IPSIA ‘G. Ferraris’
REGIONE CALABRIA
Unione Europea
Fondo Sociale Europeo
MIUR- Ministero Istruzione Università
Ricerca
IPSIA ‘ G. FERRARIS - CATANZARO
IFTS – CIPE – PROGETTO OP.LA. DI ITALIA LAVORO - Annualità 2004/2005
“TECNICO SUPERIORE PER LA SICUREZZA DELLE RETI ICT”
Istituto attuatore: IPSIA ‘G. FERRARIS’-Via Conti di Loritello, 17 – Tel. 0961-61040 – Fax 0961-63295 –Catanzaro
Titolo del Modulo Didattico: LABORATORIO DI PROGETTO E SVILUPPO
Durata Modulo Didattico Ore 60
Periodo svolgimento dal 27.06.2005 al 21.07.2005
Docenti : ING. A. QUAGLIOZZI – ING. G. CULLARI – DOTT.SSA C. SURIANO
RELAZIONE DI PROGETTO
PROGETTAZIONE E REALIZZAZIONE DI UNA RETE LAN
CLIENT-SERVER SICURA.
I DOCENTI:
ING. A. QUAGLIOZZI
________________________
ING. G. CULLARI
________________________
DOTT.SSA C. SURIANO
________________________
0/48
INDICE
1. TOPOLOGIE DI RETE
1.1.
1.2.
1.3.
TIPOLOGIA A BUS
TIPOLOGIA AD ANELLO
TIPOLOGIA A STELLA
2. Componenti fondamentali di una rete LAN
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
IL MEZZO TRASMISSIVO
LA SCHEDA DI RETE
PROTOCOLLO DI TRASMISSIONE
PROTOCOLLI APPLICATIVI
DISPOSITIVI: HUB, SWITCH, ROUTER E ACCESS POINT
UNO O PIU’ SERVER
I CLIENT
3. IL MODELLO ISO/OSI
4. IL MODELLO TCP
5. LABORATORIO DI PROGETTO E SVILUPPO
5.1.
5.2.
5.3.
5.4.
5.5.
ANALISI E PROGETTAZIONE DELLA RETE
REALIZZAZIONE DEI CAVI NECESSARI
TEST DI VERIFICA CON OMNISCANNER CON RILASCIO DI CERTIFICAZIONE
VERIFICA DEI PARAMETRI NECESSARI
CALCOLO DELLA MASCHERA DI RETE (SUBNET)
6. CONFIGURAZIONE LATO CLIENT
6.1.
6.2.
6.3.
INSTALLAZIONE DEL S.O.
CONFIGURAZIONE DEI PARAMETRI DI RETE
INSTALLAZIONE NORTON ANTIVIRUS CLIENT (NAV)
7. CONFIGURAZIONE LATO SERVER
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.
7.8.
7.9.
7.10.
INSTALLAZIONE DEL S.O.
LIVE UPDATE S.O.
CREAZIONE NUOVO PROFILO HARDWARE
CREAZIONE RAID MIRROR
CONFIGURAZIONRE DEI PARAMETRI DI RETE
INSTALLAZIONE SERVER DNS
ACTIVE DIRECTORY
CREAZIONE DEGLI UTENTI DI DOMINIO
CREAZIONE DELLE REGOLE DI ACCESSO (POLICY)
CREAZIONE E ASSEGNAZIONE DELLE QUOTE AGLI UTENTI
1/48
7.11.
INSTALLAZIONE NORTON ANTIVIRUS SERVER (NAV)
8. INSTALLAZIONE FIREWALL ASTARO
8.1.
8.2.
8.3.
8.4.
CONFIGURAZIONE PARAMETRI DELLE INTERFACCE
INSTALLAZIONE SERVER DHCP
CONFIGURAZIONE SERVER PROXY
CREAZIONE REGOLE DI PACKET FILTER
9. INSTALLAZIONE SERVER WEB APACHE
9.1.
9.2.
ASSEGNAZIONE PARAMETRI DI RETE
CREAZIONE E PUBBLICAZIONE PAGINA WEB
10. CONCLUSIONI
2/48
1. TOPOLOGIE RI RETE (WAN MAN LAN)
Esistono varie topologie di rete di computer le più importanti sono la WAN (World
Area Network) che sono le reti di tipo geografiche che sono state sviluppate per
collegare tra di loro elaboratori e reti locali che si trovano in parti diverse di una
nazione o continente o addirittura in continenti diversi. Tali reti si sono sviluppate
soprattutto negli Stati Uniti, a partire dagli anni ’70 e proprio di quegli anni è la
prima grande rete, la “Arpanet”, finanziata dal ministero della difesa, che collegava
tra di loro i centri di ricerca americani. Da allora sono state sviluppate varie reti, sia
di tipo accademico e di ricerca sia commerciali. Tra le reti commerciali, a livello
italiano è da menzionare la rete “Itapac” sviluppata dal ministero delle Poste e
Telecomunicazioni e dalla Telecom Italia e a cui gli utenti si possono collegare
mediante linee telefoniche. Una rete geografica svolge principalmente il ruolo di
strumento di scambio e condivisione di informazione tra elaboratori ed utenti che si
trovano in località remote del mondo. Per analizzare in modo più preciso tali
funzioni, prenderemo come esempio le caratteristiche e i servizi forniti dalla rete
Internet menzionata in precedenza. L’altra rete è la MAN (Metropolitan Area
Network) Le reti metropolitane sono per molti aspetti una via di mezzo tra le reti
locali e le reti geografiche. Il loro obiettivo è da un lato (in analogia con le reti
locali) la possibilità di condivisione di risorse tra centri che si trovano in diverse parti
di una stessa città (ad esempio, una Università che ha più sedi separate può avere la
necessità di accedere da ognuna di tali sedi ad un calcolatore potente che si trova in
una delle sedi), dall’altro lato (in analogia con le reti geografiche) deve consentire la
comunicazione e l’accesso a dati condivisi. Le reti metropolitane sono tipicamente
più lente e con minore capacità di trasferimento delle reti locali (in alcuni casi, data
la distanza dei nodi che collegano, usare le stesse tecnologie delle reti locali
potrebbe essere troppo costoso) ma più veloci delle reti geografiche (date le minori
distanze). Tipicamente si utilizzano cavi a fibre ottiche o linee telefoniche speciali
dedicate. E in fine troviamo la LAN (Local Area Network). In fase di laboratorio,
durante il corso “tecnico superiore per la sicurezza delle reti ICT”, è stata
progettata e sviluppata una rete LAN. Una LAN (Local Area Network) è una rete
collegata su un'area limitata, è un insieme di PC e di altri dispositivi che sono
collegati tra loro tramite cavi. Il sistema consente a questi dispositivi di comunicare
tra loro e di condividere informazioni e risorse. Le reti possono avere dimensioni
differenti ed è possibile ospitarle in una sede singola oppure dislocarle. Esistono
diverse tecnologie LAN; le più comuni sono: Ethernet e Fast Ethernet. Una rete può
essere formata da una o più di queste tecnologie. Le reti Ethernet e Fast Ethernet
funzionano in modo simile e la differenza principale è data dalla velocità alla quale
trasferiscono le informazioni. Ethernet funziona a 10 Megabit per secondo (o Mbps) e
Fast Ethernet funziona a 100Mbps. I dispositivi di una rete comunicano
trasmettendosi reciprocamente informazioni; le informazioni trasmesse sono gruppi
di piccoli impulsi elettrici, detti pacchetti. Ogni pacchetto contiene l'indirizzo del
dispositivo che esegue la trasmissione (l'indirizzo di sorgente) e l'indirizzo del
dispositivo che riceve i dati (l'indirizzo di destinazione). Queste informazioni vengono
utilizzate dai PC e da altri dispositivi presenti nella rete per aiutare il pacchetto a
raggiungere la propria destinazione. Le reti Ethernet e Fast Ethernet impiegano un
protocollo chiamato CSMA/CD (Carrier-Sense Multiple Access with Collision
Detection). In tal modo può comunicare solo un dispositivo per volta. Quando due
dispositivi cercano di comunicare simultaneamente, tra i pacchetti trasmessi si
verifica una collisione che viene rilevata dai dispositivi trasmittenti. I dispositivi
3/48
cessano quindi di trasmettere e attendono prima di inviare nuovamente i loro
pacchetti. Il meccanismo è paragonabile ad una conversazione tra un gruppo di
persone; se due persone parlano contemporaneamente, si fermano entrambe e una
di esse inizia a parlare nuovamente. Le reti LAN possono essere inoltre di vario tipo
in base alla loro tipologia le più importanti e diffuse sono:
1.1.
TIPOLOGIA A BUS
E' il metodo più semplice di connettere in rete dei computer. Consiste di un singolo
cavo (chiamato dorsale o segmento) che connette in modo lineare tutti i computer. I
dati sono inviati a tutti i computer come segnali elettronici e vengono accettati solo
dal computer il cui indirizzo è contenuto nel segnale di origine.
Poiché un solo computer alla volta può inviare dati, maggiore è il numero
di computer connessi alla rete, più saranno i computer in attesa di trasmettere dati,
rallentando le prestazioni dell’intera rete. Quella a bus è una tipologia di rete
passiva: i computer ascoltano i dati trasmessi sulla rete, ma non intervengono nello
spostamento di dati da un computer a quello successivo. I dati trasmessi da un
computer, se non vengono interrotti, viaggiano da un capo all’altro del cavo,
rimbalzano e tornano indietro impedendo ad altri computer di inviare segnali. A
ciascuna estremità del cavo viene applicato un componente chiamato terminatore
che assorbe i dati liberi rendendo disponibile il cavo per l’invio di altri dati Se un
cavo viene tagliato o se uno dei capi viene scollegato, e quindi uno o più capi sono
privi di terminatore, i dati rimbalzeranno interrompendo l’attività su tutta la rete
(rete inattiva). E’ possibile espandere una LAN a bus con dei connettori cilindrici di
tipo BNC che uniscono due capi di cavo ma indeboliscono il segnale (meglio usare un
unico cavo lungo che più segmenti uniti fra loro). Oppure, si può usare un dispositivo
chiamato ripetitore che potenzia il segnale prima di ritrasmetterlo sulla rete.
1.2.
TIPOLOGIA AD ANELLO
I computer sono connessi tramite un unico cavo circolare privo di terminatori. I
segnali sono inviati in senso orario lungo il circuito chiuso passando attraverso
ciascun computer che funge da ripetitore e ritrasmette il segnale potenziato al
computer successivo: si tratta quindi di una tipologia attiva, a differenza di quella a
bus.
4/48
Uno dei metodi usati per la trasmissione dei dati lungo l’anello è detto Token
Passing, e si parla infatti di reti Token Ring. Il token (gettone) viene trasferito da un
computer al successivo finché non raggiunge quello su cui sono disponibili dati da
trasmettere. Il token viene modificato dal computer trasmittente che aggiunge al
dato l’indirizzo del destinatario e quello del mittente e lo rinvia lungo l’anello. I dati
passano attraverso ciascun computer finché raggiungono quello il cui indirizzo
corrisponde a quello indicato sui dati. Questo computer restituisce un messaggio di
conferma al computer trasmittente il quale crea un nuovo token e lo immette nella
rete. Un token può percorrere un anello di 200m di diametro 10.000 volte al
secondo, poiché viaggia alla velocità della luce. Nelle reti Token Ring, a differenza di
altre, un computer malfunzionante viene automaticamente escluso dall’anello
consentendo agli altri di continuare a funzionare regolarmente in rete. In altri tipi di
reti ad anello, un computer che non funziona può provocare la caduta di tutta la
rete.
1.3.
TIPOLOGIA A STELLA
I computer sono connessi ad un componente centrale chiamato Hub. I dati sono
inviati dal computer trasmittente attraverso l’Hub a tutti i computer della rete.
5/48
Questa tipologia richiede un’elevata quantità di cavi in una rete di grandi
dimensioni.
In caso di interruzione di uno dei cavi di connessione di un computer all’Hub, solo
quel computer verrà isolato dalla rete. In caso di mancato funzionamento dell’Hub,
saranno interrotte tutte le attività di rete. Tra i vantaggi dell’Hub ci sono
l’espandibilità (basta collegare un altro Hub all’Hub iniziale), controllo centralizzato
del traffico sulla rete in base a led luminosi che permettono di diagnosticare se quel
ramo della rete è funzionante. La tipologia da noi utilizzata è quella a stella perché
risulta la più adatta alle nostre esigenze.
2. COMPONENTI FONDAMENTALI DI UNA RETE LAN
2.1.
IL MEZZO TRASMISSIVO
Il mezzo trasmissivo come sopra indicato riguarda la metodologia usata per la
realizzazione del cavo in base alle apparecchiature da collegare infatti si distinguano
principalmente dalla loro composizione interna o meglio dal collegamento interno
come da schema sotto indicato:
Cavi di rete RJ-45
Sequenza dei colori per ottenere la corretta schermatura dei
segnali(usando il corretto abbinamento delle coppie di fili
intrecciati) e la massima riduzione degli errori:
Cavo di tipo dritto
____
8 - marrone
7 - bianco marrone
6 - verde
5 - bianco blu
4 - blu
3 - bianco verde
2 - arancione
1 - bianco arancione
6/48
Cavo di tipo cross
8 - marrone
7 - bianco marrone -> bianco verde
6 – verde -> arancio
5 - bianco blu -> bianco blu
4 – blu -> blu
3 - bianco verde-> bianco arancio
2 - arancione-> verde
1 - bianco arancione -> bianco verde
Cavo Coassiale
Il cavo coassiale (coax) prima dell'avvento dei doppini di nuova generazione era
molto usato. Oggi si preferisce usare i doppini per medie prestazioni e le fibre
ottiche per alte prestazioni. Vengono comunque usati nelle LAN a bus o ad anello e,
a volte, nel cablaggio orizzontale. Il coax consiste in un'anima di acciaio sulla quale
viaggia il segnale, circondata da una calza di rame (massa). Ne esistono alcuni tipi:
RG213 (Thick Ethernet) 50 Ohm: ottimi parametri elettrici, ma costoso e difficile da
posare, Viene usato nello standard ETHERNET 10base5.
RG58 (Thin Ethernet) 50 Ohm: viene usato con ottimi risultati nello standard
ETHERNET 10base2.
RG59 75 Ohm: usato per applicazioni video e a larga banda (IEEE 802.7). E'
riconosciuto nelle specifiche IEEE 802.3 (ETHERNET), 802.4 (TOKEN BUS), 802.5
(TOKEN RING).
RG62 93 Ohm: usato nelle reti proprietarie IBM 3270.
CAVI
COASSIALI
sono disponibili in due
versioni: con rivestimento ed
isolamento interno in PVC o
ignifughi
7/48
Fibra Ottica
Oltre ai doppini e ai coax, esistono anche cavi in fibra ottica. La fibra ottica è il
materiale del futuro poiché presenta notevoli vantaggi:
la totale immunità dai disturbi e.m. . Non è infatti costituita da materiale
conduttore;
larga banda di utilizzo. Si usa per TD ad alta velocità fino a 2 Gb/sec;
bassa attenuazione e diafonia assente;
dimensioni ridotte e costi contenuti.
Un cavo in fibra ottica è costituito dal core, dal cladding, da un rivestimento
primario e dalla guaina protettiva; il core è il nucleo, il cladding è il mantello. Hanno
due indici di rifrazione diversi, il primo è maggiore del secondo, affinché la luce
rimanga confinata all'interno del core.
La fisica delle fibre ottiche è l'ottica geometrica. Molto importante è l'angolo rispetto
l'asse del cavo con cui i raggi luminosi vengono indirizzati all'interno del core. Esiste
infatti un angolo massimo di incidenza , detto angolo critico, al di sotto del quale i
raggi vengono totalmente riflessi dal cladding e rimangono, quindi, all'interno del
core.
Fibra ottica: angolo massimo di incidenza
Si nota, inoltre, come per diversi angoli di incidenza aumenti il cammino del raggio
luminoso all'interno del core. Se la sorgente luminosa è puntiforme e se presenta
raggi di differente lunghezza d'onda (per es. una sorgente che emette
nell'infrarosso), i raggi percorrono cammini diversi (dispersione cromatica) e, a parità
di tempo trascorso, avremo uno sfasamento dei raggi.
Le fibre ottiche che consentono a più raggi di entrare sono dette multimodo ed
hanno una dimensione di 50/125 o 62.5/125 micron.
Per ovviare a questo fatto, il brusco gradino dell'indice di rifrazione tra il cladding ed
il core (FO multimodo step-index) viene smorzato ed il core presenta un indice di
rifrazione che, da un valore massimo al centro, decresce fino al cladding (FO
8/48
multimodo graded-index), facendo convergere i raggi in alcuni punti ed eliminando la
differenza di fase.
2.2.
LA SCHEDA DI RETE
La scheda di rete è una periferica necessaria per chi desidera collegare 2 o più
computer tra di loro per avere accesso alle cosiddette Risorse di Rete. La scheda di
rete, ovvero, rende possibile il collegamento tra macchine anche distanti tra loro. Le
schede di rete vengono scelte in base al tipo di collegamento e al tipo di rete che si
vuole realizzare. Infatti ne esistono di vari tipi:
10Base2 Thin Ethernet:
E' la più semplice ed economica tra le tipologie di rete, ha una velocità di 10 Megabit
(il megabit è l'unità di misura standard quando si parla di LAN). Fa uso di cavi
coassiali RG-58, simili al cavo antenna della TV. In questo caso c'è da distinguere il
collegamento fisico il quale è gestito in parallelo e il collegamento logico che è
gestito in maniera seriale, ovvero tutte le macchine sono collegate in cascata, e solo
una macchina alla volta può inviare dati. Se una connessione va in crash, tutta la
rete sarà inagibile. La connessione dei cavi alle schede di rete avviene tramite
connettori passanti a T. E' una soluzione adatta alla connessione di poche macchine,
in ambiti in cui la sicurezza non è indispensabile.
Usata nelle tipologie di
rete a Bus con cavo
Coassiale RG-58
10BaseT Ethernet:
E' una rete sempre a 10Mbit(1 milione di bit trasferiti al secondo), che fa uso di cavi
Twisted Pair, simili ai cavi telefonici. E' di tipo a stella, ovvero esiste un apparecchio
chiamato HUB (concentratore) a cui sono connesse tutte le macchine. E' più sicura
del tipo di rete precedente, poichè se una connessione va in crash non si
compromette l'intera rete. E' più costosa in quanto c'è la spesa aggiuntiva dell'HUB. I
cavi sono chiamati di Categoria 3 e la connessione alle schede di rete e all'HUB
9/48
avviene tramite connettori di tipo RJ-45, di forma simile a quelli utilizzati per la
telefonia.
100BaseT Fast Ethernet:
Rete a 100Mbit, simile come struttura al tipo 10BaseT. I cavi sono chiamati di
Categoria 5, fanno uso sempre di connettori RJ-45. Gli HUB devono essere
specificatamente progettati per la velocità di 100Mbit. Solitamente le schede di rete
sono in grado di configurarsi anche come 10 Mbit (le cosiddette schede 10/100).
Una rete locale può essere di due tipi: Client-Server oppure Peer-to-Peer
(paritetica). In una rete Client-Server esiste un computer, il Server (solitamente il
più veloce), che mette a disposizione le proprie risorse agli altri computer della rete,
i Client. In una rete paritetica invece, tutti i computer hanno uguale peso, e tutti
possono accedere alle risorse comuni.
Usata nelle tipologie di rete a
ad Anello o a stella con cavo
utp con connettore RG-45
SCHEDA WIRELESS
La scheda wireless è un dispositivo, PCMCIA oppure USB, dotato di antenna che va
inserita nelle stazioni di lavoro. La porta PCMCIA è normalmente presente sui
portatili, mentre per le stazioni di lavoro fisse esiste uno speciale adattatore che
permette di collegare internamente le schede. La velocità di trasmissione è di
11Mbit/sec. Le schede wireless possono comunicare con l’Access Point o
direttamente tra loro
10/48
2.3.
PROTOCOLLO DI TRASMISSIONE
ICMP - Internet Control Message Protocol
Partner di IP con la funzione specifica di inviare, anziché dati, messaggi di controllo
e diagnostici (ad esempio pacchetti ECHO).
UDP - User Datagram Protocol
Questo protocollo si trova ad un livello superiore rispetto ad IP, ed aggiunge alla
semplice funzionalità di trasporto di IP la possibilità di "smistare" i pacchetti nella
macchina di destinazione sulla base di un numero di porta aggiunto all'indirizzo.
Viene controllata l'integrità dei dati attraverso una checksum, ma i pacchetti corrotti
vengono semplicemente buttati via.
PPP - Point to Point Protocol
Permette di trasferire traffico IP su una linea seriale. Creato in particolare per
gestire i collegamenti transitori via modem, comprende meccanismi di autoconfigurazione delle estremità del collegamento e di autenticazione.
TCP - Transmission Control Protocol
Questo è il protocollo di livello superiore ad IP che viene utilizzato più di frequente.
La sua caratteristica è quella di stabilire una connessione fra due applicazioni
identificate, come in UDP, da un numero di porta, e di garantire la trasmissione
senza errori di un flusso di dati. Se vengono ricevuti pacchetti corrotti, il protocollo
richiede la ritrasmissione dei dati a partire dal primo pacchetto corrotto identificato.
TCP implementa anche un timeout per la chiusura delle connessioni interrotte o non
stabilite.
IP - Internet Protocol
Responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un
indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP). Se necessario
questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in
pacchetti di dimensione adatta alla rete da utilizzare. L'indirizzo, o IP address, è un
campo composto da 32 bit. I primi bit permettono di distinguere 5 forme standard
identificate da una lettera del alfabeto, e dette classi. Le prime tre classi dell'IP
address contengono sia l'indirizzo di una rete (netid), sia quello di una macchina
nella stessa (hostid). In realtà l'indirizzo non identifica necessariamente una
macchina, ma una connessione alla rete. Per esempio, un router ha almeno due
indirizzi, avendo connessioni ad almeno due reti. Questo in quanto un router
appartiene a entrambe le reti, e quindi sono necessari due indirizzi dato che un IP
address ha posto per un solo indirizzo di rete. Se l'indirizzo dell'host è 0, allora l'IP
address si riferisce alla rete stessa. Se viceversa tutti i bit riservati all'indirizzo
dell'host sono 1, allora l'indirizzo viene utilizzato per identificare tutti gli host della
rete (broadcasting). Uno speciale indirizzo formato da 32 bit posti a uno è chiamato
local network broadcast address e serve solo in casi molto particolari. Il concetto di
broadcasting è quello della diffusione a tutto raggio, un po' come fa un'emittente
radiofonica. In generale internet interpreta i campi formati da tutti uno come all,
11/48
cioè "tutti", mentre quelli formati da tutti zero come this, cioè "questo", "qui".
Questo per quanto riguarda le classi A, B e C. La classe D è usata per un particolare
tipo di distribuzione dei dati detto multicasting. La classe E è riservata a usi futuri.
Dato che specificare ogni singolo bit di un indirizzo IP sarebbe alquanto poco pratico
e di scarsa leggibilità, la convenzione è quella di leggere ogni ottetto, cioè ogni
gruppo di 8 bit, come un intero, e di separare i quattro ottetti con un punto. Oltre a
i casi speciali già descritti, l'indirizzo di classe A 127.0.0.0 è riservato per un
particolare processo di test che rimanda indietro i dati al mittente senza propagarli
nella rete. Uno dei vantaggi di questo schema è la possibilità da parte dell'organismo
centrale che assegna gli indirizzi (Network Information Center) di delegare ai
responsabili delle singole reti l'assegnazione di una parte dell'indirizzo all'interno
della rete stessa. La cosa avviene un poco come con i numeri di telefono. A livello
internazionale ogni stato ha il suo prefisso internazionale. Per esempio, per l'Italia, è
39. All'interno ogni stato divide il paese in aree geografiche a cui assegna un
ulteriore codice. Per esempio, Roma è identificata dal 6, Milano dal 2, Firenze da 55,
e così via. All'interno poi della provincia o della città possono essere definite
ulteriormente sottoaree a cui si assegnano due, tre o quattro cifre. Per esempio 529
oppure 7054. Infine ogni telefono in tali aree avrà il suo numero. Così, se Mr. Smith
deve chiamare dagli Stati Uniti il signor Mario Rossi abitante all'EUR, a Roma,
comporrà per esempio il numero 011.39.6.529.4467. In questo caso lo 011 serve per
uscire dagli USA, un po' come il nostro 00. Analogamente in internet i numeri di
classe C sono assegnati alla piccole reti, quelle cioè con meno di 256 host, quelli di
classe B alle reti con al massimo 65536 host, e quelli di classe A alle reti con oltre 16
milioni di host. Ogni rete decide poi come suddividere gli indirizzi che gli sono stati
riservati al suo interno come meglio crede. Ovviamente, una internet privata non ha
la necessità di seguire queste regole, né a utilizzare indirizzi assegnati dal NIC, ma il
non farlo potrebbe impedire in futuro la connessione alla TCP/IP Internet. Dato che
l'indirizzo può essere a volte abbastanza ostico da ricordare, è possibili associare a
ogni host anche un nome, che può essere utilizzato come mnemonico per un IP
address, e la cui risoluzione è responsabilità di particolari macchine chiamate name
server. In realtà il name server è un programma software che può girare in
qualunque macchina connessa alla rete, e che mantiene l'associazione tra nomi e
indirizzi IP, fornendo tali corrispondenze quando richiesto da un altro programma
chiamato name resolver. Di fatto, si preferisce far girare il name server su una
macchina dedicata, che prende anch'essa, a questo punto, il nome di name server.
Potete pensare al name server come a una agenda telefonica elettronica, che
contiene una lista parziale di nomi e numeri telefonici. In internet infatti, non esiste
un singolo elenco telefonico, ma tanti name server che cooperano per fornire quello
che è un vero e proprio elenco distribuito. In realtà il sistema funziona in modo
gerarchico, un po' come se una certa agenda contenesse solo i prefissi internazionali
e il puntatore alle agende di ogni singolo stato, le quali a loro volta contengono i
prefissi regionali e i puntatori agli elenchi regionali, e così via, fino ad arrivare
all'agenda che contiene solo le estensioni telefoniche di un singolo edificio.
12/48
2.4.
PROTOCOLLI APPLICATIVI
FTP - File Transfer Protocol
Anche questo fra i primissimi protocolli applicativi ad essere sviluppati. Consente di
trasferire file fra macchine di architettura diversa. I file vengono trattati come file di
testo (7 bit per carattere) oppure come file binari (8 bit per carattere). Non viene
modificato o "tradotto" il contenuto dei file.
HTTP - HyperText Transfer Protocol
E' il protocollo che interconnette quella vastissima collezione di siti Internet
generalmente nota come World Wide Web (WWW). Non ha molta funzionalità in più
rispetto a FTP: permette in più di richiedere l'esecuzione di procedure via rete. E'
però forse oggi il protocollo di alto livello di IP più utilizzato in assoluto, perché
viene utilizzato per veicolare i documenti codificati in HTML (HyperText Markup
Language). E' la funzionalità di questo linguaggio, unita all'interfaccia grafica fornita
dai browser, la vera ragione della praticità d'uso, e quindi del successo di WWW.
SMTP - Simple Mail Transfer Protocol
E' il protocollo utilizzato per trasferire (fra host che "parlano" TCP/IP) i messaggi di
posta elettronica.
POP - Post Office Protocol
Protocollo utilizzato per recuperare i messaggi di posta elettronica conservati su un
host remoto. Nato per permettere l'accesso ai servizi di posta alle macchine non
collegate direttamente ad Internet, viene recentemente sempre più spesso utilizzato
anche su LAN a causa dei problemi legati alla configurazione di un server di posta
"sicuro".
IMAP - Internet Message Access Protocol
Protocollo speculare riespetto a POP: permette di esaminare una casella remota di
posta elettronica senza trasferire i messaggi. L'uso e la sua ragione d'essere sono
sostanzialmente
gli
stessi
di
POP.
PROTOCOLLI PER SESSIONI REMOTE
TELNET
Protocollo basato su TCP (e quindi su IP), finalizzato alla creazione di una sessione
interattiva su una macchina remota, del tutto simile ad una normale sessione di
lavoro su un terminale collegato direttamente alla macchina remota stessa.
E' stato il primo protocollo "applicativo" sviluppato nella suite di IP, ed era come
l'obiettivo principale dell'intero progetto di sviluppo di IP. Viene tuttora utilizzato
per ottenere sessioni remote laddove non vi sia alcuna preoccupazione riguardo alla
sicurezza informatica (il protocollo non prevede infatti alcuna protezione o
crittazione dei dati).
13/48
SSH - Secure Shell
Versione sicura (mediante crittografia a chiave pubblica) di un precedente protocollo
(rsh) che garantiva garantire l'esecuzione di qualsiasi comando su una macchina
remota. Può essere considerato come una estensione di telnet, che rappresenta il
caso particolare nel quale alla macchina remota viene richiesto di eseguire un
interprete di comandi. E' l'alternativa di telnet oggi raccomandata e decisamente
preferibile per tutelare la sicurezza delle informazioni di login.
2.5.
DISPOSITIVI: HUB, SWITCH, ROUTER E ACCESS POINT
Gli hub e gli switch servono a collegare PC, stampanti e altri dispositivi. Gli hub si
differenscono dai switch per il modo in cui avviene la trasmissione del traffico di
rete. Con il termine "hub" ci si riferisce a volte ad un componente
dell'apparecchiatura di rete che collega assieme i PC, ma che in effetti funge da
ripetitore. E questo è perché trasmette o ripete tutte le informazioni che riceve, a
tutte le porte. Gli hub possono essere usati per estendere una rete. Tuttavia ciò può
produrre una grande quantità di traffico superfluo, poiché le stesse informazioni
vengono inviate a tutti i dispositivi di una rete. Gli hub sono adatti alle piccole reti;
per le rete con elevato livello di traffico si consiglia un'apparecchiatura
supplementare di networking (ad es. uno switch che riduce il traffico non
necessario).
Gli switch si avvalgono degli indirizzi di ciascun pacchetto per gestire il flusso del
traffico di rete. Monitorando i pacchetti che riceve, uno switch "impara" a
riconoscere i dispositivi che sono collegati alle proprie porte per poi inviare i
pacchetti solamente alle porte pertinenti. Lo switch riduce la quantità di traffico non
necessario, dato che le informazioni ricevute nella porta vengono trasmesse solo al
dispositivo con il giusto indirizzo di destinazione, e non come negli hub, a tutte le
porte.
14/48
Gli switch e gli hub vengono spesso utilizzati nella stessa rete. Gli hub ampliano la
rete fornendo un numero maggiore di porte, mentre gli switch dividono la rete in
sezioni più piccole e meno congestionate. In una piccola rete, gli hub sono all'altezza
del traffico di rete generato. Quando la rete raggiunge i 25 utenti, occorre eliminare
il traffico non necessario. A tal fine, uno switch adatto suddivide la rete. Alcuni hub
sono dotati di LED che segnalano il tasso di utilizzo della rete, ossia la quantità di
traffico che attraversa la rete. Se il traffico è costantemente alto, può essere
necessario dividere la rete mediante switch.
Per aggiungere hub alla rete, occorre tener presente di alcune regole inerenti il
numero di hub che possono essere collegati assieme. Gli switch possono essere usati
per ampliare il numero di hub della propria rete.
I ROUTER
Instradano i pacchetti attraverso reti multiple o divise in sottoreti. Usano la RAM per
costruirsi una "routing table" basata su indirizzi di rete (es. indirizzi TCP).
Condividono lo stato e le informazioni di routing a gli altri router della rete per
provvedere alla migliore gestione del traffico. Bloccano il broadcast. Sono più lenti
dei bridge a causa delle loro complesse funzioni che eseguono. I router possono avere
multipli percorsi attivi diversi per instradare i dati tra i segmenti della LAN. Non
passano
i
protocolli
non
routabili.
Ricordarsi che: Blocca il Broadcast / Passa solo protocolli routabili es. TCP/IP,
IPX/SPX,DecNet…
15/48
GLI ACCESS POINT
L’Access Point è un trasmettitore radio, operante alla frequenza di 2.4MHz, in grado
comunicare con tutti gli adattatori di rete che si trovano nella sua zona di copertura.
Viene solitamente collegato alla rete locale, con una porta RJ-45, per fare da ponte
(bridge) tra la rete wireless e la rete cablata. La potenza di trasmissione è limitata,
per legge, a 10 mvolt.
2.6.
UNO O PIU’ SERVER
Il Server è utilizzato nelle reti a dominio, sul server si trova il file in cui sono
registrati tutti i dati che consentono agli utenti di accedere alla rete da qualsiasi
client. Il server è il computer che consente a tutti coloro che sono connessi alla rete
di utilizzare le risorse condivise (dati, programmi e dispositivi hardware). Un server è
una macchina dedicata all'amministrazione della rete. È una macchina con una
capacità di calcolo elevata: uno o più processori, dischi rigidi molto veloci, speciali
banchi di memoria, una o più schede di rete con elevato transfer rate, un bel po' di
ventole di raffreddamento in più rispetto ad un computer "normale".
A loro volta anche i server si suddividono in vari tipi che sono:
SERVER DI FILES
È uno dei Server più basilari e conosciuti. Il server di files è un meccanismo
centralizzato che conserva i files necessari a un gruppo di utenti. Infatti si usa questo
Server soprattutto per avere una posizione centralizzata dei files, piuttosto che
disperdere i files in numerose macchine client.
16/48
SERVER WEB
E’ un tipo di server che ha come compito principale quello di fornire contenuti
formattati secondo il linguaggio HTML ai client su richiesta del browser di una
pagina, utilizzando il protocollo http e mediante l’utilizzo di un programma che nel
nostro caso è stato utilizzato APACHE;
SERVER FTP.
FTP (File Transfer Protocol) è un protocollo client/server che consente ad un utente
di trasferire file da e verso un computer remoto della rete. Funziona con il protocollo
TCP ed è comunemente usato su Internet, anche se può essere usato anche su una
LAN. Un Server FTP è un computer che sta eseguendo un software che fa da server
FTP (conosciuto anche come demone ftp o ftpd). I Server FTP privati richiedono un
nome utente o una password. Se si possiedono questi requisiti allora è possibile
accedere al servizio;
SERVER DI STAMPA
La funzione principale di un server di stampa è quella di accettare le richieste di
stampa di tutti i dispositivi connessi, di inserirli in coda e, quindi di spedirli verso la
stampante appropriata;
SERVER DI APPLICAZIONI
È un Server che ospita Software applicativi eseguibili. Per eseguire il software
applicativo, un client stabilisce una connessione attraverso la rete e l’applicativo
opera solo sul server e non sulla macchina client. In più questo tipo di Server può
abilitare il download delle applicazioni ai singoli client così si dà dare la possibilità
al client si eseguire l’applicativo in locale;
SERVER PROXY
Un proxy server è un server che si incarica di caricare le pagine web da internet e le
copia localmente. Tutto questo in modo trasparente rispetto alle nostre richieste. Un
proxy può essere locale, ad esempio per far accedere gli utenti della nostra lan,
oppure può essere in internet fornito magari dal nostro provider di servizi. Si possono
avere più server di questo tipo in cascata. Per la nostra lan può essere fondamentale
visto che gli utenti non accedono direttamente ad internet ma prima al server locale.
In questo modo se una pagina è già stata caricata da un utente si trova in locale e la
navigazione aumenta notevolmente. Oltre a questo possiamo limitare la navigazione
ad esempio configurando il server in modo che gli utenti non possano accedere a
determinati siti o che la navigazione sia completamente libera solo durante la pausa
pranzo. Altra possibilità è avere il controllo dei file caricati e scaricati
automaticamente. Il piatto forte è comunque la velocità e la sicurezza.
Velocità. Questo tipo di server è pensato per fare un’unicamente una cosa quindi il
software caricato e i servizi accessori saranno limitati il più possibile. Il risultato è
che non si butta via velocità in cose inutili ma si utilizzano tutte le risorse per il
caricamento delle pagine che ci servono alla navigazione. Sicurezza. Il proxy è un
filtro tra noi ed internet. Quindi tutti gli attacchi che utilizzano una porta diversa da
quella del proxy sono inefficaci nel nostro caso. Il server è inoltre pensato con
17/48
particolare attenzione alla sicurezza quindi il livello di attaccabilità sarà sicuramente
inferiore al PC o alla rete di PC che sono utilizzati per fare altro
SERVER DHCP
È un server che permette di assegnare dinamicamente gli indirizzi IP, permette di
dare anche altre info di configurazione (es. subnet mask) ai client che lo utilizzano;
Permette tre tipi di configurazione:
automatica;
manuale;
dinamica;
In configurazione automatica il DHCP server assegna un IP address permanente ad un
host che ne fa richiesta;
In configurazione manuale il DHCP server è usato come intermediario per comunicare
all’host l’assegnazione di un IP address permanente decisa dal gestore di rete; In
configurazione dinamica un DHCP server assegna un IP address (tra un insieme di
indirizzi disponibili) ad un host che ne effettua richiesta per un tempo limitato;
Utilizza un processo in quattro fasi per configurare un client:
Discover e Offer;
Quando un client viene inizializzato per la prima volta, richiede il lease di un
indirizzo IP trasmettendo una richiesta tramite broadcast a tutti i server DHCP; Non
avendo un indirizzo IP e non conoscendo l’indirizzo IP di un server DHCP, il client
0.0.0.0 come indirizzo IP d’origine e 255.255.255.255 come IP destinazione; La
richiesta di lease viene inviata in un messaggio DHCP Discover, che contiene anche
l’indirizzo MAC e il nome del client Tutti i server DHCP che ricevono la richiesta e
dispongono di una configurazione valida per il client inviano tramite broadcast
un’offerta che include le seguenti info: MAC del client; un’offerta di indirizzo IP;
subnet mask; durata del lease; La trasmissione avviene tramite broadcast perché il
client non ha ancora un indirizzo IP; L’offerta viene inviata come messaggio DHCP
Offer; Il client DHCP seleziona l’indirizzo IP dalle offerte ricevute; Se non riceve
offerte il client non potrà essere inizializzato e ritrasmetterà la richiesta tramite
broadcast per tre volte; Se non riceve alcuna offerta dopo 4 richieste, il client
riproverà ogni 5 minuti;
Request e Ack;
Dopo aver ricevuto un’offerta da almeno un server DHCP, il client comunica tramite
broadcast a tutti i server DHCP che ha eseguito una selezione accettando l’offerta;
La selezione del lease viene inviata come messaggio DHCP Request e include
l’indirizzo IP del server di cui è stata accettata l’offerta; A questo punto, tutti gli
altri server DHCP ritirano le rispettive offerte in modo che gli indirizzi IP
corrispondenti siano disponibili per una successiva richiesta di lease IP; Il server
18/48
DHCP di cui è stata accettata l’offerta invia al client tramite broadcast un
riconoscimento di operazione riuscita sotto forma di messaggio DHCP ACK. Se il client
cerca di ottenere il lease dell’indirizzo IP precedente e questo non è più disponibile,
viene inviato tramite broadcast un riconoscimento di operazione non riuscita
mediante il messaggio DHCP NACK; Se un client riceve un NACK ricomincia il processo
di configurazione
SERVER DI POSTA ELETTRONICA
Questo chiamato, nella maggior parte delle configurazioni anche server SMTP, ossia
server SIMPLE MAIL TRANSFER PROTOCOL (Semplice protocollo per il traferimento di
posta). Facciamo un piccolo passo indietro. Quando noi prepariamo una e-mail, cosi
come quando prepariamo una lettera, scriviamo il destinatario. Questo è composto
da due parti, la prima parte il nome dell'utente, e la seconda il dominio. Quando
inviamo l'email il server di posta, legge il dominio di destinazione, e richiede ad un
altro servizio, il DNS di cui parliamo nella relativa sezione, di convertirlo nel relativo
indirizzo IP, naturalmente solo se questo dominio è valido ed attivo. Una volta
venuto a conoscenza dell'indirizzo IP il server di posta invia il messaggio al server
SMTP del destinatario. A questo punto è stata compiuta meta' dell'opera. Infatti il
server SMTP del destinatario, ora deve capire a chi assegnare il messaggio appena
ricevuto. Come fa? Semplicissimo, legge la prima parte dell'indirizzo e-mail, ossia il
nome. A questo punto consegna il messaggio di posta elettronica nell'area protetta
del destinatario. Il messaggio a questo punto è stato consegnato
SERVER DNS
Il DNS (Domain Name Service) è un server che usa un protocollo che permette di
ottenere l'indirizzo IP di un host collegato in rete , partendo dal nome con cui l'host
è noto sulla rete. A questo scopo DNS utilizza un database distribuito che organizza i
nomi degli host secondo una organizzazione gerarchica strutturata ad albero. Ogni
nodo dell'albero (che non sia una foglia) costituisce un'unità organizzativa chiamata
dominio. Un dominio a sua volta può contenerer sottodomini , che a loro volta
possono contenerne altri e così via. Sotto un dato dominio vengono raggruppati tutti i
nodi che soddisfano ad un qualche criterio di appartenenza, per es. tutti i siti di
un'università, di una banca o di una certa organizzazione o quelli di una certa area
geografica.
19/48
La
struttura
DNS
è
illustrata
schematicamente
in
figura
Ogni nodo, ad esclusione della radice, è contrassegnato da un nome di max 63
caratteri e deve essere unico al suo livello. I nomi di domini di primo livello, (TLD
,Top Level Domain) sono di 3 o 2 caratteri. Essi comprendono:
com, Organizzazioni commerciali
edu, Istituzioni educational (scuole, istituti di formazione, etc..)
gov, Istituzioni governative
int, Organizzazioni internazionali
mil, Istituzioni militari
net, Organizzazioni inerenti le reti
org, Organizzazioni non-profit
domini geografici, it(Italia), fr (Francia) uk(Inghilterra) etc...
I nomi sotto un dominio sono registrati su speciali server chiamati Name Server o
Server DNS Ogni server DNS conosce i nomi e gli indirizzi di tutte le macchine del
livello sottostante. Per es. un server com conosce tutte le macchine del secondo
livello e così via. I server DNS che mantengono tutte le informazioni sulla loro zona di
competenza sono chiamati server "authoritative". Tali informazioni sono
memorizzate in strutture chiamate Resource Record (RR) Per rendere più efficiente
questo meccanismo, ogni server DNS memorizza nella propria cache l'informazione
sul dominio di appartenenza, in modo tale da girare subito una successiva richiesta
DNS è un protocollo client- server che utilizza UDP (porta 53). Il client viene
chiamato resolver il server è il server DNS. Il resolver effettua richieste sempre
ricorsive mentre i server dei provider sono ricorsivi nei confronti dei propri clienti e
iterativi verso i server di livello più alto.
20/48
2.7.
I CLIENT
Con il termine Client-host in una rete viene indicato il singolo utente o postazione.
3. IL MODELLO ISO / OSI
I vari aspetti del sistema di protocolli TCP/IP si possono apprendere mano a mano
che si studiano gli indirizzamenti e i servizi di rete che vengono resi disponibili. In
questa fase conviene rivedere il modello OSI/ISO in abbinamento al TCP/IP.
Modello OSI/ISO di suddivisione delle competenze di un
sistema TCP/IP
Livello
7
Definizione
Applicazione
6
Presentazione
5
Sessione
4
3
Trasporto
Rete
2
Collegamento
dati
1
Fisico
Descrizione
Applicazioni
Definizione standard del
formato dei dati utilizzati.
Protocolli dei servizi: FTP,
HTTP, SMTP, RPC, ...
Protocolli TCP e UDP
Protocollo IP
Trasmissione e ricezione
dati dipendente dal tipo
di hardware
Hardware
Livello 1 - Fisico
Perché si possa avere una connessione con altri computer, è necessario inizialmente
un supporto fisico, solitamente composto da un cavo e da interfacce di
comunicazione. La connessione tipica in una rete locale è fatta utilizzando hardware
Ethernet. Il cavo o i cavi e le schede Ethernet appartengono a questo primo livello.
Livello 2 - Collegamento dei dati
Il tipo di hardware utilizzato nel primo livello determina il modo in cui avviene
effettivamente la comunicazione. Nel caso dell'hardware Ethernet, ogni scheda ha un
proprio indirizzo univoco (stabilito dal fabbricante) composto da 48 bit e solitamente
rappresentato in forma esadecimale,
21/48
Livello 3 - Rete
Per poter avere un tipo di comunicazione indipendente dal supporto fisico utilizzato,
è necessaria una astrazione che riguarda il modo di inviare blocchi di dati e
l'indirizzamento di questi. Questo è quindi il livello del protocollo IP, attraverso il
quale vengono definiti gli indirizzi. I pacchetti che vengono utilizzati a questo livello
si chiamano datagram e come tali contengono solo informazioni legate agli indirizzi
IP e non a quelli fisici di competenza del livello inferiore. Quando un datagram è più
grande della dimensione massima di un pacchetto trasmissibile in quel tipo di rete
fisica utilizzata, è il protocollo IP che si deve prendere cura di scomporre il datagram
in segmenti più piccoli e di ricombinarli correttamente alla destinazione.
Livello 4 - Trasporto
A questo livello appartengono i protocolli di comunicazione che si occupano di
suddividere i dati da inviare in datagram e di ricomporli all'arrivo. I protocolli
principali di questo livello sono TCP (Transmission Control Protocol) e UDP (User
Datagram Protocol). Il protocollo TCP, oltre alla scomposizione e ricomposizione dei
dati, si occupa di verificare e riordinare i dati all'arrivo: i datagram perduti o errati
vengono ritrasmessi e i dati finali vengono ricomposti. Il protocollo UDP, invece, non
esegue alcun controllo.A questo livello si introduce, a fianco dell'indirizzo IP, il
numero di porta, o socket. Il percorso di un datagram ha un'origine identificata dal
numero IP e dalla porta e una destinazione identificata da un altro numero IP e dalla
porta. Le porte identificano dei servizi concessi o richiesti e la gestione di questi
riguarda il livello successivo.
Livello 5 - Sessione
Ogni servizio di rete (condivisione del filesystem, posta, FTP, ...) ha un proprio
protocollo, porte di servizio e un meccanismo di trasporto (quelli definiti nel livello
precedente). Ogni sistema può stabilire le proprie regole, anche se in generale è
opportuno che i computer che intendono comunicare utilizzino le stesse porte e gli
stessi tipi di trasporto.
Livello 6 - Presentazione
I dati che vengono inviati utilizzando le sessioni del livello inferiore, devono essere
uniformi, indipendentemente dalle caratteristiche fisiche delle macchine che li
elaborano. A questo livello si inseriscono normalmente delle librerie in grado di
gestire una eventuale conversione dei dati tra l'applicazione e la sessione di
comunicazione.
Livello 7 - Applicazione
L'ultimo livello è quello dell'applicazione che utilizza le risorse di rete. Con la
suddivisione delle competenze in così tanti livelli, l'applicazione non ha la necessità
di occuparsi della comunicazione, e così anche l'utente, in molti casi, può anche non
rendersi conto della presenza di questa.
22/48
4. IL MODELLO TCP
Il Transmission Control Protocol (TCP), si assume la responsabilità di instaurare un
collegamento tra due utenti, di rendere affidabile il trasferimento di dati e comandi
tra essi ed infine di chiudere la connessione. Esso è capace di trasferire un flusso
continuo di dati fra due utenti in entrambe le direzioni (full-duplex), decidendo
quando
bloccare
o
continuare
le
operazioni
a
suo
piacimento.
Poiché il TCP fa veramente poche assunzioni riguardo l'hardware sottostante, è
possibile implementarlo sia su una singola rete come una ethernet sia su un
complesso
variegato
quale
l'internet.
Tale protocollo, come l'UDP, si colloca, nel modello a strati, sopra l'Internet Protocol
Layer (IP), che gestisce il trasferimento e l'instradamento del singolo pacchetto fino
a destinazione, ma, come ulteriore funzionalità, tiene una traccia di ciò che è stato
trasmesso ed eventualmente ritrasmette quella parte di informazione che è andata
perduta lungo il tragitto.
Come l'UDP, il TCP permette a più programmi applicativi su una stessa macchina di
comunicare contemporaneamente, e demultiplexa il traffico dei pacchetti in ingresso
a tali programmi; usa i numeri di porta per identificare la destinazione finale
all'interno di una macchina. La fondamentale differenza con l'UDP è che il TCP
garantisce un servizio di trasporto affidabile (Reliable Delivery Service), ponendo
rimedio alle cause di inaffidabilità proprie dell'IP (duplicazione e perdita di dati,
caduta di rete, ritardi, pacchetti ricevuti fuori ordine, etc.), anche se ciò comporta
una implementazione più complessa. L'importanza dell'affidabilità del flusso
permessa da tale protocollo è il motivo per cui il complesso del protocollo TCP/IP ha
tale nome.
23/48
5. LABORATORIO DI PROGETTO E SVILUPPO
Sulla base di tali conoscenza sopra espresse ed acquisite durante le ore teoriche del
corso, si e’ passati alla fase di laboratorio e quindi alla realizzazione fisica della
rete. Si e’ stilata una lista dei componenti necessari alla realizzazione della rete
stessa qui di seguito indicata:
N°3 server con le seguenti caratteristiche:
N° 2 hard disk da 80 Gb
1024 MB di Ram
scheda madre per Pentium 4
processore Intel pentium 4 da 2.4 GHz
scheda video da 64 MB
lettore cd-rom
lettore floppy
N°3 postazioni client:
N° 1 hard disk da 80 Gb
MB di Ram
scheda madre per Pentium 4 o AMD
processore Intel pentium 4 da 1.0 GHz o AMD equivalente
lettore cd-rom
lettore floppy
N° 1 Switch 10/100 da 8 porte;
N° 1 Firewall Software;
N° 1 Router;
N° 1 Matassa cavo utp cat. 5;
N° 14 Plug RJ 45;
N° 1 Spellafili;
N° 1 Forbici;
N°1 Pinza Crimpatrice.
24/48
Si e’ proceduto alla realizzazione della rete secondo il processo evidenziato dalle
seguenti fasi:
FASI PRATICHE DI LABORATORIO
ANALISI E PROGETTAZIONE DELLA RETE
COSTRUZIONE DEI CAVI NECESSARI
TEST CON OMNISCANNER CON
CERTIFICAZIONE
VERIFICA DEI PARAMETRI NECESSARI
CALCOLO DELLA MASCHERA DI RETE (SUBNET)
LATO SERVER
INSTALLAZIONE S.O. WIN2003 SERVER
CONFIGURAZIONE PARAMETRI
LIVE UPDATE S.O
INSTALLAZIONE SERVER DNS
CREAZIONE NUOVO PROFILO
HARDWARE
CREAZIONE DOMINIO
CREAZIONE RAID MIRROR
INSTALLAZIONE ACTIVE DYRECTORY
25/48
CREAZIONE UTENTI DI DOMINIO
CREAZIONE REGOLE DI ACCESSO
(POLICY)
CREAZIONE E ASSEGNAZIONE QUOTE
UTENTI
INSTALLAZIONE NAV DI RETE
AGGIORNAMENTI NAV DI RETE
LATO CLIENT
INSTALLAZIONE S.O WINDOWS XP
CONFIGURAZIONE PARAMETRI DI
RETE
INSTALLAZIONE NAV CLIENT
26/48
INSTALLAZIONE FIREWALL SOFTWARE ASTARO
CONFIGURAZIONE PARAMETRI DELLE
INTERFACCIE DI RETE
CONFIGURAZIONE SERVER DHCP
CONFIGURAZIONE SEVER PROXY
CREAZIONE REGOLE DI PACKET FILTER
INSTALLAZIONE SERWER WEB APACHE
ASSEGNAZIONE PARAMETRI DI RETE
CREAZIONE E PUBBLICAZIONE PAGINA WEB
27/48
5.1.
ANALISI E PROGETTAZIONE DELLA RETE
Questa fase riguarda l’analisi dei componenti e dell’architettura di rete da
adoperare, si è deciso di creare una rete composta da 3 client e 3 server,
appartenenti a un dominio implementato con ACTIVE DIRECTORY su sistema
operativo WINDOWS 2003 Server, con tipologia di rete con collegamento a stella.
5.2.
REALIZZAZIONE DEI CAVI NECESSARI
Questa fase riguarda la costruzione dei cavi necessari a collegare i componenti
presenti nella rete secondo le normative EIA/TIA 568A. Dopo una attenta analisi i
cavi necessari per la realizzazione dei collegamenti risultano essere 6 di tipo dritto di
categoria 5E, necessari al collegamento di tutti gli apparati della rete e 1 di tipo
cross per il collegamento del router con lo switch, l’assemblaggio è stato effettuato
secondo lo schema standard previsto dalla normativa sopra riportata.
5.3.
TEST DI VERIFICA CON OMNISCANNER CON RILASCIO DI CERTIFICAZIONE
Questa fase riguarda la certificazione dei cavi precedentemente realizzati tramite un
tester di rete chiamato omniscanner, che certifica la tratta secondo i 10 test
prescritti dalla normativa EIA/TIA 568A. Alcuni test effettuati sono: wiremap;
attenuazione del segnale; rumore ecc…
Si allega a titolo indicativo la certificazione di una tratta.
28/48
29/48
5.4.
VERIFICA DEI PARAMETRI NECESSARI
Dopo la fase di analisi si è proceduto alla scelta della classe di indirizzamento. Si è
scelto di utilizzare indirizzi privati di classe “C” perché nella rete, prevedendo una
espansione futura, il numero di host sarà sempre inferiore al numero massimo
previsto dalla classe cioè “254”. Nella tabella che segue, sono riportate le diverse
classi di indirizzi che spiegano ulteriormente la motivazione della nostra scelta.
IP PUBBLICI
Classe
Da
A
1.x.x.x
A
126.x.x.x
Max reti
126
Max nodi
16.387.064
B
128.1.x.x
191.254.x.x
16.256
64.516
C
192.1.1.x
223.254.254.x
2.064.512
254
D
240.x.x.x
254.x.x.x
IP PRIVATI
Classe
Da
A
10.0.0.x
A
10.255.255.255
A
127.0.0.x
127.254.254.254
B
172.16.x.x
172.31.255.255
C
192.168.0
.0
192.168.255.255
Note
Usato
per
poche grandi
reti
Solitamente
usato per le
reti di media
dimensione
(università,
grosse
aziende)
Usato per le
reti di piccole
dimensioni
Attualmente
indefiniti
note
Usato per poche reti private ma spesso se
ne vede l’utilizzo nelle interfacce pointto-point di connessioni pubbliche ad
opera di provider che desiderano
“risparmiare” gli IP che hanno a
disposizione
Servono come loopback (Indirizzo del
computer locale utilizzato per il routing
di pacchetti in uscita verso il computer di
origine. Questo indirizzo viene utilizzato
principalmente per attività di verifica
funzionale.):i dati spediti da un
computer a questi indirizza vengono in
realtà inviati a se stesso
Solitamente usato per le reti di m,edie
dimensioni (università, grosse aziende)
Normalmente utilizzati per le reti private
di piccole dimensioni
30/48
5.5.
CALCOLO DELLA MASCHERA DI RETE (SUBNET)
La subnet mask o netmask è una maschera a 32 bit che ogni host o router utilizza per
determinare se un indirizzo IP appartiene ad una rete o sottorete. La subnet mask è
composta da una sequenza di 1 lunga quanto il campo NETWORK ID + l'eventuale
Subnet ID. Il resto dei bit è posto a 0. Il procedimento adottato consiste
nell'effettuare un AND bit a bit fra l'indirizzo IP e la maschera.
Per esempio la subnet mask della rete 192.168.12.0 non partizionata è
subnet mask = 11111111.11111111.11111111.00000000
in decimale 255.255.255.0
Se la rete è partizionata come sopra, avremo
subnet mask = 11111111.11111111.11111111.11000000
in decimale 255.255.255.192
LA NOSTRA SUBNET E’ = 11111111.11111111.11111111.11110000
in decimale 255.255.255.240
Con la maschera di rete da noi utilizzata è possibile realizzare 16 sottoreti ognuno
delle quali ha 16 host. Dato che, il numero di client è 3 e il numero di server è pari a
3, abbiamo utilizzato la sottorete: 192.168.1.0 – 192.168.1.15
Per il collegamento tra il router (192.168.0.1) ed l’interfaccia esterna del firewall
(192.168.0.2) si è utilizzata una subnet pari a 255.255.255.252 perché tale netmask
ottimizza il numero di host utilizzabili ossia 2.
DI seguito si riporta lo schema topologico della rete LAN.
31/48
Dopo la fase di analisi sono stati interconnessi tra di loro gli apparati passivi e attivi
della rete, procedendo successivamente alle prime verifiche funzionali della rete
tramite gli strumenti di diagnostica di base: ping – traceroute.
Si è così dato inizio alle fasi di configurazione dal lato client e server.
6. CONFIGURAZIONE LATO CLIENT
6.1.
INSTALLAZIONE DEL S.O.
I sistemi operativi che sono stati installati sui client sono: Windows Xp e Windows
2000 i quali permettono ai client l’inserimento nel dominio e l’utilizzo delle risorse
presenti nella rete.
32/48
6.2.
CONFIGURAZIONE DEI PARAMETRI DI RETE
I tre client sono stati messi in rete attraverso l’assegnazione degli indirizzi IP tramite
DHCP in maniera dinamica e l’inserimento manuale dell’indirizzo IP del Server Proxy
per consentire ai client stessi di poter navigare su WEB.
6.3.
INSTALLAZIONE NORTON ANTIVIRUS CLIENT (NAV)
Questa fase riguarda la messa in sicurezza della parte relativa ai client (Host
Security) che rappresenta la protezione dei singoli Host mediante l’installazione di
un client antivirus sugli stessi. Questa procedura viene garantita dall’aggiornamento
costante tramite l’aiuto da parte del server che fornisce le informazioni necessarie
per aggiornare e mantenere sicuro il client.
7. CONGIGURAZIONE LATO SERVER
7.1.
INSTALLAZIONE DEL S.O.
Il sistema operativo installato è Windows 2003 SERVER il quale permette la gestione
del dominio e di tutti i servizi di rete mediante l’installazione di active directory.
7.2.
LIVE UPDATE S.O.
Questa procedura viene effettuata una volta installato il S.O. per mantenere
costantemente aggiornato lo stesso mediante l’istallazione delle patch o service
pack rilasciate dalla casa produttrice su eventuali bug o errori riscontrati. Tali bug
possono minare la sicurezza e la stabilità del sistema in quanto posso essere sfruttati
da hacker o pirati informatici per accedere al sistema o minarne la stabilità
mediante attacchi per esempio di tipo DoS. A titolo indicativo si pensi all’effetto che
avuto il virus Blaster nel mondo, virus che sfruttava una vulnerabilità del sistema
operativo mandando in overflow la memoria e forzando l’arresto del pc per
consentire lo svuotamento della stessa.
33/48
7.3.
CREAZIONE NUOVO PROFILO HARDWARE
Questo procedimento viene effettuato per avere una maggiore sicurezza sulla
macchina server in casi di anomalie, in modo tale da poter far ripartire la macchina.
Infatti sul server per motivi di sicurezza vengo disabilitati alcuni servizi che
usualmente sono di default, qualora si dovessero riscontrare problemi con alcuni
servizi si è in grado di far ripartire la macchina. E’ il metodo principale per
ripristinare lo stato iniziale dl sistema.
7.4.
CREAZIONE RAID MIRROR
Questa operazione può essere effettuata in diversi modi: software e/o hardware. Di
seguito sono indicati i vari livelli del raid:
I LIVELLI RAID:
RAID = Redundant Array of Inexpensive Disks
Windows 2000/03 server supporta il RAID 0, 1 e 5.
RAID 0 – Striping (Supportato da NT Server)
Disk Striping divide i dati in blocchi di 64k e li distribuisce in ugual misura su tutti i
dischi nell'array.
Non è fault tolerant.
RAID 1 – Mirroring e Duplexing (Supportato da NT Server)
Disk Mirroring: Duplica una partizione in un altro disco fisico connesso allo stesso
controller.
Disk Duplexing: Duplica una partizione in un altro disco fisico che è connesso ad un
altro controller.
RAID 2
Disk Striping w/ ECC. I blocchi di dati e le informazioni di parità vengono distribuiti
per tutti gli hard-disk dell'array con il controllo degli errori (error checking).
RAID 3
Disk Striping w/ ECC I dati vengono distribuiti per tutti gli hard-disk dell'array ma usa
un solo hard-disk per la memorizzazione delle informazioni di parità.
RAID 4
Disk Striping con blocchi grandi. I blocchi di dati vengono distribuiti per tutti gli harddisk usando grandi blocchi.
34/48
RAID 5 – Striping con parità (Supportato da NT Server)
Suddivide i dati e le informazioni di parità in modo uniforme su tutti i dischi.
Il raid che è stato utilizzato sul server è di livello 1(mirror) al fine di garantire un
minimo grado di fault tollerance. Il raid è stato creato mediante software senza
nessun controller raid hardware.
7.5.
CONFIGURAZIONRE DEI PARAMETRI DI RETE
Ai server sono stati assegnati degli indirizzi IP statici inseriti in maniera manuale nel
seguente ordine: 192.168.1.14 per il server controller di dominio, il 192.168.1.13 per
il server web, il 192.168.1.1 per il server proxy (interfaccia interna/porta 8080).
7.6.
INSTALLAZIONE SERVER DNS
Questa è una delle fasi fondamentali nella realizzazione della rete, in quanto
riguarda l’installazione di uno dei servizi fondamentali per il funzionamento del
collegamento a internet dei vari client. Tale servizio riguarda proprio la possibilità di
uscire fuori e navigare all’esterno. Il Servizio in questione ha come compito
principale la conversione delle richieste di ogni singolo client verso l’esterno di
pagine Web da alfanumerico in numerico e viceversa perché come sappiamo ogni
pagina Web fa riferimento ad un numero anzi ad un indirizzo IP. L’installazione del
servizio DNS viene effettuata nel server che presenta già la funzione o meglio il
servizio di controller di dominio, e nell’installare tale servizio viene chiesto se si
vogliono installare delle zone chiamate diretta e inversa, che hanno il compito
descritto sopra quella diretta (conversione da alfanumerico a numerico) e inversa (da
numerico ad alfanumerico), le quali possono fare riferimento sia ad un servizio
interno che esterno.
7.7.
ACTIVE DIRECTORY
Active Directory è un componente essenziale dell'architettura di rete di Windows
2000/2003 che integra l'architettura di dominio di Windows NT 4 in modo da fornire
un servizio di directory appositamente progettato per ambienti di rete distribuiti.
Active Directory consente alle aziende di condividere e gestire in modo efficiente le
informazioni relative agli utenti e alle risorse di rete. Active Directory costituisce
l'autorità centrale preposta alla protezione della rete che consente al sistema
operativo di verificare rapidamente l'identità dell'utente e controllarne l'acceso alle
risorse di rete. Altrettanto importante è la funzione svolta da Active Directory per
l'integrazione dei sistemi e per il consolidamento delle attività di gestione.
35/48
Grazie a tutte queste funzionalità, le aziende sono in grado di impiegare per le
applicazioni e le risorse di rete distribuite regole standardizzate a livello aziendale,
senza la necessità da parte degli amministratori di gestire una vasta gamma di
directory specifiche.
Funzionamento di Active Directory
Organizzazione gerarchica
Per rappresentare le diverse risorse di rete, quali singoli utenti e gruppi, sistemi,
periferiche e applicazioni, Active Directory utilizza degli oggetti. Per rappresentare
interi dipartimenti, quali il reparto di marketing, o raccolte di oggetti correlati, quali
le stampanti, vengono invece utilizzati dei contenitori. Le informazioni vengono
organizzate in una struttura ad albero comprendente oggetti e contenitori,
analogamente a quanto avviene nel sistema operativo Windows, in cui vengono
utilizzati cartelle e file per organizzare le informazioni su un computer.
36/48
Active Directory gestisce inoltre le relazioni tra oggetti e contenitori in modo da
fornire un'unica prospettiva globale centralizzata. Questo contribuisce a semplificare
il reperimento, la gestione e l'utilizzo delle risorse in una rete altamente distribuita.
L'organizzazione gerarchica di Active Directory è flessibile e configurabile e consente
alle aziende di organizzare le risorse in modo da ottimizzarne la semplicità di utilizzo
e di gestione.
Nella figura sopra riportata, i contenitori rappresentano utenti, sistemi, periferiche
e applicazioni. I contenitori possono essere annidati (ovvero inseriti l'uno nell'altro)
in modo da rispecchiare esattamente la struttura organizzativa dell'azienda. In
questo caso, i contenitori relativi al reparto di marketing e a quello del personale
rappresentano i rispettivi dipartimenti e le relazioni tra questi all'interno
dell'azienda. Il raggruppamento degli oggetti in una directory consente agli
amministratori di gestire gli oggetti globalmente (come raccolte) anziché
singolarmente. Questo contribuisce a ottimizzare l'efficienza e l'accuratezza
consente al tempo stesso di uniformare la gestione della rete ai processi aziendali.
Vantaggi di Active Directory
Grazie alla completa integrazione con Windows 2000 Server, Active Directory mette
a disposizione di amministratori, sviluppatori e utenti di rete un servizio di directory
che presenta i seguenti vantaggi:
gestione semplificata
maggiore protezione della rete
ottimizzazione dei sistemi esistenti grazie ad un'estesa interoperabilità.
Gestione semplificata
I sistemi distribuiti spesso richiedono interventi di gestione lunghi e ripetitivi.
Quando le aziende inseriscono nella propria infrastruttura nuove applicazioni e
assumono altro personale, devono distribuire adeguatamente il software alle singole
postazioni di lavoro e gestire le directory delle diverse applicazioni. Il servizio Active
37/48
Directory consente di ridurre in modo significativo i costi di gestione fornendo
un'unica posizione da cui gestire gli utenti, i gruppi e le risorse di rete. Permette
inoltre di distribuire il software e gestire le configurazioni dei desktop. Con Active
Directory, ad esempio, le aziende possono gestire insieme le informazioni relative
agli utenti di Windows 2000 e quelle delle cassette postali di Microsoft Exchange.
Active Directory consente inoltre alle aziende di semplificare la gestione grazie alle
seguenti caratteristiche:
Eliminazione delle attività di gestione ripetitive: viene fornita un'unica posizione da
cui gestire i client, i server, le applicazioni e gli account utente di Windows e la
possibilità di effettuare la sincronizzazione con le directory esistenti.
Riduzione degli interventi diretti sui sistemi desktop: è possibile effettuare
automaticamente la distribuzione del software agli utenti in base al ruolo ricoperto
all'interno dell'azienda, eliminando o riducendo il numero di interventi diretti degli
amministratori dei sistemi necessari per l'installazione e la configurazione del
software.
Ottimizzazione delle risorse IT: le funzioni amministrative possono essere delegate in
modo sicuro a tutti i livelli dell'azienda.
Riduzione del costo totale di possesso (TCO, Total Cost of Ownership): vengono
semplificate le attività di gestione e l'utilizzo dei servizi per la gestione dei file e
della stampa grazie alla maggiore facilità di reperimento, configurazione e utilizzo
delle risorse di rete.
Grazie all'organizzazione gerarchica degli utenti e delle risorse di rete, Active
Directory consente agli amministratori di disporre di un'unica posizione da cui gestire
gli account utente, i client, i server, e le applicazioni. Questo riduce il numero di
interventi di gestione ripetitivi e fornisce una maggiore accuratezza grazie alla
possibilità per gli amministratori di gestire contenitori o gruppi di oggetti anziché
singoli oggetti.
38/48
Active Directory consente agli amministratori di delegare determinati privilegi
amministrativi e specifiche attività a singoli utenti e gruppi allo scopo di ottimizzare
l'utilizzo delle risorse di amministrazione dei sistemi. Come illustrato nella Figura 4
sopra riportata, determinate attività di gestione, quali la reimpostazione delle
password utente, possono essere delegate agli amministratori del reparto di
marketing. Altre funzioni che presuppongono privilegi maggiori, quali la funzione di
creazione degli utenti, possono invece essere riservate agli amministratori IT.
Active Directory consente inoltre di distribuire automaticamente il software agli
utenti in base al ruolo svolto all'interno dell'azienda. In un'azienda è ad esempio
possibile specificare che tutti gli utenti del contenitore relativo al personale abbiano
a disposizione l'applicazione per la gestione delle risorse umane indipendentemente
dalla postazione da cui accedono alla rete. Active Directory memorizza questa
informazione a livello centrale e utilizza le tecnologie di gestione IntelliMirrorTM per
installare automaticamente le applicazioni assegnate e garantire ovunque l'accesso
agli utenti che cambiano spesso postazione.
Oltre a semplificare la gestione della rete per gli amministratori, Active Directory
facilita anche l'utilizzo della rete da parte degli utenti, che possono ad esempio
ricercare direttamente nella directory risorse di rete quali le stampanti. Poiché è
possibile archiviare nella directory gli attributi relativi agli oggetti, è possibile
archiviare anche l'ubicazione e le funzionalità delle stampanti dell'azienda e
utilizzare tali attributi come criteri di ricerca. L'utente può quindi ricercare
"stampanti a colori nell'edificio 6" utilizzando direttamente il menu di avvio di
Windows. La directory fornisce inoltre al sistema operativo del sistema desktop un
collegamento con tutte le informazioni di configurazione necessarie per
l'impostazione di una nuova stampante, in modo da consentire agli utenti di
individuare immediatamente e utilizzare la stampante desiderata.
Maggiore protezione
Per le reti aziendali è indispensabile potersi avvalere di sistemi di protezione validi e
coerenti. La gestione dell'autenticazione utente e del controllo di accesso si rivela
spesso un'operazione noiosa, nel corsa della quale è facile commettere errori. Active
Directory centralizza la gestione e promuove una protezione basata sui ruoli
coerente con i processi aziendali. Se ad esempio si utilizza il supporto per sistemi di
autenticazione multipla, quali Kerberos, certificati X.509 e smart card, insieme a un
modello flessibile per il controllo degli accessi, si otterranno servizi di protezione
potenti e coerenti per gli utenti interni, per quelli che utilizzano una connessione
remota e per i clienti esterni che usufruiscono delle soluzioni per il commercio
elettronico. Per offrire la massima protezione, Active Directory utilizza ad esempio
gli strumenti riportati di seguito.
Migliore protezione e gestione delle password: viene messa a disposizione un'unica
procedura di accesso alle risorse di rete grazie a potenti servizi di protezione
integrati e trasparenti per gli utenti finali.
Massima funzionalità dei sistemi desktop: in base al ruolo dell'utente finale, viene
impedito l'accesso alle configurazioni dei sistemi desktop e a specifiche operazioni
dei sistemi client, quali l'installazione del software o la modifica dei registri di
configurazione.
39/48
Rapido sviluppo del commercio elettronico: grazie all'integrazione del supporto per
protocolli Internet standard sicuri e meccanismi di autenticazione quali Kerberos, PKI
(Public Key Infrastructure) e LDAP (Lightweight Directory Access Protocol) su SSL.
Rigorosi controlli sulla protezione: grazie all'impostazione di privilegi per il controllo
dell'accesso agli oggetti della directory e ai singoli elementi dati che li costituiscono.
Interoperabilità estesa
Molte aziende utilizzano un insieme di tecnologie diverse in interazione tra loro. Di
conseguenza, numerose reti aziendali dispongono di una gamma altrettanto vasta di
directory diverse di server di posta elettronica, di applicazioni, di periferiche di rete,
di firewall, di applicazioni di commercio elettronico e altro ancora. Active Directory
fornisce diverse interfacce standard che garantiscono l'integrazione delle
applicazioni e meccanismi di sincronizzazione aperti che assicurano l'interoperabilità
dell'ambiente Windows con un'ampia gamma di applicazioni e periferiche. Active
Directory è in grado di offrire un'interoperabilità estesa grazie alle seguenti
caratteristiche:
Ottimizzazione dell'utilizzo degli investimenti esistenti e massima flessibilità.
L'utilizzo di interfacce basate sugli standard per tutte le funzionalità consente di
ottimizzare l'utilizzo degli investimenti e garantisce la massima flessibilità per future
applicazioni e infrastrutture.
Consolidamento della gestione delle directory di applicazioni diverse. L'utilizzo di
interfacce, connettori e meccanismi di sincronizzazione aperti consente alle aziende
di consolidare le directory delle applicazioni, quali le applicazioni NDS Novell, LDAP,
ERP, di posta elettronica e applicazioni di importanza strategica di altro tipo.
Implementazione di sistemi di rete predisposti all'utilizzo della directory. Le
periferiche di rete dei principali produttori, quali Cisco e 3COM, utilizzano la
directory per assegnare agli utenti larghezza di banda e qualità dei servizi in base al
ruolo ricoperto all'interno dell'azienda.
Sviluppo e implementazione di applicazioni predisposte all'utilizzo della directory.
L'architettura completamente estensibile della directory consente agli sviluppatori di
creare applicazioni in grado di fornire funzionalità personalizzate in base alle
esigenze dell'utente finale.
7.8.
CREAZIONE DEGLI UTENTI DI DOMINIO
Questa è la fase che viene fatta dopo la creazione del dominio e comporta la
creazione degli account di login dei singoli utenti che potranno accedere alle risorse
di rete e al dominio, mediante l’assegnazione ad ogni di essi, da parte del Network
Administrator, di una USER (account di login) e una PASSWORD (chiave d’accesso).
Tali parametri di autenticazione sul dominio devono rispettare determinate regole
ben precise in termini di sicurezza. Infatti nel nostro caso si è deciso di creare una
USER composta dalle tre lettere iniziali del nome con le tre lettere iniziali del
40/48
cognome mentre la creazione di una password del seguente tipo: lunghezza standard
di 10 lettere di cui minimo due maiuscole e minimo due di tipo numerico.
Per esempio:
Nome: Mario
Cognome: Rossi
USER: marros
PASSWORD: TrapanI555
7.9.
CREAZIONE DELLE REGOLE DI ACCESSO (POLICY)
Questa fase, la creazione delle policy è una delle fasi principali in termini di
sicurezza, cin quanto ogni singola policy stabilisce ciò che un singolo utente di
dominio può fare o non fare nel momento in cui fa il login su una qualsiasi macchina
della rete. Cioè le policy non sono altro che della regole che l’amministratore di
dominio imposta per ogni singolo utente o gruppo di utenti per utilizzare o meno le
risorse a disposizione nella rete. Queste possono essere assegnate a un solo utente
oppure ad un gruppo di utenti, quindi ci potranno essere vari utenti con permessi
diversi e questo comporta che per ogni utente con regole diverse ci sia un numero
maggiore di policy. Le policy vengono create in base a quello che l’amministratore
concede al host su le singole cartelle e/o files e possono essere :
FULL CONTROL
MODIFY
READ &EXECUTE
WRITE
READ
Completo controllo della cartelle e
contenuto
leggere, scrivere e cancellare file,
programmi
leggere files ed eseguire programmi
creare nuove cartelle e files
leggere files e aprire cartelle
del
suo
eseguire
Per esempio una policy può far si che lo sfondo del desktop non possa essere
cambiato dall’utente, oppure che l’utente non possa salvare in locale i propri file ma
sia costretto a salvare i file sulla quota disk che gli è stata riservata sul server.
Ancora per esempio fare in modo che non si possano cambiare le impostazioni di
sicurezza e di privacy di Internet explorer e ecc.
41/48
7.10. CREAZIONE E ASSEGNAZIONE DELLE QUOTE AGLI UTENTI
Questa fase riguarda la creazione e l’assegnazione delle quote disk ossia
l’assegnazione di un certo spazio disponibile sul server utilizzabile dagli utenti per
archiviare file personali. Le quote disk permette al singolo utente di avere a
disposizione da qualsiasi macchina su cui faccia il login (l’accesso in dominio) i propri
dati. Nel nostro caso si è deciso di assegnare ad ogni utente uno spazio di 500 Mb.
7.11. INSTALLAZIONE NORTON ANTIVIRUS SERVER (NAV)
Questa fase riguarda la messa in sicurezza della parte relativa al SERVER che ha la
funzione di protezione di tutta la rete (Network Security). Questa procedura viene
garantita dall’aggiornamento costante tramite il live update automatico attraverso
una connessione internet. Il compito del NAV server è principalmente quello di
tenersi aggiornato ed allo stesso tempo di aggiornare a cadenza prestabilita i client
da esso gestiti. Inoltre dalla console del NAV Server si può monitorare lo stato della
rete nel suo complesso il che significa che si può sapere quale host è infetto, quando
è stata fatta l’ultima scansione e così via.
8. INSTALLAZIONE FIREWALL ASTARO
In questa fase si è provveduto all’installazione del firewall di rete. Un firewall è una
combinazione hardware e software che implementa un sistema di protezione
utilizzato in genere per impedire accessi non autorizzati dall'esterno in una rete
interna o Intranet. Un firewall impedisce la comunicazione diretta tra rete e
computer esterni instradando le comunicazioni attraverso un server proxy esterno
alla rete. Il server proxy determina se è opportuno lasciar passare un file attraverso
la rete. Un firewall viene anche denominato gateway a protezione avanzata. Il
software applicativo necessario alla realizzazione del firewall il quale permette la
protezione della rete a livello perimetrale (Network Security) è ASTARO, un sistema
operativo LINUX, il quale realizza nella rete un choke point. Il firewall realizzato ha
il compito di filtrare il traffico di pacchetti dalla rete esterna verso la rete LAN
mediante l’utilizzo di regole di racket filter.
42/48
8.1.
CONFIGURAZIONE PARAMETRI DELLE INTERFACCE
Questa fase riguarda la configurazione delle interfacce del server su cui è stato
installato il Firewall Astaro. Il sever presenta due interfacce, una esterna a cui è
stato collegato il router ed alla quale gli è stato assegnato l’indirizzo IP 192.168.0.2
con Netmask 255.255.255.252, all’altra l’interfaccia interna, è stato assegnato un
indirizzo IP 192.168.1.1 con Netmask 255.255.255.240, la quale dialoga con la rete
LAN e rappresenta il Gateway della rete.
8.2.
INSTALLAZIONE SERVER DHCP
Questa fase riguarda la realizzazione del server DHCP che non è altro che il server
che ha il compito di assegnare in maniera automatica e/o dinamica gli indirizzi IP ai
client/host. Questa operazione viene effettuata mediante l’utilizzo di un lista di
indirizzi o pool di indirizzi disponibili del server, che vengono decisi
dall’amministratore in base alle esigenze della rete. Il server DHCP è stato
implementato sul server ASTARO.
8.3.
CONFIGURAZIONE SERVER PROXY
Questa fase riguarda la configurazione del server Proxy che è il server che ha il
compito di caricare le pagine web da internet, le copia localmente e le mette a
disposizione dei client. Dato che il sever proxy è sul firewall l’indirizzo IP è
192.168.1.1 (ossia l’indirizzo dell’interfaccia interna sulla porta 8080) a cui i client
saranno indirizzati per poter navigare e visualizzare le pagine Web.
8.4.
CREAZIONE REGOLE DI PACKET FILTER
Appena installato il firewall non fa passare nessun pacchetto in quanto è adottata la
politica che tutto ciò che non è esplicitamente dichiarato a passare non passa. Di
conseguenza bisogna creare delle regole di packet filter, cioè dichiarare
esplicitamente quali pacchetti possono passare altrimenti vengo scartati.
A titolo di esempio la regola per garantire il servizio di posta elettronica è questo:
da 192.168.1.0/24 a 0.0.0.0 0.0.0.0 eq 25
43/48
da 192.168.1.0/24 a 0.0.0.0 0.0.0.0 eq 110
da 0.0.0.0 0.0.0.0 a 192.168.1.0/24 eq 25
da 0.0.0.0 0.0.0.0 a 192.168.1.0/24 eq 110
9. INSTALLAZIONE SERVER WEB APACHE
Questa fase riguarda semplicemente l’installazione della macchina che avrà funzione
di server Web. Si scelto di realizzare il web server con APACHE il quale ci permette
di rendere visibile sia in modo locale (intranet) che dall’esterno le pagine Web
realizzate. Le pagine web sono visibili mediante l’utilizzo della porta dedicata a tale
servizio la 80 attraverso il protocollo http.
9.1.
ASSEGNAZIONE PARAMETRI DI RETE
Questa fase riguarda l’assegnazione dei parametri necessari al server Web per
poterlo raggiungere in rete. Gli viene assegnato un indirizzo IP privato statico
192.168.1.13 che lo renderà visibile nella rete e raggiungibile in locale da tutti gli
utenti della rete. Successivamente dopo l’inserimento di tale indirizzo si creerà una
funzione NAT-PAT nel firewall, affinché tutte le richieste indirizzate sulla porta 80
provenienti dall’esterno, ossia richieste sul server Web, vengano indirizzate a tale
indirizzo, in questo modo il Server Web potrà essere visibile anche dall’esterno
mediante l’utilizzo dell’IP pubblico presente sul Router.
9.2.
CREAZIONE E PUBBLICAZIONE PAGINA WEB
Questa è la fase conclusiva della parte di laboratorio e riguarda la creazione di più
pagine Web, che sono state pubblicate sul Server Web Apache presente all’interno
della LAN.
A titolo di esempio si riportano alcune pagine web che sono state pubblicate sul webserver.
44/48
45/48
46/48
CONCLUSIONI
In questa sezione si vogliono mettere in evidenza i pregi e di difetti della rete
realizzata durante la fase di laboratorio.
I pregi:
La rete, oggetto di questo modulo formativo di laboratorio, è stata progettata e
realizzata secondo le normative attuali e vigenti.
Nel realizzare tale rete si è soprattutto voluto focalizzare l’attenzione sulla parte
della sicurezza della rete implementando tutti quei sistemi che permettessero di
rendere sicura tale rete. Come si può constatare nel leggere tale relazione di
progetto tale rete si può dire a tutti gli effetti sicura. Infatti andando a fare una
analisi della rete stessa, dall’esterno verso l’interno, essa presenta un unico punto di
accesso, attraverso il firewall, il quale rappresenta ciò che viene chiamato in gergo
tecnico un “choke point” (punto di strozzatura) di conseguenza tutto il traffico in
ingresso e in uscita alla rete LAN è monitorato. Andando all’interno della rete i
singoli host sono protetti da attacchi virus per la presenza dell’applicativo client NAV
Antivirus. La singola postazione è protetta da un utilizzo da parte di utenti non
autorizzati attraverso i meccanismi login e controllo degli accessi attraverso il
servizio Kerberos di Active Directory. I servizi di rete messi a disposizione dei singli
utenti sono gestiti a livello centralizzato dall’ amministratore di rete.
I difetti:
Nella progettazione e realizzazione della rete si potrebbe obbiettare:
1. che non si è tenuto conto del principio di fault tollerance sia degli apparati di
rete sia dei sever per garantire continuità ai servizi;
2. di non aver creato una zona DMZ nella quale inserire il web-server ed eventuali
altri server per servizi esterni;
3. di aver scelto come firewall un apparato software invece di un apparato hardware
che presenta sicuramente una maggiore robustezza;
A tali eventuali critiche si può rispondere che il risultato raggiunto è il massimo
tenuto conto delle attrezzature messe a disposizione. Inoltre si è voluto
massimizzare il rapporto tra il grado si sicurezza ottenuto e il prezzo della rete
stessa che sicuramente nel nostro caso è alto. Ciò non toglie che volendo ottimizzare
e migliorare tale rete sicuramente bisognerebbe assolvere alle critiche addotte.
47/48
