Sei sulla pagina 1di 29

Reti e dintorni

Maggio/Giugno 2001 N 3

IP SECURITY
Ip security uno standard dellietf per la comunicazione attraverso reti publiche. Lo standard documentato negli rfc da 2401 a 2412. Questi standard sono stati sviluppati per accertare sicurezza, comunicazione privata per gli accessi remoti, extranet, e le internet virtual private networks ( vpns). Esse sono le sicure architetture per la futura generazione ip, chiamata ip v.6 ma sono disponibili anche per lattuale versione 4 dellip. CONFIGURARE IP SEC E NAT SU UNA INTERFACCIA possibile configurare sia lip sec che il nat su di una stessa interfaccia di un router. Per quanto, il range di indirizzi configurati nelle ip sec policy filter e per il nat non possono essere sovrapposti. possibile configurare sia lip sec che il nat o da bcc o tramite il site manager. Configurando sia lip sec che il nat sulla stessa interfaccia del router, essi operano indipendentemente senza passare traffico lun laltro. Con entrambi i protocolli configurati sulla stessa interfaccia, il nat ha precedenza sullip sec. ad esempio se lindirizzo di destinazione ( destination address ) di un pacchetto entrante non riscontra nessun indirizzo publico nat configurato , il pacchetto sar allora processato dallip sec. se il pacchetto ip contiene un indirizzo che fa parte del range di una policy ip sec configurata, allora il paccheto protetto, passato oppure bloccato. Un pacchetto che non fa parte di nessuna ip sec policy sar bloccato. Un router configurato per il nat bidirezionale non supporta ip sec. SERVIZI DELLIP SEC I servizi dellip sec consistono nella : confidenzialit, integrit, e autenticazione per paccheti dati che viaggiano attraverso due gateway sicury. La confidenzialit assicura la segretezza della comunicazioni. Il servizio di integrit rileva modifiche del pacchetto dati Il servizio di autenticazione verifica lorigine di ogni pacchetto dati Confidenzialit La confidenzialit compiuta dal criptaggio ed il decriptaggio del pacchetto dati. Il protocollo Encapsuling Security Payload ( esp ) usa lalgoritmo Data Encription Standard ( des ) in modalit di concatenamento del blocchetto di cifra ( cbc ) per criptare e decriptare il pacchetto dati. La confidenzialit si regola con il cipher algorithm ed il cipher key parameter. Il cipher algorithm ed il cipher key sono specificati nella security association ( sa ). Una security association un rapporto in cui i due peer ripartiscono le necessarie informazioni per assicurare i dati protetti e non protetti. Lalgoritmo e la chiave devono essere identici in entrambi gli end point.

Integrit Lintegrit determina se i dati sono stati alterati durante il passaggio. Il protocollo ESP assicura che i dati non sono stati alterati nel passaggio fra 2 gateway sicuri. Il protocollo ESP usa le trasformazioni HMAC MD5 ( RFC 2403 ) o HMAC SHA-1 ( RFC 2404 ). Lintegrit si regola con il integrity algorithm ed il integrity key parameter. Essi devono essere identici in entrambi gli end point. Autenticazione Lautenticazione assicura che i dati siano stati trasmessi da una sorgente identificata. TECNONET S.p.A.

Servizi aggiuntivi dell ipsec Nella struttura dell ip sec sono forniti servizi di sicurezza aggiuntivi. Il servizio del controllo di accesso ( access control service ) assicura un uso autorizzato della rete, ed un servizio di verifica che traccia tutte le azioni e gli eventi. Il servizio ip sec pu essere configurato sulla base di ogni interfaccia. Su ogni ip sec interface sono supportate fino a 127 uscenti e 127 entranti policies. Funzionalit dellip sec I servizi ip sec sono impacchettati come un pacchetto ip criptato. i pacchetti assomigliano ai pacchetti ordinari ip nei nodi internet; soltanto i devices trasmettenti e riceventi sono coinvolti nel criptaggio. I pacchetti ip sec sono trasportati in internet come ordinari pacchetti ip fino ad uffici succursali , societ partner, o altre organizzazioni remote in un modo sicuro criptato e privato. Varie tecnologie esistenti forniscono il criptaggio e lautenticazione al livello applicazione. Lip sec aggiunge sicurezza al network layer, provvedendo un alto grado di sicurezza per tutte le applicazioni , incluse quelle senza nessuna propria sicurezza. Protezione dellipsec Per configurare un router con lip sec , bisogna configurare prima linterfaccia router come una interfaccia ip. Poi possibile aggiungere il software ip sec su quella interfaccia, creando un gateway sicuro. Un gateway sicuro un router inserito fra una rete sicura ( una lan aziendale ) ed una rete insicura ( internet ) che fornisce un servizio di sicurezza come lip sec. Linterfaccia router assicurata con delle policeis di sicurezza sia in entrata che in uscita che filtrano il traffico entrante ed uscente dal router. I pacchetti dati stessi sono protetti dal protocollo ip sec processando una specificata SA.

Ip sec tunnel mode Quando c un security gateway ad ogni terminazione di comunicazione , le security association fra i gateway sono comunicate in modalit tunnel. Le modalit tunnel si riferiscono ai dati che sono visibili soltanto all' inizio ed ai punti TECNONET S.p.A.

finali della comunicazione. I pacchetti ip protetti dallip sec hanno una regolare e visibile testata ip , ma il contenuto criptato e cos nascosto. Tutte le comunicazioni ip sec bayrs avvengono in modalit tunnel. La modalit tunnel ha specialmente effetto per isolare il traffico di una azienda attraverso una rete pubblica. Elementi ip sec Lip sec ha 3 importanti costruzioni : security gateway security policies security associations

nel contesto ip sec, gli host comunicano su una rete insicura attraverso gateway sicuri. Le security policies determinano come le interfacce ip sec manipolano i pacchetti dati per gli host degli end point. Le security associations applicano il servizio ip sec ai pacchetti dati che viaggiano attraverso i gateway sicuri.

Gateway sicuri Un gateway sicuro stabilisce le security association fra le interfacce router configurate con lip sec. un nortel network router diventa un gateway sicuro quando si abilita lip sec su di una interfaccia wan. In questo caso il router nortel opera come un gateway sicuro fornendo il servizio ip sec ai propri host interni ed alle sottoreti. Host e reti esterni ad un security gateway sono considerati insicuri. Host e reti interni al gateway sicuro ( nodi su lan ) sono considerati sicuri perch sono controllati e sicuramente gestiti dal medesimo amministratore di rete. TECNONET S.p.A.

Quando viene implementato il servizio ip sec su un router per creare un gateway sicuro, i propri host interni e le sottoreti possono comunicare con host esterni dove funziona direttamente o fornito da un router remoto lip sec. Security policies Quando si crea una ip sec policies si pu controllare quale pacchetto il gateway protegge, come manipola i pacchetti verso o da uno specifico indirizzo o in un particolare protocollo, e crea un log di questa azione. Ci sono 2 tipi di policies: uscenti o entranti. Una policy entrante usata per i pacchetti che arrivano ad un gateway sicuro, mentre una policy uscente usata per i pacchetti che lasciano il router. Ogni interfaccia ip sec pu supportare sino a 127 policies entranti ed uscenti. Le specifiche criteria e action usate nelle policies sono registrate in un security policy database ( SPD ). Se un pacchetto uscente o entrante non corrisponde ai criteri di nessuna policies nellSPD, il pacchetto bloccato. Lip sec scarta tutto il pacchetto in uscita a meno che non sia stata configurata una esplicita policy per escuderli o proteggerli.. Policy templates Ogni ip sec policy basata su un policy template. Un policy template una predefinita definizione di policy che si pu usare su ciascuna interfaccia ip. Il template specifica uno o pi criteri e azioni da applicare ad un pacchetto entrante o uscente. Un policy template ed ogni policy basata su di esso devo contenere al meno un criterio ( e.s. source address ) ed unazione. Un policy template o una policy possono includere 2 azioni se una delle 2 annotata ( log ). La specificazione del test di verifica determina se un pacchetto riscontra una particolare security policy, e lazione specifica come la policy applicata al pacchetto. Inbound policies Una inbound policies determina come un gateway sicuro processa i dati ricevuti da una rete non sicura. Ogni pacchetto entrante in un gateway sicuro viene comparato con i criteri per determinare se riscontra una policy ip sec configurata. Se i pacchetti entranti riscontrano una policy di baypass, il router accetta i pacchetti, e se configurato, registra il loro passaggio nel log del router. Se il pacchetto non riscontrato in nessuna policy o riscontra una policy di drop, il router rigetta il pacchetto. Se un pacchetto non riscontra alcuna policy, di base lip sec blocca il pacchetto. Le azioni di una policy entrante possono essere : drop bypass log

drop e baypass sono reciprocamente esclusive. Le azioni log possono essere aggiunte o usate da sole. Outbound policies Una policy outbound determina come un gateway sicuro per attraversare una rete non sicura. Si assegna una outbound policy per tutto il traffico unicast che lascia una interfaccia ip sec. Per una outbound policy le azioni sono : protect drop bypass log

ogni outbound policy con una azione di protezione mappata in una protect sa. Drop, protect, e baypass sono reciprocamente esclusive, lazione log pu essere aggiunta su ciascuna delle 3 azioni, o usata da sola.

TECNONET S.p.A.

Policy criteria specification Il software ip sec controlla la testata ip del pacchetto basato su uno specifico criterio per determinare se una policy si apllichi ad un pacchetto dati. Si deve includere almeno uno dei seguenti criteri , o tutti e 3 in una policy ip sec. ip source address ip destination address protocol

per specificare il criterio protocol, si deve fornire il valore numerico assegnato al protocollo per usarlo su internet. Si pu specificare solo un singolo protocollo per ogni policy. Il numero di protocollo rappresentato nel campo protocol con 1 byte nella testata del pacchetto ip. Security associations Una security associations una relazione dove due nodi comunicanti scambiano le informazioni necessarie per proteggere sicuramente dati non protetti. Una SA ip sec identificata unicamente da un ip destination address, lindice dei parametri di sicurezza (SPI), e sicuramente il contrassegno di protocollo ( ESP in modalit tunnel ). Una policy ip sec determina quale pacchetto deve essere manipolato. Una SA ip sec specifica quale servizio di sicurezza ( ad esempio : riservatezza confidentiality ) lip sec deve applicare al pacchetto. Si possono applicare uno o pi servizi di sicurezza. Le SA stesse devono essere create scambiate in una modalit sicura, ci sono due modi per realizzare ci : usando il processo di negoziazione automatica fornito dall INTERNET KEY EXCHANGE IKE PROTOCOL. Configurando manualmente i device invianti e riceventi con uno shared secret (segreto comune)

Automated security associations usando lIKE. LIKE un protocollo automatico per stabilire SA attraverso internet. ( lIKE anche riferito allInternet Security Association Key Management Protocol with Oakley Key Determination, o pi semplicemente ISAKMP/Oakley ). L IKE manipola la negoziazione, stabilizzazione, modificazione e la concellazione delle SA. Per installare queste SA, lIKE stesso deve creare una confidenziale e sicura connessione fra il trasmettente ed il ricevente. Lautenticazione eseguita con uno o pi dei seguenti: preshared key: queste sono installate avanti a tempo in ogni nodo in una transazione. Public key cryptography: usando lalgoritmo RSA public key, ogni membro della transazione autentica se stesso agli altri usando le mamber public key per criptare un valore di autenticazione. Digital signature: ogni membro della transazione invia una firma digitale algi altri. Le firme sono autenticate usando una member public key ottenuta tramite un certificato digitale X.509

Limplementazione bayrs dellIKE usa soltanto le preshared key. Manual security associations Configurare manualmente le SA un laborioso processo che usare lIKE. Se possibile, usare lIKE per per una maggior scala di pratiche e sicure comunicazioni. Configurando manualmente le SA, spesso conta su statiche e simmetriche chiavi su host comunicanti o su gateway sicuri. Come tali si deve coordinare allinterno di una organizzazione e con i partner esterni di configurare chiavi che proteggeranno le informazioni. Security associations for bidirectional traffic Una SA specifica i servizi di sicurezza che sono applicati ad un pacchetto dati che viaggia in una direzione fra i 2 gateway. Per assicurare il traffico in entrambi le direzioni, il gateway sicuro deve una protect SA per i dati trasmessi dallinterfaccia ip sec locale ed una Unprotect SA per i dati ricevutoi dallinterfaccia ip sec locale.

TECNONET S.p.A.

security associations per il traffico bidirezionale date molte circostanze, si pu configurarelIKE protocol per negoziare automaticamente le SA fra 2 gateway sicuri. Il tutto pu essere configurato anche manualmente. Modalit di negoziazione delle SA del protocollo IKE Il protocollo IKE, automatizza il processo di configurazione delle SA ipsec creando una IKE SA per la negoziazione delle protect ed unprotect SA. Ogni IKE PEER ( router ) invia informazioni di negoziazione dei parametri SA ipsec in un sicuro pacchetto IKE. I peer generano chiavi basate su parametri accordati e quindi verificano ogni identit altrui. una volta compiuto tutto ci lSA ip sec stabilito. Il protocollo IKE stesso assicurato attraverso un IKE SA creato usando lalgoritmo di Diffide-Hellman ( Oakley ) , per determinare la chiave, ed il metodo di autenticazione. Nortel Networks usa delle preshared key. Indice dei parametri di sicurezza Un security parameter index ( indice dei parametri di sicurezza ) SPI, un arbitrario ma unico valore di 32 bit ( 4 byte ) che, combinato con lip detination address ed il valore numerico del protocollo di sicurezza usato ( ESP ) , unicamente identifica lSA per il pacchetto dati. Lipsec scarta ogni pacchetto ESP in entrata se lSPI non riscontra nessuna SA allinterno del database ( SAD ). Sommarizzazione delle security policy e delle SA Le tabelle sottostanti forniscono una struttura per capire le policies e le SA ip sec. Esse forniscono esempi di come le policies e le SA dovrebbero essere implementate. In tabella 1 ogni fila definisce la definizione di policy per ogni policy definita nella prima colonna. Ad esempio, la policy blu specifica 2 criteri ip source e destination address e lazione drop. Esse dovrebbero essere usate per scartare tutto il traffico proveniente da un sito non desiderato. Le policy verde e giallo specificano una azione di protect SA. La policy gialla copre il traffico di un solo protocollo ( TCP ) per una subnet particolare, mentre la policy verde copre tutto il traffico ad un particolare address. La policy nera specifica solo i test sui protocolli e lazione di baypass. In questo caso il protocollo ICMP ( tipicamente usato per le funzioni PING ) passato attraverso il gateway sicuro senza il criptaggio dellipsec. Si possono definire i parametri SA ( automatici o manuali ) per una policy immediatamente dopo aver specificato la policy usata da essi. Tabella 1

TECNONET S.p.A.

Policy name Blu Gialla Verde Nera Tabella 2

Protocol ( tutti ) 6 ( TCP ) ( tutti ) 1 ( ICMP )

Ip source address IP address IP subnet Range degli indirizzi IP Tutti gli address

Ip dest. Address

action

IP address Drop IP subnet Protect SA Range degli indirizzi Protect SA IP Bypass

Security associations Source Destination address address IP address IP address IP address IP address

SPI

Cipher algoritmo DES DES

270 260

Lunghezza chiave 40 56

chiave Hex value Hex value

Integrity Algoritmo

Chiave

HMAC MD5 Hex value HMAC MD5 Hex value

Protocolli di sicurezza Lip sec usa 2 protocolli per fornire traffico sicuro : Encapsulating Security Payload ( ESP ) Authentication Header ( AH )

Si pu usare sia un protocollo che entrambi per proteggere i dati su una VPN. Generalmente, soltanto un protocollo necessario. Nortel Networks usa soltanto lESP. Nortel Networks non implementa il protocollo AH perch le stesse funzioni sono possibili sul protocollo ESP. Encapsulation Security Payload Il protocollo ESP fornisce riservatezza ( criptaggio ). Pu inoltre fornire integrit dati, identificazione dellorigine dei dati stessi, ed un servizio di antiripetizione. lintegrit dei dati assicura che i dati non siano stati alterati lidentificazione dellorigine dei dati valida le parti trasmittenti e riceventi il servizio di antiripetizione assicura che il ricevente possa ricevere e processare soltanto una volta ogni pacchetto Uno o pi servizi di sicurezza devono essere applicati ogni volta che lESP invocato. LESP applica i seguenti algoritmi e trasforma gli identificativi per trasportare i relativi servizi: DES ( 56 bit ) 40 bit DES ( soltanto per chiavi manuali ) triplo DES ( 3DES ) ( 3DES soltanto una opzione dellipsec ) HMAC Message Digest 5 ( MD5 ) HMAC SHA 1

Esp usa lalgoritmo DES o il triplo DES ( 3DES ) per il criptaggio. L ESP usa l Hashing Message Authentication Code Message Digest 5 ( HMAC MD5 ) o HMAC SHA 1 per trasformare gli identificativi di autenticazione. ESP usa la modalit CBC dellalgoritmo di criptaggio DES. CBC considerato il modo pi sicuro del DES. Un numero di 56 o 40 bit, conosciuto come chiave, controlla il criptaggio ed il decriptaggio. La gestione delle chiavi automatica attraverso lIKE, o pu essere controllata manualmente. Entrambi i lati di una SA devono usare lo stesso metodo di criptaggio. Normalmente si pu usare la chiave pi forte composta da 56 bit per maggiore sicurezza, oppure il triploDES se corretto. Comunque, se si st comunicando con un gateway sicuro limitato ad una chiave di 40 bit, va usata una chiave di 40 bit.

TECNONET S.p.A.

Quando la protezione ESP usata in modalit tunnel, una testata IP uscente specifica la destinazione di processo ip sec, ed una entrante specifica la ( reale ) destinazione dellobbiettivo per il pacchetto. La testata del protocollo di sicurezza appare dopo la testata ip uscente e prima della testata ip entrante. Soltanto il pacchetto nel tunnel protetto, non la testata uscente. Authentication header Il protocollo AH fornisce integrit dati, autenticazione dellorigine dei dati, e opzionalmente il servizio di antiripetizione. Esso fornisce il servizio di criptaggio solo della testata e non dellintero pacchetto IP. Il protocollo AH usa lagli identificativi di autenticazione HMAC MD5 e HMAC SHA 1. il protocollo AH non usato da Nortel Networks. Internet key exchange protocol Il protocollo IKE negozia e fornisce materiale privato e autenticato sotto chiave per le SA. Prima di fornire tutto ci il protocollo stesso deve essere autenticato , a volte bisogna creare un IKE SA fra 2 gateway sicuri ove lIKE st agendo. Il software BAYRS crea un IKE SA attraverso una preshared authentication key. LIKE crea e cambia dinamicamente lIpsec SA, con nessuna iversione di utente necessaria. Questo li rende veloci di quanto potrebbero, per maggiore sicurezza. Per negoziare una SA, i peer IKE formano una SA ( e IKE SA ) fra loro. LSA IKE protegge la negoziazione dello scambio di chiavi e dei parametri ip sec. Il protocollo IKE le chiavi dellipsec e delle SA IKE basandosi su di un criterio preconfigurato come un timeout o una percentuale di traffico espresso in byte spedito. Perfect forward secrecy Il perfect forward secrecy ( PFS ) dissocia ogni chiave delle SA ipsec dalle altre nella stessa negoziazione delle SA IKE. Per ottenere il PFS , lIKE usa lalgoritmo di Diffide-Hellman per scambiare chiavi per ogni SA. Questo significa che le chiavi dellIKE e delle SA ipsec sono automaticamente rimappate nella tratta di comunicazione fra i peer ipsec, le vecchie chiavi, se compromesse, non possono essere usate per derivare passate e future chiavi usate per altre SA. Con il PFS, se un intruso gestisce di rompere una chiave di criptaggio, ottiene accesso ad una parte limitata dei dati ( i pacchetti protetti di una singola SA ). Considerazioni di performance Le prestazioni dellip sec sono molto grandi, e lip sec pu impattare sulle prestazioni del router stesso in generale. Fattori che impattano sulle performance sono: lalgoritmo di criptaggio usato dallip sec altri protocolli e funzionalit che lavorano sullo stesso slot che usa lo stesso processore dellipsec la potenza delle elaborazioni dei router bayrs

le seguenti informazioni aiutano a pianificare e gestire le risorse di CPU nei router BAYRS che usano ipsec. Maggiore sicurezza pu inversamente impattare sulle prestazioni. Prima di progettare limplementazione ip sec, identificare il traffico dati che deve essere protetto. Una verifica ed analisi del traffico permette di ottenere un minimo impatto sulle prestazioni del router. Configurare ipsec per baypassare il traffico che non necessita di essere protetto, quindi riduce le risorse di CPU usate. Anche la quantit di risorse richieste varia significativamente per i differenti criptaggi ed algoritmi di autenticazione. Questi algoritmi sono elencati in ordine consumo crescente di CPU e sicurezza: MD5 SHA 1 DES DES con MD5 TECNONET S.p.A.

10

DES con SHA 1 3DES 3DES con MD5 3DES con SHA 1

in pi, la generazione di chiavi e la loro periodica rigenerazione eseguita dallIKE Diffie-Hellman impone una difficolt della CPU. Consideriamo che la rigenerazione delle chiavi IKE SA meno frequente dell ip sec SA. In fine, la grandezza del pacchetto influenza le performance del router. Un pacchetto di piccola grandezza , ad una data velocit dati , richiede un maggior processo di carico di un pacchetto pi grande. Si possono ottimizzare le prestazioni usando le documentazioni trattate per pianificare e gestire le risorse di cpu. Ad esempio il software bayrs ipsec su di un router BN pu riempire un tubo wan di 2 Mbit con un traffico bidirezionale di DES criptato. Al contrario il traffico 3DES + SHA 1 con una aggressiva fase 1 ( IKE ) ed il rimappaggio delle chiavi ip sec ( ad esempio ogni 10 minuti ) pu causare un significante degrado delle prestazioni sotto un pesante traffico caricato. Si possono sperimentare i timeout SNMP durante il periodo nel quale il router sta caricando picchi di carico di traffico protetto. Giorgio Grassi

TECNONET S.p.A.

11

IP SECURITY SU NORTEL NETWORK


Per abilitare lip sec. Configurare una interfaccia usando il configuration manager, poi aggiungere il servizio ip sec sullinterfaccia per creare un gateway sicuro. Quando usi il site manager per configurare lip sec. su una interfaccia per la prima volta, configura in sequenza gli articoli proposti dal men dellip sec , iniziando dal primo : Outbound policies. Devi settare una outbound policy per una interfaccia ip sec prima che tu possa collegare una security associations SA ad essa. Creazione policies Creare una inbound e outbound policy ( entrante o uscente ) per una interfaccia ip sec usando un policy template. Un policy template definizione di policy che tu crei. Puoi usare un policy template per qualsiasi interfaccia ip sec. Ogni template contiene una completa specifica della policy ( criteria, range e action ) per linterfaccia. Questo significa che ogni policy stessa completamente specificata da un template. Puoi modificare una individuale policy per adattarla alle necessit di una specifica interfaccia, indipendentemente dalle specificazioni del template. Specificazioni criteria criteria determina la porzione della testata del pacchetto ( indirizzo sorgente, indirizzo destinatario o numero di protocollo) che esaminata dallip sec. per ogni criterio, devi specificare una gamma di valori ( range ). La gamma ( range ) rappresenta il reale valore della verifica dellip sec ( gli indirizzi ip sono confrontati con gli indirizzi del pacchetto ). Specificazioni action Le specificazioni action in una policy controllano come un pacchetto, che corrisponde al range di criteria , processato. Puoi decidere come vuoi che il pacchetto sia processato ed applicare una policy per implementare le tue decisioni. Con ip sec, un pacchetto pu essere processato in uno dei seguenti tre modi: 1) il pacchetto pu essere bloccato 2) il pacchetto pu essere trasmesso o ricevuto senza alterazioni 3) il pacchetto pu essere protetto ( solo in uscita ). In questo caso una SA collegata alla policy. Oltre che elaborare un pacchetto in assenza di un processo action, la trasmissione o la ricezione di un pacchetto pu essere registrata in una log. Le azioni corrispondenti di una policy sono: 1) drop (blocca) 2) bypass (lascia passare) 3) protect (solo in uscita) 4) log ( un messaggio scritto nel log del router ) drop, bypass e protect sono azioni reciprocamente esclusive, non associabili. Puoi specificare di eseguire un log per ognuna di esse o in loro assenza. Se un pacchetto entrante non corrisponde ad una policy configurata arriva su una interfaccia ip sec bloccato. Considerazioni sulle policy Quando stai configurando una interfaccia wan con lip sec , tutto il traffico entrante ed uscente processato dall ip sec incluso il traffico prima passato. Per un traffico unicast contenente informazioni di routing o di controllo, considera di configurare policy che consentano a questo tipo di traffico di passare attraverso lip sec. Per esempio , per permettere al traffico ICMP (come ping o messaggi di destinazione irraggiungibile ) di passare attraverso lip sec, configura la prima policy per linterfaccia con il criterio protocollo settato ad 1 ( protocollo ICMP ) e seleziona lazione action bypass. Se un pacchetto corrisponde ai criteri per pi di una policy la prima in ordine usata. CREARE UNA OUTBOUND POLICY TECNONET S.p.A.

12

Per creare un template di outbound policy ed una policy eseguire: TU ESEGUI 1) nella finestra Ipsec configuration for interface , ciccare su outbound policies 2) cliccare su template 3) cliccare su create 4) digitare il nome della policy nel campo policy name 5) usare il criteria men per specificare lapplicabile range per lip source address, ip destination address e protocol criteria 6) usare laction men per aggiungere lazione che tu vuoi applicare al traffico con il criteria che hai appena definito 7) cliccare su ok 8) cliccare su done 9) cliccare su add policy 10) digita il nome della policy nel campo policy name 11) seleziona un template su cui basare questa policy 12) cliccare su ok IL SISTEMA RISPONDE Si apre la finestra ipsec outbound policies Si apre la finestra di Ipsec policy template Si apre la finestra di create ipsec template

Se la policy non include una protect action, ritorni alla finestra ipsec outbound policies

Se la policy include una protection action, si apre la finestra di dialogo choose sa type 13) nel riquadro choose sa type, cliccare o su Manual SA ti lascia scegliere da una lista di manual manual SA oppure su automated SA. protect SA o creare una nuova manual protect SA LSA automatico apre la finestra add proposal to policy. Se il range dellip source address e dellip destination address non configurato nel template la finestra di dialogo Policy Range si apre prima 14) se scegli Manual SA, guardare le istruzioni per la configurazione manuale nellappendice successiva se scegli lAutomated SA , completa la finestra add proposal to policy associando uno o pi metodi di criptaggio con una negoziata SA per un aprticolare indirizzo IP. 15) cliccare su ok

CREARE UNA POLICY ENTRANTE ( INBOUND POLICY) Il processo per creare un imbound policy virtualmente identico al processo per creare una policy outbound, con leccezione che non puoi specificare una protect action per una inbound policy. Per creare un inbound policy template ed una inbound policy, completare le seguenti istruzioni: TU ESEGUI 1) nella finestra ip sec configuration for interface cliccare su inbound policies 2) cliccare su template 3) cliccare su create 4) digitare il nome della policy nel campo policy name 5) usare il men criteria per specificare lapplicabile range per lIP source address, lIP destination address e il protocol criteria 6) usare il criteria men per aggiungere laction che IL SISTEMA RISPONDE Si apre la finestra ip sec inbound policies Si apre la finestra ip sec policy templates Si apre la finestra create ipsec template

TECNONET S.p.A.

13

tu vuoi applicare al traffico con il criteria che hai appena definito 7) cliccare su ok 8) cliccare su done 9) cliccare su add policy 10) digitare il nome della policy nel campo policy name 11) selezionare il template su cui basare questa policy 12) cliccare su ok

Torni alla finestra ip sec policy template management Torni alla finestra ip sec inbound policies Si apre la finestra create inbound policy

Ritorni alla finestra ip sec inbound policies. Se la policy include una protection action, si apre la finestra di dialogo choose SA type Ritorni alla finestra ip sec configuration for interface

13) cliccare su done

CREARE UNA SECURITY ASSCOCIATIONS La security association ti abilita a fornire una protezione bidirezionale per i pacchetti dati che viaggiano fra due router. Ogni SA stabilisce sicurezza per i dati assanti in una singola direzione. Una coppia di SA ( SA PROTECT e SA UNPROTECT) sono create, o automaticamente con lIKE o manualmente da te, per qualsiasi policy ip sec configurata su un gateway sicuro. Ogni SA include informazioni di sicurezza come gli algoritmi e le chiavi. Potresti usare la creazione automatica dellSA ( IKE ) per maggior sicurezza e per diminuire la difficolt della configurazione. CREAZIONE DI UNA SA AUTOMATICA LIKE crea le SA automatiche, basate su una configurazione proposta sul site manager. Ogni proposta specifica una trasformazione del criptaggio e / o autenticazione per lSA automatico. Tu non hai una chiave specifica per lSA automatico perch lIKE le crea dinamicamente. Puoi configurare sino a 4 proposte per una policy, in ordine di preferenza. LIKE negozier un SA automatico, basato sul primo proposto che riscontra una proposta configurata sul gateway remoto. IKE crea entrambi gli inbound e outbound SA basati sul risultato delle nogozziazioni delle proposte. CREARE UNA OUTBOUND PROTECT POLICY CON LAUTOMATED SAs ( IKE ) Per usare lIKE per creare una automated SA , completare i seguenti comandi.

1) nella finestra ip sec configuration for interface cliccare su outbound policies 2) cliccare su add policy 3) digitare il nome della policy, scegliere un template contenente una protection action e cliccare su ok 4) cliccare su Automated SA Se il node protection key non ancora stato settato si apre la finestra di dialogo node protection key prima della finestra add proposal to policy. Dai un valore NPK e clicca su ok 5) dal pfs men scegli enabled o disabled per regolare il perfect forward secrecy 6) dal men anti replay window size, scegliere disabled o la grandezza del pacchetto 7) cliccare su add per specificare il SA destination address e una preshared key per lIKE SA. 8) immetti lindirizzo ip e la preshared key, e clicca su done alla finestra add proposal to policy 9) cliccare su new proposal per creare un tipo di

Si apre la finestra ip sec outbound policeis Si apre la finestra create outbound policies Se la policy include una protection action si apre la finestra di dialogo choose SA type. Si apre la finestra add proposal to policy

La finestra add IKE Sadestination window viene aperta

La finestra edit ip sec proposal si apre

TECNONET S.p.A.

14

criptaggio proposto che lIKE user nella negoziazione dellSA key con il SA destination node 10) Digita un proposal name, scegli uno o pi metodi di criptaggio per il proposal, scegli un expiry time ( tempo di scadenza ) e cambia il valore di expirity se necessario 11) Cliccare su done Ritorni alla finestra edit ip sec proposal. Ripetere i passaggi 6 e 7 per creare aggiuntivi proposal, se necessario. 12) nella finestra edit ip proposal scegli l SA destination che hai creato e quindi scegli uno dei 4 proposal ( in ordine di priorit ) dal proposal men. 13) cliccare su ok Ritorni alla finestra ip sec outbound policies 14) cliccare su done Ritorni nella finestra ip sec ocnfiguration for interface

CREAZIONE MANUALE DELL SA, CONSIDERAZIONI Per protegger ( criptaggio o autenticazione ) i pacchetti che lasciano linterfaccia ip sec locale, creare un protect SA e connetterlo ad una protect outbound policy. Per decriptare o autenticare un pacchetto entrante allinterfaccia ip sec locale, creare un unprotect SA. ( lunprotect SA non deve essere collegata ad una policy ). Quindi, fai lo stesso per linterfaccia ip sec sul router remoto. La cifra ( cipher ) e lalgoritmo di integrit e la chiave che tu specifichi nel SA deve essere identica in entrambe le parti finali della connessione, end to end. Devi selezionare la cifra, il servizio dintegrit, o entrambi entro i parametri della protect e della unprotect SA. Ad esempio la chiave cifra in una protect SA su uninterfaccia ip locale deve corrispondere la chiave cifra nell unprotect SA sullintrfaccia del router remoto. Nota: devi configurare manualmente SA per encriptare o autenticare o entrambi. Il site manager non ti consente di creare un SA se entrambi, cipher algorithm e lintegrity algorithm sono settati su none. CREAZIONE MANUALE DEL PROTECT SA Per creare una protect SA manualmente completare i seguenti comandi: TU ESEGUI IL SISTEMA RISPONDE 1) nella finestra ip sec configuration cliccare su Si apre la protect SA list for interface manual protect SA 2) cliccare su add Si apre la finestra ip sec manual protect SA dove i parametri della finestra protect SA list for interface diventano attivi 3) settare i seguenti parametri: SA source ip address SA destination ip address security parameter index cipher algorithm cipher key lenght cipher key integrity algorithm integrity key Posizionare il cursore in un campo e cliccare su values per mostrare il men delle opzioni valide, se applicabile. Cliccare su ok Ritorni alla finestra protect SA list for interface 5) ripetere i passi dal 2 al 4 per creare protect SA Ritorni alla finestra ip sec configuration for aggiuntive, se necessario. Cliccare su done quando interface. hai finito

TECNONET S.p.A.

15

CREAZIONE DI UNA UNPROTECT SA MANUALE Per creare ununprotect SA manualmente completare i seguenti passaggi: TU ESEGUI IL SISTEMA RISPONDE 1) Nella finestra ip sec configuration for interface La finestra unprotect SA list for interface si apre cliccare su manual unprotect SA 2) cliccare su add Si pare la finestra ip sec manual unprotect SA, dove i parametri della finestra unprotect SA list for interface diventano attivi 3) settare i seguenti parametri: SA source ip address SA destination ip address security parameter index cipher algorithm cipher key lenght cipher key integrity algorithm integrity key Posizionare il cursore in un campo e cliccare su values per mostrare il men delle opzioni valide, se applicabile. Cliccare su ok Ritorni alla finestra unprotect SA list for interface 5) ripetere i passi dal 2 al 4 per creare unprotect SA Ritorni alla finestra ip sec configuration for aggiuntive, se necessario. Cliccare su done quando interface. hai finito

Giorgio Grassi

TECNONET S.p.A.

16

Installazione e Configurazione NOKIA IP


Caratteristiche Software
Sistema Operativo (IPSO) I firewalls Nokia hanno un sistema operativo di tipo Unix ridotto al minimo (FreeBSD). IPSO stato personalizzato per supportare il processo di routing Nokia e le funzionalit di Check Point's FireWall-1. Ipsilon Routing Daemon (IPSRD) IPSRD il software di Nokia per il routing. Le politiche di routing implementate risiedono in un database. Con Voyager vengono configurati il software di routing e il database. Check Point FireWall-1 - FireWall-1 consiste di due componenti principali: (1) il modulo di Firewall che gira sul Nokia firewall e controlla le politiche di sicurezza, e (2) il modulo di Gestione che o gira sul Nokia firewall o su una workstation. Il Modulo di Gestione serve per definire e mantenere le politiche di sicurezza. Voyager Voyager comunica col software di routing per configurare interfacce ed protocolli di routing, modifica le politiche per il firewall ed esamina il traffico di rete e le performance dei protocolli. Voyager stesso gira su una macchina remota come applicazione client del Nokia routing software.

Sugli apparati Nokia il processo di routing strettamente correlato a quello di firewall, infatti se si blocca il secondo anche il primo, per sicurezza, viene fermato. Se si fermasse il processo firewall e rimanesse in piedi quello di routing la rete rimarrebbe non protetta.

Configurazioni
Sistema distribuito con un modulo di gestione sul Nokia Management Firewall

User Interface Firewall

Sistema distribuito con il modulo di gestione su una workstation

Firewall

Firewall

Management User Interface

TECNONET S.p.A.

17

Sistema distribuito con due moduli di gestione sui Nokia o sulle workstation Mng Master Firewall Firewall Mng Master User Interface

User Interface Mng Backup Firewall Firewall Mng Backup User Interface Attenzione, i due moduli di management devono essere sincronizzati manualmente; nellattuale versione ancora non supportata questa funzionalit. Il problema principale legato al fatto che posso avere anche policy diverse sui due management ma gli oggetti definiti nei database devono essere identici..

System-Startup
La prima volta che la NAP (Network Application Platform) viene accesa, parte la procedura di system-startup. Usando questa procedura possibile assegnare alla macchina un hostname, la password per lutente admin e quindi configurare uninterfaccia per configurare da remoto la NAP. I firewall Nokia sono configurabili sia da console, tramite un browser testuale (VT100 based Lynx), oppure da remoto con un browser grafico (web-based Voyager). Sar sempre la procedura di startup a chiedere se continuare la configurazione con il Lynx o con il Voyager. Chiaramente il primo, quello testuale, va utilizzato dalla porta seriale mentre il secondo deve essere utilizzato dalla porta Ethernet configurata. Infatti nel caso del Voyager verr chiesto di configurare una porta in modo che la macchina sia raggiungibile. IPSO ha un processo web-server (Apache) che permette allutente di accedere alla configurazione via browser (http://<Indirizzo IP>).

Configurare le interfacce (Config

Interfaces)

Voyager visualizza gli apparati di rete come interfacce fisiche. Ogni interfaccia fisica corrisponde ad una porta fisica su una scheda di interfaccia di rete (Nic) installata nell'unit. I nomi delle interfacce fisiche hanno la forma: <type>s<slot>p<port> dove type un prefisso che indica il tipo di porta, (Ethernet eth, FDDI fddi, ATM atm, Serial/T1/HSSI ser, Token Ring tok). Per esempio, una Ethernet NIC con due porte nello slot 2 si presenta con due interface fisiche: eth-s2p1 e eths2p2. Con Voyager possibile configurare gli attributi delle interfacce. Per esempio, la velocit e la modalit duplex di uninterfaccia Ethernet. Ogni porta ha esattamente un'interfaccia fisica.

Configurare uninterfaccia Ethernet


Di uninterfaccia Ethernet possibile configurare, cliccando sul nome fisico, la velocit (10/100) e la modalit (half/full), cliccando sullinterfaccia logica, il nome logico, lindirizzo IP e la relativa subnet mask. Le interfacce non hanno auto-negotiation, devono essere configurate manualmente.

ARP Table (Config

ARP)

In questa sezione possibile configurare la tabella ARP, quindi eliminare o aggiungere delle righe in modo dinamico o permanente.

Configurare i protocolli di routing (Config OSPF

Routing Configuration)

Il Router ID la definizione del processo di routing (deve essere unico per ogni macchina) la cosa ideale assegnargli lindirizzo IP della macchina stessa.

TECNONET S.p.A.

18

possibile configurare anche delle nuove aree alle quali linterfaccia, sulla quale si sta configurando il protocollo, deve appartenere (larea 0.0.0.0 definita come backbone area). Le aree possono essere definite anche come Stub o Totally Stub. NOTA: Una Stub Area unarea che ha una sola strada per raggiungere larea di backbone. I principali parametri da configurare per ogni interfaccia sono: Hello Interval intervallo di tempo per interrogare linterfaccia sullo stato (Up/Down). Per default 1 secondo. Dead Interval intervallo di tempo per il calcolo di un nuovo instradamento. Per default 4 secondi. OSPF Cost peso dellinterfaccia nel calcolo dellinstradamento migliore. Election Priority priorit dellinterfaccia. Il valore deve essere compreso tra 0 e 255. Questi parametri devono essere identici in tutto il protocollo allinterno della rete.

RIP
Questo protocollo di routing il pi semplice da configurare, infatti sono pochi i parametri da settare: Version la versione del protocollo (Rip1/Rip2). RIP Interfaces le interfacce sulle quali deve girare il protocollo RIP Metric costo da assegnare ad uninterfaccia Accept Updates possibile configurare se si vogliono ricevere aggiornamenti da altri apparati che utilizzano il protocollo RIP Transport per il RIP2 pu essere specificato se il protocollo deve viaggiare in broadcast o in multicast possibile configurare anche la frequenza con la quale sono spediti gli aggiornamenti cos come quando percorsi di routing sono scaduti. Particolare cura dovrebbe essere usata mettendo questi parametri visto che il RIP non ha nessun meccanismo per scoprire configurazioni errate.

Route statiche
Le statiche sono percorsi di routing configurati manualmente sulla routing table. Non cambiano e non sono dinamici. Il routing statico permette di aggiungere percorsi verso destinazioni che non sono conosciute da protocolli dinamici. I parametri da configurare sono: Destination Next hop Type o Normal - usato per pacchetti diretti ad una destinazione determinata nella direzione indicata dal router configurato o Reject - usa lindirizzo di loopback come il salto successivo. Questa route scarta i pacchetti che uguagliano la route per una destinazione determinata e invia un ICMP al mittente del pacchetto (destinazione irraggiungibile). o Black hole - usa lindirizzo di loopback come il salto successivo. Questa statica scarta pacchetti che sono uguali al percorso per una destinazione determinata. Per configurare il Default Router bisogna abilitare la route statica Default e inserire come destination il Gateway.

Configurare i servizi di routing (Config VRRP

Routing Services)

Il protocollo Virtual Redundant Router offre la possibilit di recuperare una caduta di interfacce passando il traffico da un router ad un altro. Per fare il backup di un router usando il VRRP deve essere creato un router virtuale che consiste di un ID unico e un indirizzo IP. I firewall Nokia possono essere configurati sia con il protocollo standard VRRP che con il protocollo Monitored Circuit (consigliato da Nokia per lalta affidabilit). I parametri da settare sono: Virtual Router Identificativo del processo VRRP, deve essere sia per linterfacce master che per quella backup Priority priorit assegnata alle interfacce (ad esempio master 100 e backup 50) in modo da preferirne una pi che unaltra Hello Interval tipicamente 1 per motivi di performance, lintervallo di tempo tra gli avvisi VRRP Backup Address lindirizzo del router virtuale. Priority Delta deve essere maggiore della differenza tra la priorit dellinterfaccia master e quella di backup. il valore da sottrarre alla priorit dellinterfaccia master in modo che questa abbia un valore inferiore a quella di backup. Con il Monitored Circuit c la possibilit di monitorare lo stato di tutte le interfacce, il firewall quindi configurabile con due modalit:

TECNONET S.p.A.

19

Hot Stand-by Tutte le interface di un apparato sono configurate come master, mentre quelle degli altri apparati sono
configurate come backup. Se cade uninterfaccia della macchina master, automaticamente le interfacce della macchina backup con priorit maggiore diventano master. Il vantaggio di avere una configurazione pi semplice e un recupero in caso di caduta pi rapido. Lo svantaggio quello di avere una macchina che lavora e una in attesa. Devono essere configurate le monitor interface, in modo che uninterfaccia monitorizzi tutte le altre. Load Sharing Il traffico viene redistribuito in maniera statica, una macchina pu avere interfacce sia master che backup. In caso di caduta di uninterfaccia master, quella backup diventa master scambiandosi i ruoli. Il vantaggio quello di avere due macchine che si smistano il traffico. Lo svantaggio quello di avere un recupero pi lento perch bisogna attendere che il protocollo di routing calcoli di nuovo linstradamento. VRRPv.2 Back up delle interfacce del router Risponde al protocollo ICMP quando master Richiede i protocolli di routine per il ricovery da una singola interfaccia Non tiene traccia se le interfacce sono up o down Monitored Circuit Back up degli indirizzi IP virtuali Non risponde alle richieste ICMP Non richiede ulteriori protocolli di routine Tiene traccia se le interfacce sono up o down Di seguito un esempio di una configurazione del protocollo VRRP standard sullinterfaccia eth-s3p1c0 di due diverse macchine; la prima interfaccia configurata come master (10.49.62.1) e la seconda in backup (10.49.62.2)

TECNONET S.p.A.

20

NTP
NTP il protocollo che permette di sincronizzare il clock degli apparati interrogando un server. Questo ideale per applicazioni distribuite che richiedono sincronizzazione dellora, come Check Point FireWall-1 Sync, o lanalisi del log degli eventi da una macchina remota. Sul firewall master deve essere configurata lora (Config System Configuration Local Time Setup) e abilitato il protocollo NTP con funzione da server, sui firewall client oltre ad abilitare il protocollo bisogna specificare il firewall master a cui far riferimento. Configurare SSL (Secure Socket Layer) Per configurare il protocollo SSL in modo che i firewall dialoghino in un protocollo criptato sufficiente generare la chiave (dicendo al Nokia di essere CA di se stesso) e configurare il Voyager in modo da fargli utilizzare questo protocollo. Per generare una chiave (Config Security and Access Notification Certificate Tool) e per applicarla al Voyager (Config Security and Access Notification Voyager Web Access). Per collegarsi (https://<Indirizzo IP>).

TECNONET S.p.A.

21

Configuration
INTERFACES ARP ROUTING CONFIGURATION OSPF RIP IGMP PIM DVMRP Static Routes Route Aggregation Inbound Route Filters (esclusione di subnet dalla redistribuzione dei protocolli di routing) Route Redistribution (redistribuzione delle route dei protocolli di routing) Routing Options (pesi dei protocolli di routing sulla macchina e trace dei protocolli il file di trace viene salvato in /var/log/ipsrd.log) TRAFFIC MANAGEMENT Access List Configuration (per ogni interfaccia possono essere assegnate delle politiche di bandwith) Aggregation Class Configuration Queue Class Configuration Dial on Demand Routing Configuration ROUTER SERVICES BOOTP Relay (BOOTP/DHCP) IP Broadcast Helper Router Discovery VRRP NTP SYSTEM CONFIGURATION DNS (viene utilizzato in caso di applicazioni web) Mail Relay (configurazione dellindirizzo a cui mandare la posta inviata ad admin) System Failure Notification (abilita linvio di e-mail ad admin in caso di failure) Local Time Setup (ora e data) Host Address Assignment (associazione hostname-indirizzo IP per la licenza di Check Point, di solito viene utilizzato lindirizzo verso i router esterni) System Logging (configurazione della workstation a cui inviare i syslog) Change Hostname Manage Configuration Sets Configuration Backup and Restore (backup della configurazione e dei pacchetti installati, il file viene salvato in /var/backup) Manage IPSO Images Manage Installed Packages SECURITY AND ACCESS CONFIGURATION Users (gli utenti creati per default sono due: admin ReadWrite e monitor ReadOnly) Groups Network Access and Services (abilitare FTP server, TELNET e permessi per admin) Voyager Web Access (setta il Voyager per utilizzare il protocollo SSL) Certificate Tool (genera una chiave per il dialogo in SSL) Check Point Firewall-1 SNMP REBOOT, SHUT DOWN SYSTEM

TECNONET S.p.A.

22

Aggiornare il Sistema Operativo Dalla console del firewall digitare il comando newimage i, possibile aggiornare il sistema operativo esistente oppure installarne un altro in modo da averne due versioni diverse. Il caricamento del software pu essere eseguito da CD-ROM, da un file locale (/var/admin) o da FTP Server. Se si installato un nuovo pacchetto, questo deve essere selezionato (Config System Configuration Manage IPSO Images). Per installare IPSO ex-novo, bisogna seguire i seguenti passi: fermare il boot loader (durante il boot fermare lesecuzione premendo un tasto) digitare il comando reboot il boot deve essere fatto da floppy e il sistema operativo deve essere installato da CD-ROM nel caso che il firewall non abbia in CD-ROM (IP650) dopo aver fermato il boot loader bisogna eseguire i seguenti passi: digitare il comando install configurare uninterfaccia configurare un FTP Server il sistema operativo deve essere installato tramite FTP Installare sempre i protocolli IGRP e BGP, serve poi una chiave per attivarli, ma se non vengono installati bisogna eseguire da capo la procedura di installazione per aggiungerli.

Registrazione sul sito Nokia


La registrazione deve essere fatta sul sito http://support.nokia.com e da diritto ad una login (userID e password) per il download del software e le Knoledge Base. Aggiornare i pacchetti software Dalla console del firewall digitare il comando newpkg i, come per il sistema operativo possibile aggiornare il pacchetto esistente oppure installarne un altro in modo da averne due versioni diverse. Il caricamento pu essere eseguito da CD-ROM, da un file locale o da FTP Server. Il nuovo software sar salvato nella directory /opt.

Registrazione sul sito Check Point


La registrazione deve essere fatta sul sito http://license.checkpoint.com, vanno inseriti il certificate key rilasciato da Check Point e lindirizzo IP a cui agganciare la licenza. Dal sito verr visualizzata la procedura per la registrazione del processo Firewall-1 che gira sui Nokia. Da console copiare il comando: fw putlic <IP address> <licenza>

Directory
/var/crash contiene i coredump in caso di crash della macchina /var/fw contiene i log del firewall /var/log contiene i log del sistema operativo /config contiene I files di configurazione, active la configurazione attiva sulla macchina /opt contiene i pacchetti software installati Comandi NOKIA ipsofwd on/off admin (abilita/disabilita il routing tra le interfacce) newimage i (aggiornamento del sistema operativo) newpkg i (aggiornamento dei pacchetti software) voyager (controlla se il server web abilitato) cpconfig (installa Check Point in modalit Stand-Alone o Distributed) fw putlic <IP address> <licenza> (inserisce la licenza Check Point) fw putkey <IP address> (scambia con lindirizzo IP la chiave) fw fetch <IP address> (scarica le policy dalla management, controllo sullo scambio di chiavi) fwstart/fwstop (start e stop del processo firewall) fw stat <IP address> (controlla se le interfacce si autenticano) fw unload all.all (elimina le policy installate sul firewall) Comandi UNIX ls (mostra il contenuto della directory) pwd (mostra la directory corrente) tail f <file> (mostra la fine del file) more <file> (mostra il file pagina per pagina) ping TECNONET S.p.A.

23

traceroute printenv (mostra le variabili di ambiente) showalias (mostra gli alias sulla macchina) sysinfo (mostra le informazioni del sistema) tcpdump -i <interfaccia> proto <protocollo> (sniffer del protocollo sullinterfaccia) passwd (modifica la password) Passi per linstallazione di Check Point Firewall-1 Il Firewall-1 consiste di due moduli primari: 1. Il Module Management 2. Il Firewall o Inspection Module (Gateway/Server Module) A sua volta il Module Management diviso in due moduli: 1. Il Control Module (Enterprise Management) 2. Il Graphical User Interface (GUI) Module Dopo aver configurato il router Nokia seguire i seguenti passi per installare Firewall-1 Accertarsi di aver legato la licenza ad un indirizzo IP configurato su uninterfaccia Da console digitare il comando cpconfig Scegliere se si sta installando Check Point in modalit Stand-Alone o Distribuited Aggiungere la Secret Key (password per lo scambio delle informazioni, deve essere la stessa della management console) Registrazione della licenza sul sito Check Point Alla fine dellinstallazione aggiungere la licenza fw putlic <IP address> <licenza> Sincronizzare i firewall o Fermare il processo firewall fwstop o cd $FWDIR/conf o creare un file sync.conf inserendo lindirizzo del firewall con il quale si deve sincronizzare o Far ripartire il processo firewall fwstart o controllare se i due apparati si autenticano: fw stat <IP address> fw putkey <IP address> Attivare Firewall-1 allo startup della macchina Marco Scapellato

TECNONET S.p.A.

24

essere realizzata in modo caratteristiche fondamentali: Prestazioni elevate Ridondanza elevata

da

presentare

due

Proprio per tali ragioni gli switch utilizzati nellarea centrale sono i pi costosi. La piena ridondanza viene garantita da caratteristiche quali la ridondanza di alimentazione N+1, dallelaborazione distribuita e dallassenza, nellarchitettura dello switch di singoli punti di possibile guasto. Unultima caratteristica richiesta per gli switch di dorsale, che la sua architettura sia espandibile.

Aree periferiche

Introduzione alla progettazione


La progettazione di una rete pu essere considerata una forma darte in quanto combina conoscenze relative alla valutazione e alla scelta delle tecnologie di rete, conoscenze relative al funzionamento delle tecnologie, dei servizi e dei protocolli e un certo grado di esperienza pratica sul funzionamento di tali sistemi. Un tempo, la progettazione di una rete si basava su una serie di regole generali tipo la regola dell80/20 o la regola bridge quando possibile e router se necessario. Queste regole hanno funzionato piuttosto bene quando non vi erano troppe scelte nel campo delle tecnologie, delle strategie di interconnessione, dei protocolli. Lanalisi e la progettazione di una rete richiedono anche compromessi. I compromessi ad esempio fra costi e prestazioni o fra semplicit e funzionalit. I compromessi si presentano ovunque nel processo di analisi e la maggior parte dei progetti di reti si preoccupa di riconoscere questi compromessi, in base ai quali ottimizzare il progetto. Il primo principio fondamentale da tenere presente per la progettazione di una rete quello del concetto di area; alla base di questo concetto sta il fatto che non tutti gli switch vengono creati in modo uguale. Come regola progettuale base, la rete dovrebbe essere vista come una suddivisione in tre macroaree: Larea centrale Larea periferica Larea delle risorse centralizzate

Alle aree periferiche destinato il maggior numero di porte, e poich le necessit degli utenti saranno, nella maggior parte delle reti, variabili, per una corretta progettazione di una Lan si dovranno prendere in considerazione molte opzioni.

Area delle risorse condivise


E larea che garantisce la connettivit alle risorse centralizzate di rete (server, router, firewall, mainframe, ecc.). Questarea richiede: Alta capacit di banda Affidabilit estremamente elevata Possibilit di analisi del traffico

Caratteristiche comuni a tutti gli switch di una rete flat


Tutti gli switch di una rete Lan flat devono poter memorizzare nella tabella degli indirizzi MAC un numero di entry superiore al numero di utenti effettivamente presenti in rete.

Parametri importanti per la progettazione


MTBF (Mean Time Between Failure): ogni apparato prima o poi si guasta, e i costruttori forniscono per ogni oggetto elettronico quando in media si avr il primo guasto. Questo valore dato dal MTBF e normalmente sono valori stimati. Notiamo che fornire soltanto il valore medio statisticamente poco significativo. Insieme al valore medio i costruttori dovrebbero fornire anche la deviazione standard. In parole povere supponiamo di avere un apparato con MTBF di 4000 ore, e di aver comprato 12 di questi apparati. Per ottenere lo stesso valore di MTBF la distribuzione dei guasti nel tempo pu essere molteplice. Per esempio per ottenere un valore di MTBF di 4000 ore sono equivalenti i due comportamenti:

Ciascuna di queste tre aree gioca un ruolo specifico nel funzionamento della rete e definisce alcune caratteristiche per gli switch che dovranno essere utilizzati nei vari ruoli.

Area centrale
E larea pi critica in quanto il punto di aggregazione di quasi tutto il traffico circolante. Deve

TECNONET S.p.A.

25

I 12 apparati si guastano tutti dopo 6 mesi MTBF = 4000 ore Dei 12 apparati il primo si guasta dopo un mese, il secondo dopo due mesi.. il 12 dopo 12 mesi MTBF = 4000 ore

Esempio: ad un cliente stato venduto uno switch che ha un MTBF di 20.000 ore. Si vuole stipulare un contratto di manutenzione per fare in modo che il sistema sia ad alta affidabilit. Qual il valore di MTTR necessario? Qualsiasi valore di MTTR minore o uguale a 2 ore. Eevidente che stipulare un contratto di manutenzione significa anche mantenere un magazzino scorte. Nasce il problema di ottimizzare la quantit di moduli, alimentatori, schede e apparati da tenere in magazzino.

Come vedete la distribuzione dei guasti molto differente, e soltanto il valore della deviazione standard pu far vedere la differenza. I costruttori dovrebbero fornire per il primo caso un MTBF: MTBF: 4000 500 ore

Scorte di magazzino
Per il secondo caso un MTBF: MTBF: 4000 3000 ore Per ottenere una stima verosimile delle scorte di magazzino si deve per forza conoscere la deviazione standard oltre al valore dellMTBF. Dato che i costruttori non forniscono questo dato facciamo lipotesi verosimile che la deviazione standard sia sempre uguale a: = MTBF / 3 Ora ci che vogliamo sapere la risposta alla seguente domanda: La Tecnonet vende N apparati con un certo MTBF. Quando con probabilit maggiore/uguale del 50% almeno uno di questi N apparati si guaster?

Purtroppo i costruttori quando forniscono alcuni dati sono completamente fuori da ogni deontologia scientifica. Per unapparato modulare, ogni modulo avr il proprio MTBF. Quale sar il valore di MTBF dellapparato nel suo complesso ? In questo caso per semplicit il valore da prendere in considerazione lMTBF minore fra tutti gli MTBF dei moduli. Esempio: abbiamo un apparato composto da uno chassis (MTBF = 10.000 ore), due moduli Gigabit (MTBF = 7.000 ore), 5 moduli fastethernet (MTBF = 6.000 ore) e un alimentatore (MTBF = 4000 ore). Dunque lapparato nel suo complesso avr un MTBF di 4000 ore. MTTR (Mean Time To Repair) : questo valore fornisce un stima della durata media dei periodi di fermo macchina. Il valore MTTR particolarmente importante in quanto pu essere in relazione con il tempo di riparazione o di risposta offerti da un contratto di manutenzione. La combinazione fra MTBF e MTTR stabilisce anche la durata e la frequenza dei periodi di fermo macchina. Si definisce la disponibilit in percentuale D come: D = [1 (MTTR / MTBF)] 100 Le stime di soglia generale sono: Sistemi in prova o prototipi: D < 95% Bassa affidabilit: 95% < D < 99,99% Alta affidabilit: D > 99,99%

Per rispondere a questa domanda si pu utilizzare il seguente grafico. Apparati con MTBF = 10000 ore

Esempio: ad un cliente stato venduto uno switch che ha un MTBF di 8000 ore e si stipulato un contratto di manutenzione con un MTTR di 4 ore. Qual la disponibilit percentuale? Si ottiene D = 99,95% dunque un sistema a bassa affidabilit.

Nel grafico abbiamo sullasse x il numero N di apparati venduti e sullasse y le ore che devono passare dalla vendita perch almeno uno degli N apparati si guasti con una probabilit maggiore del 50%. Per esempio se abbiamo venduto 20 apparati con MTBF = 10000 ore (circa un anno), ci aspettiamo con probabilit del 50% che dopo circa 4000 ore (circa 6 mesi) almeno uno di questi 20 apparati si guaster.

TECNONET S.p.A.

26

Lo stesso grafico pu essere usato per apparati con MTBF diverso da 10000. Supponiamo di aver venduto 50 apparati con MTBF = 200.000 ore. Si proceda in questo modo si divida 200.000 con 10.000. il risultato 20. Ora si trovi sul grafico precedente a quante ore corrispondono 50 apparati. Si trova circa 2700 ore. Ora si

moltiplichi per 20 e si ottiene il risultato cercato. 54000 ore. Per le scorte di magazzino si pu pensare di acquistare unapparato di scorta soltanto dopo che la probabilit che almeno un apparato venduto si guasti sia superiore al 50%.

Topologie di rete
Gli standard di cablaggio strutturato (ISO/IEC 11801, EIA/TIA 568A) prevedono che una rete sia conforme ad una topologia stellare gerarchica. Quindi la maggior parte delle topologie utilizzate sono di questo tipo. Ci non significa che in alcuni casi si possano utilizzare altre topologie. E difficile trovare in letteratura una dettagliata schematizzazione delle varie possibilit. E quello che proviamo a fare in seguito:

TOPOLOGIA A1 Propriet
Domini di Broadcast: 1 Domini di collisione: 1 Limiti progettuali: La trasmissione dati fra un PC e un altro PC pu attraversare al massimo 4 HUB; Si possono al massimo avere 1024 PC (limite della Shared Ethernet); Non possibile utilizzare nessun tipo di ridondanza ad eccezione dellalimentazione elettrica degli hub; Velocit uguale per tutti gli Host (PC e Server) normalmente 10Mb/s (reti con Hub a 100Mb/s sono poco diffuse); Utilizzazione media massima utilizzabile in percentuale 40% Altre caratteristiche: Normalmente lHub di centro stella e un Hub Stackable. Deve avere un MTBF maggiore rispetto agli apparati di piano; Topologia obsoleta e quindi non proponibile ma ancora molto diffusa (sono clienti potenziali in quanto pronti attualmente a una completa ristrutturazione della rete)

TOPOLOGIA A2 Propriet
Domini di Broadcast: Uguale al numero di Vlan configurate sullo switch Domini di collisione: Al massimo uguale al numero totale di porte presenti sullo switch Limiti progettuali: Tutti i PC di piano e i Server in questa topologia si connettono direttamente allunico apparato attivo; Topologia ammissibile per edifici con al massimo un centinaio di PC, pochi piani e distanze di cablaggio fra i PC e il centro stella m inori di 100 metri; Una qualsiasi interruzione dello Switch centrale blocca completamente lintera rete; Lo Switch deve avere ridondanza completa dellalimentazione e dei moduli di controllo in pi i server possono avere schede di rete ridondate; Altre caratteristiche: Lo Switch deve essere modulare con MTBF maggiore di 60.000 ore e con possibilit di routing fra Vlan; E consigliabile porre la velocit delle porte dove si collegano i PC tutte a 10Mb/s Full Duplex e le porte dove si collegano i server a 100Mb/s Full Duplex;

TECNONET S.p.A.

27

TOPOLOGIA A3 Propriet
Domini di Broadcast: Uguale al numero di Vlan configurate sullo switch Domini di collisione: Al massimo uguale al numero totale di porte presenti sullo switch Questa topologia pu essere proposta nel caso di clienti con budget limitato che hanno una rete di topologia A1 che ha raggiunto i suoi limiti di utilizzo. In questa topologia si riutilizzano gli Hub della vecchia rete presenti sui piani e viene sostituito soltanto lHub di centro stella. Ricordiamo che ad ogni porta dello switch pu essere collegata unintera shared ethernet (topoloagia A1). Nonostante questa topologia sia pi che soddisfacente per molti clienti, i clienti stessi normalmente non la prendono in considerazione, in quanto tendono a sostituire tutti gli Hub presenti sulla rete preesistente con degli switch.

TOPOLOGIA A4 Propriet
Domini di Broadcast: Uguale al numero di Vlan configurate sugli switch Domini di collisione: Al massimo uguale al numero totale di porte presenti sugli switch Utilizzando anche switch nei piani possiamo utilizzare tecniche di raggruppamento dei canali nei collegamenti verticali verso lo switch centrale. Ricordiamo che queste tecniche sono proprietarie, Cisco utilizza lEtherchannel, Enterasys usa lo SmartTrunk, ecc. Ci comunque permette un aumento della velocit del flusso dati sui collegamenti verticali, e una ridondanza di collegamento. Nonostante tutto il livello di ridondanza della rete nel suo complesso ancora bassa. Il livello di ridondanza raggiunge buoni livelli se lo switch di centro stella possiede doppio alimentatore e doppia scheda supervisor.

TOPOLOGIA A5 Propriet
Domini di Broadcast: Uguale al numero di Vlan configurate sugli switch Domini di collisione: Al massimo uguale al numero totale di porte presenti sugli switch Questa topologia ha le seguenti caratteristiche: Ridondanza dei collegamenti tra switch di piano e switch di core tramite raggruppamento dei canali Ridondanza dovuta a collegamento tra i due switch di core e il collegamento di ogni switch di piano ad ambedue gli switch di core e conseguente abilitazione dello spanning tree su tutti gli switch interessati I server sono connessi non direttamente agli switch di core ma ad un ulteriore switch con collegamento ridondante verso il core Inoltre a livello layer 3 possono essere abilitati i protocolli VRRP (o HSRP se sono Cisco) per la ridondanza del router virtuale fra Vlan Limitazioni: lo spanning tree converge in un tempo di circa 50 secondi e in caso di porte degli switch interessati al processo di spanning tree che presentino situazioni di link intermittente pu portare a situazioni di blocco della rete (nonostante tutto!)(caso effettivamente successo in AGI). Questa topologia lavora bene fino ad un massimo di 2000 utenti, e per precauzione fino ad un massimo di 10 switch di piano.

TECNONET S.p.A.

28

TOPOLOGIA A6
Se non sono necessari domini di broadcast (VLAN) che attraversino il centro stella, e se anche gli Switch di piano hanno funzionalit di Layer 3, allora si pu pensare di eliminare completamente lutilizzo del protocollo spanning tree. In questo caso ogni collegamento fra switch corrisponde a una network logica distinta dalle altre. Labilitazione di protocolli di routing come EIGRP, OSPF, oppure semplicemente delle routes statiche, permette di ottenere ridondanza e load balancing. Si pu migliorare ulteriormente, laffidabilit implementando il VRRP (o HSRP) nei due switch di core.

Topologie per la connessione delle reti a Internet tramite Firewalls


Attualmente per il collegamento delle reti aziendali a Internet indispensabile lutilizzo dei Firewalls. I Firewalls sono un punto critico della rete soprattutto quando lazienda fornisce servizi tipo www su internet. Le seguenti topologie illustrano le varie topologie possibili per lutilizzo dei firewalls:
TOPOLOGIA F1
E la topologia pi semplice. Il firewall in questo caso, molto probabile che faccia Nat. Le controindicazioni di questo caso sono: non sono presenti ridondanze tutto il traffico verso internet e verso eventuali server WWW o SMTP attraversano lunico firewall presente. Non sono presenti dei Bastion Host o DMZ Topologia consigliabile per reti aziendali di piccole/medie dimensioni che non forniscono servizi su internet.

TOPOLOGIA F2 In questa topologia il firewall gestisce una area detta DMZ o Bastion Host dove verranno posti tutti i server che devono fornire servizi su Internet. Le controindicazioni sono: non sono presenti ridondanze tutto il traffico verso internet e verso eventuali server WWW o SMTP attraversano il lunico firewall presente. Topologia consigliabile per reti aziendali di piccole/medie dimensioni

TOPOLOGIA F3

TECNONET S.p.A.

29

Questa topologia utilizza un secondo firewall utilizzato per il backup. Alcuni firewall permettono di mantenere in piedi una sessione, trasferendo i dati della sessione al firewall di backup. Quando il firewall primario si guasta il firewall di backup diventa master nella sua memoria ci sono i dati per mantere in piedi le sessioni trasmissive che passavano per il firewall che si guastato. Controindicazioni: - tutto il traffico da o verso internet continua ad attraversare un solo firewall.

TOPOLOGIA F4 Con lausilio di Policy attivabili su alcuni tipi di Switch/Router si pu fare load balancing fra N firewalls. Questa larchitettura consigliata per elevate quantit di traffico e per avere unottima ridondanza. Inoltre estremamente flessibile pronta per eventuali ulteriori richieste di banda, sufficiente aggiungere altri firewalls.

Roberto Gaeta

TECNONET S.p.A.