Internetworking V anno.

Slides:



Advertisements
Presentazioni simili
1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì
Advertisements

Informatica Modulo 6 – Voce via internet. VoIP Con Voice over IP (Voce tramite protocollo Internet), acronimo VoIP, si intende una tecnologia che rende.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Informatica e Telecomunicazioni
Elaborazione del Book Informatico
ISA Server 2004 Configurazione di Accessi via VPN
Configuring Network Access
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Amministratore di sistema di Educazione&Scuola
Reti Private Virtuali (VPN)
Le reti informatiche!! Le reti di telecomunicazioni hanno permesso una maggior diffusione delle informazioni che possono essere trasmesse e ricevute.
Reti Informatiche.
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
La rete in dettaglio: rete esterna (edge): applicazioni e host
LE RETI INFORMATICHE.
Per crittografia si intende la protezione
Anno Accademico Corso di Informatica Informatica per Scienze Biologiche e Biotecnologie Anno Accademico
Secure Shell Giulia Carboni
SEVER RAS.
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2012 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Commercio Elettronico e Transazioni Commerciali in Internet Betty BronziniCorso di Sicurezza 2003.
Reti di Calcolatori IL LIVELLO RETE.
ADSL VOIP Voice Over IP.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
> Remote Authentication Dial In User Service
Modulo 1: 1.3 Le Reti.
Ottobre 2006 – Pag. 1
Modulo 1 – Reti Informatiche u.d. 4 (syllabus – 1.4.4)
"Abbiamo deciso di guardare più lontano". Dal 1920 Eucrypt ITALIANO.
ECDL Patente europea del computer
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
PRESENTAZIONE COLLEGAMENTO VPN.
Architettura e modelli disponibili. SoLo mobile solutions, architecture Software nei cellulari Appliance presso data centre cliente.
ECDL Patente europea del computer
Configurazione di una rete Windows
BPR-T Business Process Reengineering – Information Technology
RDN - Radio Data Network Protojet Office Una Soluzione Professionale.
L’architettura a strati
IPSec Fabrizio Grossi.
prof.ssa Giulia Quaglino
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
PAOLO NOSEDA: CORDINATORE MATTEO SALAMONE: MEMORIA AMBRA NAVA: OSSERVATORE E ORIENTATO AL COMPITO ANDREA LUNETTA:ORIENTATO AL GRUPPO.
Tipi e topologie di LAN Lezione 2.
Capitolo 8 La gestione di rete
IDUL 2013 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto ‘logico’ della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Certificati e VPN.
Reti di computer Condivisione di risorse e
VPN Marco Sanlorenzo.
Livello 3 Network (Rete)
IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli.
Virtual Private Network
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Reti II Stefano Leonardi
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Networking e sicurezza: dal binomio ad un’unica disciplina Forum P.A Carlo Riccardi.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
WORKSHOP GARR_08 GARR-X: il futuro della Rete _ Milano 1-4 aprile 2008 Modelli di MAN ed integrazione in GARR-X Marco Marletta Workshop GARR_08 Milano.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
Virtual Private Networks
Transcript della presentazione:

Internetworking V anno

Le reti private virtuali (VPN)

Introduzione Per un’azienda con varie sedi, dislocate anche a grande distanza tra loro, l’ideale sarebbe trattare l’intero gruppo come un’unica rete locale aziendale, realizzando una WAN privata per il proprio business. Mediante la realizzazione delle reti private, ogni LAN non è più isola in mezzo all’oceano (Internet) ma si collega con le altre isole per costituire un arcipelago (WAN) avente regole comuni e condivise. 3

Reti private vere e proprie e VPN Quando si parla di reti private, occorre distingure tra: reti private “vere e proprie” reti private virtuali (VPN) 4

Reti private “vere e proprie” Le reti private “vere e proprie” collegano più siti di una rete aziendale attraverso canali dedicati, a uso esclusivo, pagandone l’affitto al proprietario o al gestore. CONTRO alti costi di installazione ricorrenti costi di manutenzione lunghi tempi per configurazione e riconfigurazione mancanza di scalabilità rischio di blocco della rete in caso di grave guasto su un canale (non c’è ridondanza) PRO larghezza di banda sempre disponibile nessun problema di accesso nessuna congestione del traffico a livello di rete prestazioni garantite sicurezza garantita 5

Perché le reti private virtuali? Per garantire l’efficienza della rete e un buon rapporto costi/benefici (punti deboli delle reti private) si ricorre alle reti private virtuali: 6

Virtual Private Network Le VPN, contrariamente alle normali reti private, sono configurabili e riconfigurabili rapidamente e facilmente, sono scalabili e offrono un valido rapporto costi/funzionalità. Una Virtual Private Network è una rete creata all’interno di un’infrastruttura di rete pubblica, per esempio Internet. All’interno di una stessa VPN l’indirizzamento deve essere univoco. Il rischio di blocco di un VPN è pressoché nullo, dato che si utilizza una rete pubblica che garantisce un altro grado di ridondanza. 7

Tipologie di VPN In commercio esistono due principali tipi di VPN: remote-access VPN, porta praticamente qualsiasi applicazione dati, voce o video al desktop remoto, emulando il desktop dell’ufficio principale. site-to-site VPN, è l’alternativa alle WAN Frame Relay e consente alle aziende di ampliare le risorse di rete alle filiali, agli uffici domestici e ai siti dei partner. 8

Remote-access VPN Una remote-access VPN consente ai singoli utenti di stabilire connessioni sicure con la LAN aziendale remota. Gli utenti possono accedere dalla rete locale come se fossero direttamente collegati ai server della rete. Sono due le componenti indispensabili alla realizzazione di un accesso remoto VPN: Network Access Server software VPN Client 9

Network Access Server Un Network Access Server (NAS) è un server che permette l’accesso alla rete. Può essere un server dedicato oppure un’applicazione software in esecuzione su un server condiviso. Il NAS richiede all’utente di fornire credenziali valide per accedere alla VPN. Per valutare l’autenticazione il NAS utilizza il proprio processo di autenticazione o si appoggia a un server di autenticazione separato in esecuzione sulla rete (come un server AAA). L’acronimo AAA indica i tre compiti del server: Authentication Authorization Accounting 10

Software VPN Client L’altra componente indispensabile per l’accesso remoto VPN è un software VPN Client, un software pensato ad hoc necessario per stabilire e mantenere una connessione alla rete VPN. Naturalmente è necessario anche un firewall che fornisca una barriera tra la rete privata e Internet. 11

Site-to-site VPN Una site-to-site VPN permette, anche ad aziende con tante reti LAN, di stabilire connessioni sicure attraverso una rete pubblica. La site-to-site VPN realizza meglio di ogni altra rete il concetto di WAN come insieme di LAN. Con la site-to-site VPN la rete aziendale viene estesa rendendo disponibili alle sedi secondarie dell’azienda le risorse della sede principale. 12

Tipi di site-to-site VPN Ci sono due tipi di site-to-site VPN: Intranet-based, se una società ha una o più sedi remote che desiderano unirsi in un’unica rete privata, possono creare una VPN intranet per collegare ogni LAN separata di una singola rete WAN. Extranet-based, quando una società ha un rapporto stretto con un’altra società, è possibile costruire una VPN extranet che collega le LAN di queste imprese. Permette alle aziende di lavorare in un ambiente sicuro, condividendo risorse e senza l’accesso alla propria intranet. 13

Tre grossi problemi delle VPN La natura condivisa delle VPN implica dover affrontare tre grossi problemi: variabilità del tempo di trasferimento controllo degli accessi (autenticazione) sicurezza delle trasmissioni (cifratura e tunneling) 14

Autenticazione dell’identità Le reti VPN sono reti private, dunque per potervi accedere occorre autenticarsi. Si definisce autenticazione dell’identità il processo tramite il quale un sistema informatico, un applicativo o un utente, verifica la corretta, o almeno presunta, identità di un altro sistema informatico, applicativo o utente che vuole comunicare attraverso una connessione concedendogli l’autorizzazione a usufruire dei relativi servizi associati. Il primo passo per accedere alla rete occorre autenticarsi attraverso un login, costituito da username e password. 15

VPN in modalità trasporto o in modalità tunnel Le VPN possono essere realizzate in: modalità trasporto: in questo caso i software impiegati ricoprono un ruolo fondamentale. modalità tunnel: in questo caso sono gli apparati, in particolare router e firewall, a ricoprire un ruolo fondamentale. Gli apparati sono preposti a trasformare/codificare tutto il traffico fra gli end-point. 16

Cifratura (o crittografia) Le VPN utilizzano un’ampia gamma di algoritmi di crittografia (3-DES, CAST, IDEA ecc.) per cifrare il traffico in rete. Sia l’algoritmo da usarsi sia le chiavi segrete che l’algoritmo stesso utilizza sono concordate e scambiate tra mittente e destinatario attraverso protocolli di sicurezza. Nello specifico caso delle reti VPN, viene soprattutto utilizzato il protocollo Internet Key Exchange (IKE), il cui compito principale è proprio implementare lo “scambio delle chiavi” per cifrare i pacchetti. IKE, inoltre: automatizza la gestione delle chiavi sostituisce l’assegnazione e l’aggiornamento manuale delle chiavi nelle reti IPv4 permette all’amministratore di gestire un maggior numero di reti sicure 17

Tunneling Lo scopo dei protocolli di tunneling è aggiungere un livello di sicurezza al fine di proteggere ogni pacchetto nel suo “viaggio” su Internet. Il termine tunneling si riferisce a un insieme di tecniche per cui un protocollo viene incapsulato in un protocollo dello stesso livello o di livello superiore: nel caso delle reti VPN viene inserito uno strato che introduce funzionalità crittografiche. Il tunneling è dunque il processo di immissione di un intero pacchetto all’interno di un altro pacchetto prima di essere trasportato su Internet. Il pacchetto esterno protegge il contenuto dalla vista del pubblico e assicura che il pacchetto si muova all’interno di un tunnel virtuale. Tale stratificazione viene chiamata incapsulamento. 18

I protocolli del tunneling I protocolli utilizzati per il tunneling sono diversi: • IPsec (IP security) • SSL/TLS (Secure Sockets Layer/Transport Layer Security) • BGP/MPLS (Border Gateway protocol/Multi-Protocol Label Switching) • PPTP(Point-to-Point Tunneling Protocol) • IEEE 802.1Q (Ethernet VLANs) • SSH (Secure SHell) • GRE (Generic Routing Encapsulation) • L2TP (Layer 2 Tunneling Protocol) 19

Classificazione VPN Le reti VPN possono essere classificate in base ai protocolli che utilizzano e al grado di sicurezza che garantiscono, in tre categorie: Trusted VPN Secure VPN Hybrid VPN La Trusted si affida molto al proprio Internet Service Provider (ISP) La Secure si affida molto ai protocolli per la sicurezza La Hybrid si affida tanto all’ISP quanto ai protocolli per la sicurezza 20

Trusted VPN Le Trusted VPN non utilizzano protocolli che permettano la cifratura e il conseguente tunneling dei dati trasmessi. La riservatezza dei dati trasmessi attraverso Internet è controllata da un Internet Service Provider (ISP). L’ISP assicura una qualità del servizio (QoS) attraverso l’utilizzo e il controllo di percorsi dedicati, garantendo che nessun altro possa usufruire del canale assegnato a una determinata VPN in un determinato momento. L’ISP si fa carico della configurazione e della responsabilità dei dati (confidenzialità) e della progettazione della rete VPN richiesta dall’azienda. 21

Secure VPN Le Secure VPN utilizzano protocolli che consentono la cifratura e il tunneling. Le Secure VPN hanno uno o più tunnel e ogni tunnel ha due estremità. Una VPN, per essere definita una Secure VPN, deve garantire: • un sistema di autenticazione; • che i dati viaggino criptati; • che il livello di cripting dei dati sia elevato e modificabile nel tempo. Attualmente i tipi principali di rete VPN in commercio (Remote-access VPN e Site-to-site VPN) adottano i protocolli di tipo Secure VPN, essendo la richiesta di riservatezza diventata prioritaria sia per le aziende sia per i provider. 22

Hybrid VPN Le Hybrid VPN rappresentano il tentativo di unire le caratteristiche delle Trusted VPN e delle Secure VPN. Lo scenario tipico è quello di un’azienda che ha già una Trusted VPN e desidera sicurezza su una parte della VPN e dunque crea una Hybrid VPN. In tale situazione una Secure VPN può essere adoperata come parte di una Trusted VPN, cioè la Secure VPN deve essere un sottoinsieme della Trusted VPN. In merito ai protocolli e alle tecnologie utilizzate dalle Hybrid VPN si può affermare che ogni tecnologia supportata dalla Secure VPN si muove attraverso ogni tecnologia supportata dalla Trusted VPN. 23