VPN SSL e VPN IPSec a confronto White Paper



Documenti analoghi
Creare una Rete Locale Lezione n. 1

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

La sicurezza nel Web

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Panoramica sulla tecnologia

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Protezione delle informazioni in SMart esolutions

FileMaker Pro 13. Utilizzo di una Connessione Desktop Remota con FileMaker Pro13

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

IT Cloud Service. Semplice - accessibile - sicuro - economico

Allegato 3 Sistema per l interscambio dei dati (SID)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Software MarkVision per la gestione della stampante

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

PROF. Filippo CAPUANI. Accesso Remoto

Collegamento remoto vending machines by do-dots

Servizio Monitoraggio Energia via Web. CEAM CWS32-H01 Professional Web Platform

Lo scenario: la definizione di Internet

Reti di Calcolatori: una LAN

Software Servizi Web UOGA

Sicurezza a livello IP: IPsec e le reti private virtuali

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale

Hardware delle reti LAN

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

Creare connessioni cifrate con stunnel

Introduzione alle tecnologie informatiche. Strumenti mentali per il futuro

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

La VPN con il FRITZ!Box - parte II. La VPN con il FRITZ!Box Parte II

1 Presentazione progetti in modalità completamente digitale Descrizione delle modalità di presentazione dei progetti

SOLUZIONI PER LA TELEASSISTENZA Server Privato

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

Teleassistenza Siemens

INDIRIZZI IP AUTORIZZATI

Reti e Internet: introduzione

e-government La Posta Elettronica Certificata

Domande frequenti su Phoenix FailSafe

VPN CIRCUITI VIRTUALI

Agent, porte, connettività e reti L agent di Kaseya utilizza la porta 5721 per comunicare con il server, ma che tipo di porta è?...

Firewall e Abilitazioni porte (Port Forwarding)

Servizio di accesso remoto con SSL VPN

Sistemi centralizzati e distribuiti

MDaemon GroupWare Per offrire agli utenti le funzionalità di condivisione calendario, rubrica e gli altri oggetti di OutLook

VoipExperts.it SkyStone - Introduzione

Pratiche PRO. Il database centralizzato permette di avere un aggiornamento ed una visione in tempo reale dell'andamento delle pratiche.

2 Gli elementi del sistema di Gestione dei Flussi di Utenza

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

capitolo 8 LA CHECKLIST PER LA VALUTV ALUTAZIONEAZIONE TECNOLOGICA

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

Dal protocollo IP ai livelli superiori

1. Servizio di accesso remoto con SSL VPN

Sommario. Oggetto: Istruzioni configurazione client VPN per piattaforma Mac OSX Data: 25/01/2016 Versione: 1.0

Servizio di Posta elettronica Certificata (PEC)

Architetture Informatiche. Dal Mainframe al Personal Computer

La sicurezza nelle comunicazioni Internet

OmniAccessSuite. Plug-Ins. Ver. 1.3

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

InfoCertLog. Scheda Prodotto

SS SISTEMI DI COMUNICAZIONE: C O PROTOCOLLI APPLICATIVI

DBMS e Linguaggi di programmazione nell'era di Internet

InfiXor. il programma facile e versatile per preventivi veloci e completi. il software di preventivazione per produttori e rivenditori di infissi

Il Digital Signage. Utilizzi. Il Digital Signage

Xerox SMart esolutions. White Paper sulla protezione

InitZero s.r.l. Via P. Calamandrei, Arezzo

LE POSSIBILITA' DI ACCESSO DA REMOTO ALLE RETI DI CALCOLATORI

Installazione di una rete privata virtuale (VPN) con Windows 2000

Accesso Remoto: Che cos'è Q uali programmi si utilizzano Come si effettua (teoria) Q uando è utile

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

Reti di Telecomunicazione Lezione 6

TruPortal un sistema di controllo accessi di facile integrazione nella realtà moderna. TruPortal Giugno Contatti UTC Fire & Security Italia

SMS Banking. MAItaly s.r.l. Distribution: 2004, MAItaly s.r.l. All Rights Reserved. Date: 22/04/2004 Author: Davide De Marchi

Piano Nazionale di Formazione degli Insegnanti sulle Tecnologie dell'informazione e della Comunicazione. Percorso Formativo C1.

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Architetture Informatiche. Dal Mainframe al Personal Computer

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

Architetture Applicative

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

Servizio di Posta elettronica Certificata (PEC)

1) GESTIONE DELLE POSTAZIONI REMOTE

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL

Servizi remoti Xerox Un passo nella giusta direzione

Centrale Telefonica IP Ibrida Urania 16 IP. Finalmente la centrale IP alla portata di tutti!

Presentazione FutureMobile. Sicurezza e Tracciabilità

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Tecnologia ed Evoluzione

Wi-Fi, la libertà di navigare in rete senza fili. Introduzione.

Fatti Raggiungere dal tuo Computer!!

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Transcript:

White Paper Questo documento contiene informazioni sulle VPN basate su IPSec e quelle basate su SSL. In particolare: Le principali differenze I loro pro e contro La tecnologia più adatta alle esigenze di ognuno Distributore ufficiale per l Italia: Horus Informatica Tel: (+39) 02 33510135 Fax commerciale: (+39) 02 33510199 Email: commerciale@horus.it www.horus.it

p. 2 Introduzione Le reti private virtuali o Virtual Private Network (VPN) consentono alle aziende di espandere le possibilità di accesso alle reti interne a dipendenti esterni e partner su reti internet pubbliche standard. La ragione principale per cui furono create le VPN era l'elevatissimo costo per linee in leasing. Un'azienda doveva avere un collegamento fisicamente chiuso tra i propri partner e i dipendenti remoti, o attraverso un server di accesso remoto (o RAS, Remote Access Server) con collegamento dialup verso la rete aziendale, o affittando frazioni di connessioni T1 tra gli uffici remoti e i partner. Cos'è una VPN, in realtà? Una VPN è una tecnologia che consente ai client (i dipendenti) e ai partner di sfruttare i normali provider di accesso pubblici (ISP) e le linee ad alta velocità per accedere a reti private chiuse. Un comune fraintendimento è che le VPN siano sempre soluzioni basate su IPSec. Di fatto, esistono molti protocolli di codifica e sicurezza che offrono le funzionalità di una VPN. SSL è solo uno di questi. Che cos'è un protocollo di codifica o sicurezza? I protocolli di sicurezza e di codifica sono protocolli di trasmissione utilizzati per trasmettere in maniera sicura dati ad elevato valore. La codifica, che è al cuore di qualsiasi protocollo di sicurezza, offre tre vantaggi fondamentali rispetto al 'testo in chiaro' o ai dati non codificati: Riservatezza dei dati - ovvero la capacità di nascondere i dati trasmessi; Autenticità e integrità dei dati - l'algoritmo matematico di codifica permette ai protocolli di sicurezza di garantire che i dati non siano stati modificati o danneggiati durante la trasmissione; Nessun rifiuto - un'altra caratteristica dell'algoritmo di codifica è la possibilità di provare che un evento si è verificato Cos è l IPSec? L'IPSec, o Internet Protocol Security, il protocollo di sicurezza più comunemente associato con una VPN, è un protocollo di codifica che garantisce la trasmissione sicura dei dati codificati presso il Network Layer, su una rete pubblica come internet. Due utenti che desiderano creare un tunnel IPSec devono prima di tutto stabilire una modalità standard per comunicare. Poiché l'ipsec supporta diverse modalità operative, entrambe le parti devono innanzitutto decidere sulla policy di sicurezza e la modalità da utilizzare, a quali algoritmi di codifica e quale metodologia di autenticazione ricorrere nella comunicazione. Nell'IPSec, una volta che il tunnel IPSec è stato attivato, tutti i protocolli del network layer tra due parti in comunicazione sono codificati. TCP, UDP, SNMP, HTTP, POP, AIM, KaZaa etc., sono tutti codificati, indipendentemente dalla sicurezza e codifica già esistenti (o non esistenti).

p. 3 Aspetti e problemi dell'ipsec Poiché l'ipsec si localizza presso il network layer, non solo il traffico di rete viene codificato, ma tutti gli utenti dispongono dell'accesso alle risorse aziendali come se fossero fisicamente presenti in ufficio e collegati alla LAN. Si può decidere se consentire o negare l'accesso alla rete ai partner e ai dipendenti che operano temporaneamente da remoto. Potrebbe essere necessario garantire la sicurezza del traffico solo in una piccola porzione della rete, evitando di codificare tutto quello che passa tra client remoto e rete aziendale. Aspetto 1: software del client L'IPSec richiede un software per client dedicato, che in molti casi sostituisce o complementa i sistemi client dello stack TCP/IP. In molti sistemi ciò introduce rischi di compatibilità con altri sistemi software e rischi di accesso da parte di trojan, in particolare se il software client viene scaricato dal web e non installato dal personale tecnico. Per come l'ipsec è stato creato e per la carenza di conformità con lo standard, praticamente tutte le soluzioni IPSec sono proprietarie e non compatibili con le altre. In alcuni casi, l'ipsec viene eseguito su un'appliance hardware della rete. Queste soluzioni comportano spesso l'esigenze di avere lo stesso hardware ai due estremi della comunicazione. Inoltre, le stesse questioni di compatibilità relative ai software dei client si possono ritrovare negli hardware dotati di IPSec. I client IPSec sono legati a un laptop specifico o a un sistema desktop. Ciò limita la mobilità degli utenti, che non possono collegarsi alla VPN senza che un client IPSec venga prima caricato sul sistema client utilizzato per accedere alla rete. Dalle sale di attesa degli aeroporti, ad esempio, risulta impossibile collegarsi. Aspetto 2: supporto tecnico Le soluzioni IPSec hanno bisogno di un fortissimo supporto tecnico sia per l'implementazione che per la manutenzione di lungo termine. Le aziende più grandi hanno spesso personale dedicato all'assistenza e rivolto a supportare i dipendenti che operano da remoto tramite IPSec. Aspetto 3: limitazioni della piattaforma I client IPSec funzionano di solito solo su macchine windows. Esistono pochissime implementazioni dell'ipsec su altre piattaforme PC come Mac, Linux, Solaris, ecc.

p. 4 Cos'è l'ssl e in cosa è diverso? L'SSL, o Secure Sockets Layer, è un protocollo a livello di applicazione più comunemente utilizzato per rendere sicure le comunicazioni web via internet. L'SSL utilizza la codifica e l'autenticazione in maniera analoga all'ipsec. In origine, il protocollo SSL codificava il traffico tra due applicazioni che volevano interagire l'una con l'altra ma che non codificavano il traffico tra un host e l'altro. Oggi, grazie ai progressi della tecnologia, le VPN SSL possono essere utilizzate per codificare tutto il traffico tra client e server con VPN SSL in maniera similare alla codifica dei client IPSec, ma senza l utilizzo di un client. Qualsiasi software sul lato client necessario a supportare la codifica del network layer viene scaricato istantaneamente mediante tecnologia ActiveX o Java dopo che l'utente è stato debitamente autenticato e autorizzato. Si tratta di una tecnologia trasparente, che permette la gestione e il controllo centralizzati, poiché i client 'light sono di tipo intelligente e gestiti tramite il gateway di controllo centralizzato degli accessi. Ciò porta il supporto del client oltre le applicazioni 'SSL aware', verso altre applicazioni, come i web browser (ad es. Internet Explorer e Netscape) o client di posta elettronica (ad es. Outlook ed Eudora) che utilizzano qualsiasi protocollo IP-based (ad es. TCP, UDP, ICMP ecc.) per sfruttare una vasta gamma di applicazioni alternative, quali navigazione web o videoconferenza, su un meccanismo di tunneling ovunque presente. Perché utilizzare un proxy SSL? Esistono molte motivazioni per utilizzare un server proxy anziché stabilire una comunicazione diretta tra client e una risorsa dotata di SSL. La più evidente è il rendimento. Motivazione 1: maggior rendimento L'SSL è un protocollo di per sé molto veloce; tuttavia, come ogni altro protocollo di codifica, vi sono alcuni calcoli estremamente onerosi per la CPU che devono essere effettuati prima che venga stabilita una sessione sicura. Un esempio è l'algoritmo RSA, che viene utilizzato nell'ambito dell'ssl per negoziare le chiavi tra client e server. Nel processo di negoziazione, il server deve decodificare e verificare una firma digitale: entrambe sono operazioni che impegnano molto il processore. La maggior parte dei server web moderni, ad esempio, può accettare solo 75 nuove connessioni SSL al secondo e per ognuna di queste deve essere effettuata un'operazione RSA di decodifica e verifica. Se il sistema dovesse accettare più di 75 connessioni al secondo, l'utilizzazione della CPU supererebbe di gran lunga il consentito e il server non risponderebbe più alle richieste di rete. Al fine di incrementare la capacità del server, i proxy SSL possono comprendere un acceleratore SSL, il quale è molto simile al co-processore dei PC 486SX/DX. L'acceleratore SSL effettua le operazioni di calcolo più onerose precedentemente affidate alla CPU del server e le elabora tramite un processore ad hoc. Il server, che prima era in grado di effettuare un massimo di 75 sessioni RSA al secondo, può gestire ora più di 800 sessioni al secondo. Ci si potrebbe chiedere perché si ha bisogno di un proxy SSL se il server ha un acceleratore SSL. Ma in realtà quello che ci si deve chiedere é: quanti dei server posseduti potrebbero aver bisogno di un'accelerazione SSL? Si dispone delle risorse per acquistare acceleratori SSL per ognuno di questi server? Il vantaggio di un proxy SSL è che si può utilizzare lo stesso acceleratore SSL per molti server?

p. 5 Grazie ad Array SP (Security Proxy) di Array Networks, ad esempio, si possono avviare 800 connessioni SSL al secondo dai client che accedono alle risorse, mantenendo una sola connessione SSL attiva tra il proxy ed il server di back-end. Si noti che l'array SP è in grado di avviare un numero ridotto di collegamenti SSL verso il back-end, mentre gestisce fino a 800 sessioni al secondo di Array SP. Il chiaro vantaggio è che il server web non viene mai sovraccaricato a causa di richieste di collegamento SSL. Motivazione 2: autenticazione Un'ulteriore aspetto del protocollo SSL tradizionale è la mancanza di metodi di autenticazione impiegati. L'SSL comprende l'autenticazione crittografica sia per il server che per il client, ma tutta la sicurezza si basa sul concetto che la chiave crittografica del client è stata tenuta sicura. Se la chiave fosse stata compromessa o non vigilata, non si potrebbe più fare affidamento sul client. Potrebbe essere necessario aggiungere ulteriori metodi di autenticazione all'ssl per garantire che l'utente o il client sia effettivamente chi dice di essere. Un proxy SSL, tuttavia, prevede l'autenticazione forte dei client prima ancora che questi si colleghino alle risorse back-end. I proxy SSL garantiscono metodi di autenticazione ancora più forti di quanto una risorsa back-end potrebbe supportare come caratteristica nativa. Molti server web oggi non supportano metodi di autenticazioni nativi diversi dall'ssl. Perché utilizzare un proxy SSL su VPN IPSec? Non è richiesto software o hardware dal lato client Un vantaggio chiave di un proxy SSL è che non deve essere caricato né distribuito alcun software per client tra i client stessi. I proxy SSL possono utilizzare browser web client e-mail standard che sono già abilitati all'utilizzo dell'ssl. Interfaccia web facile da utilizzare e supportare I browser web e i client e-mail dotati di SSL sono di vario tipo e trovano impiego su piattaforme Windows, Macintosh e Linux/UNIX, su PDA e persino cellulari e tutti possono comunicare in maniera sicura tramite SSL. I dipendenti hanno già una discreta familiarità nell'utilizzo ed è minima la necessità di formare l'utente finale.

p. 6 Sicurezza End-to-End e End-to-Edge a confronto Uno dei maggiori svantaggi dell'ipsec è che crea semplicemente un tunnel sicuro tra il client e un server VPN periferico. Quando il client richiede l'accesso a una risorsa, viene considerato come parte di quella stessa rete su cui la risorsa risiede tramite IPSec. L'unica connessione sicura è quella tra client e la risorsa aziendale; tutti i dati circolanti nella rete interna sono in chiaro, comprese le password e i dati sensibili. Con l'ssl, il tunnel sicuro viene creato direttamente dal client alla risorsa cui questo accede. Grazie a una vera sicurezza end-to-end, nessun dato viene inviato in chiaro, né sulla rete interna né in internet. Tutto ciò che viaggia tra il client e la risorsa viene autenticato e codificato in maniera sicura.

p. 7 Quale tecnologia è più adatta per le mie esigenze IPSec: trova il suo miglior impiego nella connettività Site-to-Site dove i tunnel sono permanenti, come nel caso di collegamento tra filiali e sedi centrali e in quegli scenari in cui programmi automatici veicolano grandi volumi di traffico in background verso altri programmi automatici. SSL Da utilizzare per tutti i casi in cui è previsto un accesso da remoto Autenticazione Codifica Sicurezza globale Accessibilità Costo Installazione Semplicità per l utente Applicazioni supportate Utenti VPN SSL Token di autenticazione monodirezionale Token di autenticazione bidirezionale Certifi cati digitali Codifica forte Basato su browser Sicurezza tra punti termi nali Codifica tra cli ent e risorsa Accesso i n ogni momento e i n ogni l uogo a una base di utenti ampiamente distribuita Basso Nessuna esi genza di ulteri ore software per client Installazione plug and play Nessuna install azi one software o hardware dal lato client Molto user-friendl y; utilizza browser web familiari Non è richiesto un addestramento specifico per gli utenti Applicazioni web File Sharing E-mai l Clienti, partner, dipendenti, utenti remoti, vendor, ecc. VPN IPSec Autenticazi one bidirezionale con token Certi ficati digitali Codifica forte Dipende dal l i mplementazione Da perimetro a client Codifica sol o tra client e gateway della V PN Accesso li mitato a una base di utenti limitata e ben definita Elevato E ri chiesto un software gestito per client Richiede spesso molto tempo E ri chiesto software o hardware dal lato client Compl esso per utenti non esperti Richiede formazione specifica Tutti i servizi basati su IP Più adatto per usi aziendali interni Scalabilità Facilmente installabile e scalabile Scalabile sul lato server Difficoltà nella scalabilità dei cl ient

p. 8 Chi è Array Networks Fondata nel 2000, Array Networks è uno dei principali provider di soluzioni ad alto rendimento per l'acceso sicuro universale. Array offre linee di prodotti indirizzate al crescente mercato delle VPN SSL e al mercato dell'accelerazione delle applicazioni. Più di 500 clienti tra cui aziende, provider di servizi, organizzazioni governative e verticali nel campo della salute, della finanza e della formazione si affidano ad Array per offrire un accesso sicuro e ottimizzato in ogni momento e da ogni luogo. Array fornisce i prodotti per VPN SSL più veloci e scalabili oggi disponibili sul mercato. La tecnologia di Array è 8 volte più veloce e si adatta 12 volte più velocemente del suo più prossimo competitor. Di conseguenza, nessuna azienda è in grado di fornire soluzioni per VPN SSL ad alto rendimento agli stessi costi. Array è stato riconosciuto da aziende leader come Deloitte, Red Herring e Synergy come leader del mercato e tecnologico. La sede principale di Array è a Milpitas, in California, mentre i suoi uffici vendite sono sparsi in tutto il mondo. La società ha circa 60 rivenditori e value-added reseller nel mondo. Per ulteriori informazioni, visitare il sito www.arraynetworks.it. Distributore ufficiale per l Italia: Horus Informatica Tel: (+39) 02 33510135 Fax commerciale: (+39) 02 33510199 Email: commerciale@horus.it www.horus.it

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back