Le architetture di rete possono avere un’infinità di configurazioni, ma un elemento le accomuna tutte: la necessità di proteggere adeguatamente la rete interna, pur consentendo ai propri utenti la navigazione su internet in sicurezza.

Con questo obiettivo SI.net ha realizzato SI.Gate, un apparato in grado di garantire un’adeguata difesa perimetrale ma anche di fornire molte altre funzionalità avanzate per la gestione efficiente della rete.

Le caratteristiche hardware di questo apparato sono molto interessanti: è possibile installare fino a 8 interfacce di rete, il che consente di gestire anche le configurazioni più complesse (per esempio, già stato utilizzato con successo per gestire l’interfacciamento con Lombardia Integrata tramite il router rilasciato dalla Regione Lombardia).

Uno dei punti di forza del dispositivo è il fatto che la configurazione del sistema si trova su una memory card CF, dai costi decisamente contenuti (si tratta della classica scheda di memoria utilizzata nelle macchine fotografiche digitali): questo consente di realizzare facilmente un backup di tutto il sistema. In caso di guasto dell’apparato, basta sostituirlo con uno di ricambio (garantito dal contratto di manutenzione), inserire la memory card nel nuovo dispositivo e il ripristino totale delle funzionalità è pressoché immediato.

SI.Gate ha dei costi contenuti perché il sistema operativo utilizzato è Zeroshell, una distribuzione Linux gratuita, sviluppata specificamente per il networking e la sicurezza perimetrale. E’ facilmente configurabile tramite interfaccia web e altamente modulare, nel senso che è possibile attivare solo le funzionalità necessarie fra le molte disponibili: supporta il content filtering per limitare l’accesso ai soli siti ritenuti idonei, l’autenticazione per consentire la navigazione su internet e il tracciamento dell’accesso, la gestione in sicurezza le reti wireless, la configurazione di VPN e molte altre funzioni.

Un altro punto di forza è l’assistenza SI.net: oltre alla configurazione ad hoc dell’apparato, è garantita la sostituzione del dispositivo e il ripristino in poche ore, oltre ad una serie di servizi di aggiornamento e monitoraggio da remoto.

Di seguito sono riportate le principali caratteristiche tecniche di SI.Gate, ma per chi volesse approfondire l’argomento è possibile ottenere maggiori informazioni scrivendo a sistemi@blog.sinetinformatica.it

Caratteristiche tecniche

Le funzioni supportate dal dispositivo comprendono elementi di networking evoluto, di firewalling, di content filtering. Lo strumento di gestione è molto semplice, basato su interfaccia web.  Nel dettaglio:

• Bilanciamento e Failover di connessioni multiple a Internet;
• Connessioni UMTS/HSDPA mediante modem 3G;
• Server RADIUS per fornire autenticazione e gestione automatica delle chiavi di cifratura alle reti Wireless 802.11b, 802.11g e 802.11a supportando il protocollo 802.1x nella forma EAP-TLS, EAP-TTLS e PEAP; sono supportate le modalità WPA con TKIP e WPA2 con CCMP conforme allo standard 802.11i; il server RADIUS può inoltre, in base allo username, il gruppo di appartenenza o MAC Address del supplicant smistare l’accesso su di una VLAN 802.1Q assegnata ad un SSID;
• Captive Portal per il supporto del web login su reti wireless e non. SiGate agisce da gateway per la rete su cui è attivo il Captive Portal e su cui gli indirizzi IP (di solito appartenenti a classi private) vengono forniti dinamicamente dal DHCP. Un client che accede a questa network privata deve autenticarsi mediante un web browser con username e password Kerberos 5 prima che il firewall gli permetta di accedere alla LAN pubblica. I gateway Captive Portal sono utilizzati spesso per fornire accesso a Internet negli HotSpot in alternativa all’autenticazione 802.1X troppo complicata da configurare per gli utenti.
• Gestione del QoS (Quality of Service) e traffic shaping per il controllo del traffico su reti congestionate. Si possono imporre vincoli sulla banda minima garantita, sulla banda massima e sulla priorità di un pacchetto (utile nelle connessioni realtime come le VoIP). Tali vincoli potranno essere applicati sulle interfacce Ethernet, sulle VPN, sui point to point PPPoE.
• HTTP Proxy con antivirus open source ClamAV in grado di bloccare in maniera centralizzata le pagine web contenenti Virus. Il proxy, realizzato con HAVP, potrà funziona in modalità transparent proxy, intendendo con ciò, che non è necessario configurare i web browser degli utenti per utilizzare il server proxy, ma, le richieste http verranno automaticamente reindirizzate a quest’ultimo. È ovvio, che in questo caso, la macchina che fa da proxy deve essere anche un gateway (router IP o bridge);
• Supporto per la funzionalità di Wireless Access Point con Multi SSID utilizzando schede di rete WiFi basate sui chipset Atheros. In altre parole, con una di tali schede WI-FI SiGate può funzionare come Access Point per le reti IEEE 802.11 supportando i protocolli 802.1X, WPA per l’autenticazione e la generazione di chiavi dinamiche. Ovviamente l’autenticazione avviene tramite EAP-TLS o PEAP sfruttando il server RADIUS integrato;
• VPN host-to-lan con protocollo L2TP/IPsec in cui L2TP (Layer 2 Tunneling Protocol) autenticato con username e password Kerberos v5 viene incapsulato all’interno di IPsec autenticato mediante IKE con certificati X.509.
• In alterbativa è posssibiile utilizzare un software opensource ove la struttura della rete impedisca l’utilizzo del metodo spora descritto;
• VPN lan-to-lan con incapsulamento delle trame Ethernet in tunnel SSL/TLS, con supporto per VLAN 802.1Q e aggregabili in load balancing (incremento di banda) o fault tollerance (incremento di affidabilità);
• Router con route statiche e dinamiche
• Bridge 802.1d con protocollo Spanning Tree per evitare loop anche in presenza di percorsi ridondati;
• Firewall Packet Filter e Stateful Packet Inspection (SPI) con filtri applicabili sia in routing sia in bridging su tutti i tipi di interfaccia di rete comprese le VPN e le VLAN;
• Controllo mediante Firewall e Classificatore QoS del traffico di tipo File sharing P2P;
• NAT per utilizzare sulla LAN indirizzi di classi private mascherandoli sulla WAN con indirizzi pubblici;
• TCP/UDP port forwarding (PAT) per creare Virtual Server, ovvero cluster di server reali visti con un unico indirizzo IP (l’indirizzo del Virtual Server). Le richieste sul server virtuale saranno smistate sui server reali ciclicamente preservando le connessioni e le sessioni già esistenti
• Server DNS multizona e con gestione automatica della Reverse Resolution in-addr.arpa;
• Server DHCP multi subnet con possibilità di assegnare l’indirizzo IP in base al MAC Address del richiedente;
• Virtual LAN 802.1Q (tagged VLAN) applicabili sulle interfacce Ethernet, sulle VPN lan-to-lan, sui bonding di VPN e sui bridge composti da interfacce Ethernet, VPN e bond di VPN;
• Client PPPoE per la connessione alla WAN tramite linee ADSL, DSL e cavo (richiede MODEM adeguato);
• Client DNS dinamico che permette la rintracciabilità su WAN anche quando l’IP è dinamico. Gestione dinamica del record dns MX per l’instradamento SMTP della posta elettronica su mail server con IP variabile;
• Server e client NTP (Network Time Protocol) per mantenere gli orologi degli host sincronizzati;
• Server syslog per la ricezione e la catalogazione dei log di sistema prodotti da host remoti quali sistemi Unix, router, switch, access point WI-FI, stampanti di rete e altro compatibile con protocollo syslog;
• Autenticazione Kerberos 5 mediante un KDC integrato e cross autenticazione tra domini;
• Autorizzazione LDAP, NIS e RADIUS;
• Autorità di certificazione X.509 per l’emissione e la gestione di certificati elettronici;
• Integrazione tra sistemi Unix e domini Windows Active Directory in un unico sistema di autenticazione e autorizzazione mediante LDAP e Kerberos 5 cross realm authentication.