reti e dintorni 3
TRANSCRIPT
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 1/29
Reti e dintorniMaggio/Giugno 2001 N° 3
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 2/29
2
TECNONET S.p.A.
IP SECURITY
Ip security è uno standard dell’ietf per la comunicazione attraverso reti publiche. Lo standard è documentato negli rfc da2401 a 2412.
Questi standard sono stati sviluppati per accertare sicurezza, comunicazione privata per gli accessi remoti, extranet, e leinternet virtual private networks ( vpns).Esse sono le sicure architetture per la futura generazione ip, chiamata ip v.6 ma sono disponibili anche per l’attualeversione 4 dell’ip.
CONFIGURARE IP SEC E NAT SU UNA INTERFACCIA
È possibile configurare sia l’ip sec che il nat su di una stessa interfaccia di un router.Per quanto, il range di indirizzi configurati nelle ip sec policy filter e per il nat non possono essere sovrapposti.È possibile configurare sia l’ip sec che il nat o da bcc o tramite il site manager.Configurando sia l’ip sec che il nat sulla stessa interfaccia del router, essi operano indipendentemente senza passaretraffico l’un l’altro.Con entrambi i protocolli configurati sulla stessa interfaccia, il nat ha precedenza sull’ip sec. ad esempio se l’indirizzo
di destinazione ( destination address ) di un pacchetto entrante non riscontra nessun indirizzo publico nat configurato , il pacchetto sarà allora processato dall’ip sec. se il pacchetto ip contiene un indirizzo che fa parte del range di una policyip sec configurata, allora il paccheto è protetto, passato oppure bloccato.Un pacchetto che non fa parte di nessuna ip sec policy sarà bloccato.Un router configurato per il nat bidirezionale non supporta ip sec.
SERVIZI DELL’IP SEC
I servizi dell’ip sec consistono nella : confidenzialità, integrità, e autenticazione per paccheti dati che viaggianoattraverso due gateway sicury.
La confidenzialità assicura la segretezza della comunicazioni.
Il servizio di integrità rileva modifiche del pacchetto dati
Il servizio di autenticazione verifica l’origine di ogni pacchetto dati
Confidenzialità
La confidenzialità è compiuta dal criptaggio ed il decriptaggio del pacchetto dati. Il protocollo Encapsuling SecurityPayload ( esp ) usa l’algoritmo Data Encription Standard ( des ) in modalità di concatenamento del blocchetto di cifra (cbc ) per criptare e decriptare il pacchetto dati.La confidenzialità si regola con il cipher algorithm ed il cipher key parameter. Il cipher algorithm ed il cipher key sonospecificati nella security association ( sa ). Una security association è un rapporto in cui i due peer ripartiscono lenecessarie informazioni per assicurare i dati protetti e non protetti. L’algoritmo e la chiave devono essere identici inentrambi gli end point.
Integrità
L’integrità determina se i dati sono stati alterati durante il passaggio. Il protocollo ESP assicura che i dati non sono statialterati nel passaggio fra 2 gateway sicuri. Il protocollo ESP usa le trasformazioni HMAC MD5 ( RFC 2403 ) o HMACSHA-1 ( RFC 2404 ).L’integrità si regola con il integrity algorithm ed il integrity key parameter. Essi devono essere identici in entrambi gliend point.
Autenticazione
L’autenticazione assicura che i dati siano stati trasmessi da una sorgente identificata.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 3/29
3
TECNONET S.p.A.
Servizi aggiuntivi dell ‘ ipsec
Nella struttura dell’ ip sec sono forniti servizi di sicurezza aggiuntivi. Il servizio del controllo di accesso ( access controlservice ) assicura un uso autorizzato della rete, ed un servizio di verifica che traccia tutte le azioni e gli eventi.Il servizio ip sec può essere configurato sulla base di ogni interfaccia. Su ogni ip sec interface sono supportate fino a127 uscenti e 127 entranti policies.
Funzionalità dell’ip sec
I servizi ip sec sono impacchettati come un pacchetto ip criptato. i pacchetti assomigliano ai pacchetti ordinari ip neinodi internet; soltanto i devices trasmettenti e riceventi sono coinvolti nel criptaggio. I pacchetti ip sec sono trasportatiin internet come ordinari pacchetti ip fino ad uffici succursali , società partner, o altre organizzazioni remote in un modosicuro criptato e privato.Varie tecnologie esistenti forniscono il criptaggio e l’autenticazione al livello applicazione. L’ip sec aggiunge sicurezzaal network layer, provvedendo un alto grado di sicurezza per tutte le applicazioni , incluse quelle senza nessuna propriasicurezza.
Protezione dell’ipsec
Per configurare un router con l’ip sec , bisogna configurare prima l’interfaccia router come una interfaccia ip. Poi è possibile aggiungere il software ip sec su quella interfaccia, creando un gateway sicuro. Un gateway sicuro è un router inserito fra una rete sicura ( una lan aziendale ) ed una rete insicura ( internet ) che fornisce un servizio di sicurezzacome l’ip sec.L’interfaccia router è assicurata con delle policeis di sicurezza sia in entrata che in uscita che filtrano il traffico entranteed uscente dal router. I pacchetti dati stessi sono protetti dal protocollo ip sec processando una specificata SA.
Ip sec tunnel mode
Quando c’è un security gateway ad ogni terminazione di comunicazione , le security association fra i gateway sonocomunicate in modalità tunnel. Le modalità tunnel si riferiscono ai dati che sono visibili soltanto all' inizio ed ai punti
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 4/29
4
TECNONET S.p.A.
finali della comunicazione. I pacchetti ip protetti dall’ip sec hanno una regolare e visibile testata ip , ma il contenuto ècriptato e così nascosto.Tutte le comunicazioni ip sec bayrs avvengono in modalità tunnel.La modalità tunnel ha specialmente effetto per isolare il traffico di una azienda attraverso una rete pubblica.
Elementi ip sec
L’ip sec ha 3 importanti costruzioni :
security gateway security policies security associations
nel contesto ip sec, gli host comunicano su una rete insicura attraverso gateway sicuri. Le security policies determinanocome le interfacce ip sec manipolano i pacchetti dati per gli host degli end point. Le security associations applicano ilservizio ip sec ai pacchetti dati che viaggiano attraverso i gateway sicuri.
Gateway sicuri
Un gateway sicuro stabilisce le security association fra le interfacce router configurate con l’ip sec. un nortel network router diventa un gateway sicuro quando si abilita l’ip sec su di una interfaccia wan. In questo caso il router nortel operacome un gateway sicuro fornendo il servizio ip sec ai propri host interni ed alle sottoreti.
Host e reti esterni ad un security gateway sono considerati insicuri. Host e reti interni al gateway sicuro ( nodi su lan )sono considerati sicuri perché sono controllati e sicuramente gestiti dal medesimo amministratore di rete.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 5/29
5
TECNONET S.p.A.
Quando viene implementato il servizio ip sec su un router per creare un gateway sicuro, i propri host interni e lesottoreti possono comunicare con host esterni dove funziona direttamente o è fornito da un router remoto l’ip sec.
Security policies
Quando si crea una ip sec policies si può controllare quale pacchetto il gateway protegge, come manipola i pacchetti
verso o da uno specifico indirizzo o in un particolare protocollo, e crea un log di questa azione.
Ci sono 2 tipi di policies: uscenti o entranti. Una policy entrante è usata per i pacchetti che arrivano ad un gatewaysicuro, mentre una policy uscente è usata per i pacchetti che lasciano il router. Ogni interfaccia ip sec può supportaresino a 127 policies entranti ed uscenti.Le specifiche criteria e action usate nelle policies sono registrate in un security policy database ( SPD ).Se un pacchetto uscente o entrante non corrisponde ai criteri di nessuna policies nell’SPD, il pacchetto è bloccato.L’ip sec scarta tutto il pacchetto in uscita a meno che non sia stata configurata una esplicita policy per escuderli o proteggerli..
Policy templates
Ogni ip sec policy è basata su un policy template. Un policy template è una predefinita definizione di policy che si può
usare su ciascuna interfaccia ip. Il template specifica uno o più criteri e azioni da applicare ad un pacchetto entrante ouscente.Un policy template ed ogni policy basata su di esso devo contenere al meno un criterio ( e.s. source address ) edun’azione. Un policy template o una policy possono includere 2 azioni se una delle 2 è annotata ( log ). Laspecificazione del test di verifica determina se un pacchetto riscontra una particolare security policy, e l’azione specificacome la policy è applicata al pacchetto.
Inbound policies
Una inbound policies determina come un gateway sicuro processa i dati ricevuti da una rete non sicura. Ogni pacchettoentrante in un gateway sicuro viene comparato con i criteri per determinare se riscontra una policy ip sec configurata.Se i pacchetti entranti riscontrano una policy di baypass, il router accetta i pacchetti, e se configurato, registra il loro passaggio nel log del router.
Se il pacchetto non è riscontrato in nessuna policy o riscontra una policy di drop, il router rigetta il pacchetto. Se un pacchetto non riscontra alcuna policy, di base l’ip sec blocca il pacchetto.
Le azioni di una policy entrante possono essere :
drop bypass log
drop e baypass sono reciprocamente “esclusive”. Le azioni log possono essere aggiunte o usate da sole.
Outbound policies
Una policy outbound determina come un gateway sicuro per attraversare una rete non sicura. Si assegna una outbound policy per tutto il traffico unicast che lascia una interfaccia ip sec.
Per una outbound policy le azioni sono :
protect drop bypass log
ogni outbound policy con una azione di protezione è mappata in una protect sa.
Drop, protect, e baypass sono reciprocamente esclusive, l’azione log può essere aggiunta su ciascuna delle 3 azioni, ousata da sola.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 6/29
6
TECNONET S.p.A.
Policy criteria specification
Il software ip sec controlla la testata ip del pacchetto basato su uno specifico criterio per determinare se una policy siapllichi ad un pacchetto dati.
Si deve includere almeno uno dei seguenti criteri , o tutti e 3 in una policy ip sec.
ip source address ip destination address protocol
per specificare il criterio protocol, si deve fornire il valore numerico assegnato al protocollo per usarlo su internet. Si può specificare solo un singolo protocollo per ogni policy. Il numero di protocollo è rappresentato nel campo protocolcon 1 byte nella testata del pacchetto ip.
Security associations
Una security associations è una relazione dove due nodi comunicanti scambiano le informazioni necessarie per proteggere sicuramente dati non protetti. Una SA ip sec è identificata unicamente da un ip destination address, l’indice
dei parametri di sicurezza (SPI), e sicuramente il contrassegno di protocollo ( ESP in modalità tunnel ).
Una policy ip sec determina quale pacchetto deve essere manipolato. Una SA ip sec specifica quale servizio di sicurezza( ad esempio : riservatezza – confidentiality ) l’ip sec deve applicare al pacchetto. Si possono applicare uno o più servizidi sicurezza.Le SA stesse devono essere create scambiate in una modalità sicura, ci sono due modi per realizzare ciò :
usando il processo di negoziazione automatica fornito dall’ INTERNET KEY EXCHANGE” IKEPROTOCOL.
Configurando manualmente i device invianti e riceventi con uno “shared secret” (segreto comune)
Automated security associations usando l’IKE.
L’IKE è un protocollo automatico per stabilire SA attraverso internet. ( l’IKE è anche riferito all’Internet SecurityAssociation Key Management Protocol with Oakley Key Determination, o più semplicemente ISAKMP/Oakley ). L’IKE manipola la negoziazione, stabilizzazione, modificazione e la concellazione delle SA. Per installare queste SA,l’IKE stesso deve creare una confidenziale e sicura connessione fra il trasmettente ed il ricevente. L’autenticazione èeseguita con uno o più dei seguenti:
preshared key: queste sono installate avanti a tempo in ogni nodo in una transazione. Public key cryptography: usando l’algoritmo RSA public key, ogni membro della transazione autentica se
stesso agli altri usando le mamber public key per criptare un valore di autenticazione. Digital signature: ogni membro della transazione invia una firma digitale algi altri. Le firme sono
autenticate usando una member public key ottenuta tramite un certificato digitale X.509
L’implementazione bayrs dell’IKE usa soltanto le preshared key.Manual security associations
Configurare manualmente le SA è un laborioso processo che usare l’IKE. Se possibile, usare l’IKE per per una maggior scala di pratiche e sicure comunicazioni.
Configurando manualmente le SA, spesso conta su statiche e simmetriche chiavi su host comunicanti o su gatewaysicuri. Come tali si deve coordinare all’interno di una organizzazione e con i partner esterni di configurare chiavi che proteggeranno le informazioni.
Security associations for bidirectional traffic
Una SA specifica i servizi di sicurezza che sono applicati ad un pacchetto dati che viaggia in una direzione fra i 2gateway. Per assicurare il traffico in entrambi le direzioni, il gateway sicuro deve una protect SA per i dati trasmessidall’interfaccia ip sec locale ed una Unprotect SA per i dati ricevutoi dall’interfaccia ip sec locale.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 7/29
7
TECNONET S.p.A.
security associations per il traffico bidirezionale
date molte circostanze, si può configurarel’IKE protocol per negoziare automaticamente le SA fra 2 gateway sicuri. Iltutto può essere configurato anche manualmente.
Modalità di negoziazione delle SA del protocollo IKE
Il protocollo IKE, automatizza il processo di configurazione delle SA ipsec creando una IKE SA per la negoziazionedelle protect ed unprotect SA. Ogni IKE PEER ( router ) invia informazioni di negoziazione dei parametri SA ipsec inun sicuro pacchetto IKE. I peer generano chiavi basate su parametri accordati e quindi verificano ogni identità altrui.una volta compiuto tutto ciò l’SA ip sec è stabilito.
Il protocollo IKE stesso è assicurato attraverso un IKE SA creato usando l’algoritmo di Diffide-Hellman ( Oakley ) , per determinare la chiave, ed il metodo di autenticazione. Nortel Networks usa delle preshared key.
Indice dei parametri di sicurezza
Un security parameter index ( indice dei parametri di sicurezza ) SPI, è un arbitrario ma unico valore di 32 bit ( 4 byte )che, combinato con l’ip detination address ed il valore numerico del protocollo di sicurezza usato ( ESP ) , unicamenteidentifica l’SA per il pacchetto dati.
L’ipsec scarta ogni pacchetto ESP in entrata se l’SPI non riscontra nessuna SA all’interno del database ( SAD ).
Sommarizzazione delle security policy e delle SA
Le tabelle sottostanti forniscono una struttura per capire le policies e le SA ip sec.Esse forniscono esempi di come le policies e le SA dovrebbero essere implementate.
In tabella 1 ogni fila definisce la definizione di policy per ogni policy definita nella prima colonna. Ad esempio, la policy blu specifica 2 criteri “ ip source e destination address” e l’azione drop. Esse dovrebbero essere usate per scartaretutto il traffico proveniente da un sito non desiderato.
Le policy verde e giallo specificano una azione di protect SA. La policy gialla copre il traffico di un solo protocollo (TCP ) per una subnet particolare, mentre la policy verde copre tutto il traffico ad un particolare address.
La policy nera specifica solo i test sui protocolli e l’azione di baypass. In questo caso il protocollo ICMP ( tipicamenteusato per le funzioni PING ) è passato attraverso il gateway sicuro senza il criptaggio dell’ipsec.
Si possono definire i parametri SA ( automatici o manuali ) per una policy immediatamente dopo aver specificato la policy usata da essi.
Tabella 1
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 8/29
8
TECNONET S.p.A.
Policy name Protocol Ip source address Ip dest. Address action
Blu ( tutti ) IP address IP address DropGialla 6 ( TCP ) IP subnet IP subnet Protect SAVerde ( tutti ) Range degli indirizzi
IPRange degli indirizziIP
Protect SA
Nera 1 ( ICMP ) Tutti gli address Bypass
Tabella 2
Security associations SPI Cipher Integrity
Source
address
Destination
address
algoritmo Lunghezza
chiave
chiave Algoritmo Chiave
IP address IP address 270 DES 40 Hex value HMAC MD5 Hex valueIP address IP address 260 DES 56 Hex value HMAC MD5 Hex value
Protocolli di sicurezza
L’ip sec usa 2 protocolli per fornire traffico sicuro :
Encapsulating Security Payload ( ESP ) Authentication Header ( AH )
Si può usare sia un protocollo che entrambi per proteggere i dati su una VPN. Generalmente, soltanto un protocollo ènecessario.
Nortel Networks usa soltanto l’ESP. Nortel Networks non implementa il protocollo AH perché le stesse funzioni sono possibili sul protocollo ESP.
Encapsulation Security Payload
Il protocollo ESP fornisce riservatezza ( criptaggio ). Può inoltre fornire integrità dati, identificazione dell’origine deidati stessi, ed un servizio di antiripetizione.
l’integrità dei dati assicura che i dati non siano stati alterati l’identificazione dell’origine dei dati valida le parti trasmittenti e riceventi il servizio di antiripetizione assicura che il ricevente possa ricevere e processare soltanto una volta ogni
pacchettoUno o più servizi di sicurezza devono essere applicati ogni volta che l’ESP è invocato.L’ESP applica i seguenti algoritmi e trasforma gli identificativi per trasportare i relativi servizi:
DES ( 56 – bit ) 40 – bit DES ( soltanto per chiavi manuali ) triplo DES ( 3DES ) ( 3DES è soltanto una opzione dell’ipsec ) HMAC Message Digest 5 ( MD5 ) HMAC SHA 1
Esp usa l’algoritmo DES o il triplo DES ( 3DES ) per il criptaggio.L’ ESP usa l’ Hashing Message Authentication Code Message Digest 5 ( HMAC MD5 ) o HMAC SHA 1 per trasformare gli identificativi di autenticazione.
ESP usa la modalità CBC dell’algoritmo di criptaggio DES. CBC è considerato il modo più sicuro del DES. Un numerodi 56 o 40 bit, conosciuto come chiave, controlla il criptaggio ed il decriptaggio. La gestione delle chiavi è automaticaattraverso l’IKE, o può essere controllata manualmente.
Entrambi i lati di una SA devono usare lo stesso metodo di criptaggio. Normalmente si può usare la chiave più fortecomposta da 56 bit per maggiore sicurezza, oppure il triploDES se corretto.Comunque, se si stà comunicando con un gateway sicuro limitato ad una chiave di 40 bit, va usata una chiave di 40 bit.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 9/29
9
TECNONET S.p.A.
Quando la protezione ESP è usata in modalità tunnel, una testata IP uscente specifica la destinazione di processo ip sec,ed una entrante specifica la ( reale ) destinazione dell’obbiettivo per il pacchetto. La testata del protocollo di sicurezzaappare dopo la testata ip uscente e prima della testata ip entrante. Soltanto il pacchetto nel tunnel è protetto, non latestata uscente.
Authentication header
Il protocollo AH fornisce integrità dati, autenticazione dell’origine dei dati, e opzionalmente il servizio diantiripetizione. Esso fornisce il servizio di criptaggio solo della testata e non dell’intero pacchetto IP.
Il protocollo AH usa lagli identificativi di autenticazione HMAC MD5 e HMAC SHA 1. il protocollo AH non è usatoda Nortel Networks.
Internet key exchange protocol
Il protocollo IKE negozia e fornisce materiale privato e autenticato sotto chiave per le SA. Prima di fornire tutto ciò il protocollo stesso deve essere autenticato , a volte bisogna creare un IKE SA fra 2 gateway sicuri ove l’IKE stà agendo.
Il software BAYRS crea un IKE SA attraverso una preshared authentication key. L’IKE crea e cambia dinamicamente
l’Ipsec SA, con nessuna iversione di utente necessaria.Questo li rende veloci di quanto potrebbero, per maggiore sicurezza.
Per negoziare una SA, i peer IKE formano una SA ( e IKE SA ) fra loro. L’SA IKE protegge la negoziazione delloscambio di chiavi e dei parametri ip sec.
Il protocollo IKE le chiavi dell’ipsec e delle SA IKE basandosi su di un criterio preconfigurato come un timeout o una percentuale di traffico espresso in byte spedito.
Perfect forward secrecy
Il perfect forward secrecy ( PFS ) dissocia ogni chiave delle SA ipsec dalle altre nella stessa negoziazione delle SA IKE.Per ottenere il PFS , l’IKE usa l’algoritmo di Diffide-Hellman per scambiare chiavi per ogni SA. Questo significa che le
chiavi dell’IKE e delle SA ipsec sono automaticamente rimappate nella tratta di comunicazione fra i peer ipsec, levecchie chiavi, se compromesse, non possono essere usate per derivare passate e future chiavi usate per altre SA.
Con il PFS, se un intruso gestisce di rompere una chiave di criptaggio, ottiene accesso ad una parte limitata dei dati ( i pacchetti protetti di una singola SA ).
Considerazioni di performance
Le prestazioni dell’ip sec sono molto grandi, e l’ip sec può impattare sulle prestazioni del router stesso in generale.Fattori che impattano sulle performance sono:
l’algoritmo di criptaggio usato dall’ip sec altri protocolli e funzionalità che lavorano sullo stesso slot che usa lo stesso processore dell’ipsec la potenza delle elaborazioni dei router bayrs
le seguenti informazioni aiutano a pianificare e gestire le risorse di CPU nei router BAYRS che usano ipsec.
Maggiore sicurezza può inversamente impattare sulle prestazioni. Prima di progettare l’implementazione ip sec,identificare il traffico dati che deve essere protetto. Una verifica ed analisi del traffico permette di ottenere un minimoimpatto sulle prestazioni del router. Configurare ipsec per baypassare il traffico che non necessita di essere protetto,quindi riduce le risorse di CPU usate. Anche la quantità di risorse richieste varia significativamente per i differenticriptaggi ed algoritmi di autenticazione.
Questi algoritmi sono elencati in ordine consumo crescente di CPU e sicurezza:
MD5 SHA 1 DES DES con MD5
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 10/29
10
TECNONET S.p.A.
DES con SHA 1 3DES 3DES con MD5 3DES con SHA 1
in più, la generazione di chiavi e la loro periodica rigenerazione eseguita dall’IKE Diffie-Hellman impone una difficoltà
della CPU. Consideriamo che la rigenerazione delle chiavi IKE SA è meno frequente dell’ ip sec SA.
In fine, la grandezza del pacchetto influenza le performance del router. Un pacchetto di piccola grandezza , ad una datavelocità dati , richiede un maggior processo di carico di un pacchetto più grande.Si possono ottimizzare le prestazioni usando le documentazioni trattate per pianificare e gestire le risorse di cpu.Ad esempio il software bayrs ipsec su di un router BN può riempire un tubo wan di 2 Mbit con un traffico bidirezionaledi DES criptato. Al contrario il traffico 3DES + SHA 1 con una aggressiva fase 1 ( IKE ) ed il rimappaggio delle chiaviip sec ( ad esempio ogni 10 minuti ) può causare un significante degrado delle prestazioni sotto un pesante trafficocaricato.
Si possono sperimentare i timeout SNMP durante il periodo nel quale il router sta caricando picchi di carico di traffico protetto.
Giorgio Grassi
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 11/29
11
TECNONET S.p.A.
IP SECURITY SU NORTEL NETWORK
Per abilitare l’ip sec. Configurare una interfaccia usando il configuration manager, poi aggiungere il servizio ip secsull’interfaccia per creare un gateway sicuro.Quando usi il site manager per configurare l’ip sec. su una interfaccia per la prima volta, configura in sequenza gli
articoli proposti dal menù dell’ip sec , iniziando dal primo : Outbound policies.Devi settare una outbound policy per una interfaccia ip sec prima che tu possa collegare una security associations SA adessa.
Creazione policies
Creare una inbound e outbound policy ( entrante o uscente ) per una interfaccia ip sec usando un policy template.Un policy template è definizione di policy che tu crei. Puoi usare un policy template per qualsiasi interfaccia ip sec.Ogni template contiene una completa specifica della policy ( criteria, range e action ) per l’interfaccia.Questo significa che ogni policy stessa è completamente specificata da un template.Puoi modificare una individuale policy per adattarla alle necessità di una specifica interfaccia, indipendentemente dallespecificazioni del template.
Specificazioni “criteria”
“criteria” determina la porzione della testata del pacchetto ( indirizzo sorgente, indirizzo destinatario o numero di protocollo) che è esaminata dall’ip sec. per ogni criterio, devi specificare una gamma di valori ( range ). La gamma ( range ) rappresenta il reale valore dellaverifica dell’ip sec ( gli indirizzi ip sono confrontati con gli indirizzi del pacchetto ).
Specificazioni “action”
Le specificazioni action in una policy controllano come un pacchetto, che corrisponde al range di criteria , è processato.Puoi decidere come vuoi che il pacchetto sia processato ed applicare una policy per implementare le tue decisioni.
Con ip sec, un pacchetto può essere processato in uno dei seguenti tre modi:
1) il pacchetto può essere bloccato2) il pacchetto può essere trasmesso o ricevuto senza alterazioni3) il pacchetto può essere protetto ( solo in uscita ). In questo caso una SA è collegata alla policy.
Oltre che elaborare un pacchetto in assenza di un processo “action”, la trasmissione o la ricezione di un pacchetto può essere registrata in una log.Le azioni corrispondenti di una policy sono:1) drop (blocca)2) bypass (lascia passare)3) protect (solo in uscita)4) log ( un messaggio è scritto nel log del router )
drop, bypass e protect sono azioni reciprocamente esclusive, non associabili. Puoi specificare di eseguire un log per
ognuna di esse o in loro assenza. Se un pacchetto entrante non corrisponde ad una policy configurata arriva su unainterfaccia ip sec è bloccato.
Considerazioni sulle policy
Quando stai configurando una interfaccia wan con l’ip sec , tutto il traffico entrante ed uscente è processato dall’ ip secincluso il traffico prima passato.
Per un traffico unicast contenente informazioni di routing o di controllo, considera di configurare policy che consentanoa questo tipo di traffico di passare attraverso l’ip sec.Per esempio , per permettere al traffico ICMP (come “ping” o messaggi di“ destinazione irraggiungibile” ) di passareattraverso l’ip sec, configura la prima policy per l’interfaccia con il criterio protocollo settato ad 1 ( protocollo ICMP ) eseleziona l’azione “action” bypass.
Se un pacchetto corrisponde ai criteri per più di una policy la prima in ordine è usata.
CREARE UNA OUTBOUND POLICY
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 12/29
12
TECNONET S.p.A.
Per creare un template di outbound policy ed una policy eseguire:
TU ESEGUI IL SISTEMA RISPONDE
1) nella finestra Ipsec configuration for interface ,ciccare su outbound policies
Si apre la finestra ipsec outbound policies
2) cliccare su template Si apre la finestra di Ipsec policy template
3) cliccare su create Si apre la finestra di create ipsec template4) digitare il nome della policy nel campo policy
name 5) usare il criteria menù per specificare l’applicabilerange per l’ip source address, ip destination addresse protocol criteria6) usare l’action menù per aggiungere l’azione chetu vuoi applicare al traffico con il criteria che haiappena definito7) cliccare su ok 8) cliccare su done9) cliccare su add policy10) digita il nome della policy nel campo policyname11) seleziona un template su cui basare questa policy12) cliccare su ok Se la policy non include una protect action, ritorni alla
finestra ipsec outbound policies
Se la policy include una protection action, si apre lafinestra di dialogo choose sa type
13) nel riquadro choose sa type, cliccare o sumanual SA oppure su automated SA.
Manual SA ti lascia scegliere da una lista di manual protect SA o creare una nuova manual protect SA
L’SA automatico apre la finestra add proposal to policy. Se il range dell’ip source address e dell’ip
destination address non è configurato nel template lafinestra di dialogo Policy Range si apre prima14) se scegli Manual SA, guardare le istruzioni per la configurazione manuale nell’appendice successiva
se scegli l’Automated SA , completa la finestra “add proposal to policy “ associando uno o più metodi dicriptaggio con una negoziata SA per un aprticolareindirizzo IP.15) cliccare su ok
CREARE UNA POLICY ENTRANTE ( INBOUND POLICY)
Il processo per creare un imbound policy è virtualmente identico al processo per creare una policy outbound, conl’eccezione che non puoi specificare una protect action per una inbound policy.
Per creare un inbound policy template ed una inbound policy, completare le seguenti istruzioni:
TU ESEGUI IL SISTEMA RISPONDE
1) nella finestra ip sec configuration for interfacecliccare su inbound policies
Si apre la finestra ip sec inbound policies
2) cliccare su template Si apre la finestra ip sec policy templates3) cliccare su create Si apre la finestra create ipsec template4) digitare il nome della policy nel campo policy
name
5) usare il menù criteria per specificare l’applicabilerange per l’IP source address, l’IP destinationaddress e il protocol criteria6) usare il criteria menù per aggiungere l’action che
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 13/29
13
TECNONET S.p.A.
tu vuoi applicare al traffico con il criteria che haiappena definito7) cliccare su ok Torni alla finestra ip sec policy template management8) cliccare su done Torni alla finestra ip sec inbound policies9) cliccare su add policy Si apre la finestra create inbound policy10) digitare il nome della policy nel campo policy
name11) selezionare il template su cui basare questa policy12) cliccare su ok Ritorni alla finestra ip sec inbound policies.
Se la policy include una protection action, si apre lafinestra di dialogo choose SA type
13) cliccare su done Ritorni alla finestra ip sec configuration for interface
CREARE UNA SECURITY ASSCOCIATIONS
La security association ti abilita a fornire una protezione bidirezionale per i pacchetti dati che viaggiano fra due router.Ogni SA stabilisce sicurezza per i dati assanti in una singola direzione. Una coppia di SA ( SA PROTECT e SAUNPROTECT) sono create, o automaticamente con l’IKE o manualmente da te, per qualsiasi policy ip sec configuratasu un gateway sicuro. Ogni SA include informazioni di sicurezza come gli algoritmi e le chiavi.
Potresti usare la creazione automatica dell’SA ( IKE ) per maggior sicurezza e per diminuire la difficoltà dellaconfigurazione.
CREAZIONE DI UNA SA AUTOMATICA
L’IKE crea le SA automatiche, basate su una configurazione proposta sul site manager. Ogni proposta specifica unatrasformazione del criptaggio e / o autenticazione per l’SA automatico.Tu non hai una chiave specifica per l’SA automatico perché l’IKE le crea dinamicamente.
Puoi configurare sino a 4 proposte per una policy, in ordine di preferenza. L’IKE negozierà un SA automatico, basatosul primo proposto che riscontra una proposta configurata sul gateway remoto. IKE crea entrambi gli inbound eoutbound SA basati sul risultato delle nogozziazioni delle proposte.
CREARE UNA OUTBOUND PROTECT POLICY CON L’AUTOMATED SAs ( IKE )
Per usare l’IKE per creare una automated SA , completare i seguenti comandi.
1) nella finestra ip sec configuration for interfacecliccare su outbound policies
Si apre la finestra ip sec outbound policeis
2) cliccare su add policy Si apre la finestra create outbound policies
3) digitare il nome della policy, scegliere untemplate contenente una protection action e cliccaresu ok
Se la policy include una protection action si apre lafinestra di dialogo choose SA type.
4) cliccare su Automated SA Si apre la finestra add proposal to policySe il node protection key non è ancora stato settatosi apre la finestra di dialogo node protection key prima della finestra add proposal to policy. Dai unvalore NPK e clicca su ok 5) dal pfs menù scegli enabled o disabled per regolare il perfect forward secrecy6) dal menù anti replay window size, sceglieredisabled o la grandezza del pacchetto7) cliccare su add per specificare il SA destination
address e una preshared key per l’IKE SA.
La finestra add IKE Sadestination window viene
aperta8) immetti l’indirizzo ip e la preshared key, e cliccasu done alla finestra add proposal to policy9) cliccare su new proposal per creare un tipo di La finestra edit ip sec proposal si apre
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 14/29
14
TECNONET S.p.A.
criptaggio proposto che l’IKE userà nellanegoziazione dell’SA key con il SA destination node10) Digita un proposal name, scegli uno o piùmetodi di criptaggio per il proposal, scegli un expirytime ( tempo di scadenza ) e cambia il valore diexpirity se necessario
11) Cliccare su done Ritorni alla finestra edit ip sec proposal. Ripetere i passaggi 6 e 7 per creare aggiuntivi proposal, senecessario.
12) nella finestra edit ip proposal scegli l’ SAdestination che hai creato e quindi scegli uno dei 4 proposal ( in ordine di priorità ) dal proposal menù.13) cliccare su ok Ritorni alla finestra ip sec outbound policies14) cliccare su done Ritorni nella finestra ip sec ocnfiguration for
interface
CREAZIONE MANUALE DELL’ SA, CONSIDERAZIONI
Per protegger ( criptaggio o autenticazione ) i pacchetti che lasciano l’interfaccia ip sec locale, creare un protect SA econnetterlo ad una protect outbound policy. Per decriptare o autenticare un pacchetto entrante all’interfaccia ip seclocale, creare un unprotect SA. ( l’unprotect SA non deve essere collegata ad una policy ). Quindi, fai lo stesso per l’interfaccia ip sec sul router remoto.
La cifra ( cipher ) e l’algoritmo di integrità e la chiave che tu specifichi nel SA deve essere identica in entrambe le partifinali della connessione, end to end.Devi selezionare la cifra, il servizio d’integrità, o entrambi entro i parametri della protect e della unprotect SA. Adesempio la chiave cifra in una protect SA su un’interfaccia ip locale deve corrispondere la chiave cifra nell’ unprotectSA sull’intrfaccia del router remoto.
Nota: devi configurare manualmente SA per encriptare o autenticare o entrambi. Il site manager non ti consente dicreare un SA se entrambi, cipher algorithm e l’integrity algorithm sono settati su none.
CREAZIONE MANUALE DEL PROTECT SA
Per creare una protect SA manualmente completare i seguenti comandi:
TU ESEGUI IL SISTEMA RISPONDE
1) nella finestra ip sec configuration cliccare sumanual protect SA
Si apre la protect SA list for interface
2) cliccare su add Si apre la finestra ip sec manual protect SA dove i parametri della finestra protect SA list for interfacediventano attivi
3) settare i seguenti parametri:
° SA source ip address° SA destination ip address
° security parameter index
° cipher algorithm
° cipher key lenght
° cipher key
° integrity algorithm
° integrity keyPosizionare il cursore in un campo e cliccare suvalues per mostrare il menù delle opzionivalide, se applicabile.
Cliccare su ok Ritorni alla finestra protect SA list for interface5) ripetere i passi dal 2 al 4 per creare protect SA
aggiuntive, se necessario. Cliccare su done quandohai finito
Ritorni alla finestra ip sec configuration for
interface.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 15/29
15
TECNONET S.p.A.
CREAZIONE DI UNA UNPROTECT SA MANUALE
Per creare un‘unprotect SA manualmente completare i seguenti passaggi:
TU ESEGUI IL SISTEMA RISPONDE
1) Nella finestra ip sec configuration for interface
cliccare su manual unprotect SA
La finestra unprotect SA list for interface si apre
2) cliccare su add Si pare la finestra ip sec manual unprotect SA, dovei parametri della finestra unprotect SA list for interface diventano attivi
3) settare i seguenti parametri:° SA source ip address
° SA destination ip address
° security parameter index
° cipher algorithm
° cipher key lenght
° cipher key
° integrity algorithm
° integrity key
Posizionare il cursore in un campo e cliccare suvalues per mostrare il menù delle opzioni valide, seapplicabile.Cliccare su ok Ritorni alla finestra unprotect SA list for interface5) ripetere i passi dal 2 al 4 per creare unprotect SAaggiuntive, se necessario. Cliccare su done quandohai finito
Ritorni alla finestra ip sec configuration for interface.
Giorgio Grassi
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 16/29
16
TECNONET S.p.A.
Installazione e Configurazione NOKIA IP
Caratteristiche Software
Sistema Operativo (IPSO) – I firewalls Nokia hanno un sistema operativo di tipo Unix ridotto al minimo(FreeBSD). IPSO è stato personalizzato per supportare il processo di routing Nokia e le funzionalità di Check Point's FireWall-1.
Ipsilon Routing Daemon (IPSRD) – IPSRD è il software di Nokia per il routing. Le politiche di routingimplementate risiedono in un database. Con Voyager vengono configurati il software di routing e il database.
Check Point FireWall-1 - FireWall-1 consiste di due componenti principali: (1) il modulo di Firewall che girasul Nokia firewall e controlla le politiche di sicurezza, e (2) il modulo di Gestione che o gira sul Nokia firewallo su una workstation. Il Modulo di Gestione serve per definire e mantenere le politiche di sicurezza.
Voyager – Voyager comunica col software di routing per configurare interfacce ed protocolli di routing,modifica le politiche per il firewall ed esamina il traffico di rete e le performance dei protocolli. Voyager stesso gira su una macchina remota come applicazione client del Nokia routing software.
Sugli apparati Nokia il processo di routing è strettamente correlato a quello di firewall, infatti se si blocca il secondoanche il primo, per sicurezza, viene fermato. Se si fermasse il processo firewall e rimanesse in piedi quello di routing larete rimarrebbe non protetta.
ConfigurazioniSistema distribuito con un modulo di gestione sul Nokia
Sistema distribuito con il modulo di gestione su una workstation
ManagementFirewall
User Interface
Firewall
Firewall
Management
User InterfaceFirewall
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 17/29
17
TECNONET S.p.A.
Sistema distribuito con due moduli di gestione sui Nokia o sulle workstation
Attenzione, i due moduli di management devono essere sincronizzati manualmente; nell’attuale versione ancora non èsupportata questa funzionalità. Il problema principale è legato al fatto che posso avere anche policy diverse sui duemanagement ma gli oggetti definiti nei database devono essere identici..
System-StartupLa prima volta che la NAP (Network Application Platform) viene accesa, parte la procedura di system-startup. Usandoquesta procedura è possibile assegnare alla macchina un hostname, la password per l’utente admin e quindi configurareun’interfaccia per configurare da remoto la NAP. I firewall Nokia sono configurabili sia da console, tramite un browser testuale (VT100 based Lynx), oppure da remoto con un browser grafico (web-based Voyager). Sarà sempre la procedura di startup a chiedere se continuare la configurazione con il Lynx o con il Voyager. Chiaramente il primo,quello testuale, va utilizzato dalla porta seriale mentre il secondo deve essere utilizzato dalla porta Ethernet configurata.Infatti nel caso del Voyager verrà chiesto di configurare una porta in modo che la macchina sia raggiungibile. IPSO haun processo web-server (Apache) che permette all’utente di accedere alla configurazione via browser (http://<IndirizzoIP>).
Configurare le interfacce (Config Interfaces)Voyager visualizza gli apparati di rete come interfacce fisiche. Ogni interfaccia fisica corrisponde ad una porta fisica suuna scheda di interfaccia di rete (Nic) installata nell'unità. I nomi delle interfacce fisiche hanno la forma: <type>-s<slot>p<port> dove type è un prefisso che indica il tipo di porta, (Ethernet eth, FDDI fddi, ATM atm, Serial/T1/HSSIser, Token Ring tok).Per esempio, una Ethernet NIC con due porte nello slot 2 si presenta con due interface fisiche: eth-s2p1 e eth-s2p2. Con Voyager è possibile configurare gli attributi delle interfacce. Per esempio, la velocità e la modalità duplex
di un’interfaccia Ethernet. Ogni porta ha esattamente un'interfaccia fisica.
Configurare un’interfaccia Ethernet Di un’interfaccia Ethernet è possibile configurare, cliccando sul nome fisico, la velocità (10/100) e la modalità(half/full), cliccando sull’interfaccia logica, il nome logico, l’indirizzo IP e la relativa subnet mask. Le interfacce nonhanno auto-negotiation, devono essere configurate manualmente.
ARP Table (Config ARP)In questa sezione è possibile configurare la tabella ARP, quindi eliminare o aggiungere delle righe in modo dinamico o permanente.
Configurare i protocolli di routing (Config Routing Configuration)OSPFIl Router ID è la definizione del processo di routing (deve essere unico per ogni macchina) la cosa ideale è assegnargli l’indirizzo IPdella macchina stessa.
FirewallMng Master
User Interface
Firewall
Mng BackupUser Interface
Mng Master Firewall
User Interface
Mng BackupFirewall
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 18/29
18
TECNONET S.p.A.
È possibile configurare anche delle nuove aree alle quali l’interfaccia, sulla quale si sta configurando il protocollo, deveappartenere (l’area 0.0.0.0 è definita come backbone area). Le aree possono essere definite anche come Stub o TotallyStub. NOTA: Una Stub Area è un’area che ha una sola strada per raggiungere l’area di backbone.I principali parametri da configurare per ogni interfaccia sono:
Hello Interval – intervallo di tempo per interrogare l’interfaccia sullo stato (Up/Down). Per default è 1
secondo. Dead Interval – intervallo di tempo per il calcolo di un nuovo instradamento. Per default è 4 secondi. OSPF Cost – peso dell’interfaccia nel calcolo dell’instradamento migliore. Election Priority – priorità dell’interfaccia. Il valore deve essere compreso tra 0 e 255.
Questi parametri devono essere identici in tutto il protocollo all’interno della rete.RIPQuesto protocollo di routing è il più semplice da configurare, infatti sono pochi i parametri da settare:
Version – la versione del protocollo (Rip1/Rip2). RIP Interfaces – le interfacce sulle quali deve girare il protocollo RIP Metric – costo da assegnare ad un’interfaccia Accept Updates – è possibile configurare se si vogliono ricevere aggiornamenti da altri apparati che utilizzano
il protocollo RIP
Transport – per il RIP2 può essere specificato se il protocollo deve viaggiare in broadcast o in multicastÈ possibile configurare anche la frequenza con la quale sono spediti gli aggiornamenti così come quando percorsi dirouting sono scaduti. Particolare cura dovrebbe essere usata mettendo questi parametri visto che il RIP non ha nessunmeccanismo per scoprire configurazioni errate.
Route staticheLe statiche sono percorsi di routing configurati manualmente sulla routing table. Non cambiano e non sono dinamici. Ilrouting statico permette di aggiungere percorsi verso destinazioni che non sono conosciute da protocolli dinamici.I parametri da configurare sono:
Destination
Next hop
Typeo Normal - è usato per pacchetti diretti ad una destinazione determinata nella direzione indicata dal
router configurato o Reject - usa l’indirizzo di loopback come il salto successivo. Questa route scarta i pacchetti che
uguagliano la route per una destinazione determinata e invia un ICMP al mittente del pacchetto(destinazione irraggiungibile).
o Black hole - usa l’indirizzo di loopback come il salto successivo. Questa statica scarta pacchetti chesono uguali al percorso per una destinazione determinata.
Per configurare il Default Router bisogna abilitare la route statica Default e inserire come destination il Gateway.
Configurare i servizi di routing (Config Routing Services)VRRPIl protocollo Virtual Redundant Router offre la possibilità di recuperare una caduta di interfacce passando il traffico daun router ad un altro. Per fare il backup di un router usando il VRRP deve essere creato un router virtuale che consiste
di un ID unico e un indirizzo IP.I firewall Nokia possono essere configurati sia con il protocollo standard VRRP che con il protocollo Monitored Circuit(consigliato da Nokia per l’alta affidabilità).I parametri da settare sono:
Virtual Router – Identificativo del processo VRRP, deve essere sia per l’interfacce master che per quella backup
Priority – priorità assegnata alle interfacce (ad esempio master 100 e backup 50) in modo da preferirne una piùche un’altra
Hello Interval – tipicamente 1 per motivi di performance, è l’intervallo di tempo tra gli avvisi VRRP Backup Address – è l’indirizzo del router virtuale. Priority Delta – deve essere maggiore della differenza tra la priorità dell’interfaccia master e quella di backup.
È il valore da sottrarre alla priorità dell’interfaccia master in modo che questa abbia un valore inferiore aquella di backup.
Con il Monitored Circuit c’è la possibilità di monitorare lo stato di tutte le interfacce, il firewall è quindi configurabilecon due modalità:
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 19/29
19
TECNONET S.p.A.
Hot Stand-by Tutte le interface di un apparato sono configurate come master, mentre quelle degli altri apparati sonoconfigurate come backup. Se cade un’interfaccia della macchina master, automaticamente le interfacce della macchina backup con priorità maggiore diventano master. Il vantaggio è di avere una configurazione più semplice e un recuperoin caso di caduta più rapido. Lo svantaggio è quello di avere una macchina che lavora e una in attesa. Devono essereconfigurate le monitor interface, in modo che un’interfaccia monitorizzi tutte le altre. Load Sharing Il traffico viene redistribuito in maniera statica, una macchina può avere interfacce sia master che backup.
In caso di caduta di un’interfaccia master, quella backup diventa master scambiandosi i ruoli. Il vantaggio è quello diavere due macchine che si smistano il traffico. Lo svantaggio è quello di avere un recupero più lento perché bisognaattendere che il protocollo di routing calcoli di nuovo l’instradamento.
VRRPv.2 Back up delle interfacce del router Risponde al protocollo ICMP quando è master Richiede i protocolli di routine per il ricovery da una singola interfaccia Non tiene traccia se le interfacce sono up o down
Monitored Circuit Back up degli indirizzi IP virtuali Non risponde alle richieste ICMP Non richiede ulteriori protocolli di routine
Tiene traccia se le interfacce sono up o downDi seguito un esempio di una configurazione del protocollo VRRP standard sull’interfaccia eth-s3p1c0 di due diversemacchine; la prima interfaccia è configurata come master (10.49.62.1) e la seconda in backup (10.49.62.2)
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 20/29
20
TECNONET S.p.A.
NTP NTP è il protocollo che permette di sincronizzare il clock degli apparati interrogando un server. Questo è ideale per applicazioni distribuite che richiedono sincronizzazione dell’ora, come Check Point FireWall-1 Sync, o l’analisi del logdegli eventi da una macchina remota.Sul firewall master deve essere configurata l’ora (Config System Configuration Local Time Setup) e abilitato il protocollo NTP con funzione da server, sui firewall client oltre ad abilitare il protocollo bisogna specificare il firewallmaster a cui far riferimento.
Configurare SSL (Secure Socket Layer)Per configurare il protocollo SSL in modo che i firewall dialoghino in un protocollo criptato è sufficiente generare lachiave (dicendo al Nokia di essere CA di se stesso) e configurare il Voyager in modo da fargli utilizzare questo protocollo. Per generare una chiave (Config Security and Access Notification Certificate Tool) e per applicarla al
Voyager (Config Security and Access Notification Voyager Web Access). Per collegarsi (https://<Indirizzo IP>).
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 21/29
21
TECNONET S.p.A.
ConfigurationINTERFACES
ARPROUTING CONFIGURATION
OSPFRIP
IGMPPIMDVMRPStatic RoutesRoute AggregationInbound Route Filters (esclusione di subnet dalla redistribuzione dei protocolli di routing)Route Redistribution (redistribuzione delle route dei protocolli di routing)Routing Options (pesi dei protocolli di routing sulla macchina e trace dei protocolli il file di trace viene salvato in
/var/log/ipsrd.log) TRAFFIC MANAGEMENT
Access List Configuration (per ogni interfaccia possono essere assegnate delle politiche di bandwith)Aggregation Class ConfigurationQueue Class Configuration
Dial on Demand Routing ConfigurationROUTER SERVICES
BOOTP Relay (BOOTP/DHCP)IP Broadcast Helper Router DiscoveryVRRP NTP
SYSTEM CONFIGURATIONDNS (viene utilizzato in caso di applicazioni web)Mail Relay (configurazione dell’indirizzo a cui mandare la posta inviata ad admin)System Failure Notification (abilita l’invio di e-mail ad admin in caso di failure)Local Time Setup (ora e data)Host Address Assignment (associazione hostname-indirizzo IP per la licenza di Check Point, di solito viene
utilizzato l’indirizzo verso i router esterni)System Logging (configurazione della workstation a cui inviare i syslog)Change HostnameManage Configuration SetsConfiguration Backup and Restore (backup della configurazione e dei pacchetti installati, il file viene salvato in
/var/backup)Manage IPSO ImagesManage Installed Packages
SECURITY AND ACCESS CONFIGURATIONUsers (gli utenti creati per default sono due: admin ReadWrite e monitor ReadOnly)Groups Network Access and Services (abilitare FTP server, TELNET e permessi per admin)Voyager Web Access (setta il Voyager per utilizzare il protocollo SSL)Certificate Tool (genera una chiave per il dialogo in SSL)Check Point Firewall-1
SNMPREBOOT, SHUT DOWN SYSTEM
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 22/29
22
TECNONET S.p.A.
Aggiornare il Sistema Operativo
Dalla console del firewall digitare il comando newimage –i, è possibile aggiornare il sistema operativo esistenteoppure installarne un altro in modo da averne due versioni diverse. Il caricamento del software può essere eseguito daCD-ROM, da un file locale (/var/admin) o da FTP Server.Se si è installato un nuovo pacchetto, questo deve essere selezionato (Config System ConfigurationManage IPSOImages).
Per installare IPSO ex-novo, bisogna seguire i seguenti passi: fermare il boot loader (durante il boot fermare l’esecuzione premendo un tasto) digitare il comando reboot il boot deve essere fatto da floppy e il sistema operativo deve essere installato da CD-ROM
nel caso che il firewall non abbia in CD-ROM (IP650) dopo aver fermato il boot loader bisogna eseguire i seguenti passi:
digitare il comando install configurare un’interfaccia configurare un FTP Server il sistema operativo deve essere installato tramite FTP
Installare sempre i protocolli IGRP e BGP, serve poi una chiave per attivarli, ma se non vengono installati bisognaeseguire da capo la procedura di installazione per aggiungerli.
Registrazione sul sito NokiaLa registrazione deve essere fatta sul sito http://support.nokia.com e da diritto ad una login (userID e password) per ildownload del software e le Knoledge Base.
Aggiornare i pacchetti software Dalla console del firewall digitare il comando newpkg –i, come per il sistema operativo è possibile aggiornare il pacchetto esistente oppure installarne un altro in modo da averne due versioni diverse. Il caricamento può essereeseguito da CD-ROM, da un file locale o da FTP Server. Il nuovo software sarà salvato nella directory /opt.
Registrazione sul sito Check PointLa registrazione deve essere fatta sul sito http://license.checkpoint.com, vanno inseriti il certificate key rilasciato daCheck Point e l’indirizzo IP a cui agganciare la licenza. Dal sito verrà visualizzata la procedura per la registrazione del
processo Firewall-1 che gira sui Nokia. Da console copiare il comando: fw putlic <IP address> <licenza>
Directory/var/crash – contiene i coredump in caso di crash della macchina/var/fw – contiene i log del firewall/var/log – contiene i log del sistema operativo/config – contiene I files di configurazione, active è la configurazione attiva sulla macchina/opt – contiene i pacchetti software installati
Comandi NOKIA
ipsofwd on/off admin (abilita/disabilita il routing tra le interfacce) newimage –i (aggiornamento del sistema operativo)
newpkg –i (aggiornamento dei pacchetti software) voyager (controlla se il server web è abilitato) cpconfig (installa Check Point in modalità Stand-Alone o Distributed) fw putlic <IP address> <licenza> (inserisce la licenza Check Point) fw putkey <IP address> (scambia con l’indirizzo IP la chiave) fw fetch <IP address> (scarica le policy dalla management, controllo sullo scambio di chiavi) fwstart/fwstop (start e stop del processo firewall) fw stat <IP address> (controlla se le interfacce si autenticano) fw unload all.all (elimina le policy installate sul firewall)
Comandi UNIX
ls (mostra il contenuto della directory)
pwd (mostra la directory corrente) tail –f <file> (mostra la fine del file) more <file> (mostra il file pagina per pagina) ping
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 23/29
23
TECNONET S.p.A.
traceroute
printenv (mostra le variabili di ambiente) showalias (mostra gli alias sulla macchina) sysinfo (mostra le informazioni del sistema) tcpdump -i <interfaccia> proto <protocollo> (sniffer del protocollo sull’interfaccia) passwd (modifica la password)
Passi per l’installazione di Check Point Firewall-1Il Firewall-1 consiste di due moduli primari:
1. Il Module Management2. Il Firewall o Inspection Module (Gateway/Server Module)
A sua volta il Module Management è diviso in due moduli:1. Il Control Module (Enterprise Management)2. Il Graphical User Interface (GUI) Module
Dopo aver configurato il router Nokia seguire i seguenti passi per installare Firewall-1 Accertarsi di aver legato la licenza ad un indirizzo IP configurato su un’interfaccia Da console digitare il comando cpconfig Scegliere se si sta installando Check Point in modalità Stand-Alone o Distribuited
Aggiungere la Secret Key (password per lo scambio delle informazioni, deve essere la stessa dellamanagement console) Registrazione della licenza sul sito Check Point Alla fine dell’installazione aggiungere la licenza fw putlic <IP address> <licenza> Sincronizzare i firewall
o Fermare il processo firewall fwstopo cd $FWDIR/conf o creare un file sync.conf inserendo l’indirizzo del firewall con il quale si deve sincronizzare o Far ripartire il processo firewall fwstarto controllare se i due apparati si autenticano:
fw stat <IP address>
fw putkey <IP address>
Attivare Firewall-1 allo startup della macchina
Marco Scapellato
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 24/29
24
TECNONET S.p.A.
Introduzione alla progettazione
La progettazione di una rete può essere considerata unaforma d’arte in quanto combina conoscenze relativealla valutazione e alla scelta delle tecnologie di rete,conoscenze relative al funzionamento delle tecnologie,dei servizi e dei protocolli e un certo grado diesperienza pratica sul funzionamento di tali sistemi.Un tempo, la progettazione di una rete si basava su unaserie di regole generali tipo la regola dell’80/20 o laregola “bridge quando possibile e router se necessario”.Queste regole hanno funzionato piuttosto bene quandonon vi erano troppe scelte nel campo delle tecnologie,delle strategie di interconnessione, dei protocolli.L’analisi e la progettazione di una rete richiedonoanche compromessi. I compromessi ad esempio fracosti e prestazioni o fra semplicità e funzionalità. Icompromessi si presentano ovunque nel processo dianalisi e la maggior parte dei progetti di reti si preoccupa di riconoscere questi compromessi, in baseai quali ottimizzare il progetto.Il primo principio fondamentale da tenere presente per la progettazione di una rete è quello del concetto di“area”; alla base di questo concetto sta il fatto che nontutti gli switch vengono creati in modo uguale.Come regola progettuale base, la rete dovrebbe esserevista come una suddivisione in tre macroaree:
L’area centrale L’area periferica L’area delle risorse centralizzate
Ciascuna di queste tre aree gioca un ruolo specifico nelfunzionamento della rete e definisce alcunecaratteristiche per gli switch che dovranno essereutilizzati nei vari ruoli.
Area centrale
E’ l’area più critica in quanto è il punto diaggregazione di quasi tutto il traffico circolante. Deve
essere realizzata in modo da presentare duecaratteristiche fondamentali:
Prestazioni elevate Ridondanza elevata
Proprio per tali ragioni gli switch utilizzati nell’areacentrale sono i più costosi.La piena ridondanza viene garantita da caratteristichequali la ridondanza di alimentazione N+1,dall’elaborazione distribuita e dall’assenza,nell’architettura dello switch di singoli punti di possibile guasto.Un’ultima caratteristica richiesta per gli switch didorsale, è che la sua architettura sia espandibile.
Aree periferiche
Alle aree periferiche è destinato il maggior numero di porte, e poiché le necessità degli utenti saranno, nellamaggior parte delle reti, variabili, per una corretta progettazione di una Lan si dovranno prendere inconsiderazione molte opzioni.
Area delle risorse condivise
E’ l’area che garantisce la connettività alle risorsecentralizzate di rete (server, router, firewall,mainframe, ecc.).Quest’area richiede:
Alta capacità di banda Affidabilità estremamente elevata Possibilità di analisi del traffico
Caratteristiche comuni a tutti gli switch di
una rete “flat”
Tutti gli switch di una rete Lan “flat” devono poter memorizzare nella tabella degli indirizzi MAC unnumero di entry superiore al numero di utentieffettivamente presenti in rete.
Parametri importanti per la progettazione
MTBF (Mean Time Between Failure): ogni apparato prima o poi si guasta, e i costruttori forniscono per ogni oggetto elettronico quando in media si avrà il primo guasto. Questo valore è dato dal MTBF enormalmente sono valori stimati. Notiamo che fornire soltanto il valore medio èstatisticamente poco significativo. Insieme al valoremedio i costruttori dovrebbero fornire anche ladeviazione standard. In parole povere supponiamo diavere un apparato con MTBF di 4000 ore, e di aver comprato 12 di questi apparati. Per ottenere lo stessovalore di MTBF la distribuzione dei guasti nel tempo può essere molteplice. Per esempio per ottenere unvalore di MTBF di 4000 ore sono equivalenti i duecomportamenti:
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 25/29
25
TECNONET S.p.A.
I 12 apparati si guastano tutti dopo 6 mesi MTBF = 4000 ore
Dei 12 apparati il primo si guasta dopo un mese, ilsecondo dopo due mesi….. il 12° dopo 12 mesi MTBF = 4000 ore
Come vedete la distribuzione dei guasti è moltodifferente, e soltanto il valore della deviazionestandard può far vedere la differenza. I costruttoridovrebbero fornire per il primo caso un MTBF:
MTBF: 4000 ± 500 ore
Per il secondo caso un MTBF:
MTBF: 4000 ± 3000 ore
Purtroppo i costruttori quando forniscono alcuni datisono completamente fuori da ogni deontologia
scientifica.
Per un’apparato modulare, ogni modulo avrà il proprioMTBF. Quale sarà il valore di MTBF dell’apparato nelsuo complesso ?In questo caso per semplicità il valore da prendere inconsiderazione è l’MTBF minore fra tutti gli MTBFdei moduli.
Esempio: abbiamo un apparato composto da unochassis (MTBF = 10.000 ore), due moduli Gigabit(MTBF = 7.000 ore), 5 moduli fastethernet (MTBF =6.000 ore) e un alimentatore (MTBF = 4000 ore).
Dunque l’apparato nel suo complesso avrà un MTBFdi 4000 ore.
MTTR (Mean Time To Repair) : questo valore fornisceun stima della durata media dei periodi di fermomacchina.Il valore MTTR è particolarmente importante inquanto può essere in relazione con il tempo diriparazione o di risposta offerti da un contratto dimanutenzione.
La combinazione fra MTBF e MTTR stabilisce anchela durata e la frequenza dei periodi di fermo macchina.Si definisce la disponibilità in percentuale D come:
D = [1 – (MTTR / MTBF)] · 100
Le stime di soglia generale sono:
Sistemi in prova o prototipi: D < 95% Bassa affidabilità: 95% < D < 99,99% Alta affidabilità: D > 99,99%
Esempio: ad un cliente è stato venduto uno switch cheha un MTBF di 8000 ore e si è stipulato un contratto di
manutenzione con un MTTR di 4 ore. Qual è ladisponibilità percentuale? Si ottiene D = 99,95%dunque è un sistema a bassa affidabilità.
Esempio: ad un cliente è stato venduto uno switch cheha un MTBF di 20.000 ore. Si vuole stipulare uncontratto di manutenzione per fare in modo che ilsistema sia ad alta affidabilità. Qual è il valore diMTTR necessario? Qualsiasi valore di MTTR minore ouguale a 2 ore.
E’evidente che stipulare un contratto di manutenzionesignifica anche mantenere un magazzino scorte. Nasceil problema di ottimizzare la quantità di moduli,alimentatori, schede e apparati da tenere in magazzino.
Scorte di magazzino
Per ottenere una stima verosimile delle scorte dimagazzino si deve per forza conoscere la deviazionestandard oltre al valore dell’MTBF.Dato che i costruttori non forniscono questo datofacciamo l’ipotesi verosimile che la deviazionestandard sia sempre uguale a:
= MTBF / 3
Ora ciò che vogliamo sapere è la risposta alla seguentedomanda:
La Tecnonet vende N apparati con un certoMTBF. Quando con probabilità maggiore/ugualedel 50% almeno uno di questi N apparati siguasterà?
Per rispondere a questa domanda si può utilizzare ilseguente grafico.
Apparati con MTBF = 10000 ore
Nel grafico abbiamo sull’asse x il numero N di apparativenduti e sull’asse y le ore che devono passare dallavendita perché almeno uno degli N apparati si guasticon una probabilità maggiore del 50%. Per esempio seabbiamo venduto 20 apparati con MTBF = 10000 ore(circa un anno), ci aspettiamo con probabilità del 50%che dopo circa 4000 ore (circa 6 mesi) almeno uno diquesti 20 apparati si guasterà.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 26/29
26
TECNONET S.p.A.
Lo stesso grafico può essere usato per apparati conMTBF diverso da 10000.
Supponiamo di aver venduto 50 apparati con MTBF =200.000 ore. Si proceda in questo modo si divida200.000 con 10.000…. il risultato è 20. Ora si trovi sul
grafico precedente a quante ore corrispondono 50apparati…. Si trova circa 2700 ore…. Ora si
moltiplichi per 20 e si ottiene il risultato cercato….54000 ore.
Per le scorte di magazzino si può pensare di acquistareun’apparato di scorta soltanto dopo che la probabilitàche almeno un apparato venduto si guasti sia superiore
al 50%.
Topologie di rete
Gli standard di cablaggio strutturato (ISO/IEC 11801, EIA/TIA 568A) prevedono che una rete sia conforme ad unatopologia stellare gerarchica. Quindi la maggior parte delle topologie utilizzate sono di questo tipo. Ciò non significache in alcuni casi si possano utilizzare altre topologie. E’ difficile trovare in letteratura una dettagliata schematizzazionedelle varie possibilità. E’ quello che proviamo a fare in seguito:
TOPOLOGIA A1
ProprietàDomini di Broadcast: 1Domini di collisione: 1Limiti progettuali: La trasmissione dati fra un PC e un altro PC può
attraversare al massimo 4 HUB;Si possono al massimo avere 1024 PC (limite dellaShared Ethernet);
Non è possibile utilizzare nessun tipo di ridondanza adeccezione dell’alimentazione elettrica degli hub;Velocità uguale per tutti gli Host (PC e Server)normalmente 10Mb/s (reti con Hub a 100Mb/s sono
poco diffuse);Utilizzazione media massima utilizzabile in
percentuale 40%Altre caratteristiche: Normalmente l’Hub di centro stella e un Hub
Stackable. Deve avere un MTBF maggiore rispettoagli apparati di piano;Topologia obsoleta e quindi non proponibile maancora molto diffusa (sono clienti potenziali in quanto
pronti attualmente a una completa ristrutturazionedella rete)
TOPOLOGIA A2
ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sullo switchDomini di collisione: Al massimo uguale al numero totale di porte
presenti sullo switchLimiti progettuali: Tutti i PC di piano e i Server in questa topologia si
connettono direttamente all’unico apparato attivo;
Topologia ammissibile per edifici con al massimo uncentinaio di PC, pochi piani e distanze di cablaggiofra i PC e il centro stella m inori di 100 metri;Una qualsiasi interruzione dello Switch centrale
blocca completamente l’intera rete;Lo Switch deve avere ridondanza completadell’alimentazione e dei moduli dicontrollo in più i server possono avere schededi rete ridondate;
Altre caratteristiche: Lo Switch deve essere modulare con MTBFmaggiore di 60.000 ore e con possibilità di routingfra Vlan;E’ consigliabile porre la velocità delle porte dove sicollegano i PC tutte a 10Mb/s Full Duplex e le portedove si collegano i server a 100Mb/s Full Duplex;
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 27/29
27
TECNONET S.p.A.
TOPOLOGIA A3
ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sullo switchDomini di collisione: Al massimo uguale al numero totale di porte
presenti sullo switchQuesta topologia può essere proposta nel caso di clienti con budgetlimitato che hanno una rete di topologia A1 che ha raggiunto i suoi limitidi utilizzo. In questa topologia si riutilizzano gli Hub della vecchia rete
presenti sui piani e viene sostituito soltanto l’Hub di centro stella.Ricordiamo che ad ogni porta dello switch può essere collegata un’interashared ethernet (topoloagia A1).
Nonostante questa topologia sia più che soddisfacente per molti clienti, iclienti stessi normalmente non la prendono in considerazione, in quantotendono a sostituire tutti gli Hub presenti sulla rete preesistente con degliswitch.
TOPOLOGIA A4
ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sugli switchDomini di collisione: Al massimo uguale al numero totale di porte
presenti sugli switchUtilizzando anche switch nei piani possiamo utilizzare tecniche diraggruppamento dei canali nei collegamenti verticali verso lo switchcentrale. Ricordiamo che queste tecniche sono proprietarie, Cisco utilizzal’Etherchannel, Enterasys usa lo SmartTrunk, ecc.Ciò comunque permette un aumento della velocità del flusso dati suicollegamenti verticali, e una ridondanza di collegamento.
Nonostante tutto il livello di ridondanza della rete nel suo complesso èancora bassa.Il livello di ridondanza raggiunge buoni livelli se lo switch di centro stella
possiede doppio alimentatore e doppia scheda supervisor.
TOPOLOGIA A5
ProprietàDomini di Broadcast: Uguale al numero di Vlan configurate sugli switchDomini di collisione: Al massimo uguale al numero totale di porte
presenti sugli switchQuesta topologia ha le seguenti caratteristiche: Ridondanza dei collegamenti tra switch di piano e switch di core
tramite raggruppamento dei canali Ridondanza dovuta a collegamento tra i due switch di core e il
collegamento di ogni switch di piano ad ambedue gli switch di coree conseguente abilitazione dello spanning tree su tutti gli switchinteressati
I server sono connessi non direttamente agli switch di core ma ad unulteriore switch con collegamento ridondante verso il core
Inoltre a livello layer 3 possono essere abilitati i protocolli VRRP (oHSRP se sono Cisco) per la ridondanza del router virtuale fra Vlan
Limitazioni: lo spanning tree converge in un tempo di circa 50 secondi ein caso di porte degli switch interessati al processo di spanning tree che
presentino situazioni di link intermittente può portare a situazioni di blocco della rete (nonostante tutto!)(caso effettivamente successo inAGI).Questa topologia lavora bene fino ad un massimo di 2000 utenti, e per
precauzione fino ad un massimo di 10 switch di piano.
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 28/29
28
TECNONET S.p.A.
TOPOLOGIA A6
Se non sono necessari domini di broadcast (VLAN) che attraversino ilcentro stella, e se anche gli Switch di piano hanno funzionalità di Layer 3,allora si può pensare di eliminare completamente l’utilizzo del protocollospanning tree. In questo caso ogni collegamento fra switch corrisponde a
una network logica distinta dalle altre. L’abilitazione di protocolli dirouting come EIGRP, OSPF, oppure semplicemente delle routes statiche,
permette di ottenere ridondanza e load balancing.Si può migliorare ulteriormente, l’affidabilità implementando il VRRP (oHSRP) nei due switch di core.
Topologie per la connessione delle reti a Internet tramite Firewalls
Attualmente per il collegamento delle reti aziendali a Internet è indispensabile l’utilizzo dei Firewalls. I Firewalls sonoun punto critico della rete soprattutto quando l’azienda fornisce servizi tipo www su internet. Le seguenti topologieillustrano le varie topologie possibili per l’utilizzo dei firewalls:
TOPOLOGIA F1
E’ la topologia più semplice. Il firewall in questo caso, è molto probabileche faccia Nat. Le controindicazioni di questo caso sono:- non sono presenti ridondanze- tutto il traffico verso internet e verso eventuali server WWW o
SMTP attraversano l’unico firewall presente.- Non sono presenti dei Bastion Host o DMZ
Topologia consigliabile per reti aziendali di piccole/medie dimensioni chenon forniscono servizi su internet.
TOPOLOGIA F2
In questa topologia il firewall gestisce una area detta DMZ o BastionHost dove verranno posti tutti i server che devono fornire servizi suInternet. Le controindicazioni sono:- non sono presenti ridondanze- tutto il traffico verso internet e verso eventuali server WWW o
SMTP attraversano il l’unico firewall presente.
Topologia consigliabile per reti aziendali di piccole/medie dimensioni
TOPOLOGIA F3
5/8/2018 Reti e dintorni 3 - slidepdf.com
http://slidepdf.com/reader/full/reti-e-dintorni-3 29/29
29
TECNONET S.p.A.
Questa topologia utilizza un secondo firewall utilizzato per il backup.Alcuni firewall permettono di mantenere in piedi una sessione,trasferendo i dati della sessione al firewall di backup. Quando il firewall
primario si guasta il firewall di backup diventa master è nella suamemoria ci sono i dati per mantere in piedi le sessioni trasmissive che
passavano per il firewall che si è guastato. Controindicazioni:
- tutto il traffico da o verso internet continua ad attraversare un solo
firewall.
TOPOLOGIA F4
Con l’ausilio di Policy attivabili su alcuni tipi di Switch/Router si puòfare load balancing fra N firewalls.
Questa è l’architettura consigliata per elevate quantità di traffico e per avere un’ottima ridondanza.
Inoltre è estremamente flessibile è pronta per eventuali ulteriori richiestedi banda, è sufficiente aggiungere altri firewalls.
Roberto Gaeta