DEEP PACKET INSPECTION E PACKET INSPECTION

Inserito da 11 Novembre, 2007 (0) Commenti

Si tratta di :News

DEEP PACKET INSPECTION E PACKET INSPECTION

La Deep Packet Inspection (DPI) è una forma di filtraggio dei pacchetti dati in transito su una rete a commutazione di pacchetto (come Internet) che esamina i contenuti dei pacchetti stessi (payload) alla ricerca di contenuti che non siano conformi a determinati criteri prestabiliti dall’operatore/ISP.

A differenza della Packet Inspection, gli apparati che implementano DPI non si limitano a controllare l’intestazione dei pacchetti, che contiene informazioni quali gli indirizzi IP mittenti e destinatari e informazioni sul servizio/protocollo di rete utilizzato (numeri di “porta”), ma controllano anche i dati contenuti nei pacchetti.

Un pacchetto che venga riconosciuto aderente ai criteri prestabiliti può essere gestito dai dispositivi DPI in varie forme, tra cui scartato, rediretto, variata la sua priorità, ne puo’ essere limitato il bit rate (la “velocità” massima di questo flusso di pacchetti e anche notificato a un sistema di monitoraggio.

Questi controlli e queste azioni possono essere fatte sia sul singolo pacchetto che su un flusso di pacchetti simili.

L’utilizzo da parte di operatori di TLC di sistemi di Deep Packet Inspection, per privilegiare il proprio traffico rispetto a quello di altri operatori, è contestata nel mondo dai sostenitori della Neutralità della rete e, un suo uso per censurare gli utenti, viene ritenuto da alcuni gruppi sostenitori dei diritti civili una minaccia alla democrazia; alcuni addetti ai lavori che la DPI sia necessaria per ragioni economiche o per ragioni di sicurezza per bloccare la trasmissione di malware (es. virus, trojan, spam) per proteggere gli utenti.


LA GESTIONE DELLA QUALITA’ DEL SERVIZIO

In questo modo, un operatore/ISP, potrebbe assicurare ai propri clienti che i pacchetti VoIP o media avranno una priorità maggiore degli altri pacchetti anche se non usano le porte caratteristiche del protocollo RTP (Realtime Transport Protocol), al fine di assicurare una qualità di servizio (QoS: Quality of Service) sufficiente per determinati tipi di traffico che necessitano isocronia, ovvero una costanza delle latenze delle comunicazioni.

In questo modo, un operatore/ISP, potrebbe anche abbassare la priorità di servizi VoIP o media erogati da Service Provider concorrenti, ispezionare per cercare determinati contenuti, keyword, ecc. e questi comportamenti, a mio avviso, sono criticabili.


GESTIRE LA SCARSITA’ O RIMUOVERLA ?

Per quanto concerne le dorsali delle reti, secondo il Prof. Odlyzko, noto guru delle telecomunicazioni, l’uso di sistemi di DPI da parte di un operatore, da un punto di vista tecnico, è antieconomico in quanto i costi di potenziamento di una dorsale di rete in fibra ottica si riducono sempre di più fino a costare meno dei sistemi di DPI. In questo caso, il costo di rimozione della scarsità sarebbe inferiore al costo di gestione della scarsità.

Naturalmente il discorso è diverso se un ISP acquista trasporto all’ingrosso da un operatore di rete in quanto il prezzo all’ingrosso viene stabilito dal grossista stesso e quindi è fuori dal controllo dell’ISP. Con la prossima introduzione in Italia della modalità di offerta all’ingrosso “bitstream“, se i prezzi all’ingrosso saranno fissati dall’AGCOM come previsto dalla norma e quindi secondo le migliori pratiche europee, secondo il ragionamento del prof. Odlyzko, anche per gli ISP non dovrebbe esserci una ragione economica per introdurre sistemi DPI.

Se le dorsali di una rete sono capienti e se il costo di loro ampliamento è inferiore a quello di gestione della scarsità, altrettanto non si può dire per la parte di accesso (local loop o coda locale), ovvero per il segmento di rete che collega la casa dell’utente alle dorsali. Questa, per definizione, sarà sempre di dimensione inferiore alla dorsale e quindi può essere oggetto di saturazione sulla base dell’utilizzo che ne fa l’utente.

Seppure una dorsale è sufficientemente capiente, un grosso file transfer può ad esempio degradare la qualità del traffico VoIP sul segmento di coda locale e, su questo segmento, un utente potrebbe desiderare che il suo traffico VoIP venga reso prioritario rispetto al file transfer.


QUALI SERVIZI E QUALI INFORMAZIONI RICHIEDERE

In condizione di scarsità di dorsali, in attesa della applicazione del Bitstream, un ISP potrebbe decidere di offrire ai propri clienti dei servizi di prioritizzazione (o di limitazione) di determinati tipi di traffico; tuttavia, secondo il gruppo di esperti dmin.it, capitanati da Leonardo Chiariglione (il fondatore e presidente del gruppo di esperti MPEG), ogni operatore dovrebbe comunque,per l’accesso ad Internet (Proposta operativa.doc, paragrafo 3.4)

  • All’utente deve sempre essere garantito servizio “service agnostic”
  • l’utente e il fornitore di contenuti debbono avere la possibilità di stipulare contratti con una certa classe di servizio senza che ci siano discriminazioni su base src/dst/port/payload (indirizzo sorgente/destinatario, numero di porta e tipo di payload).

Alcuni ISP italiani, seppure non pubblicizzandolo, offrono servizi di prioritizzazione per i servizi VoIP. Altri ISP utilizzano DPI, come illustrato sopra, unicamente per bloccare la diffusione di malware.
Il Codice delle Comunicazioni Elettroniche (pdf), la legge che regola il mercato delle comunicazioni in Italia, stabilisce

Art. 13 – Obiettivi e principi dell’attivita’ di regolamentazione
6. Il Ministero e l’Autorita’, nell’ambito delle rispettive competenze, promuovono gli interessi dei cittadini:
d) promuovendo la diffusione di informazioni chiare, in particolare garantendo la trasparenza delle tariffe e delle condizioni di uso dei servizi di comunicazione elettronica accessibili al pubblico;

Art. 46 – Obbligo di trasparenza
1. Ai sensi dell’articolo 45, l’Autorita’ puo’ imporre obblighi di trasparenza in relazione all’interconnessione e all’accesso, prescrivendo agli operatori di rendere pubbliche determinate informazioni quali informazioni di carattere contabile, specifiche tecniche, caratteristiche della rete, termini e condizioni per la fornitura e per l’uso, prezzi.

Ottenere informazioni dal proprio ISP circa le specifiche tecniche e le caratteristiche della rete è un diritto degli utenti.

MIE CONSIDERAZIONI

La banda non è mai sufficiente.

Quando ho iniziato si usava il Telnet e Gopher era lento perchè richiedeva troppa banda; le mail venivano spedite di notte, quando la rete era scarica. Poi sono arrivate le news, anch’esse di notte. Poi e’ arrivato il web con le immagini e ogni pagina ci metteva qualche minuto… Poi Vocaltech aveva fatto il walki-talkie “internet phone” e la banda era scarsissima. Poi Real Networks faceva i video della dimensione di un francobollo ed era insufficiente.

Adesso la banda e’ insufficiente per fare video a qualità televisiva.

Da 20 anni la banda è insufficiente ma solo quando si è affacciata l’idea per gli operatori di guadagnare gestendo la scarsità, si è posto il tema della neutralità della rete.

Io credo che un operatore debba poter fare le scelte strategiche sbagliate che vuole, ma solo se vi sono le condizioni di una reale concorrenza.

Il mercato all’ingrosso in Italia è monopolizzato da Telecom Italia e la mancata attuazione del Bitstream condiziona anche le scelte sul mercato a valle (Internet al dettaglio).

Si tratta di un fenomeno temporaneo, l’evoluzione tecnologica portera’ alla rimozione dei limiti sulla rete fissa ed allora ogni giustificazione della non neutralità della rete verrà meno.

Mi parrebbe quindi poco saggio rinunciare alla difesa del principio costituzionale dell’inviolabilità delle comunicazioni elettroniche.

Io personalmente non scelgo nessun ISP che non pubblichi le proprie policies di gestione del traffico e che discrimini il traffico per favorire i propri servizi rispetto a quelli degli altri.
ELENCO DI ISP CHE CHIARISCONO LE LORO POLICIES (che me lo hanno segnalato)

Fonte : Blog di Quintarelli

Categories : News Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Hardening della Lan wi-fi …a casa

Inserito da 3 Novembre, 2007 (0) Commenti

Si tratta di :Sicurezza

Hardening della Lan wi-fi …a casa
di Nanni Bassetti

Salve a tutti,
oggi nelle nostre case è possibile creare una rete wi-fi casalinga per
avere più computers collegati, senza stendere fastidiosi cavi che
farebbero incavolare le mogli e le madri.

Basta acquistare un router-modem wi-fi e collegarlo alla nostra adsl,
poi acquistare delle chiavette USB wi-fi da attaccare ai computer, se
avete i notebook col wi-fi integrato,
chiaramente andremo a risparmiare su quest’ultimo acquisto.
Il più è fatto! Adesso basta usare la ricerca reti wireless di windows
xp e agganciarsi al
nostro router, in pochi clicks siamo su internet…che bello!
Ma la sicurezza?
Ricordiamo che stiamo navigando facendo passare i nostri dati via etere,
e che la nostra adsl è raggiungibile via radio, se qualcuno fa del
wardriving(cioè gira con un computer portatile
cercando reti wi-fi aperte), si collega alla nostra adsl e poi di lì può
cominciare a fare azioni illecite usando la
nostra onesta linea.
Che cosa comporta?
Bhè immaginiamo alcune azioni illecite:
1) Pedopornografia
2) E-mail minatorie
3) Pirateria informatica varia
tutto riconducibile al nostro indirizzo IP, intestato a noi, quindi ne
siamo responsabili legalmente.
Allora che si fa? Si torna alla vecchia ed affidabile rete via cavo
ethernet?
Ma no…basta effettuare alcuni accorgimenti:
1) Usiamo una password lunga per accedere al sistema operativo del
nostro router
2) Usiamo una password di accesso alla rete wi-fi (WEP o WPA in seguito
approfondiremo)
3) Usiamo l’accesso tramite MAC address alla rete.

Ma adesso analizziamo le parolacce su indicate:

Il Gateway (router) deve supportare quattro tipi differenti di
regolazioni di sicurezza per la vostra rete.
Il Wi-Fi Protected Access (WPA) Pre-Shared key, WPA Remote Access Dial
In User Service (RADIUS), RADIUS, ed il Wire Equivalence Protection
(WEP).

Pre-Shared key WPA: Ci sono due opzioni di crittografia per la
Pre-Shared key WPA, TKIP ed AES.
TKIP sta per Temporal Key Integrity Protocol.
TKIP utilizza un metodo più forte di encrytption e comprende il codice
di integrità del messaggio (MIC) per assicurare la protezione contro i
hackers.
AES sta per al sistema avanzato di crittografia, che utilizza una
crittografia di dati simmetrica del blocco a 128-Bit.
Per Usare WPA Pre-Shared Key, si digita una parola d’accesso nel campo
chiave WPA lunga fra gli 8 e 63 caratteri.
Potete anche fornire un tempo di intervallo di rinnovamento della chiave
del gruppo fra 0 e 99.999 secondi.
WPA RADIUS: WPA RADIUS utilizza un server esterno RADIUS per realizzare
l’autenticazione dell’utente.
Per usare il WPA RADIUS, si scrive l’indirizzo IP del server RADIUS, la
porta di default del RADIUS SERVER è per default la 1812.
RADIUS: usa un server RADIUS per l’autenticazione o WEP per la
crittografia di dati.
Per utilizzare il RADIUS, si scrive l’indirizzo IP del server RADIUS in
seguito si seleziona il livello di crittografia (64 o 128) per WEP ed
una passphrase (frase password).
WEP: Ci sono due livelli della crittografia di WEP, 64-bit e di 128-bit,
più alto è il livello di crittografia, il più sicura sarà la vostra
rete, tuttavia, la velocità è sacrificato ai livelli elevati di
crittografia.

Così abbiamo ben protetto l’accesso alla nostra rete wi-fi, chiaramente
è consigliabile usare il WPA, poichè gli hackers hanno bisogno di
diversi giorni per bucare il WPA, mentre per il WEP ci si mette un paio
d’ore.

Allora come poterci completamente blindare?
Con l’accesso ristretto dal MAC address!
Un computer collegato ad una rete su IP/Ethernet ha due indirizzi: uno è
l’indirizzo fisico della scheda di rete ed è chiamato MAC address,
mentre il secondo è l’indirizzo IP.

– L’indirizzo fisico o MAC Address, teoricamente, dovrebbe essere un
indirizzo unico e non sostituibile, assegnato dal costruttore della
scheda di rete, che è conservato in una porzione di memoria della scheda
stessa.
I produttori di schede hanno un “intervallo” di indirizzi fisici da
assegnare alle proprie schede, che identificano univocamente solo e solo
quella scheda di rete a cui l’indirizzo specifico è stato assegnato.
Se si è dei mattoidi della pirateria si può , con particolari software,
modificare la ROM della scheda di rete e modificare il MAC address.
Ma ammesso che qualcuno lo faccia ed ammesso che sappia la lista di MAC
adress autorizzati dal router (ma come lo dovrebbe scoprire?), potrebbe
comunque non giungere a niente, poichè se nella nostra lan vi è un’altra
scheda di rete con lo stesso MAC address ci sarebbe con conflitto di
instradamento ed entrambe le due schedi di rete non riuscirebbero a
ricevere pacchetti.
Il MAC address è necessario per permettere di spedire e ricevere data in
una rete Ethernet, indipendentemente dal tipo di protocollo che viene
utilizzato sulla rete.

Ma come faccio a sapere il mio MAC address?
Semplice: START –> ESEGUI –> SCRIVETE CMD –> poi nella finestra DOS
scrivete “ipconfig /all”
ed avrete sia l’indirizzo IP che il MAC del vostro computer.
Chiaramente così se viene un ospite a trovarvi non basterà cedergli la
password ma dovrete autorizzare il suo MAC address da router per farlo
navigare sulla vostra ADSL.
Adesso però siamo al sicuro…e senza fili

Categories : Sicurezza Tags : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,