Your SlideShare is downloading. ×
Progettazione e realizzazione  di un  dispositivo  open source  per la difesa perimetrale integrata di una rete locale Mon...
Scenario di applicazione: gli hotspot <ul><li>Un hotspot è un’area pubblica nella quale è installata un’infrastruttura di ...
Hotspot: i numeri Monica Colangelo
Gestori di hotspot Monica Colangelo
Distribuzione degli hotspot in Italia - Nord Monica Colangelo
Distribuzione degli hotspot in Italia - Centro Monica Colangelo
Distribuzione degli hotspot in Italia - Sud Monica Colangelo
Distribuzione degli hotspot a Roma Monica Colangelo
La legge n. 155/2005: “Misure urgenti per il contrasto del terrorismo internazionale” <ul><li>Articolo 6: “Nuove norme sui...
Problematiche (1) <ul><li>La semplice collocazione di un Wireless Access Point (WAP) per offrire accesso pubblico ha delle...
Problematiche (2) <ul><li>Fondamentale l’impiego di una soluzione che si coniughi con le esigenze del partner </li></ul><u...
La soluzione: AwaSecureZone Monica Colangelo
Redirezionamento sul login Monica Colangelo
Controllo totale <ul><li>“ Chi”:  il gestore ha totale visibilità e controllo su chi stia utilizzando l’hotspot in qualsia...
Lista delle funzionalità <ul><li>Captive Portal </li></ul><ul><li>Autenticazione dei client </li></ul><ul><li>Firewall int...
AwaSecureZone: il gateway <ul><li>La principale funzione del gateway è implementare un cosiddetto “captive portal”, ossia ...
AwaSecureZone: il gateway <ul><li>Sistema operativo Linux con distribuzione Fedora Core 4 </li></ul><ul><li>Server DHCP </...
AwaSecureZone: il gateway <ul><li>NoCatAuth </li></ul><ul><li>Funzionalità di captive portal </li></ul><ul><li>Codice Perl...
AwaSecureZone: il gateway <ul><li>Dan’s Guardian </li></ul><ul><li>Content filter </li></ul><ul><li>Altamente configurabil...
AwaSecureZone: il gateway <ul><li>Postfix MTA </li></ul><ul><li>Invio quotidianio dei log del content filter e del captive...
AwaSecureZone: il server <ul><li>Un sistema di autenticazione centralizzato permette di accertare l'identità degli utenti,...
AwaSecureZone: il server <ul><li>Sistema operativo Linux con distribuzione Fedora Core 4 </li></ul>Monica Colangelo
AwaSecureZone: il server <ul><li>GnuPG: implementazione libera e completa dello standard OpenPGP definito dalla RFC2440 </...
AwaSecureZone: il server <ul><li>NoCatAuth </li></ul><ul><li>Funzionalità di captive portal </li></ul><ul><li>Codice Perl ...
AwaSecureZone: il server <ul><li>Apache HTTP Server </li></ul><ul><li>Necessario per la pubblicazione dell’interfaccia web...
AwaSecureZone: il server <ul><li>PostgreSQL: database relazionale ad oggetti con licenza liberale stile (BSD); ottima alte...
AwaSecureZone: il server <ul><li>Implementazione open source di RADIUS server  </li></ul><ul><li>Offre il supporto per LDA...
Amministrazione del server <ul><li>Il sito web di amministrazione per i clienti, al quale si collegano i proprietari delle...
Grafici statistici visualizzabili nell’interfaccia Monica Colangelo
Grafici statistici visualizzabili nell’interfaccia Monica Colangelo
Log delle connessioni Monica Colangelo
Log del content filter Monica Colangelo
Sviluppi futuri <ul><li>Il sistema è stato immesso sul mercato allo scopo di poter essere testato sul campo, ed in previsi...
Upcoming SlideShare
Loading in...5
×

Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale

2,077

Published on

Tesi di Master

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,077
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Master in Sicurezza delle Reti e dei Sistemi Informatici per l&apos;impresa e la Pubblica Amministrazione
  • Transcript of "Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale"

    1. 1. Progettazione e realizzazione di un dispositivo open source per la difesa perimetrale integrata di una rete locale Monica Colangelo
    2. 2. Scenario di applicazione: gli hotspot <ul><li>Un hotspot è un’area pubblica nella quale è installata un’infrastruttura di rete locale wireless con tecnologia Wi-Fi, per rendere disponibile ad una molteplicità di utenti l’accesso ad Internet a banda larga </li></ul><ul><li>Il grande successo è senza dubbio dovuto alla facilità con cui è possibile realizzare una Wireless LAN ed al costo molto contenuto di schede ed access point </li></ul>Monica Colangelo
    3. 3. Hotspot: i numeri Monica Colangelo
    4. 4. Gestori di hotspot Monica Colangelo
    5. 5. Distribuzione degli hotspot in Italia - Nord Monica Colangelo
    6. 6. Distribuzione degli hotspot in Italia - Centro Monica Colangelo
    7. 7. Distribuzione degli hotspot in Italia - Sud Monica Colangelo
    8. 8. Distribuzione degli hotspot a Roma Monica Colangelo
    9. 9. La legge n. 155/2005: “Misure urgenti per il contrasto del terrorismo internazionale” <ul><li>Articolo 6: “Nuove norme sui dati del traffico telefonico e telematico” </li></ul><ul><li>“ A decorrere dalla data di entrata in vigore del presente decreto e fino al 31 dicembre 2007 è sospesa l’applicazione delle disposizioni di legge , di regolamento o dell’autorità amministrativa che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico , anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi , nonché, qualora disponibili, dei servizi, debbono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico , fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. [...]” </li></ul>Monica Colangelo
    10. 10. Problematiche (1) <ul><li>La semplice collocazione di un Wireless Access Point (WAP) per offrire accesso pubblico ha delle serie controindicazioni che rendono tale soluzione inattuabile: </li></ul><ul><li>non è possibile essere a conoscenza, né di conseguenza tener traccia, di chi utilizzi effettivamente la rete; </li></ul><ul><li>non è possibile limitare il tipo di accessi a meno di non delegare tali controlli ad altri servizi; </li></ul><ul><li>la funzionalità di sicurezza “standard” WEP (Wired Equivalent Privacy) disponibile sui protocolli wireless (IEEE 802.11) si può aggirare con relativa facilità; </li></ul><ul><li>la rete privata interna risulta del tutto esposta ad attacchi in quanto il firewall è inefficace nei confronti di minacce provenienti dall’interno. </li></ul>Monica Colangelo
    11. 11. Problematiche (2) <ul><li>Fondamentale l’impiego di una soluzione che si coniughi con le esigenze del partner </li></ul><ul><li>Le sessioni di addestramento per lo staff in location di questo tipo devono focalizzarsi sul servizio, sulla cura del cliente e sul processo, senza aspettarsi che personale non tecnico risolva problemi di connessioni DHCP e configurazione di access point </li></ul>Monica Colangelo
    12. 12. La soluzione: AwaSecureZone Monica Colangelo
    13. 13. Redirezionamento sul login Monica Colangelo
    14. 14. Controllo totale <ul><li>“ Chi”: il gestore ha totale visibilità e controllo su chi stia utilizzando l’hotspot in qualsiasi momento </li></ul><ul><li>“ Cosa”: il gestore ha la possibilità di controllare i contenuti delle connessioni degli utenti </li></ul><ul><li>“ Quando”: il gestore può definire per quanto tempo ad un utente è consentito l’accesso alla rete </li></ul>Monica Colangelo
    15. 15. Lista delle funzionalità <ul><li>Captive Portal </li></ul><ul><li>Autenticazione dei client </li></ul><ul><li>Firewall integrato </li></ul><ul><li>Content Filtering </li></ul><ul><li>Connessioni a tempo </li></ul><ul><li>Diverse classi di utenti </li></ul><ul><li>Report </li></ul><ul><li>Tracciamento delle connessioni </li></ul>Monica Colangelo
    16. 16. AwaSecureZone: il gateway <ul><li>La principale funzione del gateway è implementare un cosiddetto “captive portal”, ossia un portale che redirezioni tutto il traffico su un sito web (residente sul server) che mostra all’utente una pagina di login con informazioni sul nodo di rete raggiunto </li></ul><ul><li>L’implementazione di questo portale è totalmente trasparente all’utente, il quale, quindi, non deve installare alcun software aggiuntivo sul proprio client né aggiungere manualmente configurazioni diverse da quelle abituali, come potrebbe avvenire invece con l’utilizzo di un server proxy “classico” </li></ul>Monica Colangelo
    17. 17. AwaSecureZone: il gateway <ul><li>Sistema operativo Linux con distribuzione Fedora Core 4 </li></ul><ul><li>Server DHCP </li></ul><ul><li>Firewall IPTables </li></ul>Monica Colangelo
    18. 18. AwaSecureZone: il gateway <ul><li>NoCatAuth </li></ul><ul><li>Funzionalità di captive portal </li></ul><ul><li>Codice Perl “patchato” </li></ul>Monica Colangelo
    19. 19. AwaSecureZone: il gateway <ul><li>Dan’s Guardian </li></ul><ul><li>Content filter </li></ul><ul><li>Altamente configurabile (black-lists, tipi MIME, blocco IPs e/o URLs, espressioni regolari, estensioni, frasi “pesate”) </li></ul><ul><li>Si appoggia ad Apache e Squid </li></ul>Monica Colangelo
    20. 20. AwaSecureZone: il gateway <ul><li>Postfix MTA </li></ul><ul><li>Invio quotidianio dei log del content filter e del captive portal all’amministratore della rete in cui è installato il gateway, per evitare che la dimensione dei rispettivi file diventi ingestibile </li></ul>Monica Colangelo
    21. 21. AwaSecureZone: il server <ul><li>Un sistema di autenticazione centralizzato permette di accertare l'identità degli utenti, evitando la duplicazione del database contenente le credenziali </li></ul><ul><li>Essendo in grado di fornire anche l'autorizzazione, consente l'accesso ai servizi in base ai permessi di cui l'utente dispone </li></ul>Monica Colangelo
    22. 22. AwaSecureZone: il server <ul><li>Sistema operativo Linux con distribuzione Fedora Core 4 </li></ul>Monica Colangelo
    23. 23. AwaSecureZone: il server <ul><li>GnuPG: implementazione libera e completa dello standard OpenPGP definito dalla RFC2440 </li></ul><ul><li>Comunicazioni cifrate e firmate tra server e client (gateway) </li></ul><ul><li>Offre un versatile sistema di gestione delle chiavi </li></ul>Monica Colangelo
    24. 24. AwaSecureZone: il server <ul><li>NoCatAuth </li></ul><ul><li>Funzionalità di captive portal </li></ul><ul><li>Codice Perl “patchato” </li></ul>Monica Colangelo
    25. 25. AwaSecureZone: il server <ul><li>Apache HTTP Server </li></ul><ul><li>Necessario per la pubblicazione dell’interfaccia web di amministrazione </li></ul><ul><li>Aggiunta dei moduli PHP </li></ul>Monica Colangelo
    26. 26. AwaSecureZone: il server <ul><li>PostgreSQL: database relazionale ad oggetti con licenza liberale stile (BSD); ottima alternativa rispetto sia ad altri prodotti liberi come MySQL, Firebird SQL e MaxDB sia a quelli a codice chiuso come Oracle, Informix o DB2 </li></ul><ul><li>Offre caratteristiche uniche nel suo genere che lo pone per alcuni aspetti all'avanguardia nel settore dei database </li></ul><ul><li>Il più avanzato sistema database dal punto di vista della programmabilità : </li></ul><ul><ul><li>Incremento delle prestazioni, in quanto la logica viene applicata direttamente dal server di database in una volta, riducendo il passaggio di informazioni tra il client ed il server. </li></ul></ul><ul><ul><li>Incremento dell'affidabilità, dovuto alla centralizzazione del codice di controllo sul server, non dovendo gestire la sincronizzazione della logica tra molteplici client e i dati memorizzati sul server. </li></ul></ul><ul><ul><li>Inserendo livelli di astrazione dei dati direttamente sul server, il codice del client può essere più snello e semplice. </li></ul></ul>Monica Colangelo
    27. 27. AwaSecureZone: il server <ul><li>Implementazione open source di RADIUS server </li></ul><ul><li>Offre il supporto per LDAP, MySQL, PostgreSQL, Oracle; gestisce autenticazioni EAP (EAP-MD5, EAP-SIM, EAP-TSL, EAP-TTSL, EAP-PEAP), MSCHAP, MSCHAPV2, Cisco LEAP, oltre ai classici PAP e CHAP </li></ul><ul><li>Le recenti versioni di FreeRadius sono fornite con un sistema di configurazione via web basato su pagine PHP (a partire dal quale è stata sviluppata l’interfaccia di AwaSecureZone) </li></ul><ul><li>Il file di configurazione è modulare </li></ul><ul><li>Supporta le specifiche dei più importanti produttori tramite “dizionari” (nel nostro caso, c’è uno specifico dizionario che contiene gli attributi specifici di NoCat) </li></ul>Monica Colangelo
    28. 28. Amministrazione del server <ul><li>Il sito web di amministrazione per i clienti, al quale si collegano i proprietari delle reti controllate dai gateway, è stato riscritto a partire dal progetto Dialupadmin, un portale di amministrazione contenuto nei sorgenti di FreeRADIUS </li></ul><ul><li>Da questo portale è possibile, per l’amministratore di un NAS, tramite autenticazione, accedere a funzioni di inserimento e cancellazione di utenti e gruppi, modifica delle impostazioni come password e limiti di tempo, e visualizzazione di statistiche sottoforma sia di tabelle sia di grafici creati dinamicamente a partire dai dati presenti nel database </li></ul>Monica Colangelo
    29. 29. Grafici statistici visualizzabili nell’interfaccia Monica Colangelo
    30. 30. Grafici statistici visualizzabili nell’interfaccia Monica Colangelo
    31. 31. Log delle connessioni Monica Colangelo
    32. 32. Log del content filter Monica Colangelo
    33. 33. Sviluppi futuri <ul><li>Il sistema è stato immesso sul mercato allo scopo di poter essere testato sul campo, ed in previsione di successivi sviluppi e modifiche atte ad integrare e migliorare il livello tecnologico </li></ul><ul><li>Dal punto di vista del soddisfacimento aziendale la valutazione del contributo apportato è ottima, ed inoltre, dato l’interesse suscitato dal prodotto presso la clientela, sarà interessante continuarne lo sviluppo in un’ottica di miglioramento della qualità del servizio </li></ul>Monica Colangelo

    ×