• Save
Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale
Upcoming SlideShare
Loading in...5
×
 

Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale

on

  • 3,421 views

Tesi di Master

Tesi di Master

Statistics

Views

Total Views
3,421
Views on SlideShare
3,413
Embed Views
8

Actions

Likes
0
Downloads
0
Comments
0

2 Embeds 8

http://www.slideshare.net 7
http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Master in Sicurezza delle Reti e dei Sistemi Informatici per l'impresa e la Pubblica Amministrazione

Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale Presentation Transcript

  • Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale Monica Colangelo
  • Scenario di applicazione: gli hotspot
    • Un hotspot è un’area pubblica nella quale è installata un’infrastruttura di rete locale wireless con tecnologia Wi-Fi, per rendere disponibile ad una molteplicità di utenti l’accesso ad Internet a banda larga
    • Il grande successo è senza dubbio dovuto alla facilità con cui è possibile realizzare una Wireless LAN ed al costo molto contenuto di schede ed access point
    Monica Colangelo
  • Hotspot: i numeri Monica Colangelo
  • Gestori di hotspot Monica Colangelo
  • Distribuzione degli hotspot in Italia - Nord Monica Colangelo
  • Distribuzione degli hotspot in Italia - Centro Monica Colangelo
  • Distribuzione degli hotspot in Italia - Sud Monica Colangelo
  • Distribuzione degli hotspot a Roma Monica Colangelo
  • La legge n. 155/2005: “Misure urgenti per il contrasto del terrorismo internazionale”
    • Articolo 6: “Nuove norme sui dati del traffico telefonico e telematico”
    • “ A decorrere dalla data di entrata in vigore del presente decreto e fino al 31 dicembre 2007 è sospesa l’applicazione delle disposizioni di legge , di regolamento o dell’autorità amministrativa che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico , anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi , nonché, qualora disponibili, dei servizi, debbono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico , fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. [...]”
    Monica Colangelo
  • Problematiche (1)
    • La semplice collocazione di un Wireless Access Point (WAP) per offrire accesso pubblico ha delle serie controindicazioni che rendono tale soluzione inattuabile:
    • non è possibile essere a conoscenza, né di conseguenza tener traccia, di chi utilizzi effettivamente la rete;
    • non è possibile limitare il tipo di accessi a meno di non delegare tali controlli ad altri servizi;
    • la funzionalità di sicurezza “standard” WEP (Wired Equivalent Privacy) disponibile sui protocolli wireless (IEEE 802.11) si può aggirare con relativa facilità;
    • la rete privata interna risulta del tutto esposta ad attacchi in quanto il firewall è inefficace nei confronti di minacce provenienti dall’interno.
    Monica Colangelo
  • Problematiche (2)
    • Fondamentale l’impiego di una soluzione che si coniughi con le esigenze del partner
    • Le sessioni di addestramento per lo staff in location di questo tipo devono focalizzarsi sul servizio, sulla cura del cliente e sul processo, senza aspettarsi che personale non tecnico risolva problemi di connessioni DHCP e configurazione di access point
    Monica Colangelo
  • La soluzione: AwaSecureZone Monica Colangelo
  • Redirezionamento sul login Monica Colangelo
  • Controllo totale
    • “ Chi”: il gestore ha totale visibilità e controllo su chi stia utilizzando l’hotspot in qualsiasi momento
    • “ Cosa”: il gestore ha la possibilità di controllare i contenuti delle connessioni degli utenti
    • “ Quando”: il gestore può definire per quanto tempo ad un utente è consentito l’accesso alla rete
    Monica Colangelo
  • Lista delle funzionalità
    • Captive Portal
    • Autenticazione dei client
    • Firewall integrato
    • Content Filtering
    • Connessioni a tempo
    • Diverse classi di utenti
    • Report
    • Tracciamento delle connessioni
    Monica Colangelo
  • AwaSecureZone: il gateway
    • La principale funzione del gateway è implementare un cosiddetto “captive portal”, ossia un portale che redirezioni tutto il traffico su un sito web (residente sul server) che mostra all’utente una pagina di login con informazioni sul nodo di rete raggiunto
    • L’implementazione di questo portale è totalmente trasparente all’utente, il quale, quindi, non deve installare alcun software aggiuntivo sul proprio client né aggiungere manualmente configurazioni diverse da quelle abituali, come potrebbe avvenire invece con l’utilizzo di un server proxy “classico”
    Monica Colangelo
  • AwaSecureZone: il gateway
    • Sistema operativo Linux con distribuzione Fedora Core 4
    • Server DHCP
    • Firewall IPTables
    Monica Colangelo
  • AwaSecureZone: il gateway
    • NoCatAuth
    • Funzionalità di captive portal
    • Codice Perl “patchato”
    Monica Colangelo
  • AwaSecureZone: il gateway
    • Dan’s Guardian
    • Content filter
    • Altamente configurabile (black-lists, tipi MIME, blocco IPs e/o URLs, espressioni regolari, estensioni, frasi “pesate”)
    • Si appoggia ad Apache e Squid
    Monica Colangelo
  • AwaSecureZone: il gateway
    • Postfix MTA
    • Invio quotidianio dei log del content filter e del captive portal all’amministratore della rete in cui è installato il gateway, per evitare che la dimensione dei rispettivi file diventi ingestibile
    Monica Colangelo
  • AwaSecureZone: il server
    • Un sistema di autenticazione centralizzato permette di accertare l'identità degli utenti, evitando la duplicazione del database contenente le credenziali
    • Essendo in grado di fornire anche l'autorizzazione, consente l'accesso ai servizi in base ai permessi di cui l'utente dispone
    Monica Colangelo
  • AwaSecureZone: il server
    • Sistema operativo Linux con distribuzione Fedora Core 4
    Monica Colangelo
  • AwaSecureZone: il server
    • GnuPG: implementazione libera e completa dello standard OpenPGP definito dalla RFC2440
    • Comunicazioni cifrate e firmate tra server e client (gateway)
    • Offre un versatile sistema di gestione delle chiavi
    Monica Colangelo
  • AwaSecureZone: il server
    • NoCatAuth
    • Funzionalità di captive portal
    • Codice Perl “patchato”
    Monica Colangelo
  • AwaSecureZone: il server
    • Apache HTTP Server
    • Necessario per la pubblicazione dell’interfaccia web di amministrazione
    • Aggiunta dei moduli PHP
    Monica Colangelo
  • AwaSecureZone: il server
    • PostgreSQL: database relazionale ad oggetti con licenza liberale stile (BSD); ottima alternativa rispetto sia ad altri prodotti liberi come MySQL, Firebird SQL e MaxDB sia a quelli a codice chiuso come Oracle, Informix o DB2
    • Offre caratteristiche uniche nel suo genere che lo pone per alcuni aspetti all'avanguardia nel settore dei database
    • Il più avanzato sistema database dal punto di vista della programmabilità :
      • Incremento delle prestazioni, in quanto la logica viene applicata direttamente dal server di database in una volta, riducendo il passaggio di informazioni tra il client ed il server.
      • Incremento dell'affidabilità, dovuto alla centralizzazione del codice di controllo sul server, non dovendo gestire la sincronizzazione della logica tra molteplici client e i dati memorizzati sul server.
      • Inserendo livelli di astrazione dei dati direttamente sul server, il codice del client può essere più snello e semplice.
    Monica Colangelo
  • AwaSecureZone: il server
    • Implementazione open source di RADIUS server
    • Offre il supporto per LDAP, MySQL, PostgreSQL, Oracle; gestisce autenticazioni EAP (EAP-MD5, EAP-SIM, EAP-TSL, EAP-TTSL, EAP-PEAP), MSCHAP, MSCHAPV2, Cisco LEAP, oltre ai classici PAP e CHAP
    • Le recenti versioni di FreeRadius sono fornite con un sistema di configurazione via web basato su pagine PHP (a partire dal quale è stata sviluppata l’interfaccia di AwaSecureZone)
    • Il file di configurazione è modulare
    • Supporta le specifiche dei più importanti produttori tramite “dizionari” (nel nostro caso, c’è uno specifico dizionario che contiene gli attributi specifici di NoCat)
    Monica Colangelo
  • Amministrazione del server
    • Il sito web di amministrazione per i clienti, al quale si collegano i proprietari delle reti controllate dai gateway, è stato riscritto a partire dal progetto Dialupadmin, un portale di amministrazione contenuto nei sorgenti di FreeRADIUS
    • Da questo portale è possibile, per l’amministratore di un NAS, tramite autenticazione, accedere a funzioni di inserimento e cancellazione di utenti e gruppi, modifica delle impostazioni come password e limiti di tempo, e visualizzazione di statistiche sottoforma sia di tabelle sia di grafici creati dinamicamente a partire dai dati presenti nel database
    Monica Colangelo
  • Grafici statistici visualizzabili nell’interfaccia Monica Colangelo
  • Grafici statistici visualizzabili nell’interfaccia Monica Colangelo
  • Log delle connessioni Monica Colangelo
  • Log del content filter Monica Colangelo
  • Sviluppi futuri
    • Il sistema è stato immesso sul mercato allo scopo di poter essere testato sul campo, ed in previsione di successivi sviluppi e modifiche atte ad integrare e migliorare il livello tecnologico
    • Dal punto di vista del soddisfacimento aziendale la valutazione del contributo apportato è ottima, ed inoltre, dato l’interesse suscitato dal prodotto presso la clientela, sarà interessante continuarne lo sviluppo in un’ottica di miglioramento della qualità del servizio
    Monica Colangelo