Sei sulla pagina 1di 20

Maggio 2003

N 19

RETI E DINTORNI N 19

Pag. 3 cifrata. Sotto la relazione di fiducia offerta da tale associazione poi eseguita la procedura di richiesta di accesso ai servizi di inoltro offerti da un AP.

WIRELESS SECURITY
Lo standard 802.11 descrive un modello di rete con unarchitettura (o Extended Service Set, ESS) riassunta in Figura 1, il passaggio dalla modalit ad-hoc (o Indipendent Basic Service Set, IBSS) a quella infrastructured concepito come un servizio aggiuntivo, offerto da un AP, di connessione a una rete di distribuzione (o Distribution Service, DS). L'AP non poi descritto altrimenti che come una STA che appunto implementa e fornisce funzionalit di inoltro verso il DS alle altre STA presenti nella stessa Basic Service Set (BSS).

Figura 2 Il modello precedentemente descritto, nella sua semplicit e eleganza, si integra perfettamente con l'architettura di rete definita in 802.11: il meccanismo di autenticazione completamente distribuito e in grado di supportare ugualmente le due modalit ad-hoc e infrastructured. Risulta inoltre estremamente semplice il supporto alla mobilit, in particolare alle procedure di passaggio da un AP ad un altro senza perdita di connettivit (fast-handoff). L'autenticazione verso il nuovo AP avviene, infatti, prima della procedura di associazione con lo stesso (e disassociazione dal vecchio AP): la complessit computazionale presentata dal metodo di autenticazione scelto rimane completamente esterna alla regione critica di handoff. Purtroppo, proprio il modello di autenticazione una delle cause delle ben note inadeguatezze del framework di sicurezza di 802.11 e attualmente oggetto di una sostanziale revisione in seno al WG 802.11 ad opera del TG i. Prescindendo dalle vulnerabilit dei meccanismi di cifratura (il famigerato WEP), l'attuale soluzione di autenticazione (e di conseguenza quella di network access control che su di essa si basa) si dimostrata inadeguata a fornire una serie di funzionalit essenziali a costruire un framework di sicurezza sufficientemente robusto e adeguato al reale utilizzo di reti LAN wireless. La totale assenza di meccanismi automatici di key agreement e tanto meno di re-keying (tradizionalmente intimamente legati alle procedure di autenticazione) rende estremamente complesso contrastare l'inevitabile degrado della sicurezza del materiale crittografico presente nel sistema, oltre che impedire la gestione di scenari di deployment a parte i pi triviali.

Figura 1 La concezione delle funzionalit di inoltro come un servizio a s stante (addirittura opzionale), porta naturalmente alla necessit di definire una procedura di accesso a tale servizio e i relativi meccanismi per discriminare tale accesso. Per quanto riguarda 802.11, la soluzione di access control adottata rappresentata dalla funzione di "Associazione" e dal relativo scambio di messaggi. I meccanismi di controllo di accesso si basano tradizionalmente su procedure di autenticazione delle entit in gioco (perlomeno necessario identificare lentit richiedente prima di poter decidere se concedere o meno l'accesso al servizio richiesto). L'approccio seguito da 802.11, come si pu evincere dalla macchina a stati descritta in Figura 2, presenta delle peculiarit interessanti che meritano un'analisi attenta. Iniziamo con l'evidenziare i rapporti tra le procedure di "Autenticazione" e di "Associazione". Lo standard 802.11 scorrela completamente le due funzionalit: in particolare l'autenticazione delle entit coinvolte supposta avvenire prima di ogni tentativo di richiesta di accesso alla rete (o in termini pi esatti, di accesso ai servizi di inoltro verso il DS). Tale approccio deriva naturalmente dall'obiettivo, di definire i meccanismi di confidenzialit e integrit di 802.11 come tentativo di assicurare lo stesso livello di sicurezza offerto dalle tradizionali reti wired. Le entit 802.11 si autenticano, in prima istanza, per instaurare una SA che permette loro di comunicare in modalit

RETI E DINTORNI N 19 La semplicit delle logiche di autenticazione e di accesso previste, permette la loro implementazione a livello delle STA e AP coinvolti, senza richiedere la presenza di nessuna infrastruttura e dispositivi esterni. Tuttavia, con un tale approccio, non includendo nessun meccanismo di estensibilit, la modifica sia delle STA sia degli AP si rende necessaria ad ogni upgrade delle logiche esistenti. In particolare, il dover implementare direttamente a livello AP nuovi meccanismi di autenticazione e controllo (task potenzialmente complesso, in particolare quando sono coinvolti differenti algoritmi crittografici) contrasta con un modello che vede gli AP come dispositivi il pi semplice (ovvero il pi economico) possibile. Infine l'impossibilita' a delegare parte della logica di decisione ad entit esterne preclude il supporto a scenari che prevedono il roaming di utenti (come avviene comunemente nei servizi di telefonia mobile) dove l'accesso alla rete pu essere fornito ad utenti completamente estranei al gestore della rete stessa. Volendo ricercare (con gusto un po' machiavellico) nel modello stesso, le cause delle inadeguatezze riscontrate nei fatti, si pu osservare come proprio l'idea di delegare il costruzione delle relazioni di trust necessarie alla procedura di network access ad una procedura di autenticazione indipendente e precedente presentasse delle intrinseche limitazioni. Meccanismi di autenticazione e key agreement che non richiedono una prior knowledge tra le entit coinvolte si fondano infatti sulla presenza di una qualche trusted third party: lo stesso uso di certificati digitali prevede la necessit di accedere a servizi online per la verifica della validit dei certificati stessi. E' evidente che tali servizi non possono essere disponibili se non dopo aver avuto un accesso, quantomeno parziale, ai servizi di inoltro stessi. L'analisi presentata in questa sezione come le riflessioni descritte nella precedente sezione portano ad evidenziare la necessit di un modello di accesso ai servizi di inoltro (o di network access control) pi completo e complesso. In particolare, uneffettiva soluzione dovrebbe integrare robuste e complete funzionalit di autenticazione e integrit come la capacit di delegare parte delle logiche decisionali a entit esterne fidate. Non sorprendentemente, tali elementi sono presi in considerazione dal tentativo di definizione, attualmente in corso, della prossima versione del framework di sicurezza per reti 802.11: il futuro standard 802.11i, obiettivo del TG i interno al WG 802.11. 802.1X e la nuova architettura 802.11 Seppur ancora in corso di definizione e potenzialmente ancora soggetto a sostanziali modifiche, possibile tentare alcune osservazioni preliminari sul lavoro, in corso presso il TG i, che porter alla standardizzazione di una nova versione del framework di sicurezza per reti 802.11. L'architettura 802.11i includer innanzi tutto una versione rivista degli attuali meccanismi di confidenzialit (WEP) sul link wireless nonch una

Pag. 4 soluzione crittografica completamente nuova basata su AES. Per quanto riguarda il presente articolo, sono tuttavia di maggiore interesse le sostanziali modifiche apportate ai meccanismi di autenticazione e di controllo di accesso basate sullo standard 802.1X.

Figura 3 Il modello di network access control previsto da 802.1X riassunto in Figura 3. Brevemente, viene definito un protocollo, EAPOL, con cui un'entit (o suplicant) pu effettuare una procedura di autenticazione (e eventualmente di key agreement e/o key distribution) verso un dispositivo di accesso alla rete (o authenticator): nel caso l'autenticazione vada a buon fine l'authenticator apre la porta associata al suplicant garantendogli accesso ai servizi di inoltro. 802.1X sfrutta il protocollo EAP per poter delegare la logica di autenticazione ad una facility esterna all'autenticator: in particolare, 802.1X prevede l'utilizzo del servizio RADIUS e del relativo protocollo tra authenticator e authentication server. Nel contesto delle reti 802.11 facile individuare le associazioni STA come supplicant 802.1X e AP come authenticator 802.1X. Si pu gi osservare come la stessa architettura 802.1X presenti delle interessanti caratteristiche in relazione alle ai concetti espressi nella prima parte di questo articolo. Pi specificatamente, il relaying effettuato dall'authenticator dei messaggi EAP dal protocollo EAPOL al protocollo RADIUS rappresenta un esempio di integrazione di servizi di sicurezza a livello 2 (accesso alla rete, ma anche eventualmente di key management per confidenzialit e integrit del link di accesso) con meccanismi a livello applicativo (servizio RADIUS appunto). Se una simile architettura si pu ritrovare nel tradizionale accesso in dial-up attraverso PPP (EAP e RADIUS nascono indubbiamente in questo contesto), si assiste con 802.1X ad un'integrazione decisamente pi profonda e complessa, potenzialmente in grado di supportare scenari avanzati come andremo ad analizza nel caso di 802.11i. Obiettivo del futuro standard 802.11i , tra altri, quello di definire l'integrazione del modello 802.1X nel contesto delle reti 802.11. Andremo ad

RETI E DINTORNI N 19 analizzare gli aspetti salienti di questa integrazione e le relative soluzioni proposte all'attuale stato dei lavori di standardizzazione (come si pu evincere dalla documentazione disponibile pubblicamente sul sito del TG i). La lista di tali punti include, ma non solo: integrazione con le attuali procedure; valutazione dei diversi meccanismi di autenticazione per EAP rispetto al loro; utilizzo in reti 802.11 di meccanismi di key agreement, key distribution e re-keying a supporto dei servizi di confidenzialit e integrit su link wireless 802.11; supporto ai servizi di mobilit, in altre parole a procedure di fast-handoff e roaming; supporto alla modalit ad-hoc; Integrazione di 802.1X Iniziamo con il valutare le alternative disponibili per l'accoppiamento delle procedure (o in altre parole delle macchine a stati) di 802.1X e 802.11. Una prima possibilit quella di utilizzare 802.1X all'interno della sequenza di authentication gi prevista da 802.11 (vedi Figura 2). Tale scelta comporterebbe sostanziali modifiche all'attuale livello MAC di 802.11: in particolare, la modifica/aggiunta di nuovi frame di tipo management a supporto degli scambi 802.1X. Le scelte in TG i sembrano preferire unintegrazione meno stretta che permette di conservare sostanzialmente invariate le vecchie procedure di authentication e association e sposta 802.1X a un livello superiore dello stack (si utilizzano i frame di tipo data). Le attuali proposte prevedono che il protocollo EAPOL venga eseguito subito dopo la procedura di association come evidenziato in Figura 4. Le maggiori criticit della soluzione in esame vanno ricercate nella necessit di una robusta sincronizzazione degli stati 802.11 e 802.1X, le cui transizioni avvengono in questo caso a livelli diversi. In particolare, le relazioni tra la procedura di autenticazione attraverso 802.1X con l'instaurazione delle SA per la protezione del canale radio e con le procedure 802.11 di authentication e association possono influenzare pesantemente il livello di sicurezza effettivo garantito dal sistema. Tali aspetti saranno analizzati pi in dettaglio nel seguito di questa sezione. Si noti che proprio aspetti avanzati come il supporto ai peculiari requisiti di confidenzialit e integrit del link wireless e come il supporto ai servizi di mobilit (discusso anch'esso nel prosieguo della presente sezione) fanno dell'integrazione di 802.1X nell'architettura 802.11 un ulteriore passo nell'ottica di evoluzione dei servizi di sicurezza nelle moderne reti di calcolatori. Metodi EAP Come gi osservato, lo standard 802.1X definisce un framework di network access control flessibile che presenta logiche estensibili in base alle peculiari esigenze dei contesti in cui deve essere implementato. In particolare, uno di questi aspetti la selezione dei metodi di autenticazione da operare attraverso il protocollo EAP. Numerose sono infatti le alternative

Pag. 5 standardizzate o in via di standardizzazione (vedi, tra gli altri, EAP-TLS, EAP-SRP, EAP-KRB).

Figura 4 La scelta del meccanismo di autenticazione risulta non indifferente nel contesto di 802.11, in primo luogo a causa delle precise caratteristiche dell'accesso wireless. Specificatamente, gli unici metodi ammissibili sono quelli che garantiscono una mutua autenticazione tra supplicant e authentication server. In caso contrario, sul canale radio sarebbe estremamente facile per un falso AP offrire accesso a una STA legittima (senza in effetti autenticarla) con lo scopo di avere accesso a tutto il traffico scambiato dalla stessa. Non stupisce dunque come le correnti tendenze in TG i paiono orientate su metodi come EAP-SRP e soprattutto EAP-TLS che garantiscono appunto una robusta mutua autenticazione. Servizi di integrity key-management, confidentiality e

Una delle fondamentali funzionalit fornite a 802.11 dall'integrazione di 802.1X indubbiamente il supporto a meccanismi di key management completamente assenti in IEEE802.11. A tal proposito, le attuali proposte per 802.11i prevedono che dopo la procedura di autenticazione 802.1X parta una sequenza di key agreement basato su messaggi di tipo EAPOL-Key: brevemente, un 4-way handshake permette di derivare una serie di chiavi di sessione partendo dal master secret ottenuto come risultato secondario del metodo di autenticazione implementato su EAP (vedi Figura 5 per uno schema riassuntivo del processo). I messaggi di tipo EAPOL-Key vengono ugualmente utilizzati per implementare funzioni di re-keying e di key distribution per chiavi multicast/broadcast.

RETI E DINTORNI N 19

Pag. 6 dellassociazione 802.1X. In particolare, le logiche di autenticazione dei messaggi di management devono essere attentamente specificate in presenza di procedure di fast-handoff: questa ed altre criticit legate ai servizi di mobilit sono oggetto di analisi nel resto di questa sezione. Servizi di mobilit Lintroduzione di 802.1X presenta delle consistenti conseguenze per quanto riguarda i servizi di mobilit, sia in termini di procedure di fast-handoff e di supporto a scenari di roaming. In caso di fast-handoff, la differenza determinante che la sequenza di autenticazione avviene ora dopo la procedura di association: questo implica che il carico computazionale dei meccanismi di autenticazione cade ora completamente nella regione temporale critica di handoff. Tale fatto risulta chiaramente indesiderabile in quanto preclude la possibilit di handoff efficienti usando metodi di autenticazione forti (e computazionalmente intensivi!). Una prima classe di soluzioni proposta in TG i sfrutta la presenza di un protocollo di comunicazione tra AP (attualmente oggetto di studio del TG f presso il WG 802.11) per permettere al nuovo AP di richiedere dal vecchio AP i dettagli della SA precedentemente stabilita dalla STA protagonista dellhandoff. Questo tipo di soluzione richiede che una STA durante la procedura di association sia in grado di segnalare al nuovo AP gli estremi del vecchio AP da contattare. La procedura potrebbe poi procedere direttamente alla fase di rinnovo della SA a partire da quella vecchia (ovvero di rinnovo del materiale crittografico a partire dal precedente). Un differente modello, che pare attualmente godere delle preferenze in TG i, si basa sul concetto di preauthentication. Lidea, semplificando, consiste nel permettere a una STA in procinto di eseguire un handoff di iniziare lautenticazione 802.1X con il nuovo AP essendo ancora associata al vecchio AP (vedi Figura 6). Una volta creata la nuova associazione 802.1X, la STA pu proseguire ad associarsi al nuovo AP e a rinnovare il materiale crittografico per la sessione attraverso i messaggi EAPOL-Key. La seconda soluzione descritta, oltre a presentarsi pi semplice (non richiede lintroduzione di uno specifico protocollo tra AP), risulta particolarmente interessante per le sue conseguenze sui modelli di accesso alla rete. Si tratta, infatti, di unulteriore esempio di evoluzione verso una profonda integrazione tra accesso alla rete e servizi di autenticazione a livello applicativo: lautenticazione 802.1X risulta ora un vero e proprio servizio accessibile da STA non direttamente raggiungibili attraverso il canale radio. Il passo successivo in termini di mobilit alle procedure di handoff risiede indubbiamente nel supporto a scenari di roaming. La maggior criticit in termini di procedure di accesso alla rete risiede nella possibilit discriminare laccesso ad utenti in assenza di informazioni dirette sugli stessi (tali informazioni risiedono infatti presso loperatore con cui lutente

Figura 5 La generazione del materiale crittografico a livello 802.1X deve essere sincronizzata con l'effettivo utilizzo dello stesso nelle funzioni di confidenzialit e integrit a livello MAC sul link wireless. Data l'utilizzo di comuni frame di tipo data per i messaggi EAPOLKey, una mancata sincronizzazione risulterebbe irrecuperabile (causando, in ultima istanza, la necessit di ripetere l'intera procedura di autenticazione). L'attuale soluzione in 802.11i (ancora soggetta a proposte di modifica) prevede che STA e AP condividano in ogni momento una coppia di SA (una attiva ed una pendente) e che il passaggio all'SA pendente venga discriminata attraverso un apposito campo (KEYID) presente nell'header dei frame 802.11. Una pi complessa classe di problematiche di sincronizzazione tra 802.1X e 802.11 deriva dall'interazione con le procedure di autentication e association previste. I messaggi di controllo di tipo DeAuthentication e De-Association sono in grado di "resettare" la state machine 802.11 (come appare evidente in Figura 2) a dispetto dello stato dell'associazione mantenuta a livello 802.1X. Considerando che i frame di tipo management non sono coperti dalle funzioni di confidenzialit e integrit secondo quanto definito in IEEE802.11, si pu facilmente dedurre come tale situazione esponga il sistema a una consistente vulnerabilit verso attacchi di tipo DoS: una STA maligna attraverso l'invio di falsi messaggi di De-Authentication sarebbe in grado di costringere una STA legittima alla continua reautenticazione attraverso 802.1X. Non deve dunque risultare sorprendente, che un tema di discussione corrente in seno al TG i sia proprio la necessit di implementare servizi di integrit sui messaggi di controllo e la valutazione delle relative soluzioni. La securizzazione dei messaggi di management richiede un ancora pi intimo accoppiamento di 802.11 e 802.1X, essendo dipendente dallo stato corrente

RETI E DINTORNI N 19 registrato, che in caso di roaming differisce dalloperatore che deve fornire laccesso alla rete).

Pag. 7

Figura 7 Larchitettura 802.1X, prevedendo un infrastruttura esistente per lautenticazione (servizio RADIUS), non si presenta per sua natura particolarmente adatta a questo secondo tipo di reti (che presuppongono appunto la totale mancanza di uninfrastruttura preesistente). Una possibile soluzione potrebbe essere costruita sullidea di implementare le funzionalit di authenticator e authentication server 802.1X sulle stesse STA. Le procedure di autenticazione potrebbo in questo caso ricalcare quelle definita tra STA e AP in modalit infrastructured con alcune significative differenze: lutilizzo del protocollo RADIUS risulta ora superfluo (le comunicazioni avvengono tutte localmente alla STA) e differiscono le funzionalit richieste al modo di autenticazione da selezionare per EAP (in particolare, sono auspicabili meccanismi basati su semplici password scambiate dagli utenti al momento stesso di creare la rete ad-hoc). Recenti sottomissioni presso il TG i delineano proposte che seguono lo schema appena descritto; tuttavia, unanalisi pi approfondita su questo tema appare attualmente necessaria prima della stesura finale del futuro standard 802.11i. Conclusioni Questo articolo ha presentato un analisi delle tendenze evolutive nello specifico campo del network access control per reti dati basate su canale radio. Un rilevante spazio stato dedicato ad inquadrare le pi recenti proposte tecnologiche nel contesto delle motivazioni architetturali e applicative a lungo termine che ne rappresentano causa e giustificazione. Lo studio si concentrato sulle modifiche, in corso di standardizzazione, allo standard IEEE 802.11, selezionato come una delle tecnologie attualmente pi promettenti a esemplificare le citate esigenze evolutive. In particolare, sono state evidenziate le consistenti novit (rispetto alle tradizionali realt nelle reti dati) in termini sia di servizi (mobilit, sopra tutti) sia delle architetture a supporto degli stessi (meccanismi evoluti di controllo daccesso). Se, al momento presente, numerose problematiche rimangono ancora prive di soluzioni sufficientemente complete, appare evidente

Figura 6 Larchitettura 802.1X, grazie allutilizzo del servizio RADIUS, in grado di delegare la logica di autenticazione a server esterni alla rete di accesso, eventualmente residenti in domini di amministrazione diversi. Le attuali proposte per il futuro 802.11i sfruttano tali funzionalit con lobiettivo di estendere il campo applicativo di 802.11 da sostituto wireless delle attuali tecnologie LAN a soluzione completa di accesso a Internet/Intranet attraverso canale radio, venendo apertamente incontro alle tendenze di convergenza discusse nella prima parte di questo articolo. La definizione di un supporto robusto al roaming in 802.11 richiede comunque la particolare attenzione data lestrema novit architetturale nel campo delle reti dati. Brevemente, le correnti soluzione prese in esame in TG i (ancora in pieno stato di elaborazione) si basano su unarchitettura di proxy RADIUS prevedono che una STA in roaming utilizzi un identificativo di tipo NAI per comunicare alloperatore corrente la locazione del servizio RADIUS gestito dallhome operator (vedi Figura 7 per una descrizione generale del modello). Reti ad-hoc La nuova architettura di accesso alla rete definita in 802.11i nata rivolgendosi innanzi tutto alle reti 802.11 in modalit infrastructured. Le attuali discussioni in TG i hanno tuttavia riportato allattenzione il supporto alla modalit ad-hoc.

RETI E DINTORNI N 19 che, a lavori completati, il futuro standard 802.11i rappresenter un passo fondamentale verso una nuova generazione di modelli di rete.

Pag. 8

R.Gaeta
BIBLIOGRAFIA IEEE 802.11 Working Group site, http://grouper.ieee.org/groups/802/11/. J. Walker, Unsafe at any key size; An analysis of the WEP encapsulation, October 2000. N. Borisov, I. Goldberg, D. Wagner, Intercepting Mobile Communications: The insecurity of 802.11, July 2001. W.A. Arbaugh, N. Shankar, Y.C. Justin Wan, Your 802.11 Wireless Network has No Clothes, March 2001. L. Loeb, What's up with WEP, April 2001. IEEE 802.11 Task Group I site, http://grouper.ieee.org/groups/802/11/. IEEE Std 802.1x-2001, Port-Based Network Access Control. L. Blunck, J. Vollbrecht, PPP Extensible Authentication Protocol (EAP), RFC 2284, March 1998. B. Aboba, D. Simon, PPP EAP TLS Authentication Protocol, RFC 2716, October 1999. C. Rigney, S. Willens, A. Rubens, W. Simpson, Remote Authentication Dial In User Service (RADIUS), RFC 2138, June 2000. C. Rigney, W. Willats, P. Calhoun, RADIUS Extensions, RFC 2869, June 2000. B. Aboba, J. Vollbrecht, Proxy Chaining and Policy Implementation in Roaming, Informational RFC 2607, June 1999. N. Asokan, P. Ginzboorg, Key Agreement in Ad-hoc Networks, February 2000. M. Hietalahti, Key Establishment in Ad-hoc Networks, 2000. Z. Lidong, J.H. Zygmunt, Securing Ad Hoc Networks. F. Stajano, R. Anderson, The Resurrecting Duckling: Security Issues for Ad-hoc Wireless Networks, 1999. F. Stajano, R. Anderson, The Resurrecting Duckling : what next?, 2000. B. Aboba, IEEE 802.1X Pre-Authentication, WG 802.11 submission 02/389, June 2002. B. Aboba, M. Beadles, The Network Access Identifier, RFC2486, January 1999.

RETI E DINTORNI N 19

Pag. 9 oggi tra gli operatori portare molti singoli sistemi SDH esistenti, e che trasmettono a una sola lunghezza donda (1310 nm oppure 1550 nm, nm=nanometri), su una fibra, con lo stesso meccanismo di multiplazione in frequenza noto negli anni precedenti come FDM; con DWDM si parla di trasmissione "colorata", a diverse lunghezze donda ottiche. Esiste la possibilit di avere dagli operatori anche lunghezze donda ottiche su cui si pu far viaggiare qualunque tipo di protocollo in grado di gestire il livello ottico di trasmissione. Ad esempio, in fase di studio lestensione del protocollo IP a livello fisico, che permetter di ottenere tutti i meccanismi di protezione e di affidabilit di SDH senza introdurre un livello intermedio di tramatura. Ora analizzeremo lutilizzo e le componenti principali di una rete fotonica complessa che utilizza DWDM come modalit di multiplazione ottica. I perch sulluso di DWDM La tecnologia DWDM tipicamente utilizzata per il trasporto punto-punto di traffico digitale ad alta/altissima velocit. Un tipico schema di rete che impiega apparati DWDM ben rappresentato nello schema seguente. Nel caso illustrato due dorsali DWDM ad alta velocit raccolgono rispettivamente il traffico di due reti metropolitane SDH a 155 Mbps sulla lunghezza donda l1 e ln e lo portano a una rete regionale SDH a 622 Mbps. Allinterno di tali flussi a 155 Mbps che viaggiano sulle due differenti lunghezze donda pu essere trasportato, allinterno di tributari (vengono definiti tributari in modo generico tutti i flussi di utente entranti in un apparato di telecomunicazione geografico), qualsiasi tipo di servizio, come ad esempio: accesso veloce a Internet, sia residenziale, sia commerciale; connessioni punto-punto tra centralini telefonici o tra centrali pubbliche; connessioni LAN to LAN tramite dispositivi di "edge" (edge device) come router o switch; stream di segnali video. Il meccanismo di funzionamento La struttura di un tipico sistema DWDM punto-punto normalmente installato nelle reti attuali illustrata nel secondo schema riportato di seguito. I vari tributari (TX trib. 1, 2, ...m) che trasmettono il segnale (ad esempio SDH) vengono inseriti in ogni canale a una differente lunghezza donda. Nei sistemi pi utilizzati, definiti "aperti", chi fornisce il sistema DWDM lo realizza in modo che possa accettare tributari da un operatore qualsiasi. Ci impone di utilizzare come stadio intermedio una serie di transponder ottici (OEO, Optical Electrical Optical l1, l2... ln) in grado di adattare, o traslare, la lunghezza donda ricevuta alla griglia evidenziata dalla normativa internazionale ITU-T G.692 (da 1528,77 nm a 1560,61 nm). Il modulatore ottico consente poi la multiplazione di tutte queste lunghezze donda adattate in griglia su una sola fibra ottica. I sistemi attualmente in uso

DWDM, la potenza della luce


Cos, come funziona e dove si applica una tecnologia che va verso ladozione di soli componenti ottici. Tutti conoscono limmediatezza e la semplicit di fare o ricevere una telefonata, ma dietro questo gesto quotidiano esistono reti di TLC complesse e altamente affidabili. Lemergente domanda di comunicazione informatica di alta qualit e ad alte prestazioni ha prodotto la progressiva digitalizzazione di tutti i segnali come quello telefonico, dati, video. Cos reti in origine progettate per trasportare traffico vocale commutato oggi devono integrare carichi di traffico significativi per la trasmissione di dati, di flussi di segnali video digitalizzati e compressi di alta qualit, di connessioni a Internet a un numero sempre crescente di utenti singoli e di aziende. Ci impone agli operatori una completa rivisitazione delle reti telefoniche esistenti. Contemporaneamente per il processo di liberalizzazione del mercato delle TLC, che in Italia ha avuto inizio con la legge quadro 318/97, pone loro degli interrogativi sulla fattibilit e sul ritorno degli investimenti necessari per ammodernare le reti esistenti. Da un lato vi la necessit di reti molto potenti, affidabili, e in grado di fornire unelevata qualit di servizio per differenziare e caratterizzare lofferta; dallaltro lato vi uno strenuo sforzo di misura degli investimenti e unattenzione crescente alla riduzione dei costi di primo impianto, soprattutto sullinfrastruttura, per rimanere competitivi sul mercato. Dal punto di vista tecnologico la maggior parte delle reti di TLC esistenti ha un supporto ottico e apparati di trasporto in gerarchia SDH/PDH, a differenza dellAmerica, dove presente il sistema SONET. Tali componenti di rete hanno garantito fino ad oggi: banda trasmissiva su fibra ottica praticamente illimitata, utilizzando due fibre per ogni anello SDH; affidabilit a prova di connessione telefonica, in quanto SDH un protocollo in grado di reagire a un singolo guasto entro 50 msec (millisecondi); semplicit di progettazione, configurazione e manutenzione del traffico e della rete. Tali apparati hanno raggiunto a oggi velocit di trasmissione considerevoli, fino a 10 Gbps per ogni sistema SDH. Molti canali su una fibra sola Al crescere delle esigenze i costruttori di apparati di trasporto hanno dovuto affrontare problematiche di integrazione, di limitazioni costruttive e trasmissive, e hanno prodotto una tecnologia, la WDM, in grado di trasportare pi sistemi di trasmissione differente su una singola fibra. DWDM, acronimo di Dense Wavelength Division Multiplexing, una metodologia di multiplazione (e demultiplazione) per trasmettere canali multipli a diverse lunghezze donda (o diversi "colori") su una singola fibra. In particolare la soluzione pi diffusa

RETI E DINTORNI N 19 possono arrivare a multiplare fino a 128 l; sistemi a pi alte prestazioni sono in fase di sviluppo. Il segnale composto e multiplato viene poi inviato sul mezzo trasmissivo; a seconda delle caratteristiche e della lunghezza della tratta, la trasmissione su fibra pu necessitare di uno o pi stadi di amplificazione. In ricezione il segnale ottico viene demultiplato e scomposto nei singoli canali; a ogni ricevitore viene poi restituito il segnale tributario originario. Nella sezione A-B indicata nello schema 2 ( secondo ) sono raccolte tutte le caratteristiche di un sistema a multiplazione di lunghezza donda. In tale sezione dovranno essere tenuti in particolare considerazione i seguenti parametri: Le caratteristiche dei trasmettitori laser e dei ricevitori (potenza massima, modulanti, sensibilit del ricevitore, ecc.); Il range di operativit delle lunghezze donda, che va mantenuto il pi ampio possibile e pu divenire critico in caso di utilizzo di sezioni di rigenerazione; Le caratteristiche della lunghezza donda centrale (deviazione, ampiezza di spettro); Le caratteristiche in potenza del segnale ottico trasmesso; Le caratteristiche del segnale ottico multiplato e demultiplato (potenza, rapporto segnale/rumore, diafonia ottica e interferenza tra le varie portanti); Lattenuazione di tratta per ogni lunghezza donda, che dipende fortemente dal tipo di fibra posata (G.652, G.653); La dispersione cromatica, che dipende dal fatto che i segnali ottici trasmessi a diverse lunghezze donda vengono distorti in ricezione dal mezzo fisico; la minimizzazione della dispersione cromatica (come quella effettuata dalle fibre G.653) introduce per effetti dovuti a fenomeni non lineari. Per questo si tende a utilizzare fibre a dispersione non nulla che tenda a compensare gli effetti non lineari (G.655); Le caratteristiche degli stadi di amplificazione ottica (controllo del guadagno, potenza ricevuta e restituita, figura di rumore).
Gli acronimi da conoscere DWDM FDM IP ITU-T LAN MAN OEO PDH SDH Dense Wavelength Division Multiplexing Frequency Division Multiplexing Internet Protocol International Telecommunication Telecommunications Local Area Network Metropolitan Area Network Optical Electrical Optical (Device) Plesiochronous Digital Hierarchy Synchronous Digital Hierarchy Unit -

Pag. 10 delle centinaia e delle migliaia di chilometri: si pensi a un operatore che deve trasmettere tutte le telefonate intercontinentali dagli Stati Uniti allEuropa su una dorsale transoceanica con caratteristiche definite dal cavo sottomarino. Un sistema DWDM in tale ambito ha il duplice scopo di minimizzare i costi sullinfrastruttura, preservando e riorganizzando luso della fibra esistente, e massimizzando la velocit di trasmissione per fibra. Levoluzione della tecnologia e lo studio di nuovi sistemi DWDM pi compatti e adatti anche a esigenze meno stringenti hanno diffuso questa modalit di multiplazione anche in ambiti regionali e metropolitani. I costruttori di apparati di trasporto geografici infatti hanno prodotto negli ultimi mesi sistemi trasmissivi particolarmente adatti a reti MAN e dotati delle seguenti caratteristiche: Estrema flessibilit di adattamento a differenti operatori; Accesso diretto alla maggior parte dei tributari disponibili per facilitare la connettivit immediata allutente; Alta scalabilit, per rispondere a un graduale planning degli investimenti; Gestibilit di tutta la famiglia di apparati da un solo sistema software di monitoraggio, configurazione e allarmistica. Grazie a tali tipi di apparati sempre pi frequente sentir parlare di operatori nazionali con backbone, cio dorsali di rete, DWDM che mettono a disposizione, in ambito cittadino o regionale, una o pi lunghezze donda tramite contratti che definiscono le caratteristiche di banda offerta, del segnale ottico trasmesso, di qualit del supporto trasmissivo, e cos via. La diffusione dei sistemi DWDM dal cuore delle reti principali verso le reti secondarie render la banda una risorsa sempre pi accessibile. Vantaggi e svantaggi rispetto alle reti attuali Come gi evidenziato in precedenza, le reti attuali, da quelle metropolitane a quelle nazionali e internazionali, sono realizzate nel loro backbone in tecnologia SDH/SONET. Lapparato SDH ad oggi pi efficiente in grado di trasportare 10 Gpbs su una coppia di fibre. Un sistema DWDM oggi in grado di trasportare 128 x 64 Gbps su una singola fibra. I vantaggi pi evidenti che emergono da questi dati sono laltissimo volume di traffico che un sistema DWDM in grado di trasmettere e lelevato rapporto di banda per fibra utilizzata. Non si possono per trascurare alcuni elementi che hanno reso la tecnologia SDH una soluzione diffusissima. Dal punto di vista tecnologico una rete SDH molto affidabile; come abbiamo prima accennato, sono definiti meccanismi di protezione in grado di reagire in modo trasparente rispetto al traffico trasportato in 50 millisecondi. Attualmente sono in corso di definizione meccanismi di protezione sul livello fisico DWDM simili a quelli di SDH, ma non sono ancora stati sviluppati in modo standard dai costruttori di apparati. La tecnologia SDH matura e

Gli ambiti applicativi I sistemi DWDM nascono come prodotti adatti alla trasmissione punto-punto di elevate moli di traffico su lunga distanza. Sono stati sviluppati per rispondere alla domanda degli operatori telefonici internazionali che necessitano di un sistema ad alte prestazioni funzionante in modo affidabile su distanze dellordine

RETI E DINTORNI N 19 ha raggiunto livelli di economicit che rendono gli apparati avvicinabili anche da piccoli operatori nella loro fase di start-up. SDH rimarr ancora per molto tempo sul mercato, sia per il fatto che tuttora la tecnologia pi installata, sia perch DWDM si inserisce a monte e pu usare come tributari le macchine SDH oggi esistenti, soltanto modulandone la colorazione della lunghezza donda. E certo per che sui collegamenti di backbone compariranno sempre pi infrastrutture DWDM. Come gi evidenziato, in una fase successiva nasceranno protocolli che realizzano analoghi meccanismi di affidabilit e protezione di SDH, e utilizzeranno direttamente DWDM.

Pag. 11 sia per lalto livello di integrazione con gli apparati SDH esistenti. Tale avanzamento ha aperto numerose sfide per migliorare le reti di TLC. Innanzitutto la conclusione del processo di standardizzazione e di definizione di tutti i meccanismi di affidabilit consentir di basare il futuro della trasmissione ottica su DWDM; verranno a breve sviluppate e integrate molte altre funzionalit che renderanno la multiplazione ottica un supporto completamente autonomo. In secondo luogo lincremento di velocit di trasmissione su fibra ottica sposta il collo di bottiglia dal sistema di output al cuore dellapparato di backbone, che ad oggi richiede ancora una pesante conversione elettro-ottica. Al momento tutti gli apparati di TLC che lavorano su fibra ottica hanno una sezione ottica, che pu essere quella in trasmissione o ricezione dei tributari o del backbone, ma hanno anche una parte consistente di elettronica in rame. Le conversioni elettro-ottiche necessarie abbassano di gran lunga le prestazioni di trasmissione e commutazione. La sfida di oggi che diventer standard domani proprio quella di realizzare commutatori, multiplexer senza stadi di potenza elettrica, ma tutti ottici. In questo senso la tecnologia avanza con passi da gigante, consentendoci di vedere gi installate oggi alcune realizzazioni di reti di TLC completamente ottiche, in cui i tributari, la matrice di crossconnessione (ossia il cuore della commutazione degli apparati SDH in cui si definisce come ogni tributario viene trasportato sulla trama SDH), i transponder e la multiplazione DWDM non richiedono pi alcuna conversione elettrica. Ci si aspetta di vedere presto una forte integrazione dei protocolli e dei livelli trasmissivi, in modo da poter avere Internet, la televisione, il telefono, il controllo remoto della casa, i server dellazienda, i rapporti con la Borsa e la banca su un supporto fisico solo ottico. DWDM, scegliere la fibra adatta La realizzazione di un sistema di TLC valido deve fondarsi sullinstallazione di cavi idonei. La tecnologia DWDM (Dense Wavelength Division Multiplexing) sta diventando lo strumento trasmissivo ideale per gli operatori telefonici e di TLC che desiderano offrire servizi di varia natura (telefonia, dati, video, ecc.) e che necessitano di una valida opportunita' tecnologica per far fronte alla crescente esigenza di velocita' di trasferimento dei dati. Tale tecnologia e' caratterizzata dalla possibilita' di una trasmissione multipla di canali a lunghezze donda diverse su una singola fibra ottica, in una banda che va da 1.535 nm (nanometri) a 1.565 nm. DWDM manifesta pero' delle caratteristiche stringenti dal punto di vista del mezzo fisico di trasporto, la fibra ottica, che non sempre risulta adeguata allinstallazione e al funzionamento di tale sistema. Tratteremo gli elementi e i parametri della fibra che maggiormente influenzano i sistemi DWDM e le tipologie di fibre ottiche che a oggi sono state sviluppate per migliorare le prestazioni di tali parametri..

Le due dorsali DWDM raccolgono il traffico di due reti metropolitane SDH e lo trasportano a una rete regionale SDH a 622 Mbps

La realizzazione di un sistema DWDM compatibile con qualunque tipo di operatore impone ai progettisti lutilizzo, a livello intermedio, di una serie di transponder ottici (OEO) In conclusione La tecnica di multiplazione DWDM offre la grandissima opportunit di potenziare fortemente le reti di TLC e di ottimizzare i costi soprattutto rispetto allinfrastruttura gi installata, sia per la possibilit di integrare sistemi a differenti velocit su una sola fibra,

RETI E DINTORNI N 19 Fattori che influenzano i sistemi DWDM In natura non esistono mezzi trasmissivi ideali: tutti i supporti a oggi utilizzati (aria, rame, fibra ottica, ecc.) introducono delle alterazioni sullinformazione trasmessa; anche la fibra ottica, nonostante rappresenti un decisivo passo in avanti rispetto ai tradizionali cavi in rame, e' caratterizzata da alcuni fenomeni che incidono sul segnale originale modificandolo; questi fenomeni, in alcune condizioni, influenzano pesantemente i sistemi DWDM. Durante la progettazione di un sistema di TLC ottico, si deve quindi tenere conto di tutti questi fattori che, se sottovalutati, possono portare a un forte degrado del segnale e di conseguenza a un malfunzionamento del sistema o di una sua parte. Inoltre durante la fase di pianificazione di un sistema DWDM e' di fondamentale importanza conoscere se la fibra ottica che si ha a disposizione e' adeguata alla trasmissione di un sistema multicanale (se gia' si possiede una rete ottica passiva installata sul territorio); oppure quale fibra ottica e' opportuno installare, in caso di nuovo impianto, in modo da preservare linvestimento e massimizzare le prestazioni del sistema. Per tali motivi e' necessario avere un maggiore dettaglio riguardo ai parametri principali che influenzano un sistema DWDM, dal punto di vista strettamente trasmissivo questi sono lattenuazione che il segnale ottico subisce lungo il percorso, la dispersione che la fibra induce sul segnale e i relativi effetti non lineari, il rapporto segnale/rumore ottico (OSNR). Un discorso a parte merita il problema della sicurezza: tutte le comunicazioni radio, anche se criptate, possono essere intercettate con scanner o apparati simili e, con sforzi opportuni, decodificate. Le soluzioni laser usano un fascio invisibile che, data lalta direttivita', non puo' essere captato; un qualunque tentativo di intercettazione del fascio con un apparato simile, inoltre, ne provoca linterruzione e la conseguente caduta della comunicazione. Lattenuazione Leffetto dellattenuazione e' caratteristico di qualunque mezzo trasmissivo; agisce riducendo lampiezza del segnale e, oltre un certo limite, impedisce al circuito di ricezione di distinguere il segnale dal rumore di fondo. La potenza ricevuta allaltro capo del collegamento risulta quindi essere anche molto inferiore alla potenza originale trasmessa. Lattenuazione complessiva di un collegamento, misurata come perdita (dB/Km), e' il risultato di una serie di cause che dipendono dal materiale inteso come struttura della materia (cause intrinseche) e dal processo produttivo della fibra stessa (cause estrinseche). Tra le cause intrinseche dellattenuazione puo' essere citato lassorbimento dovuto alle transazioni elettroniche dalla banda di valenza a quella di conduzione; il fenomeno e' accentuato dalluso di opportuni agenti droganti (GeO2) necessari per realizzare il corretto indice di rifrazione del nucleo (core) della fibra. Unaltra causa dellattenuazione del segnale puo' essere lassorbimento nellinfrarosso: esso e' causato dallinterazione fra il campo

Pag. 12 elettromagnetico del segnale ottico, che sta attraversando la fibra, e quello elettrico dei dipoli chimici fondamentali del materiale drogato (Si-O silicio - ossigeno, B-O Boro - Ossigeno, P-O Fosforo Ossigeno e Ge-O Germanio - Ossigeno). La diffusione di Ryleigh puo' essere unaltra causa intrinseca dellattenuazione; e' prodotta dalla variazione della densita' molecolare del vetro che costituisce la fibra. Queste irregolarita' costituiscono dei centri di diffusione della luce del segnale che attraversa il materiale. Vi sono poi le cause di attenuazione estrinseche. Fra queste vi sono la presenza dellacqua nella fibra sotto forma di ossidrile; la variazione della geometria della fibra a causa alle micro e/o macro curvature introdotte in fase di posa ed installazione dei cavi; la presenza di giunzioni sulla tratta di cavo ottico o di connettorizzazioni nei punti terminali del cavo. Nonostante tutte le variabili da cui dipende (materiale, temperatura, lunghezza donda di trasmissione, tempo, diversi tipi di fibra, ecc.), lattenuazione e' comunque facilmente misurabile e calcolabile sia dal punto di vista analitico in fase di progetto, sia tramite misure sul campo. Orientarsi fra le sigle Un breve glossario puo' servire per orientarsi fra gli acronimi piu' importanti che riguardano la tecnologia DWDM. Prima pero' diamo una definizione di cosa si intende per finestra di trasmissione: questultima e' un intervallo di frequenze (o di lunghezze donda) in cui vengono minimizzati alcuni parametri (ad esempio lattenuazione per la terza finestra, la dispersione per altre, ecc.). Le finestre di trasmissione sono studiate apposta per annullare alcuni fattori negativi. Ecco ora alcune sigle chiave: WDM SBS SRS SPM XPM OSNR FWM = = = = = = = Wavelength Division Multiplexing Stimulated Brillouin Scattering Stimulated Raman Scattering Shift Phase Modulation Cross Phase Modulation Optical Signal to Noise Ratio Four Wave Mixing.

Dispersione Il secondo effetto che caratterizza le trasmissioni ottiche e' quello della dispersione, che agisce allargando (e/o distorcendo) la forma dellimpulso ottico; la conseguenza e' di ottenere in ricezione un impulso non chiaramente identificabile e, quel che e' peggio, interferenza tra i vari impulsi trasmessi e tra i vari canali a diverse lunghezze donda (interferenza intersimbolica), con limitazioni nella lunghezza del collegamento. Le due principali sorgenti di dispersione in una fibra ottica monomodale sono due. La prima e' la dispersione cromatica, o di materiale; e' causata dalla variazione dellindice di rifrazione al variare della lunghezza donda. Le diverse lunghezze donda si propagano nella fibra a velocita' diversa (diversa velocita' di gruppo); poiche' inoltre tutti i segnali ottici hanno

RETI E DINTORNI N 19 componenti multifrequenziali, si assiste a un allargamento di ogni impulso trasmesso. Laltro tipo di dispersione e' la dispersione di guida donda: questa e' causata dallimpossibilita' di limitare la trasmissione dellonda ottica solo allinterno del nucleo; parte del campo elettromagnetico infatti viene inevitabilmente irradiato anche nel mantello. E possibile minimizzare leffetto della dispersione in una fibra ottica con varie tecniche; tra gli accorgimenti piu' usati vi sono la variazione della struttura dei profili dellindice di rifrazione; limpiego di fibre compensatrici, cioe' fibre appositamente studiate con dispersione cromatica di segno opposto; lutilizzo di reticoli di compensazione; luso simultaneo di effetti non lineari che opportunamente combinati riescono a compensare lallargamento del segnale dovuto alla dispersione cromatica. Tramite questi accorgimenti si ottiene una dispersione nulla (Zero Dispersion) in una precisa banda di lunghezze donda. Sul mercato sono reperibili infatti fibre ottiche conformi allo standard ITU-T G.652, tra le fibre piu' largamente usate e installate in Europa, con dispersione cromatica nulla in seconda finestra (1.310 nm) e fibre (ITU-T G.653) con dispersione cromatica nulla in terza finestra (1.550 nm). Poiche' i sistemi DWDM lavorano a differenti lunghezze donda, in una banda tra 1.535 e 1.565 nm, si sarebbe portati a pensare che la fibra G.653 sia la soluzione ai problemi trasmissivi trattati. Invece lassenza di dispersione cromatica facilita la comparsa di effetti indesiderati, non lineari rispetto alla potenza e alla lunghezza donda dei canali trasmessi che, in alcune condizioni, possono risultare piu' nocivi della dispersione cromatica stessa. E stato quindi introdotto lo standard ITU-T G.655 che caratterizza fibre ottiche monomodali con dispersione cromatica non nulla allinterno della banda di lavoro dei sistemi DWDM. Tipologie di fibre ottiche per DWDM Per soddisfare le esigenze di trasmissione dei sistemi DWDM e per migliorare le prestazioni delle fibre esistenti, sono state sviluppate alcune fibre ottiche innovative che tendono a mediare gli effetti di attenuazione, di dispersione e di quelli non lineari nella banda di interesse della trasmissione DWDM. Tra le fibre piu' note in commercio se ne possono citare alcune. Una prima tipologia che si puo' individuare e la fibra monomodale standard: questa categoria di fibre ottiche e' la piu' largamente utilizzata e installata a oggi; e' ottimizzata per la trasmissione in II finestra (1.300 nm) ed e' caratterizzata da alti valori di dispersione in III finestra (1.550 nm); cio' minimizza, come gia' indicato, leffetto non lineare FWM. Tale fibra ottica, nonostante lalta dispersione, consente di coprire distanze di centinaia di chilometri con sistemi ad elevate prestazioni (10 Gbps). Un esempio di ultima evoluzione di questo tipo di fibra e' rappresentato da AllWave di Lucent Technologies, che e' costruita appositamente per applicazioni metropolitane o regionali. Nasce per abbattere linaccettabile livello di attenuazione nella finestra 1.350 - 1.450 nm e presenta un ampio campo di modo

Pag. 13 (cioe' un parametro che definisce laccettazione della fibra a trasmettere molti modi; piu' e' ampio meglio e'), con un grado di "usabilita'" che va da 1.280 a 1.625 nm. Cio' la rende adatta per numerosi scopi che spaziano dal WDM radio (utilizzo della tecnica WDM con alcune tratte radio) in II finestra al DWDM fino a 2,5 Gbps sopra i 1.450 nm. Unaltra tipologia di fibre e' la NDSF (Non Zero Dispersion Shifted). La fibra ottica NDSF e' stata costruita con lintento di minimizzare, ma non annullare, leffetto della dispersione allinterno della banda di lavoro dei sistemi DWDM. Ne sono un esempio le nuove fibre. Fra queste, TrueWave, sempre di Lucent Technologies, e' costruita per operare in III finestra con bassa attenuazione e dispersione cromatica non nulla; e' una fibra appositamente progettata per i sistemi DWDM con amplificatori drogati a erbio poiche' consente di trasmettere numerose lunghezze donda molto ravvicinate ed elimina, nella banda di lavoro di tali amplificatori, la FWM. Consente di inviare canali a 10 Gbps senza introdurre compensazioni di dispersione. Una tipologia di fibra ottica costruita soprattuto per dorsali sottomarine e' quella denominata LEAF e commercializzata da Corning. Questa fibra e' in grado di trasmettere sistemi DWDM con 16 canali a 10 Gbps, su distanze transoceaniche. Essa minimizza gli effetti non lineari componendo un largo campo di modo con una dispersione nulla sotto la finestra di lavoro di DWDM (1.550 nm).Tale tipo di fibra e' utilizzata con profitto anche in alcune applicazioni terrestri. Fibre monomodali e multimodali La fibra monomodale e' un cavo in fibra ottica progettato per consentire un solo percorso di passaggio per unonda di luce: le fibre monomodo vengono costruite per avere un angolo di accettazione tale da ricevere luce monocromatica (con 1 solo modo). Accettare un modo solo significa avere poca attenuazione, poca interferenza intermodale e quindi migliore qualita' trasmissiva. Si definisce invece fibra multimodale una fibra ottica che accetta molti modi, cioe' fornisce alle onde luminose piu' cammini su cui viaggiare. Cio' si riflette sulla tecnica costruttiva, generando cavi completamente diversi per usi definiti: la fibra ottica multimodo viene applicata in campus e reti locali su distanza limitate; quella monomodo, invece, si puo' utilizzare per distanze geografiche maggiori di 2 Km, per arrivare fino alle dorsali transoceaniche. Per questo motivo e' applicata spesso nella realizzazione di reti telefoniche piuttosto che nelle reti locali.

M. Guillaume
Questo articolo e' tratto da Networking Italia. Progetto Tecnonet / IBM / Telecom con rete MAN in DWDM per il Disaster Recovery INPS. L INPS ha approvato e firmato un contratto per la realizzazione di un sito di Disaster Recovery, collegato

RETI E DINTORNI N 19 in DWDM, per la formazione di un CED di Backup dove replicare gli attuali router di Core ( ATM e DLSW ), ed i sistemi OS/390 e AS400. Lanello metropolitano in DWDM verr realizzato tramite apparati Nortel Optera Metro 4000 tra il CED primario ed un CED di BACKUP sito a 15 Km uno dallaltro.

Pag. 14 Tecnonet, avr il compito di realizzare il CED di Backup ( Router di Core (ATM e DLSW) ) e una piattaforma di Management remotizzata presso PathNet, in grado di visionare lo stato degli apparati Optera Metro e dellanello DWDM. Di seguito riportiamo lo Schema di connessione dei CED.

RETI E DINTORNI N 19

Pag. 15 OK, ottiene, dal certificato, la chiave pubblica del Server (KS_pubb). Il Client produce una chiave segreta di sessione (KS), una chiave simmetrica che verr utilizzata per crittare le informazioni che verranno inviate nella sessione di collegamento. Il Client, poi, critta la chiave di sessione KS, utilizzando la chiave pubblica del Server (KS_pubb) ed invia E(KS_pubb, KS) al Server. Il Server decritta E(KS_pubb, KS) utilizzando la propria chiave privata (KS_priv), ottenendo quindi la chiave segreta di sessione KS.

Uso di SSL per trasmissioni sicure in Internet


La sigla SSL l'acronimo di Secure Socket Layer, un protocollo aperto (open source) sviluppato da Netscape Communication Corporation, e proposto al W3 Consortium, per garantire la privacy delle comunicazioni su Internet. Un protocollo di questo tipo particolarmente interessante, in quanto permette alle applicazioni client/server di comunicare in modo da prevenire le intrusioni, le manomissioni e le falsificazioni dei messaggi, consentendo, tra l'altro, di realizzare l'Ecommerce sicuro. I problemi legati alla sicurezza nel caso in cui vi siano informazioni in transito su Internet sono: segretezza: si vuole che le informazioni circolanti siano leggibili solo al destinatario; autenticazione del mittente: si vuole essere sicuri del fatto che l'interlocutore sia veramente chi dice di essere; integrit del messaggio: si vuole essere sicuri del fatto che il messaggio non possa essere manomesso durante il transito in Internet.

A questo punto avviene la comunicazione protetta dalla chiave KS. Il passo che include lo scambio vero e proprio delle informazioni, avviene nel modo che segue (immaginiamo che il Client debba inviare delle informazioni al Server, ad esempio quelle contenute in una form per l'acquisto di un prodotto): Il Client invia il proprio Certificato Digitale al Server (il Server verifica, quindi ottiene la chiave pubblica del Client: KC_pubb). Il Client critta il messaggio P contenente le informazioni con la chiave simmetrica di sessione KS, quindi invia il messaggio cittato C=E(KS, P) al Server. Il Client firma il messaggio crittato, cio produce il Message Digest di C e lo critta con la propria chiave privata (KC_priv) ed invia la firma al Server. Il Server legge il messaggio decrittando C con la chiave KS di sessione. A questo punto deve verificare che il messaggio stato effettivamente inviato dal Client. Per tale verifica, il Server produce il MD di C che ha ricevuto e lo confronta con quanto ottenuto dalla descrittazione della firma ottenuta al passo 3 utilizzando la chiave pubblica del Client (KC_pubb). Se la verifica fornisce esito positivo, allora il messaggio P ottenuto attendibile.

La segretezza pu essere ottenuta attraverso le tecniche di crittografia, mentre autenticazione ed integrit richiedono tecniche di firma digitale. Quindi un protocollo crittografico completo, come il protocollo SSL, integra le tecniche di crittografia e firma digitale (certificati digitali), in modo da risolvere contemporaneamente i tre problemi citati. Introduzione a SSL Il protocollo SSL non specifica gli algoritmi da utilizzare, ma indica la sequenza dei passi che Client e Server devono eseguire insieme alle tecniche da adottare in ciascun passo. Le tecniche crittografiche fanno uso di algoritmi a chiave publica: RSA, DSS; ed a chiave segreta: DES, RC4. Gli algoritmi di creazione dei digest utilizzati possono essere: MD5, SHA. I passi base previsti dal protocollo sono: Il Client richiede un canale protetto al Server SSL. La richiesta avviene tramite un link del tipo: https://... (si noti la "s" che segue la sigla che indica il protocollo http). Il Server risponde inviando il suo Certificato Digitale. Il Client verifica la correttezza del Certificato, utilizzando la chiave pubblica della CA che ha emesso il certificato al Server. Se la verifica

RETI E DINTORNI N 19 Il protocollo composto da due strati: a livello pi basso, interfacciato su di un protocollo di trasporto affidabile come il TCP, c' il protocollo SSL Record. Questo usato per l'incapsulamento dei vari protocolli di livello superiore. Sul protocollo SSL Record si interfaccia l'SSL Handshake Protocol che permette al server e al client di autenticarsi a vicenda e di negoziare un algoritmo di crittografia e le relative chiavi, prima che il livello applicazione trasmetta o riceva il suo primo byte. Un vantaggio del SSL la sua indipendenza dal protocollo di applicazione: un protocollo di livello pi alto pu interfacciarsi sul protocollo SSL in modo trasparente. Caratteristiche dei browser e dei server SSL Per impiegare la protezione offerta da SSL, necessario che un sito Web disponga di un server in cui sia integrata la tecnologia SSL. L'implementazione SSLref v3.0b1 della Netscape Communications C., mulipiattaforma anche se sono differenziate le versioni per Windows 9x/NT e per Solaris. La politica di diffusione voluta dalla stessa Netscape Communication Inc. rende disponibili questi e tutti gli altri prodotti software a studenti, universit ed altre istituzioni non commerciali in modo free al sito http://test-drive.netscape.com/edu_drive/index.html. Anche il client (browser) deve supportare SSL per poter stabilire una connessione sicura con un server SSL. Netscape Navigator lo supporta dalla versione 0.93.Inoltre il browser deve essere sufficientemente aggiornato da contenere le chiavi pubbliche delle CA attuali, altrimenti si rischia di non riconoscere un certificato valido. Per Unix e Windows 3.1/9x/NT esiste la versione SSLLeay 0.6.0 che implementa SSLv2.0, free sia per uso privato che commerciale: include una implementazione di DES tra le pi veloci, oltre agli algoritmi di crittografia pi comuni, IDEA, RC4, RSA e MD5. Poich HTTP+SSL e HTTP sono protocolli differenti e usano porte diverse, lo stesso server pu far eseguire contemporaneamente sia il server HTTP+SSL che quello HTTP. Ci significa che, in funzione delle esigenze di sicurezza, un server pu offrire alcune informazioni a tutti gli utenti senza sicurezza e solo altre in modo sicuro. SSL e i tunnel nei firewall Il protocollo SSL, come gia detto, viene utilizzato per instaurare un canale sicuro, tipicamente tra client e server, in particolare per la protezione di eventuali attacchi del tipo "man-in-the-middle". Qualora il Server SSL fosse all'interno di una rete protetta da firewall si potrebbe avere un problema rilevante: qualora il firewall fosse dotato di un Application Gateway con funzioni proxy complete, il protocollo SSL vedrebbe il proxy server proprio come un man-in-the-middle, quindi bloccherebbe la comunicazione!. Per risolvere tale problema il firewall utilizzato deve supportare il tunnelling (SSL Tunneling CONNECT

Pag. 16 extension method) tramite il quale il proxy viene sorpassato dal traffico SSL. Nel caso in cui il firewall fosse di tipo packet filtering, basta settare il firewall per permettere il passaggio dei pacchetti destinati alla porta riservata alla connessione SSL (tipicamente la porta 443).

R. Gaeta

Procedura di aggiornamento software per Cisco Catalyst 3550


Per poter effettuare laggiornamento del software su apparati Cisco Catalyst 3550 non si deve utilizzare il classico comando copy tftp: flash perch non la procedura corretta. Se si deve fare un upgrade dellapparato la procedura corretta la seguente; dal prompt Switch# dare il seguente comando: Switch# archive download-sw a questo punto se si affianca al comando il punto interrogativo apparir la seguente maschera:
SW_BNL_RM_1#archive download-sw ? /force-reload Unconditionally reload sys after success sw upgrade /imageonly Load only the IOS image /leave-old-sw Leave old sw installed after successful sw upgrade /no-set-boot Don't set BOOT -- leave existing boot config alone /overwrite OK to overwrite an existing image /reload Reload system (if no unsaved config changes) /safe Always load before deleting old version flash: Image file ftp: Image file rcp: Image file tftp: Image file SW_BNL_RM_1#archive download-sw

Come si pu notare il comando permette una serie di varianti tra le quail quella che permette di scaricare solamente limmagine, quella che mantiene il vecchio software e quella che sovrascrive. Dopo aver scelto lopzione gradita, si completa il comando con tftp:// IP del Server /nome del file.TAR. E importante che il file abbia estensione TAR in quanto questi apparati hanno linterfaccia WEB, e solo con questo tipo di estensione si aggiorna anche questa opzione. Per completare volevo aggiungere una nota informativa, con la versione software: C3550-19Q312-MZ.121-12C.EA1.BIN nellapparato non funziona EIGRP, quindi se si deve installare un Catalyst 3550 e questultimo deve fare EIGRP verificate la versione del software ed eventualmente scaricatene una pi appropriata con le istruzioni sopra riportate.

E. Lucidi

RETI E DINTORNI N 19

Pag. 17

FTP (File Transfer Protocol)


Tramite il protocollo FTP, gli utenti accreditati possono accedere a un server FTP e trasferire files in entrambe le direzioni. Per stabilire lidentit del richiedente, il servizio FTP prevede il trasferimento delle credenziali utente tramite il paradigma usernamepassword. Una volta superata la fase di autenticazione, lutente pu digitare sul terminale locale tutti i comandi riconosciuti dal protocollo FTP. Per gestire il processo di trasferimento file il protocollo mantiene due connessioni TCP separate. La prima viene utilizzata per linvio di una serie di comandi di controllo, che permettono di stabilire le informazioni disponibili su server e client e di indicare quali file si intendono trasferire. La seconda connessione invece dedicata alla trasmissione dati vera e propria. La connessione di controllo la prima a essere aperta dal client, contattando il server FTP sulla porta TCP 21. Tutti i dati e i comandi trasferiti attraverso questa connessione sono in formato standard NVT (Network Virtual Terminal, in sostanza caratteri ASCII). La connessione per il trasferimento dati viene invece aperta solo al momento in cui effettivamente richiesto un file transfer. Il protocollo FTP permette di trasferire sia dati binari che in formato ASCII. Lapertura della nuova connessione TCP per il trasferimento dati pu essere avviata sia dal server che dal client. Nel primo caso si parla di apertura attiva, nel secondo caso si parla di apertura passiva. Apertura FTP attiva Lapertura attiva prevede che il client FTP, interessato a iniziare un trasferimento dati, indichi al server la porta che intende utilizzare, attraverso il comando PORT. La porta selezionata dal client deve essere maggiore di 1024. Il server ricevuto il comando PORT, avvia lapertura di una nuova connessione TCP con il client utilizzando la porta TCP 20 come porta locale e la porta indicata nel comando PORT come porta del client. I parametri del comando PORT sono sei. I primi quattro indicano lindirizzo ip della stazione client, i restanti due parametri indicano la porta eletta dal clent per gestire la nuova connessione TCP. Linserimento dellindirizzo ip della stazione client allinterno di un comando a livello applicativo pu rappresentare un serio problema per i client di una rete locale connessa a una rete pubblica. Lapparato che opera il NAT, deve implementare un NAT che gestisca questa problematica. Lapertura attiva non pu comunque essere utilizzata quando si vuole implementare, per la stazione che agisce da client, una politica di accesso che proibisce lapertura di nuove connessioni TCP in seguito a richieste esterne. In tal caso, bisogna ricorrere alla procedura di apertura passiva. La figura seguente esemplifica i passi della procedura di unapertura attiva FTP.

Apertura FTP passiva Lapertura passiva prevede che il client avvii il processo inviando al server un comando PASV. Il server, ricevuto il comando, risponde con unindicazione riguardante il numero di porta su cui ha attivato un processo figlio, pronto a gestire la prossima connessione TCP. Il numero di porta del processo figlio, generalmente maggiore di 1024, viene restituito al client. A questo punto, il client avvia la richiesta per una nuova connessione TCP per mezzo del quale ricever/trasferir il file desiderato. La figura seguente esemplifica i passi della procedura di unapertura passiva FTP.

R. Gaeta

RETI E DINTORNI N 19

Pag. 18

RETI E DINTORNI N1 (Marzo 2001) Interconnessione di reti locali pag. 3 aut. R. Gaeta Comandi di configurazione pag. 7 aut. R.Gaeta Il livello transport di Internet pag. 9 aut. R. Gaeta Generalit sui comandi per i router Cisco pag. 12 documento trovato da L. Cupini RETI E DINTORNI N2 (Aprile 2001) Firewall pag. 2 aut. R. Gaeta DHCP pag. 5 aut. R. Gaeta Architettura dei Routers pag. 7 aut. R. Gaeta RETI E DINTORNI N3 (Maggio/Giugno 2001) Ip Security pag. 2 aut. G. Grassi Ip Security su Nortel Network pag. 11 aut. G. Grassi Installazione e configurazione NOKIA IP pag. 16 aut. M. Scapellato Introduzione alla progettazione pag. 24 aut. R. Gaeta RETI E DINTORNI N4 (Luglio/Agosto 2001) Information security pag. 2 aut. M. Scapellato Efficienza, errori e pacchetti pag. 9 aut. R. Gaeta

RETI E DINTORNI N 5 (Settembre 2001) Lan virtuali pag. 2 aut. R. Gaeta Internet Addressing pag. 5 aut. R. Gaeta Principi di Routing pag. 10 aut. R.Gaeta Protocolli di Routing pag. 18 aut. R. Gaeta RETI E DINTORNI N6 (Ottobre 2001) ISDN pag. 2 aut. R. Gaeta PPP pag. 27 aut. R. Gaeta Analisi di protocollo di una chiamata ISDN pag. 30 aut. R. Gaeta Voice Over IP pag. 32 aut. N. Memeo RETI E DINTORNI N7 (Novembre/Dicembre 2001) La sicurezza pag. 4 aut. R. Gaeta Configurazione iniziale dellinterfaccia E1, PRI e BRI su routers Cisco pag. 22 aut. R. Gaeta ATM pag. 25 aut. R. Gaeta RETI E DINTORNI N8 (Gennaio/Febbraio 2002) Fault-tolerance su topologie BMA (Broadcast Multi Access) pag. 4 aut. R. Gaeta Wireless lan pag. 12 aut. R. Gaeta

RETI E DINTORNI N 19

Pag. 19

RETI E DINTORNI N9 (Marzo/Aprile 2002) Routing Information Protocol pag. 3 aut. G. Grassi MultiLink Trunking over Passport 8000 pag. 5 aut. G. Grassi Affidabilit di rete pag. 7 aut. R. Gaeta Cisco AAA Security Technology pag. 13 aut. M. Scapellato La normativa italiana per la Wireless pag. 17 RETI E DINTORNI N10 (Maggio 2002) DNS (Domain Name System) pag. 4 aut. L. Natale Procedura per il recovery password su cisco 761 M pag. 9 aut. G. Grassi Caricamento IOS su piattaforme cisco pag. 10 aut. D. Trombetta Roam About Wireless Enterasys pag 14 aut. E. Lucidi Concetti di VPN pag. 16 (tratto da networkingitalia) QoS: una faccenda non ancora per tutti pag. 17 (tratto da networkingitalia) Unindirizzo per tutti pag. 20 (tratto da networkingitalia) RETI E DINTORNI N11 (Giugno/Luglio 2002) ODR (On-Demand Routing) pag. 4 aut. R. Gaeta

Cenni sullarchitettura protocollare Netware pag. 5 aut. R. Gaeta Esempio di Troubleshotting su rete Netware pag. 12 aut. R. Gaeta Telefonia IP: la parola al laboratorio pag. 19 (tratto da networkworld) RETI E DINTORNI N12 (Agosto/Settembre 2002) Introduzione al NetBEUI/NetBIOS pag. 3 (tratto da networkingitalia) Mezzi trasmissivi, normative strumentazione pag. 7 aut. R. Gaeta RETI E DINTORNI N 13 (Ottobre 2002) Multi-Protocol Label Switching pag. 3 aut. R. Gaeta Caratteristiche degli apparati Enterasys pag. 7 aut. R. Gaeta Procedure per la configurazione upgrade e ottimizzazione degli switches 6500 e 3500 pag. 11 aut. L. Natale RETI E DINTORNI N14 (Novembre 2002) Configurazione iniziale del PIX tramite il PDM pag. 3 aut. R. Gaeta Procedure di creazione vlan e vlan di management su apparati Enterasys pag. 10 aut. R. Gaeta Configurazione dellaccess point aironet 350 pag. 17 aut. R. Gaeta cisco e

Configurazione della scheda wireless airpcm352 e air-pci352 pag. 24 aut. R. Gaeta

RETI E DINTORNI N 19

Pag. 20

RETI E DINTORNI N15 (Dicembre 2002) Descrizione generale della costruzione di una web-farm a pi livelli protetti pag. 3 aut. M. Guillaume VoIP su routers cisco pag. 7 aut. L. Natale VPN pag. 10 aut. R. Gaeta RETI E DINTORNI N16 (Gennaio 2003) Standard TIA TSB-67 certificazione dei cablaggi pag. 4 aut. R. Gaeta Il lantek pro xl della wavetek pag. 6 aut. R. Gaeta

Time Domain Reflectometry (TDR) pag. 9 aut. R. Gaeta Optical Time Domain Reflectometry (OTDR) pag. 11 aut. R. Gaeta Autonegoziazione (non tutto oro ci che luccica) pag. 17 aut. R. Gaeta Wireless Bridging pag. 19 aut. R. Gaeta Server Farm pag. 26 aut. M. Scapellato RETI E DINTORNI N17 (Febbraio 2003) Failure Distributions pag. 4 aut. R. Gaeta Introduzione allarchitettura Differentiated Services pag. 13 aut. R. Gaeta

RETI E DINTORNI N18 (Marzo/Aprile 2003) Link Proof pag. 3 aut. L. Natale Intrusion Detection System pag.6 aut. M. Scapellato RETI E DINTORNI N19 (Maggio 2003) Wireless Security pag. 3 aut. R. Gaeta DWDM, la potenza della luce pag.10 aut. M. Guillaume Uso di SSL per trasmissioni sicure in Internet pag. 15 aut. R. Gaeta Procedura di aggiornamento software per Cisco Catalyst 3550 pag. 16 aut. E. lucidi FTP (File Transfer Protocol) pag. 17 aut. R. Gaeta