Servizi IT – Università di Cagliari
DRSI
Divisione Reti
(Via Marengo)
Settore
Posta
Settore
Web e
Sistemi
Settore
Reti
Servizi Amministrativi
(Rettorato)
(Settore
Fonia)
…
Settore Posta (1 Risorsa)
•Implementazione, sviluppo, gestione e manutenzione di tutti i sistemi di posta elettronica:
•2 virtual domains ufficiali (unica.it, amm.unica.it);
•2 virtual domains in uso per altre strutture (greenfuture.unica.it, com.unica.it);
•1 virtual domain dedicato al personale esterno (servizi di portineria etc);
•Server POP, IMAP, SMTP;
•2 interfacce webmail (amm ed unica);
•Server dedicato all’antispam.
•Gestione della parte relativa alla posta elettronica del server LDAP di Ateneo.
Settore Web e Sistemi (4 risorse)
•Implementazione, configurazione e gestione webserver di Ateneo (esclusi contenuti);
•Preparazione e configurazione server per altre strutture;
•Implementazione, configurazione e gestione Moodle (esclusi contenuti);
•Implementazione, configurazione e gestione streaming ;
•Implementazione, configurazione e gestione server contenuti multimediali;
•…
Settore Reti (3 risorse)
•Implementazione, gestione fisica e logica e manutenzione della rete di Ateneo;
•Implementazione, gestione e manutenzione delle due reti wireless (UniCAMente ed eduRoam);
•Implementazione, gestione e manutenzione dei sistemi di controllo degli accessi e security dell’Ateneo
(NAM, Firewall, …);
•Implementazione, gestione e manutenzione del Datacenter di Ateneo (Via Marengo):
•Cluster VOIP;
•90 VM in produzione;
•Cluster in uso presso altre strutture;
•Implementazione, gestione e manutenzione della SAN e del sistema di backup (Networker);
•Implementazione, gestione e manutenzione del Firewall (Palo Alto Networks PA-5050);
•Implementazione, gestione e manutenzione del server di gestione degli accessi (LDAP,
esclusa posta elettronica);
•Implementazione, gestione e manutenzione dell’Identity Provider di Ateneo e di due
Service Provider interni (di cui al momento uno in test e l’altro in produzione);
•Implementazione (lato networking) aule didattiche e laboratori.
DATACENTER VIA MARENGO
Sistemi Operativi (Datacenter Via Marengo)
121 macchine virtuali, al momento circa 0.5 PB di spazio nel datacenter
(1 PB ≈ 1000 TB ≈ 106 GB)
23 macchine con a bordo Windows Server (2008-2012)
98 macchine con a bordo Linux (Debian – RHEL – Ubuntu)
Rete GARR
attuale
GARR-X
UniCA: Backbone e Firewall
Benefits studenti
Gli studenti dell'Università di Cagliari beneficiano di alcune risorse, sia realizzate espressamente dalla DRSI-Divisione Reti, sia ottenute grazie alla Divisione Servizi da
alcune software houses.
Gestione della propria carriera;
Account e-mail su dominio studenti.unica.it (gestito da Microsoft);
Accesso al Wi-Fi interno (UNICAMENTE) e federato (eduRoam);
Utilizzo di piattaforme di e-learning e di streaming;
Accesso alle principali banche dati bibliografiche dall'esterno della rete di ateneo mediante autenticazione federata (Shibboleth);
(DVD Live Ubuntu custom);
(Blog/forum con accesso via Shibboleth);
•
•
•
•
•
•
•
Accesso (previa registrazione) a Microsoft Dreamspark: http://dreamspark.com/Student/Software-Catalog.aspx e download gratuito di OS, ambienti di sviluppo e
manuali MS;
Sconti nell'acquisto di Windows 8.1 e di Office 365: http://www.microsoft.com/student/it-it/default.aspx;
Download di prodotti Autodesk full (richiede registrazione): http://www.autodesk.com (seguire “sign in” e quindi “education”)
•
•
•
Wifi
Network proprietario dell’Università di Cagliari, fornisce la copertura Wireless dei campus
dislocati all’interno delle aree metropolitane di Cagliari e Monserrato.
La struttura di tipo misto Wired-Wireless (rame – fibra ottica – etere) ha consentito alla
nuova wireless di diffondersi come naturale espansione della rete tradizionale.
L’accesso avviene mediante autenticazione web attraverso una procedura di autenticazione
centralizzata basata sui protocolli e servizi IEEE 802.1x, Radius ed LDAP, che ne permette la
massima fruibilità.
Ammessi solo i protocolli http/https.
Wifi
eduRoam (education Roaming) offre un servizio di accesso in modalità world-wide roaming appositamente pensato
per la comunità dell’istruzione superiore e della ricerca.
eduRoam permette a studenti, ricercatori e personale degli enti membri di ottenere connettività wifi tanto nei
campus del proprio ateneo, quanto in quelli delle altre istituzioni partecipanti alla federazione in maniera semplice e
sicura.
L’accesso avviene mediante la stessa procedura di autenticazione centralizzata basata sui protocolli e servizi IEEE
802.1x, Radius ed LDAP e gli stessi criteri della rete proprietaria UNICAMeNTe, ma a differenza di quest’ultima non
utilizza il web access.
La rete è disponibile in quasi tutti i paesi occidentali, oltre a Turchia, Giappone, Corea, PRC, Kirgizistan, India, Australia
e Nuova Zelanda, alcuni paesi sudamericani ed alcuni africani.
La struttura avanzata delle configurazioni di sicurezza da noi adottate non permettono tuttavia l’accesso diretto ad
alcuni OS (Windows, Windows Phone) ed è perciò necessario installare un software apposito distribuito dalla nostra
Direzione.
Accesso a risorse per mezzo di autenticazione federata
SITUAZIONE DI PARTENZA:
•Lato utente:
•per ogni servizio, una coppia di credenziali;
•Facilità di smarrimento o dimenticanza;
•Difficoltà di recupero di eventuali credenziali smarrite;
•Rischio di utilizzare password o codici banali e facilmente identificabili con un minimo di ingegneria sociale o non resistenti ad
attacchi del tipo «forza bruta» (con o senza dizionario).
•Lato organizzazione di appartenenza:
•Elevati costi per la gestione delle utenze;
•Scarso o difficile controllo dei processi di autenticazione e autorizzazione.
•Lato fornitore di servizi:
•Gravoso carico amministrativo per la gestione di identità e credenziali;
•Difficoltà ad estendere il proprio bacino d’utenza.
Single Sign On
VANTAGGI:
•Lato utente:
•Riduzione del numero di password da ricordare;
•Semplificazione dell’accesso alle risorse online, indipendentemente dal luogo in cui ci si trova.
•Lato organizzazione di appartenenza:
•Riduzione dei costi per la gestione delle utenze e per la realizzazione di nuovi servizi;
•Maggior controllo dei processi di autenticazione e autorizzazione.
•Lato fornitore di servizi:
•Riduzione del carico amministrativo per la gestione di identità e credenziali;
•Possibilità di estendere il proprio bacino d’utenza.
STRUMENTI:
•Athens;
•CAS;
•Shibboleth.
Single Sign On
•Shibbboleth è un pacchetto software open source e standardizzato che ha per obbiettivo il web Single Sign On, molto ricco per quello che riguarda lo scambio
degli attributi, basato su standards aperti tra cui, prevalentemente, SAML2.
•E’ un sistema federato che supporta l’accesso sicuro a risorse attraverso il web: le informazioni relative all’utente vengono trasmesse dall’Identity Provider
(IdP) aziendale al Service Provider (SP) esterno che le prepara per la protezione dei dati sensibili e per l’utilizzo da parte delle applicazioni.
Schema di autenticazione
Single Sign On
1.l’utente richiede la connessione ad una risorsa protetta facendo sì che il SP intercetti la richiesta (la risorsa da proteggere è definita nei files di configurazione del web server che
la ospita);
1.il SP, basandosi sulla configurazione di cui sopra, determina a quale IdP far riferimento e quale protocollo utilizzare attraverso un meccanismo di “scoperta” noto come servizio
WAYF (acronimo di Where Are You From): la richiesta di autenticazione è così delegata al WAYF che la passa all’IdP selezionato dall’utente;
1.come risultato delle azioni precedenti, una richiesta di autenticazione via browser è inviata dal SP all’IdP selezionato dall’utente: l’IdP decide se l’utente può autenticarsi e quali
attributi inviare al SP: scelta, questa, basata prevalentemente sulle caratteristiche del SP che fornisce il servizio e su quelle degli attributi principali dell’utente ricavati a seguito di
una query sul server LDAP;
1.l’IdP impacchetta e firma i dati che trasmette sotto forma di asserzione SAML al SP che la spacchetta e la decodifica eseguendo poi una serie di controlli di sicurezza per decidere
infine se il richiedente abbia o meno diritto di accesso alla risorsa desiderata;
1.infine, se il processo di verifica del punto precedente ha esito positivo, l’utente viene finalmente rediretto alla risorsa richiesta.
L’Universita di Cagliari ha aderito alla fase pilota del progetto sin dalla sua nascita avvenuta nel 2008 ed ora, dal marzo 2010, è a pieno titolo membro della Federazione IDEMGARR-AAI, mettendo a disposizione un IdP per l’accesso ai servizi offerti dalla Federazione ed avendo costruito un SP (al momento interno) in maniera da diventare anche fornitore
di servizi e non soltanto fruitore.
Dal 2103 è membro a pieno titolo dell’interfederazione europea eduGAIN.
E’ rappresentata nell’Assemblea della Federazione dall’Ing. Roberto Porcu in qualità di referente organizzativo e dal Dott. Stefano Manfredda in qualità di referente tecnico.
Single Sign On
Federazione di identità: insieme di organizzazioni (università, enti di ricerca, scuole, comuni, …) associate al fine di accedere a risorse e condividere risorse sulla
base di rapporti di fiducia reciproca fondati su:
•Tracciabilità degli accounts;
•Condivisione della profilatura degli utenti.
SERVIZI E CONTENUTI ACCESSIBILI TRAMITE LA FEDERAZIONE IDEM:
Alcune Federazioni:
•IDEM-GARR (I);
•SWITCH (CH);
•BELNET (B);
•UNIVERSITES ET GRANDES ECOLES (F);
•UK FEDERATION (UK);
•In-Common (USA);
•CERNET (Cina);
•…
•servizi di biblioteca digitale: banche dati, articoli full text, document delivery;
•servizi di e-learning;
•strumenti di community (wiki e blog);
•servizi di prenotazione e teleconferenza;
•…
Single Sign On
Dall’ottobre 2013, nei profili LDAP degli studenti, oltre ai seguenti attributi standard:
•ou
Attributo descrittivo dell’Ateneo
•uid
Nome utente
•cn
Nome e cognome dell’utente
•givenName
Nome di battesimo dell’utente
•sn
Cognome dell’utente
•email
Indirizzo e-mail dell’utente
•employeeNumber
Numero di matricola dell’utente
•userPasswordPassword (criptata) dell’utente
sono stati inseriti anche alcuni di quelli appartenenti alle objectClass eduPerson e schacContactLocation ed in particolare:
•preferredLanguage
Lingua preferita dall’utente (madrelingua)
•eduPersonEntitlement
Abilitazioni particolari
•eduPersonPrincipalName
Attributo “scoped” derivato dall’uid
•eduPersonAffiliation
Grado di affiliazione all’interno dell’organizzazione
•eduPersonScopedAffiliation Scoped derivato dal precedente
•eduPersonTargetedID
Attributo che permette la gestione di sessioni in forma anonima
•schacHomeOrganization
Attributo scoped dell’ente di appartenenza
•schacHomeOrganizationType
Attributo che identitfica il tipo di ente di appartenenza
•l
Luogo di residenza
•st
Provincia di residenza
Servizi accessibili agli studenti mediante autenticazione
federata e dunque anche dall’esterno della rete di
Ateneo:
•Banche dati bibliografiche (v. elenco in
•Servizi eduGAIN;
•Servizi di e-learning (in fase di sviluppo);
•Servizio di blog - forum (ultimato e funzionante ma non
ancora pubblicato).
Single Sign On
Esempio di profilo LDAP (studenti) utilizzato dal server Shibboleth
VPN – Virtual Private Network
L’università di Cagliari fornisce ai suoi utenti la possibilità di accedere alle sue risorse – o a risorse esterne normalmente accessibili dall’interno della rete di Ateneo – anche
da fuori: per esempio da casa o da apparati mobili (smartphones, tablet).
Un tempo, parlando in generale, tale obbiettivo era raggiunto mediante la creazione e l’utilizzi di reti private che ampliavano il cosiddetto perimetro di sicurezza
dell’azienda o dell’ente in maniera da includere anche eventuali sedi periferiche; per esempio, fino ad una decina di anni orsono gli stabilimenti del gruppo COMAU erano
tutti nella stessa rete privata che era strutturata in maniera da poter includere non solo i quattro nella periferia torinese, ma anche quelli delle sedi francese, tedesca,
rumena, marocchina, russa e sudafricana dell’azienda.
Reti private: pro e contro
PRO:
•Estensione all’intera area aziendale del perimetro di sicurezza;
•Isolamento fisico della rete dal resto del mondo: la comunicazione all’interno dell’azienda è fisicamente isolata dal resto del mondo e le comunicazioni
extra-aziendali avvengono tramite gli apparati in DMZ (De-Militarized Zone) e da questi verso internet (congruente al principio in base al quale «la miglior
difesa è la distanza», distanza dal potenziale aggressore)
CONTRO
•Elevati costi per l’infrastruttura fisica;
•Elevate esigenze di manutenzione e controllo con relativi costi;
•Scarsa o comunque costosa scalabilità;
•Vulnerabilità a tecnologie di intercettazione su cavo che non creino interferenze.
VPN: un diverso approccio
Obbiettivo: costruire una rete che sia:
1.Diffusa fino al livello più capillare;
2.Economica;
3.Scalabile;
4.Indipendente dall’ubicazione geografica dell’accesso;
5.Sicura almeno quanto una rete privata.
La risposta alle prime 4 domande è Internet, che però non soddisfa in alcun modo la richiesta di sicurezza (in internet il
potenziale aggressore non è distante, è contiguo e la difesa diventa un concetto asimmetrico: il difensore è potenzialmente solo
contro tutti).
La soluzione al problema è la RETE PRIVATA VIRTUALE o VPN.
Rete privata: sicura e non accessibile dall’esterno
VPN
Virtuale: sfrutta un’infrastruttura insicura (internet) garantendo la sicurezza per mezzo di collegamenti privati, sicuri e logicamente separati
dal resto di internet
VPN: un diverso approccio
Impiego di protocolli di tunneling e di sistemi di cifratura avanzata dei dati al fine di riprodurre il livello di sicurezza delle reti private
VPN: un diverso approccio
Vantaggi:
•Riservatezza delle informazioni mediante cifratura: Il mittente può cifrare i pacchetti dei dati prima di trasmetterli attraverso la rete. Così facendo, nessuno può accedere alla
comunicazione senza autorizzazione. E se vengono intercettate, le comunicazioni non possono essere lette e comprese:
•Integrità dei dati: il ricevente può verificare con dei meccanismi di hashing (di firma elettronica dei dati) che i dati sono stati trasmessi attraverso Internet senza essere stati alterati;
•Autenticazione dell’origine: il ricevente può autenticare la sorgente del pacchetto, garantendo e certificando dopo la verifica la sorgente delle informazioni. Questo permette un
accesso remoto sicuro.
L’autenticazione può essere ulteriormente distinta in:
•Device authentication
•User authentication
•Riduzione dei costi: le VPN riducono in maniera profonda i costi di mantenimento di una rete sicura perché usano Internet come infrastruttura di collegamento site-to-site di accesso
remoto;
•Miglioramento delle comunicazioni: con le VPN, gli utenti remoti (sedi distaccate, road warriors, telelavoratori, clienti, fornitori e partner negli affari) si possono connettere in
sicurezza da qualunque posto e in ogni tempo 24 ore su 24 alle risorse della rete sicura o tra di loro;
•Flessibilità e Scalabilità: le VPN hanno una flessibilità e una capacità di scalare che le linee affittate non hanno. L’implementazione di una VPN semplifica e centralizza
l’amministrazione delle reti. Una infrastruttura di VPN può adattarsi con facilità alle necessità di cambiamento delle reti;
•Sicurezza ed Affidabilità: utilizzo protocolli di tunneling e cifratura avanzata. Ridotto numero di punti di entrata, un punto di entrata ed un punto di uscita (topologia a tunnel, quindi
estremamente semplice:
•Indipendenza dagli standard tecnologici dei primi due livelli dalla pila OSI: garantisce che una rete non sia vulnerabile alle caratteristiche di debolezza dei primi due livelli. (V. sotto:
descrizione degli strati della pila OSI).
Cenni sul networking
Requisiti fondamentali
di una rete:
La pila OSI
•ELEVATA DISPONIBILITA’: la rete deve essere accessibile sempre;
•RIDONDANZA: la rete deve essere progettata in maniera tale che se uno degli apparati che la costituiscono si guasta, il traffico
possa essere dirottato attraverso un altro apparato senza – per quanto possibile – che gli utenti se ne accorgano;
•SCALABILITA’: la rete deve essere progettata in maniera tale da prevederne la crescita futura; in genere si considera standard
una previsione di crescita almeno del 20%;
•GESTIBILITA’: è requisito base per l’efficienza di una rete e comprende attività come deployment, configurazione,
monitoraggio e troubleshooting.
Il modello OSI (Open Systems Interconnection), o pila ISO/OSI, è uno standard per reti di calcolatori stabilito nel 1978
dall'International Organization for Standardization (ISO) che stabilisce per l'architettura logica di rete una struttura a strati
composta da una pila di protocolli di comunicazione suddivisa in 7 livelli, i quali insieme espletano in maniera logicogerarchica tutte le funzionalità della rete.
Modello OSI
Definisce i processi di comunicazione tra applicazioni per lo scambio di dati o la creazione di connessioni remote(e-mail, ftp, file, pagine web)
Definisce i codici usati nella comunicazione: formattazione, compressione e/o criptaggio dei dati
Gestisce (apertura, chiusura e sincronizzazione) sessioni multiple tra applicazioni
Definisce le tecniche di frammentazione e ricostruzione dei messaggi in altri di dimensioni minore (pacchetti) e per il controllo di errore
Definisce le tecniche di instradamento (routing) dei pacchetti
Definisce il formato dei frame scambiati all'interno della medesima rete e la modalità di accesso al mezzo fisico
Definisce l'infrastruttura di una singola rete: topologia, hardware delle apparecchiature e cablaggio
Modello OSI
Modello OSI
TCP/IP
Il TCP/IP (Transmission Control Protocol/Internet Protocol) è una suite di protocolli che definisce l'insieme delle regole di comunicazione su internet e si basa sulla nozione
di indirizzamento IP, cioè il fatto di fornire un indirizzo IP ad ogni terminale di rete per poter inviare dei pacchetti di dati.
Dato che la serie protocollare TCP/IP è stata creata in origine per scopi militari, essa è concepita per rispondere ad un certo numero di criteri fra i quali :
•
•
•
•
Il frazionamento dei messaggi in pacchetti ;
L'uso di un sistema di indirizzi ;
L'invio di dati sulla rete (routing) ;
Il controllo degli errori di trasmissione di dati.
Indirizzo IP:
•assegnato manualmente;
•Assegnato automaticamente da un DHCP server.
TCP/IP
rappresenta l'interfaccia con l'utente ed abilita, ad esempio, la consultazione di pagine web, stabilendo e gestendo le sessioni di lavoro
dei processi tra il browser ed il server web o l'invio e la ricezione di messaggi di posta elettronica, stabilendo e gestendo le sessioni di
lavoro dei processi tra il nostro client ed il mailserver
mette in coda i messaggi generati da client e server e li trasmette sotto forma di pacchetti su di una connessione full-duplex; il buon fine della
spedizione è attestato da una ricevuta di ritorno o riscontro.
gestisce l'indirizzamento dei nodi e l'instradamento. A ciascun nodo viene assegnato un indirizzo IP che lo identificherà in modo non ambiguo in rete.
L’instradamento consente di selezionare il percorso migliore verso un dato nodo destinatario, noto il suo indirizzo IP
specifica solo che ci deve essere un livello host-to-network in grado di spedire i pacchetti IP (nel modello ISO/OSI questo strato corrisponde
ai primi due livelli: il livello di collegamento e il livello fisico).
Al livello di collegamento si decide come fare il trasferimento del messaggio per ogni singolo tratto del percorso: dal computer al primo
router, dal primo router al secondo, dal secondo al terzo ... fino al server. Anche in questo caso le interfacce di comunicazione dei nodi
adiacenti saranno individuate per mezzo di un indirizzo univoco, usualmente denominato indirizzo MAC.
Il livello fisico, trasmette il messaggio sul canale di comunicazione usualmente sotto forma di segnali elettrici o elettromagnetici.
DHCP (Dynamic Host Configuration Protocol)
La procedura descritta dal protocollo consta di diversi handshake tra client e server, ovvero scambio di pacchetti, tutti incapsulati in frame di livello datalink
•il client invia un pacchetto chiamato DHCPDISCOVER in broadcast, con indirizzo IP sorgente messo convenzionalmente a 0.0.0.0, e destinazione 255.255.255.255 (indirizzo di
broadcast).
•Il pacchetto è ricevuto da tutto il dominio di broadcast e in particolare da tutti i server DHCP presenti, i quali possono rispondere (o meno) ciascuno con un pacchetto di
DHCPOFFER in cui propongono un indirizzo IP e gli altri parametri di configurazione al client. Questo pacchetto di ritorno è indirizzato direttamente all'indirizzo di livello datalink
del client (che non ha ancora un indirizzo IP) cioè in unicast, per cui può essere inviato solo da un server che si trovi sullo stesso dominio di broadcast.
• Il client aspetta per un certo tempo di ricevere una o più offerte, dopodiché ne seleziona una, e invia un pacchetto di DHCPREQUEST in broadcast, indicando all'interno del
pacchetto, con il campo "server identifier", quale server ha selezionato. Anche questo pacchetto raggiunge tutti i server DHCP presenti sulla rete (direttamente o tramite un
relay).
•Il server che è stato selezionato conferma l'assegnazione dell'indirizzo con un pacchetto di DHCPACK (nuovamente indirizzato in unicast all'indirizzo di livello datalink del
client, possibilmente attraverso un relay); gli altri server vengono automaticamente informati che la loro offerta non è stata scelta dal client, e che sulla sottorete è presente un
altro server DHCP.
•A questo punto, il client è autorizzato a usare l'indirizzo ricevuto per un tempo limitato, detto tempo di lease. Prima della scadenza, dovrà tentare di rinnovarlo inviando un
nuovo pacchetto DHCPREQUEST al server, che gli risponderà con un DHCPACK se vuole prolungare l'assegnazione dell'indirizzo. Questi sono normali pacchetti IP unicast
scambiati tra due calcolatori che hanno indirizzi validi. Se il client non riesce a rinnovare l'indirizzo, tornerà allo stato iniziale cercando di farsene attribuire un altro.
Tipi di indirizzamento e furti
Laddove sia possibile, è preferibile utilizzare l’indirizzamento automatico via DHCP server, eventualmente escludendo alcuni indirizzi che è meglio non cambino nel tempo, come quelli di
stampanti di rete, eventuali fileserver locali, … , etc.
La gestione di pool di indirizzi fissi è sicuramente più complessa ed onerosa rispetto all’indirizzamento automatico: comporta la perdita di parecchio tempo nel mantener aggiornate tabelle
che riportano le generalità del titolare dell’indirizzo, la sua mail, il MAC della macchina, ed altro, ma soprattutto presenta la non indifferente criticità – dal pdv della sicurezza - legata a
cessioni arbitrarie della macchina e/o dell’IP, cambi di PC o anche solo di scheda di rete, oltre al non infrequente pericolo di furto di IP.
Per quanto possa sembrare inutile burocrazia, la gestione di pool di IP fissi richiede di necessità la conoscenza dei dati del titolare: assai più spesso di quanto piaccia fare, tocca rispondere
a fax inviati dalla Polizia Postale su richiesta della magistratura nel corso di indagini su crimini informatici o sospetti tali.
Al momento presso l’Università di Cagliari la situazione è mista, almeno per quanto riguarda la rete cablata: la maggior parte dei poli è configurata con indirizzo fisso, mentre solo alcuni
(tra cui gli istituti biologici di Ponte Vittorio e la Cittadella dei Musei, aule informatiche e laboratori) sono in DHCP con autenticazione. L’obbiettivo per il prossimo futuro è la copertura
totale dei poli via DHCP con autenticazione, ma il problema è squisitamente ‘’politico’’ oltre che economico.
Per la rete wireless gli indirizzi sono assegnati dal DHCP server a seguito di autenticazione dell’utente (credenziali di posta per gli utenti AMM e RTSC, credenziali di Esse3 per gli studenti,
credenziali temporanee rilasciate appositamente, per gli utenti temporanei quali partecipanti esterni a convegni, personale di altri atenei/enti di ricerca non membri di eduRoam. I
visitatori i cui enti di appartenenza sono membri di eduRoam, utilizzano le loro credenziali native).
Tipi di indirizzamento e furti
In caso di furto di indirizzo IP, solitamente le contromisure consistono nello spegnimento della porta dello switch su cui il ‘’ladro ‘’ è collegato, o – quando ciò non sia
possibile (per esempio perché su quella porta sono collegati più utenti) - mediante drop sullo switch più prossimo o sul centro-stella del suo MAC, rendendogli così
impossibile la navigazione entro la rete di Ateneo. Nei casi peggiori, quando il furto è segnalato in ritardo o il ‘’ladro’’ si scollega prima che il suo MAC sia identificato, si
procede al blocco dell’IP sul firewall ed all’assegnazione di un altro indirizzo alla ‘’vittima’’.
*esempio di collegamento allo switch*
Risoluzione dei nomi
Per poter accedere ad una risorsa in internet è necessario raggiungere la macchina che la ospita; per esempio, se si vuole fare una ricerca su google, occorrerà raggiungere la pagina di
ricerca ospitata sul webserver di google.
A tale scopo, siamo abituati a scrivere l’URL che ci interessa sulla barra degli indirizzi del browser ed alla pressione del tasto invio, in maniera per noi assolutamente trasparente, avremo
raggiunto la pagina che ci interessa. Ma il TCP/IP ignora totalmente il significato della stringa alfanumerica ‘www.google.it’, dato che opera unicamente su indirizzi IP, al livello più alto e su
MAC ai livelli inferiori. Il problema, dunque, è come tradurre in indirizzi IP le stringhe alfanumeriche che costituiscono le URL che siamo abituati a chiamare con il browser (vale la stessa
cosa quando spediamo una mail: nel client abbiamo configurato i FQDN dei nostri server di invio e ricezione della posta, dei quali ignoriamo totalmente – o quasi – l’indirizzo IP).
A tradurre le URL o i FQDN in indirizzi IP oggi ci pensano i nameserver o DNS (Domain Name Server) mentre un tempo tale compito era demandato al file hosts residente su ciascun PC (con
il crescere del numero di dispositivi connessi alla rete, l’utilizzo dei file hosts è risultato impossibile per ovvie ragioni ed oggi si usano solo eventualmente per le reti private di piccole
dimensioni).
Il file hosts altro non è se non un file di testo contenente una serie di associazioni hostname < > IP – prevalentemente per reti locali. Per esempio:
127.0.0.1
localhost
127.0.0.1
calliope
10.2.2.100 antigone
10.2.2.102 ismene
10.2.2.103 tersicore
10.2.2.104 calliope
10.20.0.5
vc1-u1.virtual.zone
10.20.0.6
vc1-vum1-u1.virtual.zone
10.20.0.50 esx1-u1.virtual.zone
10.20.0.51 esx2-u1.virtual.zone
…
Risoluzione dei nomi
Ovviamente l’attuale situazione rende impraticabile l’uso dei file hosts se non per reti private di piccole dimensioni e si utilizza la risoluzione automatica dei nomi tramite
server DNS.
L’indirizzo del DNS primario e di quello di backup per un dato dominio è configurato automaticamente dal DHCP, se l’indirizzamento è automatico, o va inserito a mano nella
tabella di configurazione dell’IP nel caso di assegnazione manuale.
Il meccanismo di traduzione, trasparente rispetto all’utente finale, è il seguente:
•Il PC dell’utente invia una richiesta di traduzione da nome (hostname o url) ad indirizzo IP al server DNS di riferimento;
•Il DNS consulta i suoi files di configurazione (o «di zona») e, se trova la traduzione, permette l’instradamento della richiesta;
•Se non trova la traduzione, possiede comunque l’indirizzo di un server DNS di livello superiore al quale trasferisce la richiesta;
•Nella peggiore delle ipotesi, si ‘’scala’’ la catena fino a raggiungere uno dei circa 12 root nameservers che sicuramente ha l’IP del nameserver autoritativo per quella zona e gli
trasferisce la richiesta; la risposta torna al PC dell’utente seguendo la stessa catena dell’andata.
Supponiamo per esempio che un PC collegato alla rete dell’Università di Cagliari debba contattare per qualche motivo il server debian.mines.inpl-nancy.fr
Il nome in sé non ci dice molto, se non che il server cui vogliamo accedere si trova in Francia, a Nancy ed all’Ecole des Mines di quella città, tutte cose che già sapevamo prima
di connetterci.
Il percorso che la nostra richiesta di risoluzione compie è indicato nelle due successive slides.
Risoluzione dei nomi
Risoluzione dei nomi
Principali protocolli
Per protocollo di rete (o anche protocollo di comunicazione) si intende la definizione formale a priori delle modalità di interazione che, due o più apparecchiature elettroniche collegate
tra loro, devono rispettare per operare particolari funzionalità di elaborazione necessarie all'espletamento di un certo servizio di rete.
Si tratta dunque della descrizione a livello logico del processo di comunicazione (meccanismi, regole o schema di comunicazione) tra terminali e apparati preposto al funzionamento
efficace della comunicazione in rete.
Ciascun protocollo è descritto in una o più RFC /Request For Comments), rese poi standard dalla IETF. Le RFC documenti che riportano informazioni o specifiche riguardanti nuove
ricerche, innovazioni e metodologie dell'ambito informatico o, più nello specifico, di Internet.
Attraverso l'Internet Society gli ingegneri o gli esperti informatici possono pubblicare dei memorandum, sotto forma di RFC, per esporre nuove idee o semplicemente delle informazioni
che una volta vagliati dall'IETF possono diventare degli standard Internet.
In riferimento alla pila OSI, i principali protocolli di uso comune sono
Livello 7: applicazione
Protocolli di servizio:
Dynamic Host Configuration Protocol - (DHCP)
Domain Name System - (DNS)
Network Time Protocol - (NTP)
Lightweight Directory Access Protocol - (LDAP)
Principali protocolli
Protocolli di accesso a terminali remoti:
Telnet
Secure shell - (SSH)
Protocolli usati per realizzare il servizio di posta elettronica e newsgroup:
Simple Mail Transfer Protocol (SMTP)
Post Office Protocol (POP)
Internet Message Access Protocol (IMAP)
Network News Transfer Protocol (NNTP)
Protocolli di trasferimento file:
File Transfer Protocol - (FTP)
Hyper Text Transfer Protocol - (HTTP)
Internet Relay Chat - (IRC)
Esempi live collegamento centro stella, show, ricerca porte, blocco IP, shut sporta
Esempi live sessioni ldap, ftp, ssh, pop, smtp, http (wget)
Schema apparati Via Marengo
Schema apparati DIGITA
Grazie dell’attenzione
Indirizzi ed url utili
[email protected]
[email protected]
[email protected]
http://people.unica.it/settorereti
http://people.unica.it/wifi
http://people.unica.it/idem
Scarica

Diapositive - I blog di Unica