Aspetti tecnici Progetto «Scuole in Internet» (SAI)



Documenti analoghi
Aspetti tecnici Progetto «Scuole in Internet» (SAI)

Lista di controllo per la migrazione del dominio a Swisscom/IP-Plus

Domanda di sponsorizzazione per il collegamento Standard alla rete scolastica cantonale

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Lo scenario: la definizione di Internet

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Dal protocollo IP ai livelli superiori

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Sicurezza applicata in rete

Firewall e Abilitazioni porte (Port Forwarding)

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

lem logic enterprise manager

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

Sicurezza architetturale, firewall 11/04/2006

Impostare il ridirezionamento di porta

Modulo Antivirus per Petra 3.3. Guida Utente

Simulazione seconda prova Sistemi e reti Marzo 2016

Verifica scritta di Sistemi e Reti Classe 5Di

Esercizio progettazione rete ex-novo

SISTEMA INFORMATIVO AGRICOLO REGIONALE AGGIORNAMENTO PROGETTO OPERATIVO PER LA REALIZZAZIONE DELLA RETE DI COMUNICAZIONE

Firewall applicativo per la protezione di portali intranet/extranet

Caratteristiche generali dell offerta Server

DEPLIANT INFORMATIVO DI PRESENTAZIONE AZIENDALE

Esempio di rete aziendale

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Pool LAN DHCP con indirizzi IP fissi pubblici

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Collegamento remoto vending machines by do-dots

Progettare un Firewall

Offerta Enterprise. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS.

La sicurezza delle reti

Reti di Calcolatori: una LAN

2 Gli elementi del sistema di Gestione dei Flussi di Utenza

SWITCH. 100 Mb/s (UTP cat. 5E) Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

Client - Server. Client Web: il BROWSER

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

RETI INFORMATICHE Client-Server e reti paritetiche

Andrea Gradella. Coordinatore divisione antivirus di Symbolic S.p.A.

Fatti Raggiungere dal tuo Computer!!

Servizio di Posta elettronica Certificata (PEC)

Servizio di Posta elettronica Certificata (PEC)

Elementi sull uso dei firewall

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

SIEMENS GIGASET C450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

SIEMENS GIGASET S685 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

SCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI. Fabrizio Cassoni Content Security Manager

Davide Casale, Politecnico di Torino

Configurazione di Outlook Express

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Indirizzamento privato e NAT

Domande e risposte su Avira ProActiv Community

SEGNALIBRO NON È DEFINITO.

Servizio di Posta elettronica Certificata (PEC)

IT Cloud Service. Semplice - accessibile - sicuro - economico

Guida alla configurazione

CitySoftware PROTOCOLLO. Info-Mark srl

LE POSSIBILITA' DI ACCESSO DA REMOTO ALLE RETI DI CALCOLATORI

Sicurezza e rispetto della privacy, finalmente non in conflitto.

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

TeamPortal. Servizi integrati con ambienti Gestionali

Knowledge Management

1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale

Hardware delle reti LAN

Approfondimento tecnico servizio WDSL

Sicurezza nelle reti

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

Internet Banking per le imprese. Guida all utilizzo sicuro

Violazione dei dati aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Creare una Rete Locale Lezione n. 1

Si applica a: Windows Server 2008

COMPLESSO SCOLASTICO INTERNAZIONALE GIOVANNI PAOLO II. Pianificazione di reti IP (subnetting)

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Hardware e Software nelle Reti

Internet e posta elettronica. A cura di Massimiliano Buschi

Teleassistenza Siemens

Modelli di rete aziendale port forward PAT PAT NAT + PAT NAT table

1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria

Servizio di Posta elettronica Certificata (PEC)

L infrastruttura di rete

PREMESSA GENERALE Abbiamo deciso di svolgere, per sommi capi, tutti gli argomenti che si potevano affrontare rispondendo alla traccia proposta.

VoipExperts.it SkyStone - Introduzione

Soluzione per reti WI FI

VPN CIRCUITI VIRTUALI

Aethra Star Voice 1204

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

ALICE AMMINISTRAZIONE UTENTI WEB

CONDIZIONI PARTICOLARI PER GLI INDIRIZZI IP AGGIUNTIVI Versione del 29 Novembre 2012

Telecontrollo. Come poter controllare in remoto l efficienza del vostro impianto

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

SuisseGest CLOUD ERP PER LE AZIENDE SVIZZERE

LA BANDA LARGA IN VAL SUSA È REALTÀ

Configurazione client di posta elettronica per il nuovo servizio . Parametri per la Configurazione dei client di posta elettronica

Seqrite TERMINATOR (UTM) Soluzione Unificata per la Gestione di Minacce.

1. Indice Uno shop pronto alla vendita in pochi passaggi Registrazione Il suo assistente di installazione...

Transcript:

Aspetti tecnici (SAI) 3 CONTENUTO 1 Scopo... 2 2 Principi... 3 3 Ricapitolazione della soluzione... 4 4 Indirizzi IP... 4 5 Security Policy... 4 6 Interconnessione LAN inhouse... 4 7 Organizzazione e gestione... 5 8 Mailbox con hosting presso ISP... 5 Autenticazione SMTP... 5 IP-Plus Mail Relay... 5 9 Server DNS... 5 10 Serie di indirizzi IP privata (zona INTRANET)... 6 11 Serie di indirizzi IP pubblica (zona Public_Servers)... 6 12 Firewall proprietari delle scuole... 6 1/7

1 Scopo Swisscom (Svizzera) SA offre ai Cantoni, a condizioni esclusive, una «rete scolastica» che integra le LAN (reti locali) delle scuole in un unica infrastruttura di comunicazione con larghezze di banda e tempi di risposta garantiti e che consente l accesso a un collegamento Internet centrale con un elevata larghezza di banda. Una volta effettuato il collegamento in rete, le allieve e gli allievi nonché gli insegnanti della scuola possono navigare gratuitamente in Internet, senza limiti di tempo né di volume. La sicurezza è garantita da un firewall centrale che protegge la rete contro gli accessi e gli interventi da e verso l esterno non autorizzati. La presente direttiva contiene le condizioni quadro tecniche e organizzative da osservare per il collegamento delle scuole all interno del Cantone. Offerta «Standard» > SecurePop Managed Firewall che protegge da accessi dall esterno non autorizzati. > Web Content Screening, filtraggio dei contenuti che impedisce l accesso a contenuti inadeguati in Internet. Offerta «Extra» e «Special» > VDSL Business Access entry (fino a 30/10 Mbit/s) > Office Access in fibra ottica (fino a 50/10 Mbit/s) > Business Enterprise Access (a partire da 2/2 Mbit/s e fino a 200/200 Mbit/s) Per i collegamenti con larghezze di banda maggiori («Extra» e «Special») decide il Cantone chi mette a disposizione la soluzione di sicurezza. 2/7

2 Principi La rete scolastica impiegata per collegare le suole a Internet è completamente indipendente dalle reti amministrative dei singoli Cantoni. Le comunicazioni con i servizi cantonali interni (non le scuole) e le altre reti cantonali del settore dell insegnamento avvengono esclusivamente attraverso il firewall Internet centrale della rete scolastica cantonale (un firewall per ogni rete cantonale). Swisscom SA gestisce un helpdesk per ognuna delle reti scolastiche. I guasti possono essere segnalati a Swisscom SA unicamente dal servizio di coordinamento cantonale, al quale le scuole sono tenute a rivolgersi in caso di guasto. I costi d installazione relativi al cablaggio all interno delle scuole, effettuato da elettricisti in possesso della concessione e necessario per il collegamento alla rete scolastica, sono a carico delle scuole (risp. dei Cantoni). Nei loro locali, le scuole devono garantire condizioni ambientali adeguate (MODEM, router). 3/7

3 Ricapitolazione della soluzione La rete implementata e gestita da Swisscom SA verte sui suoi servizi LAN-I e Managed Firewall expert. Le scuole allacciano i loro terminali (PC, stampanti) a una rete Ethernet LAN e collegano la rete al router CISCO di Swisscom SA sul posto. In ogni Cantone, l insieme dei router interconnessi rappresenta una rete chiusa di livello 3 con interconnessione any-to-any che dispone di un unico accesso a Internet centrale e sicuro. Quale elemento di protezione viene impiegato un firewall (Managed Firewall expert) basato su una norma (policy) valida per tutte le scuole collegate. A titolo facoltativo è disponibile un Web Content Screening. Per ogni rete cantonale si può definire quali categorie devono essere consentite o bloccate. Con l ausilio di un numero limitato di voci in una black o white list è possibile adeguare i filtri a esigenze specifiche. 4 Indirizzi IP Swisscom SA allestisce il piano di indirizzamento IP in virtù del quale ogni scuola riceve una serie di indirizzi IP univoca. In seguito al nuovo piano di indirizzi, le scuole devono adattare gli indirizzi IP interni esistenti. I terminali delle scuole devono essere indirizzati in modo fisso oppure attraverso il DHCP della scuola. La funzione DHCP non è parte integrante della soluzione Swisscom. A tal fine occorre impiegare la serie di indirizzi assegnata a ogni scuola. I primi cinque indirizzi IP (di ogni sottorete) sono riservati a Swisscom SA e non possono essere utilizzati. 5 Security Policy La policy implementata nel firewall centrale di ogni rete scolastica cantonale vale per tutte le scuole collegate. Su richiesta dei responsabili dell istruzione è stata deliberatamente implementata una norma di sicurezza meno restrittiva di quelle solitamente impiegate per i firewall in ambito commerciale. Di conseguenza, i rischi a livello di sicurezza sono maggiori. Il firewall centrale non effettua né l autenticazione degli utenti né la scansione dei virus. 6 Interconnessione LAN inhouse Alla rete LAN e agli apparecchi periferici allacciati (PC, stampanti) vengono assegnati indirizzi IP privati conformemente al piano di indirizzi IP allestito da Swisscom SA. Eventuali mezzi ausiliari per l amministrazione delle reti, come server DNS o server DHCP, devono essere procurati e gestiti dalle scuole/dai Cantoni. 4/7

7 Organizzazione e gestione In ogni Cantone viene istituito un servizio di coordinamento centrale per la rete scolastica cantonale che è responsabile, nei confronti di Swisscom SA e delle scuole collegate, dei seguenti compiti: elaborare e inoltrare le richieste delle scuole cantonali; elaborare modifiche della configurazione del firewall centrale da sottoporre a Swisscom SA; fungere da unico servizio di contatto per le scuole in caso di guasti tecnici o interruzioni dell esercizio della rete scolastica cantonale; assumere il ruolo di unico servizio cantonale che funge da interfaccia con l helpdesk SAI di Swisscom SA. Ogni scuola deve definire un responsabile tecnico. I guasti che si verificano all interno della rete scolastica cantonale devono essere segnalati ai servizi di coordinamento cantonali dai rispettivi responsabili tecnici. Informazioni tecniche 8 Mailbox con hosting presso ISP Di solito i provider di posta elettronica consentono l invio di e-mail tramite i loro server soltanto a partire dalla propria serie di indirizzi IP. Per poter inviare comunque delle e-mail a partire da account di posta elettronica esterni tramite le reti SAI esistono due possibilità: Autenticazione SMTP Oggi la maggior parte dei provider di posta elettronica offre l autenticazione SMTP. È il metodo più semplice per inviare e-mail attraverso un server SMPT esterno. IP-Plus Mail Relay La scuola configura sui client il mail server IP-Plus mailhub.ip-plus.net come server SMTP per l invio di e- mail (al posto ad es. di mail.bluewin.ch). Tale server è stato messo a disposizione appositamente per «Scuole in Internet» e sostituisce i due server indicati in passato: mailhost.ip-plus.net smtp.ip-plus.net Se nelle scuole viene ancora utilizzato uno di questi server, occorrerebbe pianificare al più presto un passaggio al nuovo server. 9 Server DNS Se non gestisce un server DNS proprio, la scuola può inserire sui client e sui server i due seguenti server DNS IP-Plus: sdns1.ip-plus.net 164.128.36.36 sdns2.ip-plus.net 164.128.36.37 I server DNS standard di IP-Plus non sono a disposizione per SAI. 5/7

10 Serie di indirizzi IP privata (zona INTRANET) Il piano di indirizzi IP di Swisscom prevede indirizzi della serie privata 10.x.x.x per i computer nelle scuole. Il firewall SecurePoP centrale di ogni Cantone consente, per questa serie di indirizzi, tutti i servizi usuali di cui necessita un PC (http, ftp, pop3, smtp ecc.). Su richiesta vengono aperte specifiche porte dalla zona INTRANET a Internet. L apertura di porte interessa sempre l intera rete cantonale e non può essere limitata a singole scuole o singoli indirizzi IP. Il raggiungimento di un server nella serie di indirizzi 10.x.x.x da Internet non è supportato. Questi indirizzi non sono visibili da Internet perché vengono nascosti tramite Network Address Translation (NAT) dietro l indirizzo ufficiale del firewall (212.x.x.x). 11 Serie di indirizzi IP pubblica (zona Public_Servers) Per i sistemi che devono essere indirizzabili direttamente da Internet (i cosiddetti «Public_Servers») viene messo a disposizione un numero limitato di indirizzi IP pubblici. Il firewall SecurePoP centrale di ogni Cantone consente per questa serie di indirizzi tutti i servizi usuali. Su richiesta vengono aperte specifiche porte tra la zona «Public_Servers» e Internet in entrambe le direzioni. L apertura di porte interessa sempre l intera rete cantonale e non può essere limitata a singole scuole o singoli indirizzi IP. Nota: la serie di indirizzi per la zona Public_Servers è configurata sullo stesso collegamento della zona INTRANET (cosiddetto multinetting). Non si tratta quindi di una DMZ su un interfaccia firewall dedicata. 12 Firewall proprietari delle scuole Nell ambito dell iniziativa dedicata alla scuole, Swisscom gestisce un firewall dedicato per ogni rete cantonale. I firewall proprietari delle scuole non vengono supportati (ad eccezione di OpenNet). Se una scuola si serve del proprio firewall o Proxy Gateway, Swisscom non può fornire alcun supporto per le interruzioni di servizio o i cali di performance che ne conseguono. Support Web Content Filtering Caratteristiche di Web Content Filtering Services - Per ogni rete cantonale viene gestito un proprio Content Filtering. Pertanto, non è possibile un'individualizzazione per singole scuole. - Filtraggio di contenuti web da 30 categorie principali e 120 sottocategorie nonché proprie whitelist e blacklist. - Protezione da contenuti pericolosi quali virus, malware, siti di phishing, tra l'altro con una banca dati sempre aggiornata - Attivare la funzione SafeSearch per domande di ricerca (richiede SSL Traffic Inspection dove la codifica è attiva per default) - Le categorie da bloccare possono essere selezionate dall ufficio cantonale di coordinamento tramite www.securepop.ch. - È possibile richiedere la categoria di un determinato URL ed esigere una nuova classificazione delle categorie. - 6/7

Filtering di contenuti web con codifica SSL In linea di massima vi è la possibilità di filtrare anche il traffico con codifica SSL. Questo è necessario ad esempio per forzare la funzione SafeSearch nel caso di determinati gestori di motori di ricerca. In questo caso è necessaria l'installazione capillare di un certificato Client su tutti i rispettivi terminali. Anonymizer Proxy In internet ci sono server (Anonymizing Proxies) il cui scopo è quello di aggirare un filtro URL e quindi consentire l'accesso a pagine che in realtà sono bloccate. In linea di massima vi è la possibilità di bloccare questi proxy anonimi. Nuova classificazione di contenuti web La banca dati di Web Filtering contiene valori aggiornati costantemente per miliardi di siti web in tutto il mondo. Ma non è possibile evitare alcune lacune cosicché può succedere che singoli siti web vengano classificati erroneamente. In questo caso è possibile effettuare una nuova classificazione. Una nuova classificazione può essere effettuata tramite www.securepop.ch o direttamente via http://www.zscaler.com/sitereview/ Autenticazione basata su indirizzi IP Per diverse offerte web è necessario identificarsi tramite l'indirizzo Source IP. Se l'accesso a tali offerte ha luogo tramite Web Filtering occorre informare il rispettivo operatore in merito all'autorizzazione dei seguenti ambiti dell'indirizzo IP. 195.65.152.0/24 195.65.154.0/24 Nota: questo vale nel caso in cui l'accesso all'offerta ha luogo effettivamente tramite Web Security Proxy. 7/7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back