP multiservizio. Coordinatore del Master Prof. Fabio Graziosi fabio.graziosi@univaq.it

Master di II livello. Networking e Reti IP multiservizio. Coordinatore del Master Prof. Fabio Graziosi fabio.graziosi@univaq.it Master di II livello Networking e Reti IP multiservizio Coordinatore del Master Prof. Fabio Graziosi fabio.graziosi@univaq.it Master Networking e Reti IP multiservizio L Università degli Studi dell Aquila,

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

INTERNET INTRANET EXTRANET

INTERNET INTRANET EXTRANET LEZIONE DEL 17/10/08 Prof.ssa Antonella LONGO In un sistema WEB possono esserci tre configurazioni possibili: internet, intranet ed extranet. La differenza viene fatta dalla presenza o meno di firewall

Dettagli

Obiettivi d esame HP ATA Networks

Obiettivi d esame HP ATA Networks Obiettivi d esame HP ATA Networks 1 Spiegare e riconoscere tecnologie di rete e le loro implicazioni per le esigenze del cliente. 1.1 Descrivere il modello OSI. 1.1.1 Identificare ogni livello e descrivere

Dettagli

MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale

MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale 1. Livello infrastrutturale Il Cloud, inteso come un ampio insieme di risorse e servizi fruibili da Internet che possono essere dinamicamente

Dettagli

Service e Switch Recovery

Service e Switch Recovery Service e Switch Recovery Marcello Maggiora Antonio Lantieri Politecnico di Torino Agenda L infrastruttura di rete del Politecnico di Torino Aree di sviluppo: Performance, Mobilità e Reliability Alta affidabilità

Dettagli

La classificazione delle reti

La classificazione delle reti La classificazione delle reti Introduzione Con il termine rete si intende un sistema che permette la condivisione di informazioni e risorse (sia hardware che software) tra diversi calcolatori. Il sistema

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Dopo anni di innovazioni nel settore dell Information Technology, è in atto una profonda trasformazione.

Dettagli

Il clustering. Sistemi Distribuiti 2002/2003

Il clustering. Sistemi Distribuiti 2002/2003 Il clustering Sistemi Distribuiti 2002/2003 Introduzione In termini generali, un cluster è un gruppo di sistemi indipendenti che funzionano come un sistema unico Un client interagisce con un cluster come

Dettagli

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Marco Misitano, CISSP, CISM Advanced Technologies, Security Cisco Systems Italy misi@cisco.com

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Virtualizzazione. Orazio Battaglia

Virtualizzazione. Orazio Battaglia Virtualizzazione Orazio Battaglia Definizione di virtualizzazione In informatica il termine virtualizzazione si riferisce alla possibilità di astrarre le componenti hardware, cioè fisiche, degli elaboratori

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

CATALOGO CORSI DI FORMAZIONE INFORMATICA

CATALOGO CORSI DI FORMAZIONE INFORMATICA CATALOGO CORSI DI FORMAZIONE INFORMATICA La Dialuma propone a catalogo 22 corsi di Informatica che spaziano tra vari argomenti e livelli. TITOLI E ARGOMENTI I001 - Informatica generale Concetti generali

Dettagli

la Soluzione di Cloud Computing di

la Soluzione di Cloud Computing di la Soluzione di Cloud Computing di Cos è Ospit@ Virtuale Virtuale L Offerta di Hosting di Impresa Semplice, capace di ospitare tutte le applicazioni di proprietà dei clienti in grado di adattarsi nel tempo

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

Allegato 2: Prospetto informativo generale

Allegato 2: Prospetto informativo generale Gara a procedura ristretta accelerata per l affidamento, mediante l utilizzo dell Accordo Quadro di cui all art. 59 del D.Lgs. n. 163/2006, di Servizi di Supporto in ambito ICT a InnovaPuglia S.p.A. Allegato

Dettagli

mission alta disponibilità resilienza paradigma buon senso

mission alta disponibilità resilienza paradigma buon senso 1 Fill In the Blanks ha, fin dalla sua nascita, avuto una specifica mission: progettare e realizzare architetture informatiche ad alta disponibilità, quindi con caratterizzazione di una accentuata resilienza.

Dettagli

Realizzazione di hotspot wireless per l Università degli Studi di Milano

Realizzazione di hotspot wireless per l Università degli Studi di Milano Realizzazione di hotspot wireless per l Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI STUDI DI MILANO Workshop GARR-X, 3 Aprile 2008 Agenda

Dettagli

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA Sicurezza Network, hardware e software Claudio Giovanzana Direzioni Sistemi Informativi Ospedale H San Raffaele Milano, 18 gennaio 2007 1 Sicurezza: Definizione

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Vorrei che anche i nostri collaboratori potessero accedere sempre e ovunque alla nostra rete per consultare i file di cui hanno bisogno.

Vorrei che anche i nostri collaboratori potessero accedere sempre e ovunque alla nostra rete per consultare i file di cui hanno bisogno. VPN Distanze? Le aziende si collegano in rete con le loro filiali, aprono uffici decentrati, promuovono il telelavoro oppure collegano i collaboratori remoti e i fornitori di servizi esterni alla loro

Dettagli

Abstract. Reply e il Cloud Computing: la potenza di internet e un modello di costi a consumo. Il Cloud Computing per Reply

Abstract. Reply e il Cloud Computing: la potenza di internet e un modello di costi a consumo. Il Cloud Computing per Reply Abstract Nei nuovi scenari aperti dal Cloud Computing, Reply si pone come provider di servizi e tecnologie, nonché come abilitatore di soluzioni e servizi di integrazione, volti a supportare le aziende

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet Indirizzi Internet e Protocolli I livelli di trasporto delle informazioni Comunicazione e naming in Internet Tre nuovi standard Sistema di indirizzamento delle risorse (URL) Linguaggio HTML Protocollo

Dettagli

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology Sistemi firewall sicurezza reti Firewall sicurezza In informatica, nell ambito delle reti di computer, un firewall è un componente passivo di difesa perimetrale di una rete informatica, che può anche svolgere

Dettagli

ALLEGATO 1 RETE D UNIVERSITA

ALLEGATO 1 RETE D UNIVERSITA ALLEGATO 1 RETE D UNIVERSITA INDICE - Rete dati - Descrizione fisica e logica. - Protocolli ed indirizzamento - Referenti informatici di struttura - Servizi: - Sicurezza - DNS - Posta elettronica d Ateneo

Dettagli

Reiss Romoli 2014 CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) CCNA

Reiss Romoli 2014 CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) CCNA CCNA CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) La certificazione Cisco CCNA prevede il superamento di un singolo esame: 200-120 CCNA o di due esami: 100-101 ICND1 200-101 ICND2 Reiss Romoli propone, in

Dettagli

10 metodi per ottimizzare la rete in modo sicuro

10 metodi per ottimizzare la rete in modo sicuro 10 metodi per ottimizzare la rete in modo sicuro Con l intelligenza applicativa dei firewall di nuova generazione e la serie WAN Acceleration Appliance (WXA) di SonicWALL Sommario Ottimizzazione sicura

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Allegato 1 Specifiche tecniche ambiente CNPADC. Giugno 2013

Allegato 1 Specifiche tecniche ambiente CNPADC. Giugno 2013 Allegato 1 Specifiche tecniche ambiente CNPADC Giugno 2013 Sommario 1 PREMESSA... 3 2 COMPONENTE TECNOLOGICA DEL SERVIZIO... 3 3 COMPONENTE APPLICATIVA DEL SERVIZIO... 5 3.1 Infrastruttura tecnologica,

Dettagli

Architettura di un sistema informatico 1 CONCETTI GENERALI

Architettura di un sistema informatico 1 CONCETTI GENERALI Architettura di un sistema informatico Realizzata dal Dott. Dino Feragalli 1 CONCETTI GENERALI 1.1 Obiettivi Il seguente progetto vuole descrivere l amministrazione dell ITC (Information Tecnology end

Dettagli

Centro Nazionale per l informatica nella Pubblica Amministrazione. Allegato A CAPITOLATO TECNICO. 1 di 23

Centro Nazionale per l informatica nella Pubblica Amministrazione. Allegato A CAPITOLATO TECNICO. 1 di 23 Centro Nazionale per l informatica nella Pubblica Amministrazione Allegato A CAPITOLATO TECNICO 1 di 23 INDICE PREMESSA... 4 RIFERIMENTI... 4 1. Servizi di Trasporto Always On Flat Accessi Asimmetrici

Dettagli

CISCO CCNA 1 e 2 PROGETTO VOUCHER CISCO

CISCO CCNA 1 e 2 PROGETTO VOUCHER CISCO CISCO CCNA 1 e 2 Totale ore 75 Forma tecnici di rete in grado di operare nel mercato delle reti informatiche. Il Corso comprende il percorso ufficiale Cisco CCNA 1 e 2. 18 maggio 2010 (durata 2 mesi) Modalità

Dettagli

PANORAMA. Panorama consente la gestione centralizzata di policy e dispositivi attraverso una rete di firewall di nuova generazione Palo Alto Networks.

PANORAMA. Panorama consente la gestione centralizzata di policy e dispositivi attraverso una rete di firewall di nuova generazione Palo Alto Networks. PANORAMA consente la gestione centralizzata di policy e dispositivi attraverso una rete di firewall di nuova generazione Palo Alto Networks. Interfaccia Web HTTPS SSL Grafici di riepilogo delle applicazioni

Dettagli

Multi-layer switch commutazione hardware a vari livelli. Mario Baldi. Politecnico di Torino. http://staff.polito.it/mario.baldi

Multi-layer switch commutazione hardware a vari livelli. Mario Baldi. Politecnico di Torino. http://staff.polito.it/mario.baldi Multi-layer switch commutazione hardware a vari livelli Mario Baldi Politecnico di Torino http://staff.polito.it/mario.baldi Basato sul capitolo 10 di: M. Baldi, P. Nicoletti, Switched LAN, McGraw-Hill,

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

@CCEDO: Accessibilità, Sicurezza, Architettura

@CCEDO: Accessibilità, Sicurezza, Architettura Rev. 8, agg. Settembre 2014 @CCEDO: Accessibilità, Sicurezza, Architettura 1.1 Il Sistema di Gestione della Sicurezza Per quanto riguarda la gestione della Sicurezza, @ccedo è dotato di un sistema di autenticazione

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Reti di calcolatori. Condivisione di risorse e comunicazione con gli altri utenti

Reti di calcolatori. Condivisione di risorse e comunicazione con gli altri utenti Reti di calcolatori Condivisione di risorse e comunicazione con gli altri utenti Reti di calcolatori Anni 70: calcolatori di grandi dimensioni, modello time-sharing, centri di calcolo Anni 80: reti di

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Bari 2011. Speciale: I casi. Introduzione dell'area tematica IL CASO BOOKINGSHOW

Estratto dell'agenda dell'innovazione e del Trade Bari 2011. Speciale: I casi. Introduzione dell'area tematica IL CASO BOOKINGSHOW Estratto dell'agenda dell'innovazione e del Trade Bari 2011 Speciale: I casi Introduzione dell'area tematica IL CASO BOOKINGSHOW Innovare e competere con le ICT: casi di successo - PARTE II Cap.9 Far evolvere

Dettagli

BLU CRM Srl - Via Piave, 26 20016 Pero (MI) Blu.Energy Suite Sistema Distribuzione Gas

BLU CRM Srl - Via Piave, 26 20016 Pero (MI) Blu.Energy Suite Sistema Distribuzione Gas Blu.Energy Suite Sistema Distribuzione Gas Suite distribuzione Gas Sistema informativo per la gestione di attività inerenti alla gestione del servizio di distribuzione del Gas Letture Contatori Contratti

Dettagli

Le soluzioni Cisco di business continuity

Le soluzioni Cisco di business continuity Le soluzioni Cisco di business continuity Un efficace piano di business continuity dovrebbe includere: Analisi del rischio: analisi dei processi produttivi, costi dei downtime e del ripristino Piano di

Dettagli

SOLUZIONI PER LA TELEASSISTENZA Server Privato

SOLUZIONI PER LA TELEASSISTENZA Server Privato SOLUZIONI PER LA TELEASSISTENZA Server Privato Le componenti di UBIQUITY Control Center: client sul PC di teleassistenza Ubiquity Runtime: software da installare sul dispositivo remoto Ubiquity Server

Dettagli

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1 Simulazione prova scritta di sistemi Abacus per l Esame di Stato Traccia n 1 La condivisione delle informazioni e lo sviluppo delle risorse informatiche tramite cui esse possono venire memorizzate e scambiate

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Bologna 2011. Speciale: I casi. Introduzione dell'area tematica IL CASO PRIMA INDUSTRIES

Estratto dell'agenda dell'innovazione e del Trade Bologna 2011. Speciale: I casi. Introduzione dell'area tematica IL CASO PRIMA INDUSTRIES Estratto dell'agenda dell'innovazione e del Trade Bologna 2011 Speciale: I casi Introduzione dell'area tematica IL CASO PRIMA INDUSTRIES Innovare e competere con le ICT: casi di successo - PARTE I Cap.8

Dettagli

InfoCertLog. Allegato Tecnico

InfoCertLog. Allegato Tecnico InfoCertLog Allegato Tecnico Data Maggio 2012 Pagina 2 di 13 Data: Maggio 2012 Sommario 1. Introduzione... 3 2. Le componenti del servizio InfoCertLog... 4 2.1. Componente Client... 4 2.2. Componente Server...

Dettagli

Open Source Day 2013. Marco Vanino mvan@spin.it

Open Source Day 2013. Marco Vanino mvan@spin.it Open Source Day 2013 La sicurezza negli ambienti virtualizzati Marco Vanino mvan@spin.it Sicurezza in ambiente virtualizzato 1 computer fisico = 1 computer logico Virtualizzazione 1 computer fisico = N

Dettagli

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia ! " #! $ # % $ & 2000 1500 1000 Costo 500 0 Costo per l implentazione delle misure di sicurezza Livello di sicurezza ottimale

Dettagli

Realizzazione di una rete dati IT

Realizzazione di una rete dati IT Realizzazione di una rete dati IT Questo documento vuole semplicemente fornire al lettore un infarinatura di base riguardo la realizzazione di una rete dati. Con il tempo le soluzioni si evolvono ma questo

Dettagli

ZeroUno. Approccio al Cloud. 14 Marzo 2011

ZeroUno. Approccio al Cloud. 14 Marzo 2011 ZeroUno Approccio al Cloud 14 Marzo 2011 I Servizi Cloud: dimensioni abilitanti Il percorso che abilita un azienda all erogazione (Provider) e/o alla fruizione (Consumer) di Servizi Cloud (Private, Public,Hybrid)

Dettagli

DEPLOY DI ZEROSHELL IN AMBIENTE VIRTUALE. Lorenzo Comi

DEPLOY DI ZEROSHELL IN AMBIENTE VIRTUALE. Lorenzo Comi DEPLOY DI ZEROSHELL IN AMBIENTE VIRTUALE Lorenzo Comi Introduzione: software ed hardware 2 Software per la virtualizzazione: VMware Fusion. 3 macchine virtuali Zeroshell 3.0.0 con profilo attivo. Macchina

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

La rete ci cambia la vita. Le persone sono interconnesse. Nessun luogo è remoto. Reti di computer ed Internet

La rete ci cambia la vita. Le persone sono interconnesse. Nessun luogo è remoto. Reti di computer ed Internet La rete ci cambia la vita Lo sviluppo delle comunicazioni in rete ha prodotto profondi cambiamenti: Reti di computer ed Internet nessun luogo è remoto le persone sono interconnesse le relazioni sociali

Dettagli