reti e dintorni 3

30
 Reti e dintorni Maggio Giugno 2001 N° 3

Upload: rgaeta

Post on 06-Jul-2015

105 views

Category:

Documents


0 download

TRANSCRIPT

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 1/29

 

Reti e dintorniMaggio/Giugno 2001 N° 3

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 2/29

 

2

TECNONET S.p.A.

IP SECURITY

Ip security è uno standard dell’ietf per la comunicazione attraverso reti publiche. Lo standard è documentato negli rfc da2401 a 2412.

Questi standard sono stati sviluppati per accertare sicurezza, comunicazione privata per gli accessi remoti, extranet, e leinternet virtual private networks ( vpns).Esse sono le sicure architetture per la futura generazione ip, chiamata ip v.6 ma sono disponibili anche per l’attualeversione 4 dell’ip.

CONFIGURARE IP SEC E NAT SU UNA INTERFACCIA

È possibile configurare sia l’ip sec che il nat su di una stessa interfaccia di un router.Per quanto, il range di indirizzi configurati nelle ip sec policy filter e per il nat non possono essere sovrapposti.È possibile configurare sia l’ip sec che il nat o da bcc o tramite il site manager.Configurando sia l’ip sec che il nat sulla stessa interfaccia del router, essi operano indipendentemente senza passaretraffico l’un l’altro.Con entrambi i protocolli configurati sulla stessa interfaccia, il nat ha precedenza sull’ip sec. ad esempio se l’indirizzo

di destinazione ( destination address ) di un pacchetto entrante non riscontra nessun indirizzo publico nat configurato , il pacchetto sarà allora processato dall’ip sec. se il pacchetto ip contiene un indirizzo che fa parte del range di una policyip sec configurata, allora il paccheto è protetto, passato oppure bloccato.Un pacchetto che non fa parte di nessuna ip sec policy sarà bloccato.Un router configurato per il nat bidirezionale non supporta ip sec.

SERVIZI DELL’IP SEC

I servizi dell’ip sec consistono nella : confidenzialità, integrità, e autenticazione per paccheti dati che viaggianoattraverso due gateway sicury.

La confidenzialità assicura la segretezza della comunicazioni.

Il servizio di integrità rileva modifiche del pacchetto dati

Il servizio di autenticazione verifica l’origine di ogni pacchetto dati

Confidenzialità

La confidenzialità è compiuta dal criptaggio ed il decriptaggio del pacchetto dati. Il protocollo Encapsuling SecurityPayload ( esp ) usa l’algoritmo Data Encription Standard ( des ) in modalità di concatenamento del blocchetto di cifra (cbc ) per criptare e decriptare il pacchetto dati.La confidenzialità si regola con il cipher algorithm ed il cipher key parameter. Il cipher algorithm ed il cipher key sonospecificati nella security association ( sa ). Una security association è un rapporto in cui i due peer ripartiscono lenecessarie informazioni per assicurare i dati protetti e non protetti. L’algoritmo e la chiave devono essere identici inentrambi gli end point.

Integrità

L’integrità determina se i dati sono stati alterati durante il passaggio. Il protocollo ESP assicura che i dati non sono statialterati nel passaggio fra 2 gateway sicuri. Il protocollo ESP usa le trasformazioni HMAC MD5 ( RFC 2403 ) o HMACSHA-1 ( RFC 2404 ).L’integrità si regola con il integrity algorithm ed il integrity key parameter. Essi devono essere identici in entrambi gliend point.

Autenticazione

L’autenticazione assicura che i dati siano stati trasmessi da una sorgente identificata.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 3/29

 

3

TECNONET S.p.A.

Servizi aggiuntivi dell ‘ ipsec

 Nella struttura dell’ ip sec sono forniti servizi di sicurezza aggiuntivi. Il servizio del controllo di accesso ( access controlservice ) assicura un uso autorizzato della rete, ed un servizio di verifica che traccia tutte le azioni e gli eventi.Il servizio ip sec può essere configurato sulla base di ogni interfaccia. Su ogni ip sec interface sono supportate fino a127 uscenti e 127 entranti policies.

Funzionalità dell’ip sec

I servizi ip sec sono impacchettati come un pacchetto ip criptato. i pacchetti assomigliano ai pacchetti ordinari ip neinodi internet; soltanto i devices trasmettenti e riceventi sono coinvolti nel criptaggio. I pacchetti ip sec sono trasportatiin internet come ordinari pacchetti ip fino ad uffici succursali , società partner, o altre organizzazioni remote in un modosicuro criptato e privato.Varie tecnologie esistenti forniscono il criptaggio e l’autenticazione al livello applicazione. L’ip sec aggiunge sicurezzaal network layer, provvedendo un alto grado di sicurezza per tutte le applicazioni , incluse quelle senza nessuna propriasicurezza.

Protezione dell’ipsec

Per configurare un router con l’ip sec , bisogna configurare prima l’interfaccia router come una interfaccia ip. Poi è possibile aggiungere il software ip sec su quella interfaccia, creando un gateway sicuro. Un gateway sicuro è un router inserito fra una rete sicura ( una lan aziendale ) ed una rete insicura ( internet ) che fornisce un servizio di sicurezzacome l’ip sec.L’interfaccia router è assicurata con delle policeis di sicurezza sia in entrata che in uscita che filtrano il traffico entranteed uscente dal router. I pacchetti dati stessi sono protetti dal protocollo ip sec processando una specificata SA.

Ip sec tunnel mode

Quando c’è un security gateway ad ogni terminazione di comunicazione , le security association fra i gateway sonocomunicate in modalità tunnel. Le modalità tunnel si riferiscono ai dati che sono visibili soltanto all' inizio ed ai punti

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 4/29

 

4

TECNONET S.p.A.

finali della comunicazione. I pacchetti ip protetti dall’ip sec hanno una regolare e visibile testata ip , ma il contenuto ècriptato e così nascosto.Tutte le comunicazioni ip sec bayrs avvengono in modalità tunnel.La modalità tunnel ha specialmente effetto per isolare il traffico di una azienda attraverso una rete pubblica.

Elementi ip sec

L’ip sec ha 3 importanti costruzioni :

  security gateway  security policies  security associations

nel contesto ip sec, gli host comunicano su una rete insicura attraverso gateway sicuri. Le security policies determinanocome le interfacce ip sec manipolano i pacchetti dati per gli host degli end point. Le security associations applicano ilservizio ip sec ai pacchetti dati che viaggiano attraverso i gateway sicuri.

Gateway sicuri

Un gateway sicuro stabilisce le security association fra le interfacce router configurate con l’ip sec. un nortel network router diventa un gateway sicuro quando si abilita l’ip sec su di una interfaccia wan. In questo caso il router nortel operacome un gateway sicuro fornendo il servizio ip sec ai propri host interni ed alle sottoreti.

Host e reti esterni ad un security gateway sono considerati insicuri. Host e reti interni al gateway sicuro ( nodi su lan )sono considerati sicuri perché sono controllati e sicuramente gestiti dal medesimo amministratore di rete.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 5/29

 

5

TECNONET S.p.A.

Quando viene implementato il servizio ip sec su un router per creare un gateway sicuro, i propri host interni e lesottoreti possono comunicare con host esterni dove funziona direttamente o è fornito da un router remoto l’ip sec.

Security policies

Quando si crea una ip sec policies si può controllare quale pacchetto il gateway protegge, come manipola i pacchetti

verso o da uno specifico indirizzo o in un particolare protocollo, e crea un log di questa azione.

Ci sono 2 tipi di policies: uscenti o entranti. Una policy entrante è usata per i pacchetti che arrivano ad un gatewaysicuro, mentre una policy uscente è usata per i pacchetti che lasciano il router. Ogni interfaccia ip sec può supportaresino a 127 policies entranti ed uscenti.Le specifiche criteria e action usate nelle policies sono registrate in un security policy database ( SPD ).Se un pacchetto uscente o entrante non corrisponde ai criteri di nessuna policies nell’SPD, il pacchetto è bloccato.L’ip sec scarta tutto il pacchetto in uscita a meno che non sia stata configurata una esplicita policy per escuderli o proteggerli..

Policy templates

Ogni ip sec policy è basata su un policy template. Un policy template è una predefinita definizione di policy che si può

usare su ciascuna interfaccia ip. Il template specifica uno o più criteri e azioni da applicare ad un pacchetto entrante ouscente.Un policy template ed ogni policy basata su di esso devo contenere al meno un criterio ( e.s. source address ) edun’azione. Un policy template o una policy possono includere 2 azioni se una delle 2 è annotata ( log ). Laspecificazione del test di verifica determina se un pacchetto riscontra una particolare security policy, e l’azione specificacome la policy è applicata al pacchetto.

Inbound policies

Una inbound policies determina come un gateway sicuro processa i dati ricevuti da una rete non sicura. Ogni pacchettoentrante in un gateway sicuro viene comparato con i criteri per determinare se riscontra una policy ip sec configurata.Se i pacchetti entranti riscontrano una policy di baypass, il router accetta i pacchetti, e se configurato, registra il loro passaggio nel log del router.

Se il pacchetto non è riscontrato in nessuna policy o riscontra una policy di drop, il router rigetta il pacchetto. Se un pacchetto non riscontra alcuna policy, di base l’ip sec blocca il pacchetto.

Le azioni di una policy entrante possono essere :

  drop   bypass  log

drop e baypass sono reciprocamente “esclusive”. Le azioni log possono essere aggiunte o usate da sole.

Outbound policies

Una policy outbound determina come un gateway sicuro per attraversare una rete non sicura. Si assegna una outbound policy per tutto il traffico unicast che lascia una interfaccia ip sec.

Per una outbound policy le azioni sono :

   protect  drop   bypass  log

ogni outbound policy con una azione di protezione è mappata in una protect sa.

Drop, protect, e baypass sono reciprocamente esclusive, l’azione log può essere aggiunta su ciascuna delle 3 azioni, ousata da sola.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 6/29

 

6

TECNONET S.p.A.

Policy criteria specification

Il software ip sec controlla la testata ip del pacchetto basato su uno specifico criterio per determinare se una policy siapllichi ad un pacchetto dati.

Si deve includere almeno uno dei seguenti criteri , o tutti e 3 in una policy ip sec.

  ip source address  ip destination address   protocol

 per specificare il criterio protocol, si deve fornire il valore numerico assegnato al protocollo per usarlo su internet. Si può specificare solo un singolo protocollo per ogni policy. Il numero di protocollo è rappresentato nel campo protocolcon 1 byte nella testata del pacchetto ip.

Security associations

Una security associations è una relazione dove due nodi comunicanti scambiano le informazioni necessarie per  proteggere sicuramente dati non protetti. Una SA ip sec è identificata unicamente da un ip destination address, l’indice

dei parametri di sicurezza (SPI), e sicuramente il contrassegno di protocollo ( ESP in modalità tunnel ).

Una policy ip sec determina quale pacchetto deve essere manipolato. Una SA ip sec specifica quale servizio di sicurezza( ad esempio : riservatezza – confidentiality ) l’ip sec deve applicare al pacchetto. Si possono applicare uno o più servizidi sicurezza.Le SA stesse devono essere create scambiate in una modalità sicura, ci sono due modi per realizzare ciò :

  usando il processo di negoziazione automatica fornito dall’ INTERNET KEY EXCHANGE” IKEPROTOCOL.

  Configurando manualmente i device invianti e riceventi con uno “shared secret” (segreto comune)

Automated security associations usando l’IKE.

L’IKE è un protocollo automatico per stabilire SA attraverso internet. ( l’IKE è anche riferito all’Internet SecurityAssociation Key Management Protocol with Oakley Key Determination, o più semplicemente ISAKMP/Oakley ). L’IKE manipola la negoziazione, stabilizzazione, modificazione e la concellazione delle SA. Per installare queste SA,l’IKE stesso deve creare una confidenziale e sicura connessione fra il trasmettente ed il ricevente. L’autenticazione èeseguita con uno o più dei seguenti:

   preshared key: queste sono installate avanti a tempo in ogni nodo in una transazione.  Public key cryptography: usando l’algoritmo RSA public key, ogni membro della transazione autentica se

stesso agli altri usando le mamber public key per criptare un valore di autenticazione.  Digital signature: ogni membro della transazione invia una firma digitale algi altri. Le firme sono

autenticate usando una member public key ottenuta tramite un certificato digitale X.509

L’implementazione bayrs dell’IKE usa soltanto le preshared key.Manual security associations

Configurare manualmente le SA è un laborioso processo che usare l’IKE. Se possibile, usare l’IKE per per una maggior scala di pratiche e sicure comunicazioni.

Configurando manualmente le SA, spesso conta su statiche e simmetriche chiavi su host comunicanti o su gatewaysicuri. Come tali si deve coordinare all’interno di una organizzazione e con i partner esterni di configurare chiavi che proteggeranno le informazioni.

Security associations for bidirectional traffic

Una SA specifica i servizi di sicurezza che sono applicati ad un pacchetto dati che viaggia in una direzione fra i 2gateway. Per assicurare il traffico in entrambi le direzioni, il gateway sicuro deve una protect SA per i dati trasmessidall’interfaccia ip sec locale ed una Unprotect SA per i dati ricevutoi dall’interfaccia ip sec locale.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 7/29

 

7

TECNONET S.p.A.

security associations per il traffico bidirezionale

date molte circostanze, si può configurarel’IKE protocol per negoziare automaticamente le SA fra 2 gateway sicuri. Iltutto può essere configurato anche manualmente.

Modalità di negoziazione delle SA del protocollo IKE

Il protocollo IKE, automatizza il processo di configurazione delle SA ipsec creando una IKE SA per la negoziazionedelle protect ed unprotect SA. Ogni IKE PEER ( router ) invia informazioni di negoziazione dei parametri SA ipsec inun sicuro pacchetto IKE. I peer generano chiavi basate su parametri accordati e quindi verificano ogni identità altrui.una volta compiuto tutto ciò l’SA ip sec è stabilito.

Il protocollo IKE stesso è assicurato attraverso un IKE SA creato usando l’algoritmo di Diffide-Hellman ( Oakley ) , per determinare la chiave, ed il metodo di autenticazione. Nortel Networks usa delle preshared key.

Indice dei parametri di sicurezza

Un security parameter index ( indice dei parametri di sicurezza ) SPI, è un arbitrario ma unico valore di 32 bit ( 4 byte )che, combinato con l’ip detination address ed il valore numerico del protocollo di sicurezza usato ( ESP ) , unicamenteidentifica l’SA per il pacchetto dati.

L’ipsec scarta ogni pacchetto ESP in entrata se l’SPI non riscontra nessuna SA all’interno del database ( SAD ).

Sommarizzazione delle security policy e delle SA

Le tabelle sottostanti forniscono una struttura per capire le policies e le SA ip sec.Esse forniscono esempi di come le policies e le SA dovrebbero essere implementate.

In tabella 1 ogni fila definisce la definizione di policy per ogni policy definita nella prima colonna. Ad esempio, la policy blu specifica 2 criteri “ ip source e destination address” e l’azione drop. Esse dovrebbero essere usate per scartaretutto il traffico proveniente da un sito non desiderato.

Le policy verde e giallo specificano una azione di protect SA. La policy gialla copre il traffico di un solo protocollo (TCP ) per una subnet particolare, mentre la policy verde copre tutto il traffico ad un particolare address.

La policy nera specifica solo i test sui protocolli e l’azione di baypass. In questo caso il protocollo ICMP ( tipicamenteusato per le funzioni PING ) è passato attraverso il gateway sicuro senza il criptaggio dell’ipsec.

Si possono definire i parametri SA ( automatici o manuali ) per una policy immediatamente dopo aver specificato la policy usata da essi.

Tabella 1

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 8/29

 

8

TECNONET S.p.A.

Policy name Protocol Ip source address Ip dest. Address action

Blu ( tutti ) IP address IP address DropGialla 6 ( TCP ) IP subnet IP subnet Protect SAVerde ( tutti ) Range degli indirizzi

IPRange degli indirizziIP

Protect SA

  Nera 1 ( ICMP ) Tutti gli address Bypass

Tabella 2

Security associations SPI Cipher Integrity

Source

address

Destination

address

algoritmo Lunghezza

chiave

chiave Algoritmo Chiave

IP address IP address 270 DES 40 Hex value HMAC MD5 Hex valueIP address IP address 260 DES 56 Hex value HMAC MD5 Hex value

Protocolli di sicurezza

L’ip sec usa 2 protocolli per fornire traffico sicuro :

  Encapsulating Security Payload ( ESP )  Authentication Header ( AH )

Si può usare sia un protocollo che entrambi per proteggere i dati su una VPN. Generalmente, soltanto un protocollo ènecessario.

 Nortel Networks usa soltanto l’ESP. Nortel Networks non implementa il protocollo AH perché le stesse funzioni sono possibili sul protocollo ESP.

Encapsulation Security Payload

Il protocollo ESP fornisce riservatezza ( criptaggio ). Può inoltre fornire integrità dati, identificazione dell’origine deidati stessi, ed un servizio di antiripetizione.

  l’integrità dei dati assicura che i dati non siano stati alterati  l’identificazione dell’origine dei dati valida le parti trasmittenti e riceventi  il servizio di antiripetizione assicura che il ricevente possa ricevere e processare soltanto una volta ogni

 pacchettoUno o più servizi di sicurezza devono essere applicati ogni volta che l’ESP è invocato.L’ESP applica i seguenti algoritmi e trasforma gli identificativi per trasportare i relativi servizi:

  DES ( 56 – bit )  40 – bit DES ( soltanto per chiavi manuali )  triplo DES ( 3DES ) ( 3DES è soltanto una opzione dell’ipsec )  HMAC Message Digest 5 ( MD5 )  HMAC SHA 1

Esp usa l’algoritmo DES o il triplo DES ( 3DES ) per il criptaggio.L’ ESP usa l’ Hashing Message Authentication Code Message Digest 5 ( HMAC MD5 ) o HMAC SHA 1 per trasformare gli identificativi di autenticazione.

ESP usa la modalità CBC dell’algoritmo di criptaggio DES. CBC è considerato il modo più sicuro del DES. Un numerodi 56 o 40 bit, conosciuto come chiave, controlla il criptaggio ed il decriptaggio. La gestione delle chiavi è automaticaattraverso l’IKE, o può essere controllata manualmente.

Entrambi i lati di una SA devono usare lo stesso metodo di criptaggio. Normalmente si può usare la chiave più fortecomposta da 56 bit per maggiore sicurezza, oppure il triploDES se corretto.Comunque, se si stà comunicando con un gateway sicuro limitato ad una chiave di 40 bit, va usata una chiave di 40 bit.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 9/29

 

9

TECNONET S.p.A.

Quando la protezione ESP è usata in modalità tunnel, una testata IP uscente specifica la destinazione di processo ip sec,ed una entrante specifica la ( reale ) destinazione dell’obbiettivo per il pacchetto. La testata del protocollo di sicurezzaappare dopo la testata ip uscente e prima della testata ip entrante. Soltanto il pacchetto nel tunnel è protetto, non latestata uscente.

Authentication header

Il protocollo AH fornisce integrità dati, autenticazione dell’origine dei dati, e opzionalmente il servizio diantiripetizione. Esso fornisce il servizio di criptaggio solo della testata e non dell’intero pacchetto IP.

Il protocollo AH usa lagli identificativi di autenticazione HMAC MD5 e HMAC SHA 1. il protocollo AH non è usatoda Nortel Networks.

Internet key exchange protocol

Il protocollo IKE negozia e fornisce materiale privato e autenticato sotto chiave per le SA. Prima di fornire tutto ciò il protocollo stesso deve essere autenticato , a volte bisogna creare un IKE SA fra 2 gateway sicuri ove l’IKE stà agendo.

Il software BAYRS crea un IKE SA attraverso una preshared authentication key. L’IKE crea e cambia dinamicamente

l’Ipsec SA, con nessuna iversione di utente necessaria.Questo li rende veloci di quanto potrebbero, per maggiore sicurezza.

Per negoziare una SA, i peer IKE formano una SA ( e IKE SA ) fra loro. L’SA IKE protegge la negoziazione delloscambio di chiavi e dei parametri ip sec.

Il protocollo IKE le chiavi dell’ipsec e delle SA IKE basandosi su di un criterio preconfigurato come un timeout o una percentuale di traffico espresso in byte spedito.

Perfect forward secrecy

Il perfect forward secrecy ( PFS ) dissocia ogni chiave delle SA ipsec dalle altre nella stessa negoziazione delle SA IKE.Per ottenere il PFS , l’IKE usa l’algoritmo di Diffide-Hellman per scambiare chiavi per ogni SA. Questo significa che le

chiavi dell’IKE e delle SA ipsec sono automaticamente rimappate nella tratta di comunicazione fra i peer ipsec, levecchie chiavi, se compromesse, non possono essere usate per derivare passate e future chiavi usate per altre SA.

Con il PFS, se un intruso gestisce di rompere una chiave di criptaggio, ottiene accesso ad una parte limitata dei dati ( i pacchetti protetti di una singola SA ).

Considerazioni di performance

Le prestazioni dell’ip sec sono molto grandi, e l’ip sec può impattare sulle prestazioni del router stesso in generale.Fattori che impattano sulle performance sono:

  l’algoritmo di criptaggio usato dall’ip sec  altri protocolli e funzionalità che lavorano sullo stesso slot che usa lo stesso processore dell’ipsec  la potenza delle elaborazioni dei router bayrs

le seguenti informazioni aiutano a pianificare e gestire le risorse di CPU nei router BAYRS che usano ipsec.

Maggiore sicurezza può inversamente impattare sulle prestazioni. Prima di progettare l’implementazione ip sec,identificare il traffico dati che deve essere protetto. Una verifica ed analisi del traffico permette di ottenere un minimoimpatto sulle prestazioni del router. Configurare ipsec per baypassare il traffico che non necessita di essere protetto,quindi riduce le risorse di CPU usate. Anche la quantità di risorse richieste varia significativamente per i differenticriptaggi ed algoritmi di autenticazione.

Questi algoritmi sono elencati in ordine consumo crescente di CPU e sicurezza:

  MD5  SHA 1  DES  DES con MD5

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 10/29

 

10

TECNONET S.p.A.

  DES con SHA 1  3DES  3DES con MD5  3DES con SHA 1

in più, la generazione di chiavi e la loro periodica rigenerazione eseguita dall’IKE Diffie-Hellman impone una difficoltà

della CPU. Consideriamo che la rigenerazione delle chiavi IKE SA è meno frequente dell’ ip sec SA.

In fine, la grandezza del pacchetto influenza le performance del router. Un pacchetto di piccola grandezza , ad una datavelocità dati , richiede un maggior processo di carico di un pacchetto più grande.Si possono ottimizzare le prestazioni usando le documentazioni trattate per pianificare e gestire le risorse di cpu.Ad esempio il software bayrs ipsec su di un router BN può riempire un tubo wan di 2 Mbit con un traffico bidirezionaledi DES criptato. Al contrario il traffico 3DES + SHA 1 con una aggressiva fase 1 ( IKE ) ed il rimappaggio delle chiaviip sec ( ad esempio ogni 10 minuti ) può causare un significante degrado delle prestazioni sotto un pesante trafficocaricato.

Si possono sperimentare i timeout SNMP durante il periodo nel quale il router sta caricando picchi di carico di traffico protetto.

Giorgio Grassi

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 11/29

 

11

TECNONET S.p.A.

IP SECURITY SU NORTEL NETWORK 

Per abilitare l’ip sec. Configurare una interfaccia usando il configuration manager, poi aggiungere il servizio ip secsull’interfaccia per creare un gateway sicuro.Quando usi il site manager per configurare l’ip sec. su una interfaccia per la prima volta, configura in sequenza gli

articoli proposti dal menù dell’ip sec , iniziando dal primo : Outbound policies.Devi settare una outbound policy per una interfaccia ip sec prima che tu possa collegare una security associations SA adessa.

Creazione policies

Creare una inbound e outbound policy ( entrante o uscente ) per una interfaccia ip sec usando un policy template.Un policy template è definizione di policy che tu crei. Puoi usare un policy template per qualsiasi interfaccia ip sec.Ogni template contiene una completa specifica della policy ( criteria, range e action ) per l’interfaccia.Questo significa che ogni policy stessa è completamente specificata da un template.Puoi modificare una individuale policy per adattarla alle necessità di una specifica interfaccia, indipendentemente dallespecificazioni del template.

Specificazioni “criteria”

“criteria” determina la porzione della testata del pacchetto ( indirizzo sorgente, indirizzo destinatario o numero di protocollo) che è esaminata dall’ip sec. per ogni criterio, devi specificare una gamma di valori ( range ). La gamma ( range ) rappresenta il reale valore dellaverifica dell’ip sec ( gli indirizzi ip sono confrontati con gli indirizzi del pacchetto ).

Specificazioni “action”

Le specificazioni action in una policy controllano come un pacchetto, che corrisponde al range di criteria , è processato.Puoi decidere come vuoi che il pacchetto sia processato ed applicare una policy per implementare le tue decisioni.

Con ip sec, un pacchetto può essere processato in uno dei seguenti tre modi:

1)  il pacchetto può essere bloccato2)  il pacchetto può essere trasmesso o ricevuto senza alterazioni3)  il pacchetto può essere protetto ( solo in uscita ). In questo caso una SA è collegata alla policy.

Oltre che elaborare un pacchetto in assenza di un processo “action”, la trasmissione o la ricezione di un pacchetto può essere registrata in una log.Le azioni corrispondenti di una policy sono:1)  drop (blocca)2)   bypass (lascia passare)3)   protect (solo in uscita)4)  log ( un messaggio è scritto nel log del router )

drop, bypass e protect sono azioni reciprocamente esclusive, non associabili. Puoi specificare di eseguire un log per 

ognuna di esse o in loro assenza. Se un pacchetto entrante non corrisponde ad una policy configurata arriva su unainterfaccia ip sec è bloccato.

Considerazioni sulle policy

Quando stai configurando una interfaccia wan con l’ip sec , tutto il traffico entrante ed uscente è processato dall’ ip secincluso il traffico prima passato.

Per un traffico unicast contenente informazioni di routing o di controllo, considera di configurare policy che consentanoa questo tipo di traffico di passare attraverso l’ip sec.Per esempio , per permettere al traffico ICMP (come “ping” o messaggi di“ destinazione irraggiungibile” ) di passareattraverso l’ip sec, configura la prima policy per l’interfaccia con il criterio protocollo settato ad 1 ( protocollo ICMP ) eseleziona l’azione “action” bypass.

Se un pacchetto corrisponde ai criteri per più di una policy la prima in ordine è usata.

CREARE UNA OUTBOUND POLICY

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 12/29

 

12

TECNONET S.p.A.

Per creare un template di outbound policy ed una policy eseguire:

TU ESEGUI IL SISTEMA RISPONDE

1) nella finestra Ipsec configuration for interface ,ciccare su outbound policies 

Si apre la finestra ipsec outbound policies

2) cliccare su template Si apre la finestra di Ipsec policy template

3) cliccare su create Si apre la finestra di create ipsec template4) digitare il nome della policy nel campo policy

name 5) usare il criteria menù per specificare l’applicabilerange per l’ip source address, ip destination addresse protocol criteria6) usare l’action menù per aggiungere l’azione chetu vuoi applicare al traffico con il criteria che haiappena definito7) cliccare su ok 8) cliccare su done9) cliccare su add policy10) digita il nome della policy nel campo policyname11) seleziona un template su cui basare questa policy12) cliccare su ok Se la policy non include una protect action, ritorni alla

finestra ipsec outbound policies

Se la policy include una protection action, si apre lafinestra di dialogo choose sa type 

13) nel riquadro choose sa type, cliccare o sumanual SA oppure su automated SA.

Manual SA ti lascia scegliere da una lista di manual protect SA o creare una nuova manual protect SA

L’SA automatico apre la finestra add proposal to  policy. Se il range dell’ip source address e dell’ip

destination address non è configurato nel template lafinestra di dialogo Policy Range si apre prima14) se scegli Manual SA, guardare le istruzioni per la configurazione manuale nell’appendice successiva

se scegli l’Automated SA , completa la finestra “add proposal to policy “ associando uno o più metodi dicriptaggio con una negoziata SA per un aprticolareindirizzo IP.15) cliccare su ok 

CREARE UNA POLICY ENTRANTE ( INBOUND POLICY) 

Il processo per creare un imbound policy è virtualmente identico al processo per creare una policy outbound, conl’eccezione che non puoi specificare una protect action per una inbound policy.

Per creare un inbound policy template ed una inbound policy, completare le seguenti istruzioni:

TU ESEGUI IL SISTEMA RISPONDE

1) nella finestra ip sec configuration for interfacecliccare su inbound policies

Si apre la finestra ip sec inbound policies

2) cliccare su template Si apre la finestra ip sec policy templates3) cliccare su create Si apre la finestra create ipsec template4) digitare il nome della policy nel campo policy

name

5) usare il menù criteria per specificare l’applicabilerange per l’IP source address, l’IP destinationaddress e il protocol criteria6) usare il criteria menù per aggiungere l’action che

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 13/29

 

13

TECNONET S.p.A.

tu vuoi applicare al traffico con il criteria che haiappena definito7) cliccare su ok Torni alla finestra ip sec policy template management8) cliccare su done Torni alla finestra ip sec inbound policies9) cliccare su add policy Si apre la finestra create inbound policy10) digitare il nome della policy nel campo policy

name11) selezionare il template su cui basare questa policy12) cliccare su ok Ritorni alla finestra ip sec inbound policies.

Se la policy include una protection action, si apre lafinestra di dialogo choose SA type

13) cliccare su done Ritorni alla finestra ip sec configuration for interface

CREARE UNA SECURITY ASSCOCIATIONS

La security association ti abilita a fornire una protezione bidirezionale per i pacchetti dati che viaggiano fra due router.Ogni SA stabilisce sicurezza per i dati assanti in una singola direzione. Una coppia di SA ( SA PROTECT e SAUNPROTECT) sono create, o automaticamente con l’IKE o manualmente da te, per qualsiasi policy ip sec configuratasu un gateway sicuro. Ogni SA include informazioni di sicurezza come gli algoritmi e le chiavi.

Potresti usare la creazione automatica dell’SA ( IKE ) per maggior sicurezza e per diminuire la difficoltà dellaconfigurazione.

CREAZIONE DI UNA SA AUTOMATICA

L’IKE crea le SA automatiche, basate su una configurazione proposta sul site manager. Ogni proposta specifica unatrasformazione del criptaggio e / o autenticazione per l’SA automatico.Tu non hai una chiave specifica per l’SA automatico perché l’IKE le crea dinamicamente.

Puoi configurare sino a 4 proposte per una policy, in ordine di preferenza. L’IKE negozierà un SA automatico, basatosul primo proposto che riscontra una proposta configurata sul gateway remoto. IKE crea entrambi gli inbound eoutbound SA basati sul risultato delle nogozziazioni delle proposte.

CREARE UNA OUTBOUND PROTECT POLICY CON L’AUTOMATED SAs ( IKE )

Per usare l’IKE per creare una automated SA , completare i seguenti comandi.

1) nella finestra ip sec configuration for interfacecliccare su outbound policies

Si apre la finestra ip sec outbound policeis

2) cliccare su add policy Si apre la finestra create outbound policies

3) digitare il nome della policy, scegliere untemplate contenente una protection action e cliccaresu ok 

Se la policy include una protection action si apre lafinestra di dialogo choose SA type.

4) cliccare su Automated SA Si apre la finestra add proposal to policySe il node protection key non è ancora stato settatosi apre la finestra di dialogo node protection key prima della finestra add proposal to policy. Dai unvalore NPK e clicca su ok 5) dal pfs menù scegli enabled o disabled per regolare il perfect forward secrecy6) dal menù anti replay window size, sceglieredisabled o la grandezza del pacchetto7) cliccare su add per specificare il SA destination

address e una preshared key per l’IKE SA.

La finestra add IKE Sadestination window viene

aperta8) immetti l’indirizzo ip e la preshared key, e cliccasu done alla finestra add proposal to policy9) cliccare su new proposal per creare un tipo di La finestra edit ip sec proposal si apre

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 14/29

 

14

TECNONET S.p.A.

criptaggio proposto che l’IKE userà nellanegoziazione dell’SA key con il SA destination node10) Digita un proposal name, scegli uno o piùmetodi di criptaggio per il proposal, scegli un expirytime ( tempo di scadenza ) e cambia il valore diexpirity se necessario

11) Cliccare su done Ritorni alla finestra edit ip sec proposal. Ripetere i  passaggi 6 e 7 per creare aggiuntivi proposal, senecessario.

12) nella finestra edit ip proposal scegli l’ SAdestination che hai creato e quindi scegli uno dei 4 proposal ( in ordine di priorità ) dal proposal menù.13) cliccare su ok Ritorni alla finestra ip sec outbound policies14) cliccare su done Ritorni nella finestra ip sec ocnfiguration for 

interface

CREAZIONE MANUALE DELL’ SA, CONSIDERAZIONI

Per protegger ( criptaggio o autenticazione ) i pacchetti che lasciano l’interfaccia ip sec locale, creare un protect SA econnetterlo ad una protect outbound policy. Per decriptare o autenticare un pacchetto entrante all’interfaccia ip seclocale, creare un unprotect SA. ( l’unprotect SA non deve essere collegata ad una policy ). Quindi, fai lo stesso per l’interfaccia ip sec sul router remoto.

La cifra ( cipher ) e l’algoritmo di integrità e la chiave che tu specifichi nel SA deve essere identica in entrambe le partifinali della connessione, end to end.Devi selezionare la cifra, il servizio d’integrità, o entrambi entro i parametri della protect e della unprotect SA. Adesempio la chiave cifra in una protect SA su un’interfaccia ip locale deve corrispondere la chiave cifra nell’ unprotectSA sull’intrfaccia del router remoto.

  Nota: devi configurare manualmente SA per encriptare o autenticare o entrambi. Il site manager non ti consente dicreare un SA se entrambi, cipher algorithm e l’integrity algorithm sono settati su none.

CREAZIONE MANUALE DEL PROTECT SA

Per creare una protect SA manualmente completare i seguenti comandi:

TU ESEGUI IL SISTEMA RISPONDE

1) nella finestra ip sec configuration cliccare sumanual protect SA

Si apre la protect SA list for interface

2) cliccare su add Si apre la finestra ip sec manual protect SA dove i parametri della finestra protect SA list for interfacediventano attivi

3) settare i seguenti parametri:

° SA source ip address° SA destination ip address

° security parameter index

° cipher algorithm

° cipher key lenght

° cipher key

° integrity algorithm

° integrity keyPosizionare il cursore in un campo e cliccare suvalues per mostrare il menù delle opzionivalide, se applicabile.

Cliccare su ok Ritorni alla finestra protect SA list for interface5) ripetere i passi dal 2 al 4 per creare protect SA

aggiuntive, se necessario. Cliccare su done quandohai finito

Ritorni alla finestra ip sec configuration for 

interface.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 15/29

 

15

TECNONET S.p.A.

CREAZIONE DI UNA UNPROTECT SA MANUALE

Per creare un‘unprotect SA manualmente completare i seguenti passaggi:

TU ESEGUI IL SISTEMA RISPONDE

1) Nella finestra ip sec configuration for interface

cliccare su manual unprotect SA

La finestra unprotect SA list for interface si apre

2) cliccare su add Si pare la finestra ip sec manual unprotect SA, dovei parametri della finestra unprotect SA list for interface diventano attivi

3) settare i seguenti parametri:° SA source ip address

° SA destination ip address

° security parameter index

° cipher algorithm

° cipher key lenght

° cipher key

° integrity algorithm

° integrity key

Posizionare il cursore in un campo e cliccare suvalues per mostrare il menù delle opzioni valide, seapplicabile.Cliccare su ok Ritorni alla finestra unprotect SA list for interface5) ripetere i passi dal 2 al 4 per creare unprotect SAaggiuntive, se necessario. Cliccare su done quandohai finito

Ritorni alla finestra ip sec configuration for interface.

Giorgio Grassi

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 16/29

 

16

TECNONET S.p.A.

Installazione e Configurazione NOKIA IP

Caratteristiche Software

  Sistema Operativo (IPSO)   – I firewalls Nokia hanno un sistema operativo di tipo Unix ridotto al minimo(FreeBSD). IPSO è stato personalizzato per supportare il processo di routing Nokia e le funzionalità di Check Point's FireWall-1.

  Ipsilon Routing Daemon (IPSRD) – IPSRD è il software di Nokia per il routing. Le politiche di routingimplementate risiedono in un database. Con Voyager vengono configurati il software di routing e il database.

  Check Point FireWall-1 - FireWall-1 consiste di due componenti principali: (1) il modulo di Firewall che girasul Nokia firewall e controlla le politiche di sicurezza, e (2) il modulo di Gestione che o gira sul Nokia firewallo su una workstation. Il Modulo di Gestione serve per definire e mantenere le politiche di sicurezza.

  Voyager – Voyager comunica col software di routing per configurare interfacce ed protocolli di routing,modifica le politiche per il firewall ed esamina il traffico di rete e le performance dei protocolli. Voyager stesso gira su una macchina remota come applicazione client del Nokia routing software.

Sugli apparati Nokia il processo di routing è strettamente correlato a quello di firewall, infatti se si blocca il secondoanche il primo, per sicurezza, viene fermato. Se si fermasse il processo firewall e rimanesse in piedi quello di routing larete rimarrebbe non protetta.

ConfigurazioniSistema distribuito con un modulo di gestione sul Nokia

Sistema distribuito con il modulo di gestione su una workstation

 

ManagementFirewall

User Interface

Firewall

Firewall

Management

User InterfaceFirewall

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 17/29

 

17

TECNONET S.p.A.

Sistema distribuito con due moduli di gestione sui Nokia o sulle workstation

Attenzione, i due moduli di management devono essere sincronizzati manualmente; nell’attuale versione ancora non èsupportata questa funzionalità. Il problema principale è legato al fatto che posso avere anche policy diverse sui duemanagement ma gli oggetti definiti nei database devono essere identici..

System-StartupLa prima volta che la NAP (Network Application Platform) viene accesa, parte la procedura di system-startup. Usandoquesta procedura è possibile assegnare alla macchina un hostname, la password per l’utente admin e quindi configurareun’interfaccia per configurare da remoto la NAP. I firewall Nokia sono configurabili sia da console, tramite un browser testuale (VT100 based Lynx), oppure da remoto con un browser grafico (web-based Voyager). Sarà sempre la  procedura di startup a chiedere se continuare la configurazione con il Lynx o con il Voyager. Chiaramente il primo,quello testuale, va utilizzato dalla porta seriale mentre il secondo deve essere utilizzato dalla porta Ethernet configurata.Infatti nel caso del Voyager verrà chiesto di configurare una porta in modo che la macchina sia raggiungibile. IPSO haun processo web-server (Apache) che permette all’utente di accedere alla configurazione via browser (http://<IndirizzoIP>).

Configurare le interfacce (Config Interfaces)Voyager visualizza gli apparati di rete come interfacce fisiche. Ogni interfaccia fisica corrisponde ad una porta fisica suuna scheda di interfaccia di rete (Nic) installata nell'unità. I nomi delle interfacce fisiche hanno la forma: <type>-s<slot>p<port> dove type è un prefisso che indica il tipo di porta, (Ethernet eth, FDDI fddi, ATM atm, Serial/T1/HSSIser, Token Ring tok).Per esempio, una Ethernet NIC con due porte nello slot 2 si presenta con due interface fisiche: eth-s2p1 e eth-s2p2. Con Voyager è possibile configurare gli attributi delle interfacce. Per esempio, la velocità e la modalità duplex

di un’interfaccia Ethernet. Ogni porta ha esattamente un'interfaccia fisica.

Configurare un’interfaccia Ethernet Di un’interfaccia Ethernet è possibile configurare, cliccando sul nome fisico, la velocità (10/100) e la modalità(half/full), cliccando sull’interfaccia logica, il nome logico, l’indirizzo IP e la relativa subnet mask. Le interfacce nonhanno auto-negotiation, devono essere configurate manualmente.

ARP Table (Config ARP)In questa sezione è possibile configurare la tabella ARP, quindi eliminare o aggiungere delle righe in modo dinamico o permanente.

Configurare i protocolli di routing (Config Routing Configuration)OSPFIl Router ID è la definizione del processo di routing (deve essere unico per ogni macchina) la cosa ideale è assegnargli l’indirizzo IPdella macchina stessa.

FirewallMng Master 

User Interface

Firewall

Mng BackupUser Interface

Mng Master Firewall

User Interface

Mng BackupFirewall

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 18/29

 

18

TECNONET S.p.A.

È possibile configurare anche delle nuove aree alle quali l’interfaccia, sulla quale si sta configurando il protocollo, deveappartenere (l’area 0.0.0.0 è definita come backbone area). Le aree possono essere definite anche come Stub o TotallyStub. NOTA: Una Stub Area è un’area che ha una sola strada per raggiungere l’area di backbone.I principali parametri da configurare per ogni interfaccia sono:

    Hello Interval – intervallo di tempo per interrogare l’interfaccia sullo stato (Up/Down). Per default è 1

secondo.   Dead Interval – intervallo di tempo per il calcolo di un nuovo instradamento. Per default è 4 secondi.  OSPF Cost – peso dell’interfaccia nel calcolo dell’instradamento migliore.   Election Priority – priorità dell’interfaccia. Il valore deve essere compreso tra 0 e 255.

Questi parametri devono essere identici in tutto il protocollo all’interno della rete.RIPQuesto protocollo di routing è il più semplice da configurare, infatti sono pochi i parametri da settare:

  Version – la versione del protocollo (Rip1/Rip2).   RIP Interfaces – le interfacce sulle quali deve girare il protocollo RIP  Metric – costo da assegnare ad un’interfaccia   Accept Updates – è possibile configurare se si vogliono ricevere aggiornamenti da altri apparati che utilizzano

il protocollo RIP 

Transport – per il RIP2 può essere specificato se il protocollo deve viaggiare in broadcast o in multicastÈ possibile configurare anche la frequenza con la quale sono spediti gli aggiornamenti così come quando percorsi dirouting sono scaduti. Particolare cura dovrebbe essere usata mettendo questi parametri visto che il RIP non ha nessunmeccanismo per scoprire configurazioni errate.

Route staticheLe statiche sono percorsi di routing configurati manualmente sulla routing table. Non cambiano e non sono dinamici. Ilrouting statico permette di aggiungere percorsi verso destinazioni che non sono conosciute da protocolli dinamici.I parametri da configurare sono:

   Destination

   Next hop

  Typeo   Normal  - è usato per pacchetti diretti ad una destinazione determinata nella direzione indicata dal

router configurato o   Reject  - usa l’indirizzo di loopback come il salto successivo. Questa route scarta i pacchetti che

uguagliano la route per una destinazione determinata e invia un ICMP al mittente del pacchetto(destinazione irraggiungibile). 

o   Black hole - usa l’indirizzo di loopback come il salto successivo. Questa statica scarta pacchetti chesono uguali al percorso per una destinazione determinata.  

Per configurare il Default Router bisogna abilitare la route statica Default e inserire come destination il Gateway.

Configurare i servizi di routing (Config Routing Services)VRRPIl protocollo Virtual Redundant Router offre la possibilità di recuperare una caduta di interfacce passando il traffico daun router ad un altro. Per fare il backup di un router usando il VRRP deve essere creato un router virtuale che consiste

di un ID unico e un indirizzo IP.I firewall Nokia possono essere configurati sia con il protocollo standard VRRP che con il protocollo Monitored Circuit(consigliato da Nokia per l’alta affidabilità).I parametri da settare sono:

  Virtual Router   – Identificativo del processo VRRP, deve essere sia per l’interfacce master che per quella backup

   Priority – priorità assegnata alle interfacce (ad esempio master 100 e backup 50) in modo da preferirne una piùche un’altra

   Hello Interval  – tipicamente 1 per motivi di performance, è l’intervallo di tempo tra gli avvisi VRRP   Backup Address – è l’indirizzo del router virtuale.   Priority Delta – deve essere maggiore della differenza tra la priorità dell’interfaccia master e quella di backup.

È il valore da sottrarre alla priorità dell’interfaccia master in modo che questa abbia un valore inferiore aquella di backup.

Con il Monitored Circuit c’è la possibilità di monitorare lo stato di tutte le interfacce, il firewall è quindi configurabilecon due modalità:

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 19/29

 

19

TECNONET S.p.A.

 Hot Stand-by Tutte le interface di un apparato sono configurate come master, mentre quelle degli altri apparati sonoconfigurate come backup. Se cade un’interfaccia della macchina master, automaticamente le interfacce della macchina backup con priorità maggiore diventano master. Il vantaggio è di avere una configurazione più semplice e un recuperoin caso di caduta più rapido. Lo svantaggio è quello di avere una macchina che lavora e una in attesa. Devono essereconfigurate le monitor interface, in modo che un’interfaccia monitorizzi tutte le altre. Load Sharing Il traffico viene redistribuito in maniera statica, una macchina può avere interfacce sia master che backup.

In caso di caduta di un’interfaccia master, quella backup diventa master scambiandosi i ruoli. Il vantaggio è quello diavere due macchine che si smistano il traffico. Lo svantaggio è quello di avere un recupero più lento perché bisognaattendere che il protocollo di routing calcoli di nuovo l’instradamento.  

VRRPv.2  Back up delle interfacce del router   Risponde al protocollo ICMP quando è master   Richiede i protocolli di routine per il ricovery da una singola interfaccia   Non tiene traccia se le interfacce sono up o down

Monitored Circuit  Back up degli indirizzi IP virtuali   Non risponde alle richieste ICMP   Non richiede ulteriori protocolli di routine 

Tiene traccia se le interfacce sono up o downDi seguito un esempio di una configurazione del protocollo VRRP standard sull’interfaccia eth-s3p1c0 di due diversemacchine; la prima interfaccia è configurata come master (10.49.62.1) e la seconda in backup (10.49.62.2)

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 20/29

 

20

TECNONET S.p.A.

NTP  NTP è il protocollo che permette di sincronizzare il clock degli apparati interrogando un server. Questo è ideale per applicazioni distribuite che richiedono sincronizzazione dell’ora, come Check Point FireWall-1 Sync, o l’analisi del logdegli eventi da una macchina remota.Sul firewall master deve essere configurata l’ora (Config System Configuration Local Time Setup) e abilitato il protocollo NTP con funzione da server, sui firewall client oltre ad abilitare il protocollo bisogna specificare il firewallmaster a cui far riferimento.

Configurare SSL (Secure Socket Layer)Per configurare il protocollo SSL in modo che i firewall dialoghino in un protocollo criptato è sufficiente generare lachiave (dicendo al Nokia di essere CA di se stesso) e configurare il Voyager in modo da fargli utilizzare questo protocollo. Per generare una chiave (Config Security and Access Notification Certificate Tool) e per applicarla al

Voyager (Config Security and Access Notification Voyager Web Access). Per collegarsi (https://<Indirizzo IP>).

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 21/29

 

21

TECNONET S.p.A.

ConfigurationINTERFACES

ARPROUTING CONFIGURATION

OSPFRIP

IGMPPIMDVMRPStatic RoutesRoute AggregationInbound Route Filters (esclusione di subnet dalla redistribuzione dei protocolli di routing)Route Redistribution (redistribuzione delle route dei protocolli di routing)Routing Options (pesi dei protocolli di routing sulla macchina e trace dei protocolli il file di trace viene salvato in

/var/log/ipsrd.log)  TRAFFIC MANAGEMENT

Access List Configuration (per ogni interfaccia possono essere assegnate delle politiche di bandwith)Aggregation Class ConfigurationQueue Class Configuration

Dial on Demand Routing ConfigurationROUTER SERVICES

BOOTP Relay (BOOTP/DHCP)IP Broadcast Helper Router DiscoveryVRRP NTP

SYSTEM CONFIGURATIONDNS (viene utilizzato in caso di applicazioni web)Mail Relay (configurazione dell’indirizzo a cui mandare la posta inviata ad admin)System Failure Notification (abilita l’invio di e-mail ad admin in caso di failure)Local Time Setup (ora e data)Host Address Assignment (associazione hostname-indirizzo IP per la licenza di Check Point, di solito viene

utilizzato l’indirizzo verso i router esterni)System Logging (configurazione della workstation a cui inviare i syslog)Change HostnameManage Configuration SetsConfiguration Backup and Restore (backup della configurazione e dei pacchetti installati, il file viene salvato in

/var/backup)Manage IPSO ImagesManage Installed Packages

SECURITY AND ACCESS CONFIGURATIONUsers (gli utenti creati per default sono due: admin ReadWrite e monitor  ReadOnly)Groups Network Access and Services (abilitare FTP server, TELNET e permessi per admin)Voyager Web Access (setta il Voyager per utilizzare il protocollo SSL)Certificate Tool (genera una chiave per il dialogo in SSL)Check Point Firewall-1

SNMPREBOOT, SHUT DOWN SYSTEM

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 22/29

 

22

TECNONET S.p.A.

Aggiornare il Sistema Operativo

Dalla console del firewall digitare il comando newimage –i, è possibile aggiornare il sistema operativo esistenteoppure installarne un altro in modo da averne due versioni diverse. Il caricamento del software può essere eseguito daCD-ROM, da un file locale (/var/admin) o da FTP Server.Se si è installato un nuovo pacchetto, questo deve essere selezionato (Config System ConfigurationManage IPSOImages).

Per installare IPSO ex-novo, bisogna seguire i seguenti passi:  fermare il boot loader (durante il boot fermare l’esecuzione premendo un tasto)  digitare il comando reboot   il boot deve essere fatto da floppy e il sistema operativo deve essere installato da CD-ROM

nel caso che il firewall non abbia in CD-ROM (IP650) dopo aver fermato il boot loader bisogna eseguire i seguenti passi:

  digitare il comando install   configurare un’interfaccia  configurare un FTP Server   il sistema operativo deve essere installato tramite FTP

Installare sempre i protocolli IGRP e BGP, serve poi una chiave per attivarli, ma se non vengono installati bisognaeseguire da capo la procedura di installazione per aggiungerli.

Registrazione sul sito NokiaLa registrazione deve essere fatta sul sito http://support.nokia.com e da diritto ad una login (userID e password) per ildownload del software e le Knoledge Base.

Aggiornare i pacchetti software Dalla console del firewall digitare il comando newpkg –i, come per il sistema operativo è possibile aggiornare il  pacchetto esistente oppure installarne un altro in modo da averne due versioni diverse. Il caricamento può essereeseguito da CD-ROM, da un file locale o da FTP Server. Il nuovo software sarà salvato nella directory /opt.

Registrazione sul sito Check PointLa registrazione deve essere fatta sul sito http://license.checkpoint.com, vanno inseriti il certificate key rilasciato daCheck Point e l’indirizzo IP a cui agganciare la licenza. Dal sito verrà visualizzata la procedura per la registrazione del

 processo Firewall-1 che gira sui Nokia. Da console copiare il comando: fw putlic <IP address> <licenza> 

Directory/var/crash – contiene i coredump in caso di crash della macchina/var/fw – contiene i log del firewall/var/log – contiene i log del sistema operativo/config – contiene I files di configurazione, active è la configurazione attiva sulla macchina/opt – contiene i pacchetti software installati

Comandi NOKIA

ipsofwd on/off admin (abilita/disabilita il routing tra le interfacce) newimage –i (aggiornamento del sistema operativo)

newpkg –i (aggiornamento dei pacchetti software) voyager (controlla se il server web è abilitato) cpconfig (installa Check Point in modalità Stand-Alone o Distributed) fw putlic <IP address> <licenza> (inserisce la licenza Check Point) fw putkey <IP address> (scambia con l’indirizzo IP la chiave) fw fetch <IP address> (scarica le policy dalla management, controllo sullo scambio di chiavi) fwstart/fwstop (start e stop del processo firewall) fw stat <IP address> (controlla se le interfacce si autenticano) fw unload all.all (elimina le policy installate sul firewall)

Comandi UNIX 

ls (mostra il contenuto della directory) 

pwd (mostra la directory corrente) tail –f <file> (mostra la fine del file) more <file> (mostra il file pagina per pagina) ping

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 23/29

 

23

TECNONET S.p.A.

traceroute

printenv (mostra le variabili di ambiente) showalias (mostra gli alias sulla macchina) sysinfo (mostra le informazioni del sistema) tcpdump -i <interfaccia> proto <protocollo> (sniffer del protocollo sull’interfaccia) passwd (modifica la password)

Passi per l’installazione di Check Point Firewall-1Il Firewall-1 consiste di due moduli primari:

1.  Il Module Management2.  Il Firewall o Inspection Module (Gateway/Server Module)

A sua volta il Module Management è diviso in due moduli:1.  Il Control Module (Enterprise Management)2.  Il Graphical User Interface (GUI) Module

Dopo aver configurato il router Nokia seguire i seguenti passi per installare Firewall-1  Accertarsi di aver legato la licenza ad un indirizzo IP configurato su un’interfaccia  Da console digitare il comando cpconfig  Scegliere se si sta installando Check Point in modalità Stand-Alone o Distribuited  

Aggiungere la Secret Key (password per lo scambio delle informazioni, deve essere la stessa dellamanagement console)   Registrazione della licenza sul sito Check Point   Alla fine dell’installazione aggiungere la licenza fw putlic <IP address> <licenza>  Sincronizzare i firewall 

o  Fermare il processo firewall fwstopo  cd $FWDIR/conf  o  creare un file sync.conf inserendo l’indirizzo del firewall con il quale si deve sincronizzare o  Far ripartire il processo firewall fwstarto  controllare se i due apparati si autenticano: 

  fw stat <IP address>

  fw putkey <IP address>

Attivare Firewall-1 allo startup della macchina

Marco Scapellato

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 24/29

 

24

TECNONET S.p.A.

 Introduzione alla progettazione

La progettazione di una rete può essere considerata unaforma d’arte in quanto combina conoscenze relativealla valutazione e alla scelta delle tecnologie di rete,conoscenze relative al funzionamento delle tecnologie,dei servizi e dei protocolli e un certo grado diesperienza pratica sul funzionamento di tali sistemi.Un tempo, la progettazione di una rete si basava su unaserie di regole generali tipo la regola dell’80/20 o laregola “bridge quando possibile e router se necessario”.Queste regole hanno funzionato piuttosto bene quandonon vi erano troppe scelte nel campo delle tecnologie,delle strategie di interconnessione, dei protocolli.L’analisi e la progettazione di una rete richiedonoanche compromessi. I compromessi ad esempio fracosti e prestazioni o fra semplicità e funzionalità. Icompromessi si presentano ovunque nel processo dianalisi e la maggior parte dei progetti di reti si  preoccupa di riconoscere questi compromessi, in baseai quali ottimizzare il progetto.Il primo principio fondamentale da tenere presente per la progettazione di una rete è quello del concetto di“area”; alla base di questo concetto sta il fatto che nontutti gli switch vengono creati in modo uguale.Come regola progettuale base, la rete dovrebbe esserevista come una suddivisione in tre macroaree:

  L’area centrale  L’area periferica  L’area delle risorse centralizzate

Ciascuna di queste tre aree gioca un ruolo specifico nelfunzionamento della rete e definisce alcunecaratteristiche per gli switch che dovranno essereutilizzati nei vari ruoli.

 Area centrale

E’ l’area più critica in quanto è il punto diaggregazione di quasi tutto il traffico circolante. Deve

essere realizzata in modo da presentare duecaratteristiche fondamentali:

  Prestazioni elevate  Ridondanza elevata

Proprio per tali ragioni gli switch utilizzati nell’areacentrale sono i più costosi.La piena ridondanza viene garantita da caratteristichequali la ridondanza di alimentazione N+1,dall’elaborazione distribuita e dall’assenza,nell’architettura dello switch di singoli punti di possibile guasto.Un’ultima caratteristica richiesta per gli switch didorsale, è che la sua architettura sia espandibile.

 Aree periferiche

Alle aree periferiche è destinato il maggior numero di porte, e poiché le necessità degli utenti saranno, nellamaggior parte delle reti, variabili, per una corretta  progettazione di una Lan si dovranno prendere inconsiderazione molte opzioni.

 Area delle risorse condivise

E’ l’area che garantisce la connettività alle risorsecentralizzate di rete (server, router, firewall,mainframe, ecc.).Quest’area richiede:

  Alta capacità di banda  Affidabilità estremamente elevata  Possibilità di analisi del traffico

Caratteristiche comuni a tutti gli switch di

una rete “flat”

Tutti gli switch di una rete Lan “flat” devono poter memorizzare nella tabella degli indirizzi MAC unnumero di entry superiore al numero di utentieffettivamente presenti in rete.

 Parametri importanti per la progettazione

MTBF (Mean Time Between Failure): ogni apparato  prima o poi si guasta, e i costruttori forniscono per ogni oggetto elettronico quando in media si avrà il  primo guasto. Questo valore è dato dal MTBF enormalmente sono valori stimati.  Notiamo che fornire soltanto il valore medio èstatisticamente poco significativo. Insieme al valoremedio i costruttori dovrebbero fornire anche ladeviazione standard. In parole povere supponiamo diavere un apparato con MTBF di 4000 ore, e di aver comprato 12 di questi apparati. Per ottenere lo stessovalore di MTBF la distribuzione dei guasti nel tempo  può essere molteplice. Per esempio per ottenere unvalore di MTBF di 4000 ore sono equivalenti i duecomportamenti:

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 25/29

 

25

TECNONET S.p.A.

  I 12 apparati si guastano tutti dopo 6 mesi  MTBF = 4000 ore

  Dei 12 apparati il primo si guasta dopo un mese, ilsecondo dopo due mesi….. il 12° dopo 12 mesi  MTBF = 4000 ore

Come vedete la distribuzione dei guasti è moltodifferente, e soltanto il valore della deviazionestandard può far vedere la differenza. I costruttoridovrebbero fornire per il primo caso un MTBF:

  MTBF: 4000 ± 500 ore

Per il secondo caso un MTBF:

  MTBF: 4000 ± 3000 ore

Purtroppo i costruttori quando forniscono alcuni datisono completamente fuori da ogni deontologia

scientifica.

Per un’apparato modulare, ogni modulo avrà il proprioMTBF. Quale sarà il valore di MTBF dell’apparato nelsuo complesso ?In questo caso per semplicità il valore da prendere inconsiderazione è l’MTBF minore fra tutti gli MTBFdei moduli.

Esempio: abbiamo un apparato composto da unochassis (MTBF = 10.000 ore), due moduli Gigabit(MTBF = 7.000 ore), 5 moduli fastethernet (MTBF =6.000 ore) e un alimentatore (MTBF = 4000 ore).

Dunque l’apparato nel suo complesso avrà un MTBFdi 4000 ore.

MTTR (Mean Time To Repair) : questo valore fornisceun stima della durata media dei periodi di fermomacchina.Il valore MTTR è particolarmente importante inquanto può essere in relazione con il tempo diriparazione o di risposta offerti da un contratto dimanutenzione.

La combinazione fra MTBF e MTTR stabilisce anchela durata e la frequenza dei periodi di fermo macchina.Si definisce la disponibilità in percentuale D come:

D = [1 – (MTTR / MTBF)] · 100

Le stime di soglia generale sono:

  Sistemi in prova o prototipi: D < 95%  Bassa affidabilità: 95% < D < 99,99%  Alta affidabilità: D > 99,99%

Esempio: ad un cliente è stato venduto uno switch cheha un MTBF di 8000 ore e si è stipulato un contratto di

manutenzione con un MTTR di 4 ore. Qual è ladisponibilità percentuale? Si ottiene D = 99,95%dunque è un sistema a bassa affidabilità.

Esempio: ad un cliente è stato venduto uno switch cheha un MTBF di 20.000 ore. Si vuole stipulare uncontratto di manutenzione per fare in modo che ilsistema sia ad alta affidabilità. Qual è il valore diMTTR necessario? Qualsiasi valore di MTTR minore ouguale a 2 ore.

E’evidente che stipulare un contratto di manutenzionesignifica anche mantenere un magazzino scorte. Nasceil problema di ottimizzare la quantità di moduli,alimentatori, schede e apparati da tenere in magazzino.

Scorte di magazzino

Per ottenere una stima verosimile delle scorte dimagazzino si deve per forza conoscere la deviazionestandard oltre al valore dell’MTBF.Dato che i costruttori non forniscono questo datofacciamo l’ipotesi verosimile che la deviazionestandard sia sempre uguale a:

= MTBF / 3

Ora ciò che vogliamo sapere è la risposta alla seguentedomanda:

  La Tecnonet vende N apparati con un certoMTBF. Quando con probabilità maggiore/ugualedel 50% almeno uno di questi N apparati siguasterà?

Per rispondere a questa domanda si può utilizzare ilseguente grafico.

  Apparati con MTBF = 10000 ore

 Nel grafico abbiamo sull’asse x il numero N di apparativenduti e sull’asse y le ore che devono passare dallavendita perché almeno uno degli N apparati si guasticon una probabilità maggiore del 50%. Per esempio seabbiamo venduto 20 apparati con MTBF = 10000 ore(circa un anno), ci aspettiamo con probabilità del 50%che dopo circa 4000 ore (circa 6 mesi) almeno uno diquesti 20 apparati si guasterà.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 26/29

 

26

TECNONET S.p.A.

Lo stesso grafico può essere usato per apparati conMTBF diverso da 10000.

Supponiamo di aver venduto 50 apparati con MTBF =200.000 ore. Si proceda in questo modo si divida200.000 con 10.000…. il risultato è 20. Ora si trovi sul

grafico precedente a quante ore corrispondono 50apparati…. Si trova circa 2700 ore…. Ora si

moltiplichi per 20 e si ottiene il risultato cercato….54000 ore.

Per le scorte di magazzino si può pensare di acquistareun’apparato di scorta soltanto dopo che la probabilitàche almeno un apparato venduto si guasti sia superiore

al 50%.

Topologie di rete

Gli standard di cablaggio strutturato (ISO/IEC 11801, EIA/TIA 568A) prevedono che una rete sia conforme ad unatopologia stellare gerarchica. Quindi la maggior parte delle topologie utilizzate sono di questo tipo. Ciò non significache in alcuni casi si possano utilizzare altre topologie. E’ difficile trovare in letteratura una dettagliata schematizzazionedelle varie possibilità. E’ quello che proviamo a fare in seguito:

TOPOLOGIA A1

ProprietàDomini di Broadcast: 1Domini di collisione: 1Limiti progettuali: La trasmissione dati fra un PC e un altro PC può

attraversare al massimo 4 HUB;Si possono al massimo avere 1024 PC (limite dellaShared Ethernet);

 Non è possibile utilizzare nessun tipo di ridondanza adeccezione dell’alimentazione elettrica degli hub;Velocità uguale per tutti gli Host (PC e Server)normalmente 10Mb/s (reti con Hub a 100Mb/s sono

 poco diffuse);Utilizzazione media massima utilizzabile in

 percentuale 40%Altre caratteristiche: Normalmente l’Hub di centro stella e un Hub

Stackable. Deve avere un MTBF maggiore rispettoagli apparati di piano;Topologia obsoleta e quindi non proponibile maancora molto diffusa (sono clienti potenziali in quanto

  pronti attualmente a una completa ristrutturazionedella rete) 

TOPOLOGIA A2

ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sullo switchDomini di collisione: Al massimo uguale al numero totale di porte

 presenti sullo switchLimiti progettuali: Tutti i PC di piano e i Server in questa topologia si

connettono direttamente all’unico apparato attivo;

Topologia ammissibile per edifici con al massimo uncentinaio di PC, pochi piani e distanze di cablaggiofra i PC e il centro stella m inori di 100 metri;Una qualsiasi interruzione dello Switch centrale

 blocca completamente l’intera rete;Lo Switch deve avere ridondanza completadell’alimentazione e dei moduli dicontrollo in più i server possono avere schededi rete ridondate;

Altre caratteristiche: Lo Switch deve essere modulare con MTBFmaggiore di 60.000 ore e con possibilità di routingfra Vlan;E’ consigliabile porre la velocità delle porte dove sicollegano i PC tutte a 10Mb/s Full Duplex e le portedove si collegano i server a 100Mb/s Full Duplex;

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 27/29

 

27

TECNONET S.p.A.

TOPOLOGIA A3

ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sullo switchDomini di collisione: Al massimo uguale al numero totale di porte

 presenti sullo switchQuesta topologia può essere proposta nel caso di clienti con budgetlimitato che hanno una rete di topologia A1 che ha raggiunto i suoi limitidi utilizzo. In questa topologia si riutilizzano gli Hub della vecchia rete

  presenti sui piani e viene sostituito soltanto l’Hub di centro stella.Ricordiamo che ad ogni porta dello switch può essere collegata un’interashared ethernet (topoloagia A1).

 Nonostante questa topologia sia più che soddisfacente per molti clienti, iclienti stessi normalmente non la prendono in considerazione, in quantotendono a sostituire tutti gli Hub presenti sulla rete preesistente con degliswitch.

TOPOLOGIA A4

ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sugli switchDomini di collisione: Al massimo uguale al numero totale di porte

 presenti sugli switchUtilizzando anche switch nei piani possiamo utilizzare tecniche diraggruppamento dei canali nei collegamenti verticali verso lo switchcentrale. Ricordiamo che queste tecniche sono proprietarie, Cisco utilizzal’Etherchannel, Enterasys usa lo SmartTrunk, ecc.Ciò comunque permette un aumento della velocità del flusso dati suicollegamenti verticali, e una ridondanza di collegamento.

 Nonostante tutto il livello di ridondanza della rete nel suo complesso èancora bassa.Il livello di ridondanza raggiunge buoni livelli se lo switch di centro stella

 possiede doppio alimentatore e doppia scheda supervisor. 

TOPOLOGIA A5

ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sugli switchDomini di collisione: Al massimo uguale al numero totale di porte

 presenti sugli switchQuesta topologia ha le seguenti caratteristiche:  Ridondanza dei collegamenti tra switch di piano e switch di core

tramite raggruppamento dei canali  Ridondanza dovuta a collegamento tra i due switch di core e il

collegamento di ogni switch di piano ad ambedue gli switch di coree conseguente abilitazione dello spanning tree su tutti gli switchinteressati

  I server sono connessi non direttamente agli switch di core ma ad unulteriore switch con collegamento ridondante verso il core

  Inoltre a livello layer 3 possono essere abilitati i protocolli VRRP (oHSRP se sono Cisco) per la ridondanza del router virtuale fra Vlan

Limitazioni: lo spanning tree converge in un tempo di circa 50 secondi ein caso di porte degli switch interessati al processo di spanning tree che

 presentino situazioni di link intermittente può portare a situazioni di blocco della rete (nonostante tutto!)(caso effettivamente successo inAGI).Questa topologia lavora bene fino ad un massimo di 2000 utenti, e per 

 precauzione fino ad un massimo di 10 switch di piano.

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 28/29

 

28

TECNONET S.p.A.

TOPOLOGIA A6

Se non sono necessari domini di broadcast (VLAN) che attraversino ilcentro stella, e se anche gli Switch di piano hanno funzionalità di Layer 3,allora si può pensare di eliminare completamente l’utilizzo del protocollospanning tree. In questo caso ogni collegamento fra switch corrisponde a

una network logica distinta dalle altre. L’abilitazione di protocolli dirouting come EIGRP, OSPF, oppure semplicemente delle routes statiche,

 permette di ottenere ridondanza e load balancing.Si può migliorare ulteriormente, l’affidabilità implementando il VRRP (oHSRP) nei due switch di core.

Topologie per la connessione delle reti a Internet tramite Firewalls

Attualmente per il collegamento delle reti aziendali a Internet è indispensabile l’utilizzo dei Firewalls. I Firewalls sonoun punto critico della rete soprattutto quando l’azienda fornisce servizi tipo www su internet. Le seguenti topologieillustrano le varie topologie possibili per l’utilizzo dei firewalls:

TOPOLOGIA F1

E’ la topologia più semplice. Il firewall in questo caso, è molto probabileche faccia Nat. Le controindicazioni di questo caso sono:-  non sono presenti ridondanze-  tutto il traffico verso internet e verso eventuali server WWW o

SMTP attraversano l’unico firewall presente.-   Non sono presenti dei Bastion Host o DMZ

Topologia consigliabile per reti aziendali di piccole/medie dimensioni chenon forniscono servizi su internet.

TOPOLOGIA F2

In questa topologia il firewall gestisce una area detta DMZ o BastionHost dove verranno posti tutti i server che devono fornire servizi suInternet. Le controindicazioni sono:-  non sono presenti ridondanze-  tutto il traffico verso internet e verso eventuali server WWW o

SMTP attraversano il l’unico firewall presente.

Topologia consigliabile per reti aziendali di piccole/medie dimensioni

TOPOLOGIA F3

5/8/2018 Reti e dintorni 3 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-3 29/29

 

29

TECNONET S.p.A.

Questa topologia utilizza un secondo firewall utilizzato per il backup.Alcuni firewall permettono di mantenere in piedi una sessione,trasferendo i dati della sessione al firewall di backup. Quando il firewall

  primario si guasta il firewall di backup diventa master è nella suamemoria ci sono i dati per mantere in piedi le sessioni trasmissive che

 passavano per il firewall che si è guastato. Controindicazioni:

- tutto il traffico da o verso internet continua ad attraversare un solo

firewall.

TOPOLOGIA F4

Con l’ausilio di Policy attivabili su alcuni tipi di Switch/Router si puòfare load balancing fra N firewalls.

Questa è l’architettura consigliata per elevate quantità di traffico e per avere un’ottima ridondanza.

Inoltre è estremamente flessibile è pronta per eventuali ulteriori richiestedi banda, è sufficiente aggiungere altri firewalls.

Roberto Gaeta