2
Successivamente vi sono dei paragrafi dedicati a descrivere le minacce alla sicurezza informatica e
chi attua queste minacce mostrando una serie di profili relativi ai vari attaccanti. Poi vi sono dei
paragrafi dedicati alle varie soluzioni di sicurezza e a come queste si applicano a livello aziendale.
Di seguito saranno viste nel dettaglio le soluzioni che più mi sono state utili nel progetto svolto,
ovvero soluzioni di firewalling e soluzioni per VPN sicure. Nell’ultimo paragrafo del capitolo
sicurezza sono introdotti concetti importanti legati all’ottimizzazione del traffico WAN che porta a
un miglioramento delle prestazioni nel caso di rete convergente o di utilizzo di un tunnel VPN; i
due concetti spiegati sono quelli di traffic shaping e traffic intelligence.
Nel terzo capitolo possiamo trovare una descrizione del progetto da me svolto con l’utilizzo delle
virtual machine. Innanzitutto troviamo proprio un’introduzione sul concetto di virtualizzazione e
sull’uso delle macchine virtuali. Poi viene presentata la situazione iniziale dell’infrastruttura di rete
su cui si dovrà agire, mettendo in risalto le soluzioni attuali ed i requisiti fondamentali dell’azienda
che ha richiesto l’intervento. Dopo la descrizione dell’analisi dei requisiti, si trova un paragrafo
dedicato alla stesura del progetto di lavoro, in modo indipendente dalle soluzioni adottate
successivamente. Dopo questo paragrafo troviamo una descrizione base degli aspetti fondamentali
dei dispositivi phion, in altre parole i dispositivi da me utilizzati per la realizzazione del progetto.
Per finire vengono spiegati nel dettaglio gli aspetti più importanti del progetto, ovvero la possibilità
di gestione centralizzata degli aspetti di sicurezza e l’utilizzo delle VPN sicure per raggiungere lo
scopo prefissato.
Per finire si trova un capitolo dedicato alle conclusioni e agli aspetti futuri che si possono
implementare sulla struttura di rete in esame.
CAPITOLO 2: CONCETTI BASE.
2.1. LE RETI: VPN E RETI CONVERGENTI.
2.1.1. Introduzione alle VPN.
Le esigenze di connessione tra le sedi remote di un’azienda e l’aumento costante del lavoro
in mobilità sono cresciute di pari passo con la qualità e la velocità dei collegamenti a banda
larga. La conseguenza logica di questo scenario è l’utilizzo sempre più capillare dei
collegamenti VPN. Quest’acronimo significa: Virtual Private Network, rete privata
3
virtuale. Ciò implica l’utilizzo di infrastrutture “pubbliche” fuori dal proprio controllo (e
gestione) per implementare un collegamento sicuro tra le diverse sedi di una azienda o tra
un “road warrior” e la propria sede. Per road warrior si intende un singolo utente remoto,
tipicamente un lavoratore dell’azienda che lavora fuori dalle mura aziendali, che necessità
di un accesso sicuro alla rete aziendale ed ai servizi offerti da essa che non possono
normalmente essere pubblici per tutti gli utenti della rete globale. Per quanto riguarda
l’infrastruttura pubblica s’intende ovviamente Internet tramite l’utilizzo del protocollo IP.
La novità fondamentale che viene importata grazie ad IP VPN risiede nel fatto che viene a
svanire la modalità di sviluppo differenziato tra applicazioni LAN e WAN, sostituita da un
approccio che considera come base il mondo Internet in un contesto end-to-end di accesso
remoto tramite VPN,il Web come architettura di base e una comunicazione (email e fax)
sempre più in formato elettronico e sempre meno cartacea. Una definizione formale di
VPN potrebbe essere questa:
“una VPN è un ambiente comunicativo in cui l’accesso alle risorse della rete è controllato
in modo da permettere la comunicazione tramite connessioni paritarie solo all’interno di
una ben definita comunità di interesse. Tali connessioni avvengono tramite collegamenti
virtuali che, per essere realizzati, possono sfruttare un’infrastruttura di rete pubblica e
condivisa, quale ad esempio internet.”
Dopo questa introduzione, passiamo a vedere i diversi benefici apportati dall’utilizzo di IP
VPN. I principali sono:
Economicità: si abbatte il costo delle infrastrutture. La scelta dell’implementazione
adeguata in fase di progetto permette di scegliere la soluzione più adeguata al
miglior costo sostenibile. Esiste un netto risparmio rispetto all’utilizzo precedente
delle linee CDN (Circuito Diretto Numerico), collegamenti punto-punto o punto-
multipunto realizzati mediante tecniche digitali con velocità fino a 2 Mbit/s e nel
caso di collegamenti diretti numerici "ad alta velocità" sono definiti tagli da 34
Mbit/s, 155 Mbit/s, 622 Mbit/s, 2,5 Gbit/s. Offrono garanzie di sicurezza e
affidabilità ad un costo anche dieci volte superiore ad una tecnologia xDSL di pari
velocità. I costi sono definiti in base alla lunghezza della tratta da collegare. Prima
4
dell’avvento di IP VPN erano le uniche linee disponibili per poter creare VPN tra
sedi remote. Fornisce inoltre una più veloce ROI (tempo di ritorno dell'investimento)
rispetto al trasporto tradizionale delle linee WAN dedicate.
Semplicità: la tecnologia è molto matura e non richiede un elevato livello di
conoscenza della tecnologia per essere utilizzato. Inoltre può semplificare la
topologia di rete rendendola maggiormente comprensibile.
Sicurezza: si basa su standard perlopiù aperti e universalmente riconosciuti come
sicuri come la crittografia. Con pochi accorgimenti si riescono ad ottenere buoni
compromessi tra semplicità di accesso e ragionevole sicurezza.
Le soluzioni per implementare una VPN vanno dal semplice server equipaggiato con
software open source, a costose appliance ridondate in High Avalaibility (Alta affidabilità):
la scelta dipende dai costi, dall’integrazione con le infrastrutture esistenti, dalla banda
necessaria, dal carico di lavoro e dalla criticità del collegamento, tanto per citare alcuni
fattori che condizionano la scelta del sistema cui affidarsi.
Per l’utilizzo di una VPN troviamo due modalità di accesso al servizio. Esistono le reti
Client-to-Site e Site-to-Site. Come si può intuire dal nome, la prima riguarda la possibilità
di una sola o più macchine di collegarsi al servizio e avere accesso alla rete interna. Nel
secondo caso due LAN saranno messe in comunicazione di modo che, a livello logico,
queste reti siano viste come un’unica rete locale estesa. Per quanto riguarda i collegamenti
Client-to-Site si utilizza una componente client che connette il nodo direttamente alla rete
remota. Generalmente si tratta di software proprietari forniti dai produttori di appliance,
che creano una scheda di rete virtuale sulla quale far viaggiare il traffico VPN. Nel caso,
invece, di una connessione Site-to-Site non è necessario modificare le impostazioni degli
host della rete locale, è sufficiente assicurarsi che le sedi distinte abbiano piani
d’indirizzamento che non si sovrappongano, per evitare problemi di routing e complicate
manovre di subnetting. La VPN è realizzata tramite software oppure appliance che
dialogano con la loro controparte remota, rappresentando l’endpoint della VPN, cioè il
dispositivo in cui i pacchetti in ingresso sono decrittati e instradati in chiaro verso l’host di
destinazione, e i pacchetti in uscita vengono criptati, incapsulati ed inviati al gateway
5
remoto. Nelle implementazioni più semplici, l’endpoint di una VPN è lo stesso firewall che
controlla il traffico da e per l’esterno. Di seguito vediamo degli esempi di rete privata tra
sedi remote effettuata tramite l’utilizzo di reti affittate o con l’uso di VPN in cui sono
presenti sia collegamenti Site-to-Site che Client-to-Site.
2.1) Rete privata con linee dedicate.
2.2) Rete VPN.
6
Nella figura appena proposta possiamo trovare gli apparati fondamentali per la creazione e
funzionamento di una VPN: collegati alla rete locale dell’azienda troviamo i CE (Customer
Edge device), ossia i dispositivi periferici che sono collegati al provider di Internet;
attraverso questi apparati scorre il traffico che si riferisce alla VPN e, il più delle volte,
anche il normale traffico internet, nel caso in cui l’ISP (Internet Service Provider), oltre al
servizio VPN, offra altri servizi internet; i dispositivi CE possono essere dei router, degli
switch ATM (Asynchronous Transfer Mode) o FR (Frame Relay), o anche dei semplici
terminali, ed ogni rete aziendale può possederne più di uno. I vari CE si collegano ai
dispositivi PE (Provider Edge device), ovvero i dispositivi, router o switch, che ricevono
dai vari clienti il traffico dati, il quale dovrà essere smistato tra le varie LAN. Nella figura
vengono mostrati anche dei collegamenti virtuali tra i vari PE; attraverso tali collegamenti
scorre, infatti, il traffico VPN tra una rete aziendale e le altre collegate all’ISP.
Principalmente, la realizzazione delle VPN segue due approcci differenti: CE-based e
network-based. Nel primo caso la configurazione e gestione delle VPN risiede in gran
parte nei dispositivi CE appartenenti alla rete del cliente. In particolare i dispositivi CE si
fanno carico di gestire la topologia virtuale ed infatti essi costituiscono le terminazioni
estreme dei collegamenti virtuali che connettono le sottoreti. In tal modo la rete dell’ISP
viene alleggerita dall’onere della gestione delle VPN, consentendo di concentrarsi
maggiormente su come fornire la connettività tra i vari PE con una certa banda e con certe
garanzie di qualità del servizio. In un approccio network-based, invece, il servizio VPN
viene completamente fornito dall’ISP, nascondendo l’esistenza della VPN al cliente che
lavora come in una normale rete aziendale. L’ISP investe nell’acquisto di più complessi e
costosi dispositivi PE, per poter supportare le VPN. Il cliente, affidando tutta la gestione
della propria VPN all’ISP, può risparmiare sull’acquisto dei dispositivi CE che saranno
meno costosi rispetto al caso precedente, in quanto non dovranno gestire loro le VPN.
7
2.3) I due approcci descritti.
Le reti private possono essere costituite ad ogni livello dello stack ISO\OSI. A livello
fisico si trovano le reti private, non virtuali, realizzati mediante linee dedicate. La
principale tecnologia utilizzata a questo livello è quella dei canali diretti analogici o
numerici (CDA e CDN rispettivamente). A livello data-link le architetture maggiormente
utilizzate sono ATM (Asynchronous Transfer Mode) e Frame Relay. A livello rete è il
protocollo IP ad essere predominante. I collegamenti virtuali sono realizzati mediante la
tecnica del tunneling e per poterli dotare di sicurezza o di qualità del servizio, si utilizzano
dei protocolli, quali IPSec (IP Security) e RSVP (Reservation Protocol). Di recente sono
state proposte anche delle soluzioni ibride e il caso più rappresentativo è costituito dal
protocollo MPLS (Multi-Protocol Label Switching), il quale riesce a combinare delle
caratteristiche comuni sia all’architettura IP sia a quella ATM, e per questo motivo si pone
a metà tra il livello rete ed il livello data-link. A livello trasporto ed applicazione sono
presenti diversi protocolli che consentono di realizzare delle connessioni sicure tra
applicazioni software. Tuttavia le VPN realizzate con protocolli a questi livelli non sono
molto comuni. Nei paragrafi che seguono si accennerà alle realizzazioni di VPN che
utilizzano le architetture ATM, FR ed MPLS poiché rappresentano le soluzioni attualmente
più significative, oltre naturalmente alle VPN basate su IP che sono le più utilizzate.
8
2.1.1.1. VPN a livello Data-link: ATM e Frame Relay.
Le VPN a livello data-link sfruttano per la connettività tra siti un’infrastruttura di rete
pubblica di tipo “switched” (commutata). Il cuore di tale rete è costituito infatti da
switch ATM o FR, mentre i dispositivi periferici sono costituiti da router, in grado di
comunicare col protocollo ATM o FR verso la rete commutata, e col protocollo
utilizzato dal cliente, spesso IP, verso le reti delle varie sedi del cliente. La seguente
figura mostra questi due tipi di dispositivi.
2.4) VPN ATM e FR
I collegamenti virtuali sono realizzati mediante i circuiti virtuali: i vari commutatori
vengono configurati in modo da garantire una connessione di livello 2 tra due nodi
periferici. In Figura 1.4 viene evidenziato un circuito virtuale tra il sito 1 ed il sito 2.
Poiché la rete commutata può gestire parecchi circuiti virtuali, a ciascuno di essi si può
assegnare una priorità rispetto agli altri; entrambi ATM e FR utilizzano questo concetto.
Il punto di forza di queste tecnologie è che si possono creare i circuiti virtuali in maniera
estremamente flessibile. Il fornitore del servizio ATM o FR può stipulare degli accordi
sul livello del servizio (SLA, Service Layer), che garantiscono una percentuale sulla
consegna dei frame di livello 2 del cliente. Spesso il cliente può superare il cosiddetto
CIR (Committed Information Rate), ovvero la velocità con cui invia i dati verso la rete
9
del provider, quando la rete non è congestionata. Nonostante la presenza di utili
meccanismi quali il CIR, la rete ATM o FR è molto conservativa; poiché occorre
sempre garantire una certa banda nei circuiti virtuali, i casi in cui si può sfruttare la
banda libera sono pochi. ATM e FR forniscono quindi dei circuiti virtuali di alta qualità
e ciò risulta essere la principale alternativa vantaggiosa rispetto all’uso di linee dedicate.
2.1.1.2. MPLS.
MPLS (Multi-Protocol Label Switching) è una nuova tecnologia che probabilmente sarà
utilizzata largamente in futuro per realizzare le reti dorsali degli ISP, rimpiazzando le
architetture ATM o FR. MPLS non rimpiazza il routing IP, ma coopera con esso, così
come è in grado di funzionare con gli switch ATM. MPLS utilizza una tecnica chiamata
“label switching” (commutazione di etichetta) per inoltrare i dati attraverso la rete: una
piccola etichetta, avente un formato fisso, viene inserita dal primo nodo MPLS in testa
ad ogni pacchetto entrante nella rete MPLS. I nodi MPLS sono chiamati Label Switched
Router (LSR), ed inoltrano i pacchetti, in base al valore dell’interfaccia da cui sono stati
ricevuti e all’etichetta che contengono, verso un’altra interfaccia, rimpiazzando
l’etichetta esistente con una nuova avente un altro valore. Il cammino che i pacchetti
percorrono all’interno della rete MPLS viene di volta in volta determinato da questa
continua sostituzione di etichette da parte dei LSR, tuttavia, poiché la corrispondenza tra
etichetta vecchia e nuova è fissa in ogni LSR, il cammino viene determinato in base al
valore della prima etichetta attaccata al pacchetto; tale cammino viene chiamato in
letteratura Label Switched Path (LSP). In una rete MPLS è possibile differenziare il
modo in cui vengono inoltrati i pacchetti all’interno della rete stessa: quando un
pacchetto entra nella rete MPLS, il valore dell’etichetta assegnatogli dipende da diversi
parametri, quali qualità del servizio, stato attuale della rete o indirizzo di destinazione.
L’insieme di tutti i pacchetti che vengono inoltrati nello stesso modo, ovvero con le
stesse caratteristiche di banda o qualità del servizio, viene detto Forwarding
Equivalence Class (FEC).
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
