RELAZIONE STAGE POSTE ITALIANE

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "RELAZIONE STAGE POSTE ITALIANE"

Transcript

1 RELAZIONE STAGE POSTE ITALIANE Siracusa Alessandro, ELIS TM Sommario 1. INTRODUZIONE Posizionamento in ambito aziendale ARCHITETTURA A DATACENTER Benefici derivanti dall impiego di infrastrutture a data center Il caso Poste Italiane: PROGETTO SVOLTO IN AZIENDA; IMPLEMENTAZIONE PROVISIONING FORM Teoria della gestione di flussi di provisioning Gestione di flussi di provisioning in ambito di networking nel caso di Poste Italiane Caso pratico, linee guida per la compilazione di un Provisioning Form CONSIDERAZIONI FINALI...45 Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 1 di 45

2 1. INTRODUZIONE 1.1. Posizionamento in ambito aziendale All interno della struttura di Poste Italiane zona Eur di Roma mi sono occupato di tutto ciò che concerne la messa in produzione e in sicurezza di apparati di Networking aziendali. Il settore in cui ho svolto lo stage è stato Sviluppo/Progettazione Rete TLC a cui fa capo il Dottor Musella. La gerarchia include anche il dottor Antonio Talamo. Subito dopo si posiziona il mio tutor aziendale, Ingegner Andrea Pelino, che ha la funzione di progettare e revisionare tutti quei sistemi IT che vengono messi in produzione all interno dell infrastruttura di rete di Poste Italiane. Posizionamento in ambito aziendale Il tutor aziendale è sempre stato molto disponibile e grazie a lui ho potuto approfondire l esperienza e le competenze acquisite in questi due anni durante il corso Telecommunication Manager svolto presso il centro ELIS di Roma. La struttura organizzativa di Poste è Italiane è ben definita è non ho avuto mai grossi problemi nel reperire materiale per le attività o nel riferire i risultati. L ambiente è sempre Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 2 di 45

3 stato molto stimolante e c è sempre stata l occasione di approfondire nuove tematiche. Il punto di forza di questa azienda è l attenzione per i suoi dipendenti che si manifesta tramite piccoli accorgimenti come ad esempio il Family Day, una giornata in cui i dipendenti di Poste Italiane possono mostrare la loro azienda alla famiglia e dilettarsi in varie attività finanziate dall azienda stessa. Un altro esempio può essere la mensa molto igienica e ben organizzata con uno staff molto accogliente. I laboratori di sviluppo e gli uffici sono spaziosi e ben attrezzati e curati nei dettagli. Lavorando in coppia con un compagno del corso TM (Andrea Serreli) ho potuto applicare le competenze in campo di team working apprese durante tutto il corso ELIS. Inoltre grazie alle varie riunioni organizzate dal tutor aziendale, a cui facevano parte svariati organi di Poste Italiane, ho toccato con mano quello che viene comunemente chiamato Public Speaking, cioè la capacità di sapersi relazionare in pubblico e a persone completamente sconosciute. Le riunioni organizzate trattavano la compilazione di un provisioning form, strumento molto diffuso negli stabilimenti di Poste Italiane di cui introdurrò le funzioni nelle prossime pagine. Svariate volte mi è stato richiesto di validare le cosiddette schede di provisioning e di comunicare ai diretti interessati eventuali anomalie o correzioni da apportare al documento in questione. Durante questo periodo ho seguito le vicende e gli sviluppi di nuovi servizi offerti da Poste Italiane come il sistema di iptv che distribuisce contenuti di informazione e intrattenimento in tutti gli uffici postali italiani. Altre esperienze fondamentali sono stati i convegni e le presentazioni organizzate da consulenti di medie/grosse imprese che hanno presentato le loro soluzioni rivelatesi indispensabili per il lancio di nuovi servizi in PI. L esperienza è stata stimolante e ricca di contenuti formativi. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 3 di 45

4 2. ARCHITETTURA A DATACENTER 2.1. Benefici derivanti dall impiego di infrastrutture a data center La progettazione di una struttura DC/IDC si sviluppa attraverso la realizzazione di un insieme di moduli funzionali che possono essere composti per soddisfare i requisiti dei diversi progetti che queste strutture sono destinate ad accogliere. Gli elementi chiave su cui si sviluppa la fase progettuale sono elevata velocità, alta affidabilità, livelli funzionali (strutture di Backbone progettate mediante una logica divisione in livelli gerarchici sia a scopo erogativo che connettivo per i clienti: strutture di Backup separate disponibili per tutti i livelli logici, strutture di Sicurezza e Monitoraggio direttamente connesse a tutte le realtà per interventi rapidi e visione sempre attuale e coerente). Altri elementi fondamentali sono: sicurezza (strutture di cabling system e networking realizzate in modo da poter consentire l inserimento di Firewall, Network Intrusion Detection System ed IPS sui vari livelli funzionali; apparati di rete che supportano protocolli di autenticazione), scalabilità (strutture di trasporto dati e sicurezza realizzate in modo da essere adattabili a necessità specifiche che vengono a determinarsi dalla tipologia di servizi di volta in volta), modularità (percorsi di aggiornamento ed espansione delle varie parti della struttura, definiti ed applicabili con elevata granularità, in modo da incidere solo ove effettivamente richiesto garantendo competitività nei costi), flessibilità, conformità agli standards, implementazione modulare (l indipendenza tra i moduli ne rende possibile l evoluzione separata, riducendo anche in questo caso i tempi necessari alla definizione ed attuazione dei percorsi di sviluppo). I modelli architetturali per le reti dati sono del tipo mesh structure e hierarchical structure. La struttura di tipo mesh prevede una rete funzionalmente non gerarchica in cui tutti i nodi ricoprono le stesse funzioni ed ogni nodo è in grado di interagire direttamente con gli altri senza alcuna forma di dipendenza logica. In una struttura gerarchica invece la rete è divisa in livelli logici distinti, con conseguenti vantaggi in scalabilità, semplicità nell implentazione, semplicità delle procedure di problem determination, facilità nella definizione del piano d indirizzamento, conformità con il principio d isolamento, facilità nel dimensionamento delle risorse. Ogni livello è caratterizzato da una o più specifiche funzionalità. Nel caso specifico della progettazione di una rete basata sul protocollo IP, il modello gerarchico è applicabile in funzione del piano di indirizzamento che si vuole assegnare alla rete stessa: le regole di summarizzazione devono risultare applicabili nel passaggio da un livello logico a quello direttamente adiacente. Il modello di riferimento, per lo studio dell infrastruttura dei Data Center di Poste Italiane, si caratterizza di tre livelli logico-funzionali ognuno dei quali racchiude differenti componenti architetturali. I livelli logico/funzionali sono MAN/WAN layer (funzioni necessarie a garantire l interconnessione del Data Center alle reti dati private e/o pubbliche; a questo livello vengono quindi implementate le regole di instradamento e di sicurezza orientate al controllo dell accesso dell utenza ai servizi erogati), SERVICE Layer (prevede tutte le funzioni inerenti alla modalità con cui vengono presentati ed offerti i servizi all utenza; in esso vengono definite e implementate le architetture dei servizi sia dal punto di vista dei flussi informativi, che da quello della sicurezza dei sistemi e dell affidabilità della rete), HOSTING Layer (funzioni inerenti l interconnessione/accesso dei serventi in rete e la conseguente assegnazione degli stessi a differenti aree logiche ognuna associata, secondo la tipologia di servizio erogato, ad una componente architetturale specifica del Service Layer ). Le componenti che vengono implementate all interno di ogni livello logico si differenziano ulteriormente a seconda degli schemi architetturali specifici dei servizi e delle reti. Il livello MAN/WAN a sua volta rappresenta la componente Intranet (definisce l architettura di accesso al Data Center per l utenza interna aziendale), Extranet (definisce l architettura di accesso al Data Center per l utenza appartenente ad aziende partner o facenti parte della holding), Internet (definisce l architettura di interconnessione verso rete dati pubblica). Il Service Layer è composto da BackEnd (componente di accesso a tutti i sistemi considerati trusted ), Application (definisce la componente di accesso a tutti i sistemi applicativi business e le banche dati e gli storage), Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 4 di 45

5 Presentation (definisce la componente di accesso a tutti sistemi di tipo Web Server, Proxy, etc, ritenuti Internal Presentation) e FrontEnd (definisce la componente di accesso a tutti i sistemi di vetrina ritenuti External FrontEnd). L Hosting Layer prevede quattro componenti logiche che si distinguono per la tipologia contemplata dei sistemi e che condividono la medesima infrastruttura di rete. La separazione tra sistemi viene comunque mantenuta applicando la funzionalità di virtualizzazione del livello Data Link denominata di Virtual LAN. Le VLAN sono definite sulla base della classificazione dei servizi erogati, indicate nelle specifiche del Service Layer. Sono così identificati quattro tipi di serventi, che sono trusted server, application e db server, web e relay server External FrontEnd, web e relay server Internal Presentation. Il traffico intralayer e interlayer segue specifiche e stringenti regole di instradamento che vengono implementate dai sistemi di rete e dai firewall. I firewall vengono posizionati lungo le direttrici di traffico che interessano la comunicazione tra sistemi non in relazione di trusting tra loro. Parallelamente al Data Flow relativo ai flussi informativi si sviluppa anche quello relativo ai flussi di controllo. Per Data Flow di produzione Internet si intende il flusso dati standard seguito da una connessione di un utente Internet ai servizi offerti dall IDC. Per Data Flow di produzione RdG si intende il flusso dati standard seguito da una connessione di un utente sulla rete aziendale ai servizi offerti dall DC/IDC. Per Data Flow del Sistema di Backup si intende il flusso dati standard seguito dalle connessioni utilizzate per effettuare i backup dei dati dei Server. Per Data Flow del Sistema di Management si intende il flusso dati standard seguito dalle connessioni utilizzate dagli strumenti di management per effettuare il controllo e la gestione degli apparati di rete (Firewall, Router, Switch) e dei sistemi (Server). Il control plan del Data Center opera in base al principio di segnalazione in banda: il traffico ICMP ed il traffico generato dai protocolli di routing viene scambiato tra i nodi di rete sulle stesse direttrici fisiche e logiche dei flussi dati. Questo impone, là dove è contemplata la presenza di firewall, che le politiche di sicurezza prevedano anche specifiche regole inerenti al trattamento della segnalazione. Il management plan del Data Center invece opera in modalità scorrelata, a livello di traffico prodotto, rispetto al data e control plan. Un infrastruttura di rete out band è realizzata infatti parallelamente a quella di esercizio per garantire la gestione e il controllo dei nodi di rete (firewall, ids, router e switch) e la raccolta dei dati di logging prodotti dai sistemi. Il Data Center deve essere protetto sia dal punto di vista dei dati in esso conservati, che da quello dei sistemi, server e apparati attivi di rete. Nell ottica del network security ne consegue una classificazione dei requisiti secondo il controllo degli accessi (accesso ai servizi ed alle risorse deve essere discriminato in accordo con una precisa politica di sicurezza e previa identificazione dell utente), l integrità (i dati devono essere preservati integri durante il suo trasferimento in rete), la riservatezza e la confidenzialità dei dati (i dati sensibili trasferiti in rete non devono essere accessibili a utenti non autorizzati) e la disponibilità del servizio (i sistemi deputati all erogazione dei servizi devono essere protetti da attacchi che ne mirino la disponibilità). In ottica di ottimizzazione delle risorse e di gestione differenziata delle stesse, si sono sviluppate una serie di tecniche e funzionalità che di fatto permettono un sezionamento e una segmentazione logica degli apparati in sistemi indipendenti a livello di processi e di stack protocollari. Questo approccio prende il nome di virtualizzazione. Ad ogni livello dello stack protocollare la tecnica in oggetto trova una sua ben precisa funzionalità: layer 2 Virtual LAN (VLAN); layer 3 Virtual Routing Forwarding (VRF); layer 4/7 Virtual Firewall (VFW) e Server Load Balancing (SLB). Nel caso invece delle infrastrutture di rete, in cui l approccio non è applicato unicamente a livello di singolo apparato, ma a livello di intera network, la virtualizzazione si realizza mediante modalità Tunneling (in ottica di connettività logica essa offre un servizio di trasporto puro, che impiega il control plan dell infrastruttura di trasporto attraversata), e Virtual Private Network (in ottica di rete logica essa Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 5 di 45

6 offre un servizio di rete logica erogato da un infrastruttura di rete di trasporto e quindi come tale provvisto di un proprio control plan). L utilizzo di Virtual LAN è reso necessario perché permette di definire differenti domini di broadcast senza avere reti LAN separate a livello fisico. La segmentazione logica viene realizzata dagli apparati L2 switch mediante la separazione delle tabelle di instradamento. Particolare importanza riveste infine la definizione del piano di indirizzamento. Occorre distinguere il piano di indirizzamento di un DC dal piano di indirizzamento di un IDC. Nel caso di un DC, la mancanza di un accesso ad Internet fa preferire l utilizzo su tutta la struttura di indirizzi IP di tipo privato (RFC 1918), strettamente compatibili, nel caso dei DC Poste Italiane, col piano di numerazione adottato dalla rete RdG. In tale contesto appare opportuno assegnare ad ogni DC un piano di indirizzamento contiguo di ampiezza commisurata con la dimensione del DC stesso, in termine di utilizzo di porte LAN di erogazione nell arco temporale di due anni. Nel caso di un IDC, occorre gestire spazi di numerazione pubblici, spazi di numerazione privati confinabili in ristrette aree di erogazione e spazi di numerazione privati compatibili con la numerazione della intranet di Poste Italiane. In questo caso non è semplice definire delle linee guida di organizzazione e dimensionamento del piano di indirizzamento IDC e la gestione di tale attività non può che essere fatta su base pratica e per approssimazioni successive. I benefici ottenuti dall applicazione del modello a data center a struttura gerarchica sono: 1. Scalabilità: la rete può crescere o decrescere interessando unicamente un livello logico senza modificarne il sistema di controllo e di gestione; 2. Semplicità nell implentazione: permette una programmazione a passi successivi delle attività d installazione, attivazione e manutenzione; 3. Semplicità delle procedure di problem determination: riduce la complessità di un problema scomponendolo in più semplici affrontabili separatamente; 4. Facilità nella definizione del piano d indirizzamento: sono evidenziabili in maniera naturale i punti della rete in cui aggregare il traffico ed applicare le regole di address summarization ; 5. Conformità con il principio d isolamento : permette di gestire e mantenere la rete dividendola in aree di intervento e isolando ogni area dalle altre come se fosse un compartimento stagno ; 6. Facilità nel dimensionamento delle risorse: riduce la quantità d informazioni da memorizzare e processare. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 6 di 45

7 Una tipica configurazione a data center è quella a tre livelli: Schema logico di riferimento a 3 livelli (promosso da Cisco System) Ecco una breve descrizione dei livelli logico/funzionali indicati in precedenza: 1. MAN/WAN Layer: prevede le funzioni necessarie a garantire l interconnessione del Data Center alle reti dati private e/o pubbliche. A questo livello vengono quindi implementate le regole di instradamento e di sicurezza orientate al controllo dell accesso dell utenza ai servizi erogati; 2. SERVICE Layer: prevede tutte le funzioni inerenti alla modalità con cui vengono presentati ed offerti i servizi all utenza. In esso vengono definite e implementate le architetture dei servizi sia dal punto di vista dei flussi informativi, che da quello della sicurezza dei sistemi e dell affidabilità della rete; 3. HOSTING Layer: prevede le funzioni inerenti l interconnessione/accesso dei serventi in rete e la conseguente assegnazione degli stessi a differenti aree logiche, ognuna associata, secondo la tipologia di servizio erogato, ad una componente architetturale specifica del service layer Le componenti che vengono implementate all interno di ogni livello logico si differenziano ulteriormente a seconda degli schemi architetturali specifici dei servizi e delle reti. Ogni componente realizza quindi un set o un subset delle funzioni associate al livello logico di appartenenza, specializzandole di volta in volta Il caso Poste Italiane: Nel caso specifico di Poste Italiane le componenti in oggetto sono: 1. MAN/WAN LAYER Intranet: definisce l architettura di accesso al Data Center per l utenza interna aziendale; Extranet: definisce l architettura di accesso al Data Center per l utenza appartenente ad aziende partner o facenti parte della holding; Internet: definisce l architettura di interconnessione verso la rete dati pubblica. 2. SERVICE LAYER BackEnd (BE): definisce la componente di accesso a tutti i sistemi considerati trusted (es. Primary Domain Controller); Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 7 di 45

8 Application Layer (AL): definisce la componente di accesso a tutti i sistemi applicativi business (es. servizi transazionali quali Pensioni On Line) e le banche dati (es. database Oracle) e gli storage (es.i sistemi disco della EMC2); Presentation Internal Layer (PIL): definisce la componente di accesso a tutti sistemi di tipo Web Server, Proxy, etc, ritenuti Internal Presentation; FrontEnd(FE): definisce la componente di accesso a tutti i sistemi di vetrina (es. Portali web, relay e proxy), ritenuti External FrontEnd. 3. HOSTING LAYER Prevede quattro componenti logiche che si distinguono per la tipologia contemplata dei sistemi e che condividono la medesima infrastruttura di rete. La separazione tra sistemi viene comunque mantenuta applicando la funzionalità di virtualizzazione del livello Data Link denominata di Virtual LAN. Le VLAN sono definite sulla base della classificazione dei servizi erogati, indicati nelle specifiche del Service Layer. Sono così identificati quattro tipi di serventi: trusted server application e db server web e relay server External FrontEnd web e relay server Internal Presentation Per ogni tipologia di servente si ha una specifica VLAN: Access BE (BackEnd); Access AL (Application); Access PIL (Presentation); Access FE (FrontEnd). In aggiunta alle componenti architetturali sopra indicate si devono evidenziare altri due moduli che sono in overlay su tutti i tre i livelli funzionali sopradescritti: Management Module; Backup Module. 4. MANAGEMENT MODULE: La componente di Management interessa tutti i livelli logici facenti parte del modello di DC proposto. Essa prevede l infrastruttura di rete ed i sistemi ad essa connessi, demandati alla gestione dell intero Data Center. L architettura del sistema di gestione si basa su un modello di riferimento proposto dall ISO. Il modello di Management in questione aiuta la razionalizzazione e la comprensione delle principali funzioni di gestione mediante una classificazione delle stesse in 5 aree concettuali: 1. Fault Management: modalità di individuazione e comunicazione all operatore dei guasti presenti sugli elementi di rete. Esecuzione dei test diagnostici per la corretta localizzazione del guasto e per l avvio delle prime procedure di ripristino del servizio; 2. Configuration Management: gestione centralizzata della configurazione al fine di mantenere la conoscenza ed il controllo dei parametri operativi degli elementi. La gestione della configurazione consente inoltre la modifica dei parametri operativi di ciascuna risorsa in funzione delle condizioni di funzionamento richieste dalla rete; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 8 di 45

9 3. Accounting Management: verifica dell impiego delle risorse di rete. I dati prodotti permettono di effettuare il tuning periodico dell intera infrastruttura e di analizzarne il reale utilizzo; 4. Performance Management: procedure per il test delle performance della rete. I parametri analizzati sono di natura prestazionale (traffico sulle interfacce, tasso d errore, tempi di ritardo, etc.) e costituiscono il mezzo per valutare la qualità del servizio di rete sia in termini generali che più specificamente per ogni singolo utilizzatore; 5. Security Management: processo di gestione della sicurezza in tutti i suoi aspetti di configuration e di monitoring. È di estrema importanza per il gestore del servizio, oltre l accesso alle informazioni vitali del sistema di gestione, il controllo degli accessi da parte degli utilizzatori dei servizi offerti dalla rete. Di conseguenza il Security Management si occupa della gestione e distribuzione delle chiavi di cifratura, del mantenimento e della distribuzione delle password di accesso e dell autenticazione degli accessi. La raccolta delle informazioni relative alla gestione della rete può essere effettuata sfruttando la stessa infrastruttura di trasporto dei dati (management in band) o realizzandone una dedicata (management out band). La seconda soluzione permette, a differenza della prima, non solo di mantenere la gestione degli apparati anche in condizioni di malfunzionamento della rete, ma anche di effettuare le operazioni sopra riportate senza interferire con l erogazione dei servizi offerti e con un elevato livello di sicurezza e controllo degli accessi agli apparati. 5. BACKUP MODULE: Il modulo di Backup prevede l infrastruttura di rete e i sistemi ad essa connessi, demandati alla gestione e all implementazione delle procedure di backup dei dati sensibili, memorizzati dai sistemi presenti nei vari livelli del Data Center. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 9 di 45

10 MODELLO ARCHITETTURALE: Modello Architetturale Di Riferimento Il traffico intralayer e interlayer segue delle specifiche e stringenti regole di instradamento che vengono implementate dai sistemi di rete e dai firewall. La figura 3 mostra in sintesi il Data Flow. I firewall vengono posizionati lungo le direttrici di traffico che interessano la comunicazione tra sistemi non in relazione di trusting tra loro. Parallelamente al Data Flow relativo ai flussi informativi si sviluppa anche quello relativo ai flussi di controllo. Il control plan del Data Center opera sul principio di segnalazione in banda: il traffico ICMP ed il traffico generato dai protocolli di routing viene scambiato tra i nodi di rete sulle stesse direttrici fisiche e logiche dei flussi dati. Questo impone, là dove è contemplata la presenza di firewall, che le politiche di sicurezza prevedano anche specifiche regole inerenti al trattamento della segnalazione. Il management plan del Data Center opera invece in modalità scorrelata, a livello di traffico prodotto, rispetto al data e control plan. Un infrastruttura di rete out band è realizzata, infatti, parallelamente a quella di esercizio per garantire la gestione e il controllo dei nodi di rete (firewall, ids, router e switch) e la raccolta dei dati di logging prodotti dai sistemi. REQUISITY DI NETWORK SECURITY: Il data center deve essere protetto sia dal punto di vista dei dati in esso conservati, che da quello dei sistemi, server e apparati attivi di rete. Nell ottica del network security ne consegue una classificazione dei requisiti secondo quattro principi: Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 10 di 45

11 Il controllo degli accessi: l accesso ai servizi ed alle risorse deve essere discriminato in accordo con una precisa politica di sicurezza e previa identificazione dell utente; L integrità: i dati devono essere preservati integri durante il suo trasferimento in rete; La riservatezza e la confidenzialità dei dati: i dati sensibili trasferiti in rete non devono essere accessibili a utenti non autorizzati; La disponibilità del servizio: i sistemi deputati all erogazione dei servizi devono essere protetti da attacchi che ne mirino la disponibilità. Le prescrizioni di sicurezza descritte nei paragrafi successivi si traducono in funzionalità minime supportate dai sistemi di rete facenti parte dell infrastruttura di data center. SICUREZZA DEGLI APPARATI: Prevenire e circoscrivere attacchi alla sicurezza logica degli apparati deputati all erogazione dei servizi. Il sistema di sicurezza dovrà amministrare il diritto d accesso ai dati ed ai servizi, in modo da verificare la validità di ogni tentativo di accesso e stabilire l identità dell utente. PACKET FILTERING: Packet filtering sui protocolli e sulle porte del traffico in ingresso e in uscita dai BE, AL efe del Service Layer. ACL logging per il logging di tutti i matching verificatisi con ACL di tipo deny, con l obiettivo di identificare i tentativi di intrusione. Meccanismi di rate limiting e TCP message inspection per proteggere i sistemi da attacchi TCP SYN (ad es. TCP Intercept, SYN flag set ). Meccanismi di ICMP rate limiting per proteggere i sistemi da attacchi ICMP-based. ANTISPOOFING: Antispoofing e Reverse Path Verification sugli accessi della rete IP (Internet, Extranet e Intranet). BLACK-HOLE E NULL ROUTING: Null routing in particolari situazioni (ad esempio in occasione di attacco DoS con indirizzi sorgenti appartenenti ad uno specifico range), si deve poter implementare una la soluzione di filtraggio dei pacchetti di tipo null route in alternativa alle soluzioni di packet filtering tradizionali. ROUTING: Autenticazione routing per offrire un meccanimso di validazione reciproca tra apparati che si scambiano informazioni di routing mediante protocolli OSPF, RIP, IS-IS, ecc. SICUREZZA DEI SISTEMI SOFTWARE: Garantire la protezione dei sistemi operativi e del software di base delle apparecchiature informatiche critiche, dalle modifiche non autorizzate e disporre inoltre, per gli stessi sistemi operativi e per il software di base, di un processo di gestione degli aggiornamenti e di controllo periodico della loro integrità. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 11 di 45

12 Questo impone l implementazione di una serie di funzionalità e accortezze necessarie a controllare l accesso agli apparati di rete che deve essere sempre e comunque finalizzato alla loro gestione: Configurazione dei servizi: implica la definizione e l applicazione sui dispositivi di rete di una configurazione caratterizzata dall attivazione del solo set minimo di servizi strettamente necessari al corretto funzionamento della rete stessa e la conseguente disabilitazione dei servizi non indispensabili. Disabilitazione dei servizi: impone di disabilitare i servizi di TCP e UDP Small Server, finger, Bootp, http, PAD su tutti i CE. SNMPv3 come protocollo sicuro per la gestione degli apparati. LE FUNZIONALITÀ DI VIRTUALIZZAZIONE: In ottica di ottimizzazione delle risorse (memoria, cpu, banda trasmissiva ) e di gestione differenziata delle stesse (assegnazione, provisioning ) si sono sviluppate una serie di tecniche e funzionalità che di fatto permettono un sezionamento e una segmentazione logica degli apparati in sistemi indipendenti a livello di processi e di stack protocollari. Questo approccio prende il nome di virtualizzazione. Ad ogni livello dello stack protocollare la tecnica in oggetto trova una sua ben precisa funzionalità: layer 2 Virtual LAN (VLAN), layer 3 Virtual Routing Forwarding (VRF), layer 4/7 Virtual Firewall (VFW) e Server Load Balancing (SLB). Nel caso invece delle infrastrutture di rete, in cui l approccio non è applicato unicamente a livello di singolo apparato ma a livello di intera network, la virtualizzazione si realizza mediante due differenti modalità: Tunneling - in ottica di connettività logica essa offre un servizio di trasporto puro, che impiega il control plane dell infrastruttura di trasporto attraversata; Virtual Private Network in ottica di rete logica essa offre un servizio di rete logica erogato da un infrastruttura di rete di trasporto e quindi come tale provvisto di un proprio control plane. In questo caso il data plane eredita le caratteristiche proprie delle tecniche ditunneling del punto precedente. La tecnica di virutalizzazione viene applicata anche ai data center per implementare la divisione in livelli funzionali, prevista dall architettura N-Tier, senza dover duplicare per ogni livello l infrastruttura di switching e routing. Nel caso specifico si applicano le tecniche di VLAN, VRF e VFW sugli apparati, mentre le soluzioni VPN per gli accessi dell utenza via Internet e via Extranet. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 12 di 45

13 VIRTUAL LAN: Le Virtual LAN permettono di definire differenti domini di broadcast senza avere reti lan separate a livello fisico. La segmentazione logica viene realizzata dagli apparati L2 switch mediante la separazione delle tabelle di instradamento. Nel caso dei data center in oggetto la funzionalità di VLAN viene applicata a livello di hosting layer per differenziare i serventi secondo l appartenenza ad una particolare area: BackEnd, Application o FrontEnd. Tale separazione viene mantenuta fino al service layer dove sono predisposti i motori di routing e quindi abilitata la funzionalità di intervlan routing. Le policy aziendali specificano quali traffici a tal proposito sono da considerare permessi e quali no. L implementazione a questo livello delle stesse viene effettuata mediante interposizione di firewall. VIRTUAL ROUTE FORWARDING: La funzionalità di Virtual Route Forwarding nasce dal mondo delle reti di trasporto MPLS per permettere sugli apparati di accesso la suddivisione tra reti logiche associate a differenti VPN senza necessariamente abilitare il protocollo di segnalazione LDP. Un VRP e semplicemente un processo che simula un router virtuale all interno di un router fisico. La configurazione di differenti VRF all interno del medesimo router ottiene come effetto una segmentazione logica dello stesso. Le regole di impiego della funzionalità di VRF sono le seguenti: ogni VRF ha un proprio processo di routing e una propria tabella di instradamento ogni VRF ha assegnate delle interfacce fisiche (es. interface fastethernet) o logiche (es. interface VLAN) che non possono essere condivise con altri VRF i VRF non interoperano se non attraverso un interfacciamento fisico esterno al router che li ospita. SCHEMI DI VIRTUALIZZAZIONE APPLICATI AI DATA CENTER: Le funzionalità sopra descritte possono essere applicate nelle infrastrutture di data center per implementare le architetture di servizio N-Tier senza eccedere nelle componenti hardware. Le regole di implementazione sono le seguenti: VLAN applicate sugli hosting switch per separare a livello logico le tre farm di BE, AL e PIL; SLB applicato sulle suddette VLAN trasportate via connessioni trunk sul Service Layer con lo scopo di distribuire il carico elaborativo su differenti server fisici eroganti lo stesso servizio; VFW applicato sulle suddette VLAN in modalità transparent per implementare le network security policy; VRF applicato sulle suddette VLAN per implementare l intervlan routing. La figura seguente mostra l implementazione di quanto descritto con l aggiunta della funzionalità di failover che permette di ridondare ogni componente logica duplicandola su due apparati differenti. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 13 di 45

14 La figura seguente mostra l implementazione di quanto descritto con l aggiunta della funzionalità di failover che permette di ridondare ogni componente logica duplicandola su due apparati differenti. Schema di Virtualizzazione Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 14 di 45

15 VPN DI ACCESSO: Una parte dell utenza che accede ai servizi erogati dai data center via rete Internet o Extranet può avvalersi del servizio di VPN Accesso, che offre come valore aggiunto la protezione dei dati sensibili (confidenzialità e integrità) attraverso l impiego di meccanismi di cifratura. A tal scopo sono presenti nelle infrastrutture di accesso Internet e Extranet degli apparati denominati VPN Concentrator. Essi permettono di implementare le tecniche di tunneling cifrato utilizzate nelle soluzioni VPN. Un utente che opera su una workstation può in questo modo attivando l applicazione VPN client a sua disposizione e connettersi ai data center aziendali mediante connessioni virtuali sicure. La figura mostra i vari scenari. L utenza, a seconda delle sue caratteristiche, può operare su terminali managed, per i quali si può prevedere l impiego di VPN client specifici, oppure unmanaged, per i quali l ambiente operative consentito e il browser. Le soluzioni che si hanno sulla base di questa differenziazione sono sostanzialmente due: 1. terminali managed, VPN IPSec 2. terminali unmanaged, VPN SSL. Esempio VPN di accesso Organizzazione del routing nel Data Center All interno dell IDC sono presenti diversi domini di routing in ognuno dei quali possono essere utilizzati apparati, tecniche e protocolli diversi per garantirne il corretto funzionamento, le prestazioni, l alta affidabilità e la scalabilità. I domini di routing di seguito elencati verranno poi analizzati ad uno ad uno per meglio comprenderne i dettagli di funzionamento: Dominio di Accesso Dominio di Ingress/Egress Dominio di Egress/FrontEnd Domini interni Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 15 di 45

16 Dominio di BackEnd Alcuni aspetti sono però comuni a tutti i domini. In tutti i casi, ad eccezione delle LAN di erogazione del FrontEnd (attestate direttamente sui router di FrontEnd o sui sistemi di Load Balancing), viene utilizzato un indirizzamento IP di tipo privato. Le LAN citate fanno eccezione in quanto ospitano sistemi che devono essere raggiungibile da Internet: su di esse verranno utilizzati anche indirizzamenti pubblici. Per garantire elevate prestazioni, gli apparati utilizzati, siano essi router, firewall o load balancer, devono essere di tipo altamente performante e quindi funzionanti mediante circuiti ASIC. Per garantire l alta affidabilità dei livelli di routing, oltre a ridondare dove possibile le component vitali interne degli apparati (alimentazione elettrica, CPU, switch fabric), i dispositivi devono essere posizionati a coppie in ridondanza e ove possibile in bilanciamento. In particolare la ridondanza e il bilanciamento vengono gestiti utilizzando in diverse combinazioni i protocolli standard VRRP e OSPF. La scalabilità dell infrastruttura è garantita fino ad un certo punto dalle capacità (prestazionali e di connettività) delle singole coppie di apparati e in alcuni domini questo può già essere sufficiente. In caso di IDC/DC che necessitano di una alta capacità di connessioni, per i vari livelli occorre fissure delle soglie di erogazione oltre le quali è necessario aggiungere allo specifico livello altri apparati operanti con le stesse funzioni ed interconnessi con quelli già in esercizio. Dominio di Accesso Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 16 di 45

17 ARCHITETTURA POSTE ITALIANE A LIVELLO NAZIONALE L architettura di Poste Italiane mira ad una corretta disposizione degli apparati di rete e all ingegneria del traffico. Dall esperienza sviluppata negli anni Poste Italiane ha scelto per la sua infrastruttura di rete un sistema di data center disposti su scala nazionale. I data center principali sono 5: POMEZIA(produzione) PALAZZO DEI CONGRESSI(produzione, test) ARTE ANTICA(Test, Sviluppo) ROZZANO(produzione, test) BARI(produzione) Tutti i data center sono interconnessi con tecnologie fiber channel a velocità e banda variabile. Questa connettività di tipo geografico è garantita da svariati ISP italiani. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 17 di 45

18 3. PROGETTO SVOLTO IN AZIENDA; IMPLEMENTAZIONE PROVISIONING FORM 3.1. Teoria della gestione di flussi di provisioning Mano a mano che gli ambienti IT si fanno più complessi, diventano sempre più importanti la gestione e la protezione adeguate delle infrastrutture informatiche. Per questo motivo le aziende si stanno orientando verso alcune caratteristiche di eccellenza (le cosiddette best practices ) che corrispondono a metodologie già sperimentate sul campo per la standardizzazione dei processi e la gestione degli ambienti IT. Gli standard prevalenti in questo settore sono le norme ITIL ( Information Technology Infrastructure Library ); la normativa British Standard (BS15000), lo standard emergente per la gestione dei servizi informatici basato sulle metodologie ITIL; e la norma ISO 17799, lo standard mondiale basato sulla British Standard (BS7799) per la protezione delle informazioni aziendali. Queste best practices sono tuttavia da considerare alla stregua di semplici linee-guida il cui scopo è consentire alle organizzazioni di mettere a punto i processi interni per adattarli alle esigenze del business aziendale. Un approccio personalizzato di questo tipo impone una certa flessibilità negli strumenti adottati a supporto dei processi di business. Le soluzioni di Computer Associates International, Inc. (CA) offrono la flessibilità necessaria per aiutare le organizzazioni a mettere in pratica le indicazioni delle norme ITIL, BS15000 e ISO al fine di gestire i servizi IT in modo più efficiente ed economico. Le aziende che desiderano adottare un approccio standardizzato allo stato dell arte possono scegliere fra alcune metodologie: IT Infrastructure Library (ITIL) Include le definizioni delle best practices per la gestione dei servizi informatici (IT Service Management), suddivise in due volumi principali: Service Support Service Delivery BS15000 Prima normativa mondiale per la gestione dei servizi IT, rivolta sia ai fornitori di servizi di gestione dei servizi informatici, sia alle aziende che esternalizzano o gestiscono in proprio la funzione IT. La norma BS15000 specifica un insieme di processi gestionali correlati fra loro, ricalcati in gran parte sullo schema ITIL, che formano la base del controllo dei cosiddetti managed services, ovvero i servizi gestiti in toto. ISO Standard mondiale basato sulla normativa British Standard BS7799 che definisce le best practices per la gestione della sicurezza informatica. ITIL Security Management Processi allo stato dell arte per la protezione dell infrastruttura IT in gestione, strettamente legati all utilizzo delle best practices indicate dalla norma ISO La gestione del servizio secondo il modello ITIL e la norma ISO Il modello ITIL è costituito da un insieme di procedure ottimali per la gestione dei servizi informatici che hanno continuato ad evolversi sin dalla loro formulazione iniziale nel Sono nate originariamente come un insieme di processi ad uso e consumo della Pubblica Amministrazione britannica, finalizzati al miglioramento della gestione dei servizi IT, per essere successivamente adottati dal settore come base per una corretta gestione dei servizi informatici. Hanno continuato a diffondersi sempre di più in tutto il Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 18 di 45

19 mondo, affermandosi come standard per eccellenza per la gestione dei servizi informatici. Alla base di questo modello vi sono due volumi sulla disciplina di gestione del servizio, intitolati rispettivamente Service Support e Service Delivery, che sono stati successivamente riscritti nel biennio L argomento della security è trattato nell apposito volume uscito nel Le norme ITIL descrivono le prassi più adatte per ciascuna organizzazione. Ad esempio, l area Service Support comprende cinque discipline atte a garantire la flessibilità e la stabilità necessarie per erogare servizi IT utili a supportare il business aziendale: Incident Management Problem Management Change Management Release Management Configuration Management L area Service Delivery comprende cinque discipline per supportare gli aspetti finanziari e di qualità dei servizi IT messi a disposizione del business aziendale: Service Level Management Availability Management Capacity Management Financial Management per servizi IT IT Service Continuity Management Insieme, le discipline di Service Support e Service Delivery concorrono a offrire le funzioni necessarie per la gestione dei servizi a supporto del business aziendale. Le dieci discipline di gestione del servizio sono legate da relazioni complesse per consentire all infrastruttura informatica di erogare livelli elevati di servizio al business aziendale Gestione di flussi di provisioning in ambito di networking nel caso di Poste Italiane Definizione formale: Per gestione di flussi di provisioning si intende la gestione organizzata e centralizzata di risorse e processi aziendali tramite una serie ordinata di metodologie e attività mirate alla corretta raccolta e organizzazione di dati di sviluppo, gestione e vita di un processo, attività o risorsa aziendale. Nel caso di PI questa teoria trova applicazione in tutte le aree aziendali ma, in particolare, nell area sviluppo rete/tlc. Per far fronte alle esigenze di sicurezza messe in evidenza dagli standard BS15000 e ISO Poste Italiane ha creato un sistema di gestione di flussi di provisioning. Esso mira alla gestione e la messa in sicurezza dei sistemi e dei servizi ospitati all interno della sua infrastruttura di rete in accordo con la mission aziendale. Questa gestione teorica viene implementata con l ausilio del PF ( Provisioning Form ), un foglio di calcolo (compatibile con Office e OpenOffice) che consente di tracciare lo storico di ogni servizio implementato tramite risorse di rete. Nel caso di lancio o testing di un servizio deve essere eseguita una procedura standard che si concluderà con l approvazione e l implementazione del servizio nel caso in cui fossero rispettate tutte le linee guida aziendali pertinenti. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 19 di 45

20 Il provisionig form nella versione corrente è un foglio elettronico costituito da sezioni corrispondenti ai diversi servizi erogati dall IDC/DC. Ogni sezione deve essere compilata solo se richiesto dalle esigenze effettive del progetto; fa eccezione il primo modulo, contenente le informazioni generali indispensabili per l attivazione e la gestione del flusso di lavorazione che scaturisce dalla richiesta. In ciascun foglio le sotto-sezioni di cui è richiesta la compilazione sono funzione delle specifiche esigenze di progetto. L installazione di una nuova piattaforma all interno degli IDC/DC di Poste Italiane prevede la fruizione di una molteplicità di servizi: dall assegnazione di vlan e indirizzi ai server, all abilitazione di regole firewall; alla configurazione del bilanciamento di carico. Una richiesta esaustiva, corretta e tempestiva aiuta ad abbreviare il tempo di provisioning di quei servizi e a limitare la possibilità di errori o omissioni in fase di realizzazione. Limitare il numero di cambi di configurazioni, corrispondenti a versioni successive della richiesta, è un criterio organizzativo e progettuale raccomandato. Si riporta la lista delle sezioni, accompagnata da una breve descrizione, Una descrizione più esaustiva è riportata nei prossimi paragrafi. Input Form Summary Riporta tutte le informazioni utili all identificazione del tipo di attività, del soggetto richiedente, della data della richiesta e dell IDC/DC cui la stessa fa riferimento. Vlan & Address Contiene le informazioni riguardanti la richiesta di assegnazione di una o più VLAN e dei relativi indirizzi IP, pubblice e/o privati) necessari ai server,siano essi logici o fisici, ad erogare i propri servizi. Load Balancing Include tutte le informazioni necessarie per la configurazione del servizio di bilanciamento di carico ad opera dei dispositivi di rete dell IDC/DC. Regole Firewall Comprende le richieste riguardanti la messa in sicurezza di un servizio, in particolare la configurazione delle regole firewall funzione dei flussi dati da/verso i server, e della collocazione degli stessi all interno dei differenti domini di routing dell IDC/DC. Dettaglio Server Riporta tutti quei dati indispensabili per garantire la connettività dei sistemi serventi: numero di schede di rete, utilizzo previsto per ciascuna scheda, tipologia, configurazioni in alta affidabilità, virtualizzazione di più server su una o più macchine fisiche Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 20 di 45

21 VPN È un servizio indispensabile alla realizzazione dei collegamenti di tipo Extranet, e comprende tutte le informazioni necessari per la configurazione di una Virtual Private Network verso un ente esterno, nelle due modalità di VPN client-to-lan e lan-to-lan. Altri servizi In questa sezione è possibile richiedere gli ulteriori servizi messi a disposizione dell IDC. Quello di maggior interesse è la registrazione di domini e record nei DNS della Intranet di Poste Italiane e nei DNS pubblici. Allo stato attuale altri servizi sono in fase di definizione/standardizzazione. Schema di rete Mostra lo schema sintetico di rete della piattaforma/sistema. Propone un template facilmente editabile da integrare, eventualmente, con gli schemi utili ad una migliore comprensione dell architettura. Come si potrà notare nelle prossime pagine la corretta compilazione di un PF presuppone una conoscenza di base dei principi di funzionamento delle reti IP e dei meccanismi di sicurezza a tutela dell erogazione dei servizi IT. Inoltre richiede la conoscenza dell architettura di rete e sicurezza implementata negli Internet Data Center di Poste Italiane (qui entra in ballo la sezione Architettura a data center ). Questa documentazione formale è stata stilata per rendere fruibile dalla più ampia platea possibile lo strumento del PF. Essa si rivolge anche ad utenti non completamente tecnici e propone, oltre alla spiegazione per ogni modulo di tutte le sotto-sezioni di cui si compone, esempi significativi di compilazione, riferendosi dove opportuno a casi reali; offre, in aggiunta, alcune sintetiche linee guida sulla configurazione (e sulla corrispondente modalità di richiesta attraverso PF) dei più diffusi servizi, come il bilanciamento di carico, l impiego di interfacce multiple sui server (per l alta affidabilità o per la specializzazione delle funzioni), o l utilizzo di politiche di filtraggio del traffico tramite firewall. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 21 di 45

22 3.3. Caso pratico, linee guida per la compilazione di un Provisioning Form Di seguito viene allegata la guida per la compilazione di un Provisioning Form. La seguente guida è stata redatta da me, Siracusa Alessandro, e dal mio collaboratore Serreli Andrea. 1. INPUT FORM SUMMARY Tale modulo dovrà contenere tutte quelle informazioni necessarie ad identificare la tipologia e il fine del progetto che si vuole implementare. Riporta dati utili circa il tipo di attività, soggetto richiedente, data di richiesta e locazione del DC/IDC cui la stessa fa riferimento. Di seguito è elencata una breve descrizione dei campi da compilare: Sezione Input Form Summary Nome identificativo del progetto Tipologia richiesta: descrive il tipo di intervento che dovrà essere svolto; o Nuova attivazione: consiste nella implementazione di un nuovo progetto o servizio e non alla modifica o aggiornamento di uno già esistente. Per maggiore chiarezza si può fare una analogia in riferimento ad un contesto edile. Questa corrisponde alla costruzione di una nuova casa partendo da zero in un terreno vuoto. o Cambio di configurazione: consiste nella modifica di un progetto o servizio già esistente. Continuando sulla scia dell'analogia precedente un aggiornamento può essere comparato alla restaurazione di una casa già esistente. o Dismissione: consiste nel cessare l'erogazione di un servizio ritenuto non più necessario. Concludendo si può pensare a ciò come la demolizione di una casa dissestata al fine di crearne una nuova in seguito. Nome e cognome project manager Recapito telefonico project manager Codice Progetto: identifica in modo univoco il progetto ed è assegnato dalla sezione Project Support in fase di pianificazione. Ambiente di progetto: specifica il contesto in cui il progetto sarà collocato: o Produzione; o Collaudo/test; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 22 di 45

23 o Certificazione; o Sviluppo. Sede IDC/DC: specifica la sede geografica in cui sarà implementato il progetto: o Roma - Palazzo dei Congressi(Produzione); o Roma Arte Antica(Sviluppo); o Pomezia(Produzione, Sviluppo); o Rozzano(Produzione); o Bari(Produzione). Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 23 di 45

24 Vlan_Address Tale modulo dovrà contenere tutte quelle informazioni riguardanti la richiesta di VLAN e i rispettivi piani di indirizzamento. La richiesta può riferirsi ad una nuova VLAN o ad una già esistente. I piani di indirizzamento di indirizzamento devono comunque essere coerenti con quelli utilizzati nel rispettivo data center al fine di evitare conflitti di indirizzi ip con altri sistemi o servizi già esistenti. Le VLAN permettono di definire differenti domini di broadcast (management, backup, erogazione) senza avere reti lan separate a livello fisico. Sezione Attivazione VLAN e rilascio indirizzi Nel caso dei Data Center in oggetto le funzionalità di VLAN viene applicata a livello di hosting layer per differenziare i serventi secondo l appartenenza ad una determinata area(front End,BackEnd,etc.) Nel livello FrontEnd Layer andranno ad inserirsi tutte quelle VLAN con serventi aventi funzioni di vetrina,per esempio un insieme di web server, accessibili all esterno del DC/IDC attraverso internet ed extranet. Nel Presentation Internal Layer sono contenute le VLAN con serventi aventi funzioni analoghe al layer precedente. La differenza sta nel fatto che questi ultimi saranno visibili a livello di accesso solo alla intranet aziendale. Nel Application Layer sono contenute le VLAN con tutti i sistemi applicativi business (es. servizi transazionali quali pensioni On Line),banche dati e storage. (es. Oracle) Nel BackEnd sono presenti invece VLAN contenenti sistemi considerati trusted.(es. Primary Domain controller) VANTAGGI DELL IMPIEGO DI VLAN: Segmentando i domini di broadcast tramite VLAN o con l' impiego di router, si hanno grossi benefici in termini di sicurezza, utilizzo di banda e performance di rete. Il processo di segmentazione consiste nel fare in modo che solo un insieme di dispositivi di rete possano ricevere e di conseguenza processare un messaggio di broadcast o di multicast senza la necessità che i componenti di un gruppo occupino spazi fisicamente contigui. Pensiamo alle condivisioni di windows, segmentando i domini di broadcast queste condivisioni possono essere accedute solo agli utenti che stanno sullo stesso dominio di broadcast. Si ha inoltre un impiego migliore della banda trasmissiva perché su una stessa subnet o su una stessa VLAN si Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 24 di 45

25 riduce notevolmente il numero di trasmissioni in broadcast e di conseguenza un minore impiego del le risorse computazionali richieste ai dispositivi di rete interessati. Nel caso in cui ogni macchina, sia essa virtuale o fisica, si trovi su una VLAN separata per dialogare con una seconda macchina dovrà passare per un dispositivo di livello 3 che possa metterli in comunicazione. In questo caso si ottiene un grosso vantaggio in termini di sicurezza perché il dispositivo che si frappone tra i due host comunicanti può analizzare il traffico che i due si scambiano e se configurato opportunamente può applicare delle politiche (si pensi ad un router con access-list o un firewall). Nel caso in cui non vengano utilizzate delle VLAN spostare una macchina (o un gruppo di macchine) da una LAN ad un'altra spesso richiede non solo il cambiamento di indirizzamento assegnato ma anche quello della locazione fisica. Le reti basate su VLAN semplificano invece il processo di spostamento e configurazione grazie alla possibilità di inscrivere gli utenti in "domini virtuali di broadcast". SVANTAGGI: Nel caso di impiego di VLAN due o più host che vogliano comunicare tramite protocolli che si basano su trasmissione in broadcast o multicast a livello 2 devono essere spostati da VLAN a VLAN o essere posti contemporaneamente su più VLAN. Questo comporta uno svantaggio in quanto richiede un maggior tempo per la gestione delle risorse coinvolte. Un altro svantaggio che viene dall aggiunta di apparati per la comunicazione degli host su VLAN differenti è l aumento del ritardo di trasmissione, della complessità della rete e della necessità di manutenzione per questi apparati. NOTA BENE: In accordo con le politiche di Poste Italiane host posti su VLAN differenti si relazionano tra loro tramite i seguenti criteri: VLAN SU STESSO LAYER: il traffico viene filtrato in base ad access-list definite sul rispettivo gateway con il vantaggio di discriminare eventuale traffico non congruente con le politiche di sicurezza relative al livello interessato. VLAN SU STESSO LAYER MA CON SUBNET E VRF DIFFERENTI: il traffico viene filtrato da un firewall blade (modulo di firewalling) aggiunto all apparato che svolge la funzione di gateway. VLAN SU LAYER DIVERSI: il traffico viene filtrato da un firewall dedicato (esempio può essere il traffico proveniente o destinato al Core o alla Extranet). Si può scegliere tra due possibilità: richiesta indirizzamento su una nuova VLAN o richiesta di indirizzi su una VLAN preesistente RICHIESTA DI INDIRIZZAMENTO SU UNA NUOVA VLAN: La richiesta di una nuova VLAN o meno dipende anche dalla motivazione per cui è stata chiesta la verifica del PF presente nella parte input form summary della stessa richiesta. Nel caso si tratti di una Nuova Attivazione si procede in genere alla richiesta di una nuova VLAN con un piano di indirizzamento coerente con quello del DC/IDC in cui è collocato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 25 di 45

26 Di seguito è elencata una breve descrizione dei campi da compilare: Attivazione e rilascio indirizzi su nuova VLAN Layer: indica uno dei possibili Service Layer nel quale verrà collocata la VLAN. o Front End; o Presentation Internal Layer; o Application Layer; o Backend. Funzione: Erogazione Senza Bilanciamento di Carico: i sistemi posti sulla Vlan non sono soggetti a bilanciamento cioè non vengono messi a disposizione apparati o funzionalità che influiscano sul carico di lavoro dei server ripartendo equamente le richieste a tutti i serventi. Erogazione Con Bilanciamento di Carico: vengono utilizzati apparati di rete dedicati che attuano una logica di bilanciamento di carico ripartendo le richieste a tutti i server posti su quella determinata Vlan di erogazione. Questa funzionalità fornisce vantaggi sia in termini di risposta del servizio che di affidabilità, nel caso in cui un server sia affetto da fault. Il dispositivo incaricato del bilanciamento si accorge del problema e dirige tutte le richieste verso i serventi rimasti attivi(tipica configurazione in alta affidabilità). Management (gestione, manutenzione): fornisce funzionalità di gestione dei serventi e di monitoraggio del servizio tramite l impiego di particolari protocolli di rete (SNMP). Questa è una funzionalità fondamentale per verificare la corretta erogazione del servizio e per agire tempestivamente in caso di problemi. NOTA BENE: Backup: con questa richiesta verranno fornite funzionalità di backup dati e recupero di questi in caso di fault. Tipicamente si utilizza una metodologia di backup via LAN (cioè tramite rete). Il flusso risultante dal backup viene instradato verso un apparato dedicato(media server)che lo immagazzinerà in un nastro o su un disco (tape library). Management-Backup: con l impiego di una sola Vlan si possono fornire servizi di monitoraggio, manutenzione e backup. Interna: Utilizzata tipicamente nel caso di sistemi organizzati in cluster serve per tutto il traffico interno al cluster stesso e che quindi non deve essere istradato verso altre Vlan. La richiesta di una nuova Vlan comporta l utilizzo di una scheda di rete (si essa fisica o virtuale) e un indirizzamento dedicato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 26 di 45

27 Subnet Mask/Numero Max: indirizzi ip richiesti. Interna: Utilizzata tipicamente nel caso di sistemi organizzati in cluster serve per tutto il traffico interno al cluster stesso e che quindi non deve essere istradato verso altre Vlan. NOTA BENE: La richiesta di una nuova Vlan comporta l utilizzo di una scheda di rete (si essa fisica o virtuale) e un indirizzamento dedicato. Subnet Mask/Numero Max: indirizzi ip richiesti. NOTA BENE: Ogni qual volta si richieda un indirizzamento su una Vlan si deve tener conto dei seguenti aspetti: N 1 indirizzo per broadcast e N 1 indirizzo per la rete: questi non possono essere impiegati perché sono riservati a funzionalità intrinseche alla rete stessa. N 3 indirizzi per i gateway: su ogni Vlan vengono riservati 3 indirizzi per il gateway poiché si utilizza una configurazione in alta affidabilità. In questo caso un indirizzo rappresenta il virtuale (a cui a cui puntano le richieste dei client e tramite qui risponderanno entrambi i gateway fisici) e i restanti 2 rappresentano gli indirizzi reali dei due gateway. N 3 indirizzi per i load balancer: la logica è la stessa di quella applicata ai gateway. Classe IP Pubblica: Indica se è stata richiesta una classe di indirizzamento pubblico per un servizio destinato ad essere fruibile da utenti internet (quindi sul FE) in accordo con le specifiche dello standard RFC1918. Richiesta di indirizzi su una VLAN preesistente: La richiesta di una VLAN preesistente dipende anche dalla motivazione per cui è stata chiesta la verifica del PF presente nella parte input form summary della stessa richiesta. Nel caso si tratti di un aggiornamento si procede alla richiesta di una VLAN preesistente con relativo piano di indirizzamento che anche qui deve essere coerente con quello del DC/IDC. Sezione rilascio indirizzi su VLAN esistente Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 27 di 45

28 In tal caso saranno da inserire informazioni aggiuntive riguardo il nome/id della VLAN,il numero di indirizzi ip richiesti ed utilizzati dai serventi. Di seguito sono elencati i campi da compilare. VLAN Name / VLAN ID: identifica la VLAN richiesta che è già stata assegnata in precedenza dai rispettivi organi di competenza; Numero IP Richiesti: indica quanti indirizzi ip sono necessari sulla VLAN richiesta; NOTA BENE: Ogni qual volta si richieda un indirizzamento su una Vlan si deve tener conto dei seguenti aspetti: N 1 indirizzo per broadcast e N 1 indirizzo per la rete: questi non possono essere impiegati perché sono riservati a funzionalità intrinseche alla rete stessa. N 3 indirizzi per i gateway: su ogni Vlan vengono riservati 3 indirizzi per il gateway poiché si utilizza una configurazione in alta affidabilità. In questo caso un indirizzo rappresenta il virtuale (a cui a cui puntano le richieste dei client e tramite qui risponderanno entrambi i gateway fisici) e i restanti 2 rappresentano gli indirizzi reali dei due gateway. N 3 indirizzi per i load balancer: la logica è la stessa di quella applicata ai gateway. Classe IP Pubblica: Indica se è stata richiesta una classe di indirizzamento pubblico per un servizio destinato ad essere fruibile da utenti internet (quindi sul FE) in accordo con le specifiche dello standard RFC1918. Indirizzi di questo tipo possono trovarsi solo su un IDC. Host List: è la lista degli host per i quali si richiede l assegnazione degli indirizzi. Nota bene: I campi devono essere compilati ogni qual volta ci sia bisogno di una revisione di una indirizzamento su un determinato layer. classe di Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 28 di 45

29 Load Balancing Nota bene: È necessaria la compilazione se viene richiesta una VLAN con funzione di erogazione - con Bilanciamento di Carico. Nel caso venga richiesto l'inserimento di un indirizzo ip non ancora assegnato o l'identificativo della scheda di rete nel modulo dettaglio server si procede come segue: Inserire un codice che sia in grado di identificare la posizione fisica della scheda di rete all'interno di quel determinato servente. Nel caso ciò non sia possibile si deve procedere all'inserimento di un codice composto rispettivamente dal nome macchina del servente, funzionalità da erogare, id discriminante della scheda di rete. Di seguito viene mostrato un esempio: websero1. Webs: identifica il servente; Ero: identifica la funzione erogazione; 1: rappresenta l'id discriminante della scheda di rete. Ne consegue che una stessa risorsa venga identificata univocamente dallo stesso identificativo(codice) in tutti i moduli cui essa sia coinvolta. Questi saranno rispettivamente: Load Balancing, Regole Firewall_NAT, Dettaglio Server, Altri servizi. Vanno inserite tutte le informazioni riguardanti la funzionalità di Load Balancing (Bilanciamento di Carico) per il servizio da erogare. Più nello specifico si tratterà di Service Load Balancing. Con questa funzionalità un servizio può essere erogato da una batteria di server mascherata/presentata a livello Service Layer mediante un indirizzo ip virtuale. La fruizione del servizio da un server piuttosto che da un altro viene governata da una logica di bilanciamento,applicata sempre a livello Service,che si basa su vari criteri discrezionali legati fortemente alla tipologia di traffico caratterizzante l applicazione. In caso di fault detection di un server,il meccanismo di load balancing esclude automaticamente il servente e ridistribuisce il carico di lavoro che era ad esso demandato sugli altri sistemi. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 29 di 45

30 Sezione Load Balancing Di seguito è elencata una breve descrizione dei campi da compilare: Nome/Identificativo Servizio (Es. web Front End Banco Posta Ireland). Layer: indica uno dei possibili Service Layer nel quale verrà collocata la VLAN: o Front End o Presentation Internal Layer o Application Layer o Backend Servizio/Altro: specifica uno o più protocolli sottoposti al bilanciamento, esempio può essere una piattaforma di e- learning che si appoggia sui seguenti protocolli: HTTP, HTTPS, FTP, SMTP,ANY; Solo il traffico relativo al protocollo viene bilanciato verso i serventi appartenenti ad un certo pool.il traffico di altro tipo non viene bilanciato. L opzione ANY implica che tutto il traffico sia bilanciato. Tipo di Bilanciamento: a seconda delle esigenze si può scegliere fra le seguenti tipologie: o Standard-Round Robing: le richieste sono assegnate a turno al primo servente libero. o Avanzato: rende disponibili 5 possibili scelte in base al tipo d applicativo o servizio da erogare (Rif. CSM Cisco). Leastconn: Si seleziona il servente con il minor numero di connessioni; Hash Url: Si seleziona il servente usando un valore Hash basato sull Url; Hash Address: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di sorgente e destinazione; Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 30 di 45

31 Source: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di sorgente; Destination: Si seleziona il servente usando un valore Hash calcolato sulla base dell indirizzo ip di destinazione; Persistenza di Sessione: serve ad identificare un metodo per cui,a parità di politiche di SLB, il client continui ad essere servito dallo stesso servente per le successive connessioni. La persistenza della connessione può essere mantenuta su base: o Source Based: livello Network della pila ISO/OSI; o Socket Based: livello Session della pila ISO/OSI; o Cockie Based: livello Application pila ISO/OSI. La durata della persistenza è regolamentata da un timer programmabile che va da 1 a minuti. Il valore di default è 1440 minuti (24 ore). Nome/Indirizzo Server in Load Balancing: serve ad identificare in maniera univoca il servente a cui verrà delegato il carico di lavoro in funzione del tipo di bilanciamento scelto. Probe: serve a misurare e monitorare la corretta erogazione del servizio. Le opzioni sono: Nota bene: o o o Nodo: verifica la raggiungibilità (a livello di rete) di una determinata macchina Servizio,tcp/udp(es. Ftp): testa in remoto se il servizio tcp/udp funziona regolarmente Url: richiede una pagina web ad una URL di gestione per testare il corretto funzionamento del servizio (tipicamente per web server) o Http: fa delle richieste http al server sulla porta specificata (di default tcp 80) o Host (se si è selezionato nodo): deve essere specificato l' indirizzo/nome della macchina di cui si vuole testare la raggiungibilità Nel caso di ambienti virtualizzati se si vuole usare l' opzione nodo deve essere specificato il nome/indirizzo della macchina fisica che ospita le macchine virtuali; mentre nelle altre tre opzioni può essere specificato l' inidrizzo/nome di una delle macchine virtuali o l' indirizzo virtuale del servizio. Nel caso di clustering si può indicare l' indirizzo virtuale del cluster o una macchina interna al cluster stesso. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 31 di 45

32 2. REGOLE FIREWALL Nel modulo Regole Firewall vanno inserite tutte le richieste riguardanti la messa in sicurezza di un servizio. Stabilire delle regole firewall serve a definire il raggio d azione di un servente il quale non deve oltrepassare la propria area di competenza.(alcuni casi specifici possono violare tale norma). Questa dipende sia dal service layer in cui risiede che da particolari requisiti ed esigenze richieste per il corretto funzionamento del servizio stesso. Di seguito sono elencate alcune linee guide: In ingresso : o Verso il FrontEnd sono permessi accessi dalla rete Internet ed Extranet. Sezione Regole Firewall o Verso il Presentation Internal Layer devono essere permessi solo accessi dalla intranet; o Verso l Application Layer possono essere permessi solo accessi dal FronEnd, P.I.L. e BE. (non dalla Intranet) o layer; In uscita o Dal FrontEnd sono permessi accessi verso la rete Internet ed Extranet. o Dal Presentation Internal Layer verso la intranet o Dall'Application Layer verso FrontEnd,P.I.L. e BE Di seguito sono mostrati i campi necessari alla creazione di una regola: Identificativo Firewall o Firewall sul quale verranno applicate le regole,ci sono a disposizione 4 opzioni; o Fw con accesso Internet, appliance dedicato che si interpone tra l IDC e Internet; o Fw con accesso Extranet, appliance dedicato che si interpone tra il DC/IDC e la Extranet; o Fw FW-BE-PIL-AL, firewalls virtualizzato che si posiziona tra i vari service layers; o Altro. Source Ip address/name: indirizzo ip o nome dell servente considerato. Destination Ip address/name: indirizzo ip o nome dell servente considerato. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 32 di 45

33 Nota bene: Nei campi Source ip address e Destination ip address possono essere definite: Liste di sottoreti: se si vuole che una determinata lista di sottoreti possa generare traffico verso una sottorete, un singolo indirizzo o una lista di indirizzi. Per esempio se nel campo "source" definiamo l' indirizzo " " e nel campo "destination" l' indirizzo " " tutti gli host della prima sottorete possono generare traffico verso tutti quelli della seconda sottorete e viceversa all interno di quella sessione. liste di indirizzi ip: se si vuole che una determinata lista di indirizzi ip possa generare traffico verso una sottorete, un singolo indirizzo o una lista di indirizzi(gli indirizzi vanno separati da segno ",") e viceversa all interno di quella sessione. Port: porta tcp o udp del servizio considerato; Nota bene: Nel campo "port" deve essere specificata la porta di destinazione a cui corrisponde un determinato protocollo. Anche in questo caso può essere definita una lista di porte. Protocol: può variare tra TCP,UDP,IP o altro. Action: indica l azione da applicare al traffico esaminato nel caso in cui sia verificata una regola firewall: o Permesso: Il traffico viene inoltrato. o Non permesso: Il traffico viene scartato. Altro/Note: campo aggiuntivo per la specifica di parametri addizionali. Nota bene: Nel caso di P.I. un firewall adotta sempre una metodologia "full inspection" ovvero i due soggetti interessati possono parlare fra loro senza problemi relativamente a una certa sessione inizializzata su una certa porta dall' host indicato sul campo "source ip address". Da notare che in questo tipo di logica solo l'host indicato nel campo "Source ip address" può inizializzare una sessione di traffico sulla porta identificata nel campo "Port". Nel caso si volesse permettere all'host identificato nel campo "destination ip address" di inizializzare a sua volta una sessione di traffico sulla porta indicata precedentemente bisogna inserire nel campo note la voce "Bidirezionale". In accordo con le politiche di sicurezza tutto ciò che non viene permesso tramite una regola esplicita viene di default non permesso. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 33 di 45

34 Regole Nat Sezione Regole NAT Il processo di NAT (Network Address Translation) è un processo per garantire la proiezione di un host su una rete a diverso indirizzamento. Secondo questo processo un indirizzo privato può essere tradotto in un indirizzo pubblico che può essere visibile su internet (RFC 1918). In questa parte devono essere definiti i seguenti campi: Identificativo Firewall: firewall sul quale verranno applicate le regole,ci sono a disposizione 4 opzioni: o Fw con accesso Internet, appliance dedicato che si interpone tra l IDC e Internet; o Fw con accesso Extranet, appliance dedicato che si interpone tra il DC/IDC e la Extranet; o Fw FW-BE-PIL-AL, firewalls virtualizzato che si posiziona tra i vari service layers; o Altro. Nat sorgente su IP pubblico o Privato: definisce se l' indirizzo verrà tradotto da privato a pubblico o viceversa Source e destination address Source e destination port: da specificare solo nel caso di Nat con Overloading Tipo di Nat: o -Statico: semplice traduzione statica di un indirizzo in un altro. In questo caso l' indirizzo sorgente verrà nattato sempre nello stesso indirizzo(corrispondenza 1:1). o -Dinamico: mappa l' indirizzo originario su un altro preso dinamicamente da una lista di possibili indirizzi. Non è garantito che l' indirizzo di partenza sia nattato sempre nello stesso indirizzo(non c'è corrispondenza 1:1). o -Overloading(PAT): le connessioni generate da un insieme di host vengono "presentate" verso l'esterno con un solo indirizzo IP. A ciascuna connessione viene assegnata una diversa porta TCP/UDP e il dispositivo che effettua il NAT associa ciascuna porta una connessione generata da un particolare host sorgente. Dinamico con overloading: Questa scelta comporta che, una volta esaurito il pool di indirizzi disponibili al nat dinamico, l'ultimo della lista sia sottoposto a un processo di overloading. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 34 di 45

35 Dettaglio server Sezione Dettaglio nodi Nel modulo Dettaglio Server vanno inseriti tutti quei dati che caratterizzano un determinato servente. E' buona norma associare ad ogni funzionalità (backup,management,erogazione) un'interfaccia di rete dedicata. Dedicando una funzione per ogni interfaccia di rete si ottiene che il carico da sopportare per singola interfaccia diminuisce notevolmente con un conseguente miglioramento in termini di affidabilità del servente stesso. Prendiamo per esempio un interfaccia che, ipoteticamente, svolga funzioni di erogazione e backup(nel caso fosse possibile farlo) la banda a disposizione per l' erogazione del servizio risulta essere notevolmente minore rispetto a quella che mette a disposizione un' interfaccia con una pura funzione di erogazione. Un altro beneficio deriva dall' ingegnerizzazione del traffico che non solo è separato in tipologie tramite instradamento su VLAN differenti(erogazione, Management, Backup, Management/Backup) ma viene differenziato anche a livello di interfaccia fisica da cui viene erogato con un aumento del livello di sicurezza non indifferente. 3. Compilazione Modulo Richiesta Service Element di Rete: Di seguito è elencata una breve descrizione dei campi da compilare: Host Name: nome del servente Layer: identifica il livello del IDC/DC sul quale verrà posto il servente o Front End; o Presentation Internal Layer(PIL); o Application Layer(AL); o Backend(BE); Tipo di host: può essere di tipo fisico o virtuale. Se virtuale nel campo macchina host deve essere specificato il nome host/indirizzo della macchina fisica che ospita la macchina virtuale in esame. Identificativo scheda rete: discrimina le varie interfacce del servente. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 35 di 45

36 Funzione: Mostra la funzione a cui sarà adibita tale scheda, può essere di: o Erogazione Senza Bilanciamento di Carico; o Erogazione Con Bilanciamento di Carico; o Management -Gestione,manutenzione; o Management/Backup; o Backup; o Interna; flussi intra-layer, clustering, ecc. High availability: funzionalità che permette di rilevare automaticamente il guasto di un interfaccia del servente e commutare le richieste dei client su un altra interfaccia dello stesso server (operazione trasparente all' utente) senza perdita di transazioni. Requisito indispensabile sono almeno 2 schede per ciascuna VLAN da porre sotto bilanciamento. Per evitare il cosiddetto single point of failure si è deciso di attestare ciascuna scheda di rete su uno switch di piano differente. La modalità consigliata è una configurazione di tipo Active-Standby. In tal caso interfaccia attiva è quella che eroga il servizio mentre quella standby subentra solo quando l active va in fault. Tutte le altre modalità sono sconsigliate in quanto sono stati riscontrati problemi di compatibilità con il bilanciamento a livello di rete. Ciò non preclude a priori,salvo una discussione con gli appositi responsabili,l utilizzo di altre modalità. Velocità: da una misura della banda a disposizione per una determinata interfaccia. Questa può operare in due modalità: full-duplex o half-duplex e ad una velocità compresa tra 10 Mbps(nel caso di Ethernet) e 100 Mbps(nel caso di fast Ethernet) o 1000 Mbps nel caso di schede gigabit-ethernet. Numero IP associati ad una NIC: In casi particolari è possibile associare più indirizzi IP ad ogni scheda di rete, sia essa fisica o virtuale; il primo della lista è il primario, i successivi sono i secondari. Trunk 802.1q (virtualizzazione): Secondo questo standard è possibile trasportare il traffico generato da interfacce virtuali appartenenti a VLAN differenti su una stessa interfaccia fisica configurata come trunk 802.1q. Nella configurazione di quest ultima interfaccia vanno specificate le Vlan a cui sono associate le NIC degli host virtuali. Ambiente virtualizzato: Qualora ci si ritrovasse in un ambiente di questo tipo si dovranno inserire ulteriori informazioni necessarie ad identificare le risorse richieste sia dai server fisici che virtuali. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 36 di 45

37 IEEE 802.1q è uno standard che permette a più reti virtuali ( vlan ) di condividere lo stesso collegamento fisico senza perdita di informazioni tra un apparato e un altro q è il nome del protocollo di incapsulamento utilizzato nel processo di trunking nelle reti Ethernet. Si procede come segue: Inserire negli opportuni campi le informazioni riguardanti le interfacce reali dei server fisici. Qual ora si volessero trasportare più reti virtuali ( vlan ) su una stessa interfaccia fisica questa sarà da configurare come trunk 802.1q specificando il vlan id delle reti virtuali che si vogliono trasportare Sezione interfaccia virtuale Per quanto riguarda le informazioni circa la singola interfaccia virtuale questa richiede la medesima configurazione necessaria alla controparte fisica. La presenza di più interfacce di rete, siano esse fisiche o virtuali, richiede lato server la configurazione di politiche di routing per l' instradamento del flusso di traffico verso una determinata destinazione. Prendiamo in esame il traffico di backup, lato server verrà configurata una politica secondo la quale tutto il traffico di backup destinato al media server dovrà essere erogato sempre dalla stessa interfaccia di rete collegata alla VLAN di backup o di management/backup. Questa configurazione viene attuata tramite l' impiego di rotte statiche che il sistema operativo del servente mette a disposizione. Configurazione rotte statiche: viene allegata una breve descrizione dei comandi usati in ambiente Unix,Windows per impostare una rotta statica necessaria per instradare i diversi flussi dati (backup,managment,erogazione)verso le rispettive reti di competenza. o Impostazione rotte statiche unix: Il comando Route manipola la tabella di IP routing del kernel. Il suo uso primario è per configurare percorsi statici (static route) verso host o reti specifiche tramite un'interfaccia, dopo che questa è stata configurata con il programma ifconfig. Parametri principali sono: Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 37 di 45

38 del : cancella una route; add: aggiunge una route; netmask: specifica la netmask per un percorso da aggiungere. net: specifica l'host o la rete di destinazione. Si può fornire un indirizzo IP nella notazione dotted decimal oppure un nome di host/rete. Sintassi comando: route add -net <Destinazione> netmask< maschera di rete destinazione> dev <interfaccia di rete di uscita> Esempio: route add -net netmask dev eth0 metric 1 aggiunge un percorso per la rete x tramite l interfaccia di uscita "eth0". Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 38 di 45

39 Impostazione rotte statiche windows il comando route consente la gestione delle tabelle di routing della rete. Questo comando è disponibile sole se installato il protocollo TCP/IP. Parametri: o f: Cancella tutte le voci relative al gateway delle tabelle di routing della rete. Se questo parametro viene utilizzato insieme ad un comando,le voci delle tabelle verranno eliminate prima dell'esecuzione del comando. o p: se utilizzato con il comando add,rende una rotta permanente anche nel caso di riavvii del sistema.se utilizzato con il comando print, visualizza l'elenco delle route permanentemente registrate. Viene ignorato se usato insieme a tutti gli altri comandi che modificano le route permanentemente specificate. Sintassi comando route<- f -p> [comando <destinazione> mask <subnetmask> <gateway> ][metric <costo>] l opzione comando specifica uno dei seguenti comandi: Print: Stampa una route Add: aggiunge una route Change: modifica una route esistente Delete: elimina una route esistente Altri parametri sono: Destinazion: indirizzo ip del dispositivo da raggiungere mask: specifica un valore per la subnet mask da associare alla voce di route. Se non è specificata, verrà utilizzato il valore gateway: specifica l'indirizzo ip dell'interfaccia di uscita per la destinazione specificata. Metric: assegna un costo complessivo, compreso tra 1 e 9999, da utilizzare per calcolare le route più veloci, più affidabili e/o meno costose. Esempio: route -p add mask metric 1 esempio default gateway,interfaccia di erogazione route -p add mask metric 1 Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 39 di 45

40 Richiesta VPN Una Virtual Private Network o VPN è una rete privata instaurata tra host o reti che comunicano attraverso un sistema di trasmissione pubblico e condiviso (internet) invece di usare canali dedicati. Il collegamento tramite VPN viene instaurato dopo una procedura di autenticazione per garantire che solo gli utenti autorizzati vi possano accedere. Inoltre per garantire la sicurezzadei dati durante il transito attraverso la rete pubblica o di terze parti il canale viene completamente cifrato. Richiesta VPN IPSEC Campi da compilare: Ragione sociale azienda Riferimento Tecnico Azienda Riferimento Poste Italiane del servizio Tipo VPN(Internet, MPLS con cifratura, MPLS senza cifratura) Numero sistemi lato cliente (max 10) Elenco sistemi Poste Italiane (separati da ; ) Spazio riservato alle opzioni per collegamento extranet via VPN INTERNET: Sezione richiesta VPN IPSEC o Autenticazione: preshared key; i due host sono a conoscenza della chiave per instaurare il tunnel VPN. Questa chiave deve essere configurata su gli apparati che terminano il tunnel VPN (VPN concentrator). o Cifratura: indica il protocollo che dovrà essere utilizzato per la cifratura del canale VPN. Si può scegliere tra 3DES-168 bits (default), AES-192 bits, AES-256 bits. Più è alto il valore dei bit usati per la cifratura migliore sarà il grado di protezione del canale; anche se una cifratura più forte richiede maggiore tempo computazionale e maggiore spreco di risorse. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 40 di 45

41 o Hashing: garantisce l' integrità del dato durante il suo transito attraverso la rete. Si può scegliere tra: MD5-128 bits(default) SHA1-160 bits. o Gruppo Diffie Helmann: usato per generare una chiave segreta che verrà scambiata attraverso il canale. Essa verrà usata per cifrare la comunicazione. Si può selezionare tra: group1-768 bits; VPN IPSEC CLIENT TO LAN group bits(default); group bits. Indirizzo internet terminazione VPN cliente: indirizzo IP dell' apparato (tipicamente un firewall o un concentratore VPN) su cui viene terminata la VPN. Sezione VPN IPSEC Client to LAN Consiste nella creazione di una rete private virtuale (VPN) per mettere in comunicazione un singolo host con un intera LAN. I campi da compilare sono: Ragione sociale azienda Riferimento Poste Italiane del servizio Numero sistemi lato cliente (max 10) Elenco sistemi Poste Italiane (separare con ";") Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 41 di 45

42 4. Altri Servizi Sezione altri servizi Vanno inseriti i dati per la richiesta di servizi aggiuntivi quali la richiesta di un dominio,web server,mail server o altro. Di seguito è elencata una breve descrizione dei campi da compilare: Nome di Dominio di 1 /2 livello (o superiore): es. rete. poste (esempio di dominio di secondo livello). Pubblico/Privato: indica se il dominio sarà visibile solo alla intranet aziendale o anche al resto della rete pubblica. Nel caso in cui il dominio sarà visibile alla rete pubblica si avvierà un processo di registrazione del dominio verso un provider (es. Telecom Italia). Operazione Richiesta: verifica se la richiesta comporta la registrazione di un nuovo dominio o lo spostamento di uno già precedentemente registrato. Sono disponibili le seguenti opzioni: Registrazione Spostamento Intestatario Dominio: identifica il nome del responsabile. Rif: va inserito,se possibile,un recapito dell intestatario sia esso telefonico o di altro tipo. Servizio: identifica il tipo di servizio erogato. Sono disponibili le seguenti opzioni: o Web server; o Mail server; o Altro,altro tipo di servizio. Nome Server/Servizio: es. può essere il nome della applicazione web. Indirizzo IP/Identificativo Server: va inserito l indirizzo ip/nome host che conterrà i servizi sopra citati. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 42 di 45

43 5. Schema di rete Si deve inserire uno schema che mostrerà come il servizio da installare,modificare,dismettere andrà ad impattare e interagire sulla infrastruttura di rete esistente attraverso i vari service layer. Questo per maggiore chiarezza può essere integrato con un disegno architetturale. Nello schema di rete si deve cercare di astrarre e non inserire dettagli implementativi come indirizzi ip,versioni O.S. o altro. Questi verranno poi rappresentati sullo schema architetturale. Sezione schema architetturale Come si può notare non sono mostrati dettagli implementativi,ma solo come i dispositivi del sistema considerato vanno a posizionarsi nell architettura di rete esistente. Nota bene: Nel caso debbano essere rappresentati sistemi virtualizzati questi vanno rappresentati come se fossero dei server fisici. Un suggerimento sarebbe assegnare ad ogni server un numero che lo identificherà univocamente facendoci capire attraverso una descrizione posta al lato dello schema quali sono i server fisici e quali non lo sono. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 43 di 45

44 Di seguito viene mostrato un esempio Sezione schema di rete in ambiente virtualizzato Come si può vedere i dettagli riguardo l architettura del FE layer e BE layer, non interattivi col sistema considerato, vengano del tutto ignorati. Di contro sono mostrati con i dovuti dettagli le caratteristiche dei layer associati ai serventi utilizzati. Siracusa Alessandro per ELIS TM 7 - Luglio 2007 Pagina 44 di 45

Firewall applicativo per la protezione di portali intranet/extranet

Firewall applicativo per la protezione di portali intranet/extranet Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)

Dettagli

IT Cloud Service. Semplice - accessibile - sicuro - economico

IT Cloud Service. Semplice - accessibile - sicuro - economico IT Cloud Service Semplice - accessibile - sicuro - economico IT Cloud Service - Cos è IT Cloud Service è una soluzione flessibile per la sincronizzazione dei file e la loro condivisione. Sia che si utilizzi

Dettagli

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente Cos'è una vlan Da Wikipedia: Una LAN virtuale, comunemente detta VLAN, è un gruppo di host che comunicano tra di loro come se fossero collegati allo stesso cablaggio, a prescindere dalla loro posizione

Dettagli

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio Allegato Servizio Hosting Virtual DataCenter di Regione Lombardia per l ENTE UCL Asta del Serio Contesto Il percorso condotto da Regione Lombardia (RL) per la razionalizzazione dei CED degli ENTI si inserisce

Dettagli

Allegato 3 Sistema per l interscambio dei dati (SID)

Allegato 3 Sistema per l interscambio dei dati (SID) Sistema per l interscambio dei dati (SID) Specifiche dell infrastruttura per la trasmissione delle Comunicazioni previste dall art. 11 comma 2 del decreto legge 6 dicembre 2011 n.201 Sommario Introduzione...

Dettagli

Lo scenario: la definizione di Internet

Lo scenario: la definizione di Internet 1 Lo scenario: la definizione di Internet INTERNET E UN INSIEME DI RETI DI COMPUTER INTERCONNESSE TRA LORO SIA FISICAMENTE (LINEE DI COMUNICAZIONE) SIA LOGICAMENTE (PROTOCOLLI DI COMUNICAZIONE SPECIALIZZATI)

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

lem logic enterprise manager

lem logic enterprise manager logic enterprise manager lem lem Logic Enterprise Manager Grazie all esperienza decennale in sistemi gestionali, Logic offre una soluzione modulare altamente configurabile pensata per la gestione delle

Dettagli

Descrizione generale del sistema SGRI

Descrizione generale del sistema SGRI NEATEC S.P.A. Il sistema è un sito WEB intranet realizzato per rappresentare logicamente e fisicamente, in forma grafica e testuale, le informazioni e le infrastrutture attive e passive che compongono

Dettagli

I MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale

I MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale La soluzione modulare di gestione del Sistema Qualità Aziendale I MODULI Q.A.T. - Gestione clienti / fornitori - Gestione strumenti di misura - Gestione verifiche ispettive - Gestione documentazione del

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 6

MANUALE DELLA QUALITÀ Pag. 1 di 6 MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.

Dettagli

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale Network Monitoring & Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale Nicholas Pocher Poker SpA - Settimo Torinese, Novembre 2013 1 Indice Il Network Monitoring:

Dettagli

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8) RETI DI COMPUTER Reti Geografiche (Sez. 9.8) Riepilogo Reti lez precedente reti locali o LAN (Local Area Network): connette fisicamente apparecchiature su brevi distanze Una LAN è solitamente interna a

Dettagli

Attività federale di marketing

Attività federale di marketing Attività federale di marketing Gestione e certificazione delle sponsorizzazioni Il Feedback Web Nel piano di sviluppo della propria attività di marketing, la FIS ha adottato il sistema Feedback Web realizzato

Dettagli

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento

Dettagli

Creare una Rete Locale Lezione n. 1

Creare una Rete Locale Lezione n. 1 Le Reti Locali Introduzione Le Reti Locali indicate anche come LAN (Local Area Network), sono il punto d appoggio su cui si fonda la collaborazione nel lavoro in qualunque realtà, sia essa un azienda,

Dettagli

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati. LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright

Dettagli

Sistemi Informativi e Sistemi ERP

Sistemi Informativi e Sistemi ERP Sistemi Informativi e Sistemi Trasformare i dati in conoscenza per supportare le decisioni CAPODAGLIO E ASSOCIATI 1 I SISTEMI INFORMATIVI LI - E IMPRESA SISTEMA DI OPERAZIONI ECONOMICHE SVOLTE DA UN DATO

Dettagli

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili Il servizio di registrazione contabile che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili Chi siamo Imprese giovani e dinamiche ITCluster nasce a Torino

Dettagli

SICUREZZA INFORMATICA PER L UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO

SICUREZZA INFORMATICA PER L UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO SICUREZZA INFORMATICA PER L UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO Comuni di Ardesio, Oltressenda Alta, Piario e Villa d Ogna UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO, P.ZZA M.GRAPPA, ARDESIO (BG) Tel.

Dettagli

LA MIGRAZIONE IN SEMPLICI STEP. Il moving di una macchina Linux sul Cloud Server Seeweb

LA MIGRAZIONE IN SEMPLICI STEP. Il moving di una macchina Linux sul Cloud Server Seeweb LA MIGRAZIONE IN SEMPLICI STEP Il moving di una macchina Linux sul Cloud Server Seeweb La migrazione in semplici step [ 1 ] Indice 1. Perché cambiare provider 2. La migrazione in pillole 3. Come cambiare

Dettagli

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale. E una realtà nelle tecnologie informatiche dal 1990. Dalla nascita del nucleo iniziale, con le attività di assistenza tecnica e di formazione, alla realtà attuale, di specialisti a tutto campo nei servizi

Dettagli

Firewall e Abilitazioni porte (Port Forwarding)

Firewall e Abilitazioni porte (Port Forwarding) Firewall e Abilitazioni porte (Port Forwarding) 1 Introduzione In questa mini-guida mostreremo come creare le regole sul Firewall integrato del FRITZ!Box per consentire l accesso da Internet a dispositivi

Dettagli

I livelli di Sicurezza

I livelli di Sicurezza Appendice Allegato D Allegato Tecnico I livelli di Sicurezza TC.Marketing ICT Appendice Allegato Tecnico 1 Indice del documento 1 La sicurezza dei Data Center di Telecom Italia... 3 1.1 Sicurezza dei processi

Dettagli

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati Affidabilità nel servizio precisione negli strumenti Chanda LPR Chanda LPR è una piattaforma

Dettagli

REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE

REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE Bando pubblico per lo sviluppo della rete a Banda Larga nelle aree a fallimento di mercato finalizzato al superamento

Dettagli

Scenario di Progettazione

Scenario di Progettazione Appunti del 3 Ottobre 2008 Prof. Mario Bochicchio SCENARIO DI PROGETTAZIONE Scenario di Progettazione Il Committente mette a disposizione delle risorse e propone dei documenti che solitamente rappresentano

Dettagli

SOLUZIONE Web.Orders online

SOLUZIONE Web.Orders online SOLUZIONE Web.Orders online Gennaio 2005 1 INDICE SOLUZIONE Web.Orders online Introduzione Pag. 3 Obiettivi generali Pag. 4 Modulo di gestione sistema Pag. 5 Modulo di navigazione prodotti Pag. 7 Modulo

Dettagli

Architettura del sistema

Architettura del sistema 18/06/15 I N D I C E 1 INTRODUZIONE... 2 2 DEFINIZIONE DEGLI OBIETTIVI... 2 3 PROGETTO DI MASSIMA... 3 3.1 REQUISITI DELLA SOLUZIONE... 4 4 LA SOLUZIONE... 4 4.1 IL NUCLEO CENTRALE... 5 4.1.1 La gestione

Dettagli

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet Indirizzi Internet e Protocolli I livelli di trasporto delle informazioni Comunicazione e naming in Internet Tre nuovi standard Sistema di indirizzamento delle risorse (URL) Linguaggio HTML Protocollo

Dettagli

Sistemi informativi secondo prospettive combinate

Sistemi informativi secondo prospettive combinate Sistemi informativi secondo prospettive combinate direz acquisti direz produz. direz vendite processo acquisti produzione vendite INTEGRAZIONE TRA PROSPETTIVE Informazioni e attività sono condivise da

Dettagli

Premesso che il Sistema di e-learning federato per la pubblica amministrazione dell Emilia-Romagna (SELF):

Premesso che il Sistema di e-learning federato per la pubblica amministrazione dell Emilia-Romagna (SELF): CONVENZIONE PER L ADESIONE AL SISTEMA DI E-LEARNING FEDERATO DELL EMILIA-ROMAGNA PER LA PUBBLICA AMMINISTRAZIONE E L UTILIZZO DEI SERVIZI PER LA FORMAZIONE Premesso che il Sistema di e-learning federato

Dettagli

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi Servizi di Sicurezza Informatica Antivirus Centralizzato per Intranet CEI-Diocesi Messina, Settembre 2005 Indice degli argomenti 1 Antivirus Centralizzato...3 1.1 Descrizione del servizio...3 1.2 Architettura...4

Dettagli

Protezione della propria rete

Protezione della propria rete Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione

Dettagli

Offerta Enterprise. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS.

Offerta Enterprise. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS. Servizi di Telefonia Avanzata e Internet a Larga Banda. Offerta Enterprise Enterprise

Dettagli

La Guida per l Organizzazione degli Studi professionali

La Guida per l Organizzazione degli Studi professionali La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it

Dettagli

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1) La gestione di un calcolatore Sistemi Operativi primo modulo Introduzione Augusto Celentano Università Ca Foscari Venezia Corso di Laurea in Informatica Un calcolatore (sistema di elaborazione) è un sistema

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 1

Corso di Amministrazione di Sistema Parte I ITIL 1 Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM

Dettagli

2 Gli elementi del sistema di Gestione dei Flussi di Utenza

2 Gli elementi del sistema di Gestione dei Flussi di Utenza SISTEMA INFORMATIVO page 4 2 Gli elementi del sistema di Gestione dei Flussi di Utenza Il sistema è composto da vari elementi, software e hardware, quali la Gestione delle Code di attesa, la Gestione di

Dettagli

MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA

MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA Fornitore: Publisys Prodotto: Intranet Provincia di Potenza http://www.provincia.potenza.it/intranet Indice 1. Introduzione... 3 2. I servizi dell Intranet...

Dettagli

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA Sicurezza Network, hardware e software Claudio Giovanzana Direzioni Sistemi Informativi Ospedale H San Raffaele Milano, 18 gennaio 2007 1 Sicurezza: Definizione

Dettagli

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico Presidenza della Giunta Ufficio Società dell'informazione ALLEGATO IV Capitolato tecnico ISTRUZIONI PER L ATTIVAZIONE A RICHIESTA DEI SERVIZI DI ASSISTENZA SISTEMISTICA FINALIZZATI ALLA PROGETTAZIONE E

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Outsourcing. 1. Orienta Direct Software

Outsourcing. 1. Orienta Direct Software Outsourcing La Orienta Direct nasce nel 1994 come società specializzata nella gestione in outsourcing di servizi aziendali e fa parte di un gruppo insieme alla Orienta Agenzia per il Lavoro. Sempre più

Dettagli

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione Area Rete Unitaria - Sezione Interoperabilità Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica

Dettagli

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING Febbraio Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING COS E UN

Dettagli

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti Si rivolge a: Forza vendita diretta Agenti Responsabili vendite Il catalogo MARKET Responsabili commerciali Imprenditori con responsabilità diretta sulle vendite 34 di imprese private e organizzazioni

Dettagli

M U L T I F A M I L Y O F F I C E

M U L T I F A M I L Y O F F I C E MULTI FAMILY OFFICE Un obiettivo senza pianificazione è solamente un desiderio (Antoine de Saint-Exupéry) CHI SIAMO MVC & Partners è una società che offre servizi di Multi Family Office a Clienti dalle

Dettagli

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise Manuale Amministratore Legalmail Enterprise Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise Pagina 2 di 16 Manuale Amministratore Legalmail Enterprise Introduzione a Legalmail Enterprise...3

Dettagli

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto

Dettagli

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology Virtualization Strutturare per semplificare la gestione Communication Technology Ottimizzare e consolidare Le organizzazioni tipicamente si sviluppano in maniera non strutturata e ciò può comportare la

Dettagli

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico

Dettagli

DELIBERAZIONE N. 30/7 DEL 29.7.2014

DELIBERAZIONE N. 30/7 DEL 29.7.2014 Oggetto: Assegnazione all Azienda ASL n. 8 di Cagliari dell espletamento della procedura per l affidamento del servizio di realizzazione del sistema informatico per la gestione dell accreditamento dei

Dettagli

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

LA GESTIONE DELLE VISITE CLIENTI VIA WEB LA GESTIONE DELLE VISITE CLIENTI VIA WEB L applicazione realizzata ha lo scopo di consentire agli agenti l inserimento via web dei dati relativi alle visite effettuate alla clientela. I requisiti informatici

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

SISTEMA INFORMATIVO AGRICOLO REGIONALE AGGIORNAMENTO PROGETTO OPERATIVO PER LA REALIZZAZIONE DELLA RETE DI COMUNICAZIONE

SISTEMA INFORMATIVO AGRICOLO REGIONALE AGGIORNAMENTO PROGETTO OPERATIVO PER LA REALIZZAZIONE DELLA RETE DI COMUNICAZIONE S.I.A.R. SISTEMA INFORMATIVO AGRICOLO REGIONALE AGGIORNAMENTO PROGETTO OPERATIVO PER LA REALIZZAZIONE DELLA RETE DI COMUNICAZIONE - Luglio 2005 - --- Servizio Affari Generali e Amministrativi, Sistema

Dettagli

I SERVIZI DI DATA VENDING DI BORSA ITALIANA. Milano 3 Ottobre 2005. Training & Congress Center - Palazzo Mezzanotte

I SERVIZI DI DATA VENDING DI BORSA ITALIANA. Milano 3 Ottobre 2005. Training & Congress Center - Palazzo Mezzanotte I SERVIZI DI DATA VENDING DI BORSA ITALIANA Milano Training & Congress Center - Palazzo Mezzanotte La soluzione ASP di BIt Systems Titolo capitolo I Servizi di Data Vending di Borsa Italiana Offre soluzioni

Dettagli

Hardware delle reti LAN

Hardware delle reti LAN Hardware delle reti LAN Le reti LAN utilizzano una struttura basata su cavi e concentratori che permette il trasferimento di informazioni. In un ottica di questo tipo, i computer che prendono parte allo

Dettagli

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Avviso di mancata consegna L avviso, emesso dal sistema, per indicare l anomalia

Dettagli

PostaCertificat@ Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

PostaCertificat@ Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@ PostaCertificat@ Postecom S.p.A. Poste Italiane S.p.A. Telecom Italia S.p.A. Pag. 1/5 LA SICUREZZA DEL SERVIZIO PostaCertificat@ Limitazione delle comunicazioni - il servizio di comunicazione PostaCertificat@

Dettagli

Progetto Atipico. Partners

Progetto Atipico. Partners Progetto Atipico Partners Imprese Arancia-ICT Arancia-ICT è una giovane società che nasce nel 2007 grazie ad un gruppo di professionisti che ha voluto capitalizzare le competenze multidisciplinari acquisite

Dettagli

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB Descrizione Time@Web rappresenta l applicazione per la gestione delle presenze via Web. Nel contesto dell ambiente START, Solari ha destinato questa soluzione

Dettagli

Servizi ASP. ASP su Centro Servizi TeamSystem Contratto e SLA

Servizi ASP. ASP su Centro Servizi TeamSystem Contratto e SLA ASP su Centro Servizi TeamSystem Contratto e SLA 1. INTRODUZIONE Con l offerta ASP su centro Servizi TeamSystem TeamSystem mette a disposizione dei propri Clienti una serie di servizi presso i propri Internet

Dettagli

C3 indirizzo Elettronica ed Elettrotecnica Profilo

C3 indirizzo Elettronica ed Elettrotecnica Profilo C3 indirizzo Elettronica ed Elettrotecnica Profilo Il Diplomato in Elettronica ed Elettrotecnica : - ha competenze specifiche nel campo dei materiali e delle tecnologie costruttive dei sistemi elettrici,

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

Strategie e Operatività nei processi di backup e restore

Strategie e Operatività nei processi di backup e restore Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali

Dettagli

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare

Dettagli

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche Software di sistema e software applicativo I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche Software soft ware soffice componente è la parte logica

Dettagli

Reti di Calcolatori. Il software

Reti di Calcolatori. Il software Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla

Dettagli

PROFILO AZIENDALE NET STUDIO 2015

PROFILO AZIENDALE NET STUDIO 2015 PROFILO AZIENDALE NET STUDIO 2015 NET STUDIO 2015 Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration,

Dettagli

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) CONSIP S.p.A. Allegato 6 Capitolato tecnico Capitolato relativo all affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) Capitolato Tecnico

Dettagli

Progetto TIC (trasparenza- informatica-comunicazione)

Progetto TIC (trasparenza- informatica-comunicazione) Progetto TIC (trasparenza- informatica-comunicazione) Il quadro normativo di seguito riportato evidenzia il ruolo che la Provincia avrà quale ente con funzioni di area vasta che potrà essere di supporto

Dettagli

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0 Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente

Dettagli

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow SCHEDA PRODOTTO PAG. 1 J O B T I M E W F Variazioni mensili al cartellino presenze Versione 6.1 SCHEDA PRODOTTO PAG. 2 INTRODUZIONE Il mercato degli applicativi informatici si sta consolidando sempre più

Dettagli

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata. Sommario A cosa serve InfoWEB?... 3 Quali informazioni posso comunicare o ricevere?... 3 Cosa significa visualizzare le informazioni in maniera differenziata in base al livello dell utente?... 4 Cosa significa

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Allegato 2 Modello offerta tecnica

Allegato 2 Modello offerta tecnica Allegato 2 Modello offerta tecnica Allegato 2 Pagina 1 Sommario 1 PREMESSA... 3 1.1 Scopo del documento... 3 2 Architettura del nuovo sistema (Paragrafo 5 del capitolato)... 3 2.1 Requisiti generali della

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Telecontrollo. Come poter controllare in remoto l efficienza del vostro impianto

Telecontrollo. Come poter controllare in remoto l efficienza del vostro impianto Telecontrollo Come poter controllare in remoto l efficienza del vostro impianto AUTORE: Andrea Borroni Weidmüller S.r.l. Tel. 0266068.1 Fax.026124945 aborroni@weidmuller.it www.weidmuller.it Ethernet nelle

Dettagli

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico

Dettagli

IL CENTRALINO VoIP. Schema progetto: Work-flow. Hydra Control

IL CENTRALINO VoIP. Schema progetto: Work-flow. Hydra Control IL CENTRALINO VoIP Molto più di un centralino, e soprattutto, un centralino in cui gli interni possono non avere una collocazione esterna all azienda, senza alcuna posizione fisica. Schema progetto: Work-flow

Dettagli

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio

Dettagli

Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente

Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente Controllo di Gestione e Misurazione delle Performance: l integrazione delle competenze, la valorizzazione delle differenze e la tecnologia

Dettagli

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione I semestre 04/05 Comunicazione tra Computer Protocolli Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/professori/auletta/ Università degli studi di Salerno Laurea in Informatica 1

Dettagli

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda Fa quadrato attorno alla tua azienda Soluzioni software per L archiviazione elettronica dei documenti Perché scegliere Q Archiviazione Elettronica dei Documenti? Tale applicativo si pone come obbiettivo

Dettagli

Approccio stratificato

Approccio stratificato Approccio stratificato Il sistema operativo è suddiviso in strati (livelli), ciascuno costruito sopra quelli inferiori. Il livello più basso (strato 0) è l hardware, il più alto (strato N) è l interfaccia

Dettagli

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente Pag. 1 di 15 VERS V01 REDAZIONE VERIFICHE E APPROVAZIONI CONTROLLO APPROVAZIONE AUTORIZZAZIONE EMISSIONE NOME DATA NOME DATA NOME DATA A. Marchisio C. Pernumian 29/12/2014 M. Molino 27/02/2015 M. Molino

Dettagli

INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP

INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP Un indirizzo IP è composto da 32 bit. Generalmente, per convenienza, è presentato in decimale: 4 ottetti (bytes) separati da un punto. Ogni rete fisica

Dettagli

Versione 1. (marzo 2010)

Versione 1. (marzo 2010) ST 763-27 - Soluzione tecnica di interconnessione per i servizi SMS e MMS a sovrapprezzo Allegato 1 - Linee guida per l interfaccia di accesso tra operatore telefonico ed il CSP Versione 1 (marzo 2010)

Dettagli

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius L obiettivo del presente progetto consiste nel sostituire il sistema di autenticazione

Dettagli

Soluzioni integrate per la gestione del magazzino

Soluzioni integrate per la gestione del magazzino Soluzioni integrate per la gestione del magazzino whsystem Light è la versione di whsystem dedicata alla gestione di magazzini convenzionali. Questa variante prevede un modulo aggiuntivo progettato per

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di

Dettagli

3. Introduzione all'internetworking

3. Introduzione all'internetworking 3. Introduzione all'internetworking Abbiamo visto i dettagli di due reti di comunicazione: ma ce ne sono decine di tipo diverso! Occorre poter far comunicare calcolatori che si trovano su reti di tecnologia

Dettagli

Base di dati e sistemi informativi

Base di dati e sistemi informativi Base di dati e sistemi informativi Una base di dati è un insieme organizzato di dati opportunamente strutturato per lo svolgimento di determinate attività La base di dati è un elemento fondamentale per

Dettagli

PROCEDURE DI FIRMA PER I PIP PRESENTATI NEI BANDI APPRENDISTATO

PROCEDURE DI FIRMA PER I PIP PRESENTATI NEI BANDI APPRENDISTATO PROCEDURE DI FIRMA PER I PIP PRESENTATI NEI BANDI APPRENDISTATO 1 - INTRODUZIONE Scopo del presente documento è descrivere le procedure attuabili per la firma dei PIP presentati nei bandi apprendistato

Dettagli

CLOUD AWS. #cloudaws. Community - Cloud AWS su Google+ Amazon Web Services. Amazon VPC (Virtual Private Cloud)

CLOUD AWS. #cloudaws. Community - Cloud AWS su Google+ Amazon Web Services. Amazon VPC (Virtual Private Cloud) Community - Cloud AWS su Google+ Web Services VPC (Virtual Private Cloud) Oggi vediamo le caratteristiche generali del servizio di VPC per creare una rete virtuale nel cloud. Hangout 29 del 27.10.2014

Dettagli

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali CL AS SE INFORMATICA 6(3) 6(4) - 6(4) SISTEMI E RETI 4(2) 4(2) 4(2) TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI COMPETENZE 3 Essere in grado di sviluppare semplici applicazioni

Dettagli

Linee guida per le Scuole 2.0

Linee guida per le Scuole 2.0 Linee guida per le Scuole 2.0 Premesse Il progetto Scuole 2.0 ha fra i suoi obiettivi principali quello di sperimentare e analizzare, in un numero limitato e controllabile di casi, come l introduzione

Dettagli