lug 04 2010

Palo Alto Networks – Firewall Applicativo

di Massimo Lazzari

Pensate davvero che il vostro firewall blocchi tutto il traffico non legittimato ad uscire dalla vostra rete?

Data la diffusione di software che incapsulano i loro pacchetti su http o su porte TCP considerate sicure, la risposta è molto probabilmente no.

I firewall di Palo Alto Networks, facendo uso della tecnologia proprietaria App-ID,  riescono comunque ad identificare le applicazioni in entrata e uscita dalla vostra rete, anche se criptate in SSL.  In questo modo le politiche di sicurezza della vostra azienda non verranno più eluse da applicazioni stealth, e oltre a questo, data l’integrazione con Active Directory, le regole di firewalling potranno essere applicate al singolo user anche se provvisto di IP dinamico.

Alla possibilità di identificare e bloccare selettivamente le applicazioni  si aggiunge l’identificazione e il blocco di virus, malware e attacchi di rete verso i vostri apparati (agisce cioè da IPS).

Generalmente, i firewall si supponga agiscano come gatepeeker, negando o permettendo in traffico in base alle policy amministrative, non è tuttavia un segreto per nessuno che quasi tutte le politiche di firewall permettono il traffico web, il che permette agli  sviluppatori di software di prendersi per così dire gioco del sistema e far uscire i loro applicativi sfruttando i protocolli web. Ad esempio, l’RPC over http di Microsoft viene usato frequentemente per mascherare connessioni da Outlook verso server Exchange al di fuori della LAN. In pratica ciò equivale a chiudere la porta ma lasciare la finestra aperta.

L’unica eccezione sono i proxy applicativi, che mi “ricreano” le applicazioni che passano attraverso il firewall, garantendo che solamente le applicazioni realmente approvate possano bypassare la rete interna.

Ma anche i proxy hanno i loro problemi, non ultimo il dover tenere il passo con le nuove applicazioni e i nuovi protocolli, tanto che anche minimi cambiamenti nel protocollo usato da un’applicativo possono causare problemi di compatibilità impedendone in definitiva l’uso agli utenti finali.

Palo Alto risolve il dilemma implementando un sistema basato su signatures che mi permette di identificare oltre mille applicazioni differenti. Oltre a questo, vi sono altre signatures per identificare i virus nel traffico di rete, malware e altri tentativi di exploit. Naturalmente, è lasciata all’amministratore di sistema la possibilità ultima di bloccare o permettere la singola applicazione o threat.

In aggiunta a quanto detto, integrato nel firewall è presente pure il database di classificazione URL di SurfControl, ciò rende possibile avere in unico apparato anche l’URL filtering, anche questo per categorie piuttosto che per singola URL, e configurabile per gruppi di utenti o singolo utente piuttosto che per IP.

La possibilità di implementare l’apparato in modalità tap mode rende possibile analizzare il traffico in una rete senza causare alcun disservizio, la modalità virtual wire prevede invece l’utilizzo in linea del firewall in maniera del tutto trasparente ma con la possibilità aggiuntiva di bloccare il traffico indesiderato. Infine, la modalità L3 prevede di usarlo come vero e proprio firewall, in sostituzione del precedente. Ovviamente, è possibile un mix delle tre situazioni sul medesimo appliance.

Per quanto riguarda la reportistica, ci si può soltanto sbizzarrire: oltre alla possibilità di cliccare sui vari grafici ed essere rimandati all’evento contestuale (protocollo, ip sorgente, ecc), è possibile costruire filtri con il solo uso del mouse, filtri che potranno  essere salvati per un successivo riuso.

Maggiori dettagli su http://www.paloaltonetworks.com

Archiviato in: Uncategorized

giu 18 2010

Alfresco 3.3g – Prime impressioni

di a.fabris

La si attendeva ormai da tempo, era stata annunciata per il 19 aprile, poi rimandata a data da destinarsi.
Finalmente eccola qui: la nuova, ultimissima versione dell’edizione Community di quello che negli anni si è sempre più affermato come il documentale di riferimento nel mondo dell’open source: Alfresco.
La pazienza di chi ha, con crescente disappunto, seguito le vicissitudini di questa nuova versione, ricca di promesse, sarà ricompensata? Dopo una prima analisi di massima la risposta non può che essere un sonoro SI. E questo non può che far piacere a chi segue lo sviluppo di applicazioni nell’ambito open source e che conosce le difficoltà che spesso esse incontrano. Un plauso a questo prodotto che davvero non fa rimpiangere molte delle sue controparti commerciali e che, nella maggior parte dei casi, uscirebbe addirittura vincitore dal confronto.
La novità principe di questa release (3.3g), che si propone quale soluzione ai numerosi bug della precedente (3.3), è sicuramente la rinnovata interfaccia Share che, come suggerisce il nome, è stata pensata e voluta quale mezzo di collaborazione fra gli utenti. Ai ben informati sull’argomento verrà da chiedersi dove stia la novità, in quanto tale interfaccia era già presente anche in alcune release precedenti, ma la differenza è tanto sottile dal punto di vista grafico (una semplice voce di menu aggiuntiva), quanto imponente sul lato della fruibilità: da share si dispone ora dell’accesso al repository, dove risiede la totalità dei documenti.
Sul piano delle funzionalità le novità emergono fin dai primi utilizzi: le regole, che permettono ad esempio di creare e gestire workflow semplici (copiare, spostare, trasformare file), sono ora definibili e facilmente gestibili dalla nuova interfaccia grafica. Si possono creare siti di collaborazione che mettono a disposizione: wiki, blog, discussioni, calendari, liste (di tasks-to-do, di issues, ecc.) in pochi secondi e ancora meno click. Interessante la possibilità di gestire facilmente piccoli workflow del tipo: “review and approve” (inviare la richiesta di valutazione di un documento e in seguito ricevere notifica dell’approvazione o del rifiuto) o “task ad-hoc” (inviare la richiesta di svolgere un task su un documento), con la possibilità aggiuntiva, che ci promettiamo di testare prossimamente, di introdurre altri workflow definiti tramite il motore jBPM di JBoss.
Questo giusto per citare alcune delle funzionalità che più semplificheranno la vita a coloro che sceglieranno di utilizzare questo prodotto, che sembra affermare con forza che l’essere gratuito non determina minimamente un impatto negativo sulla qualità della sua implementazione. Anche sul lato architetturale arrivano novità: dalla versione 3.3, Alfresco consente all’utente di decidere, out-of-the-box, se appoggiarsi su MySql o su PostgreSQL. Lo stiamo attualmente testando su un’istanza di PostgreSQL appositamente predisposta per fornire efficienza al salvataggio e al recupero dei meta-dati dei documenti.
Ovviamente è presto per tirare le somme, data la mole di funzionalità da testare, e forse risulta prematuro sfoggiare tanto entusiasmo, ma per questa volta me la sento di rischiare, riservandomi di tenervi informati sull’argomento. Se davvero saprà mantenere tutte le promesse, questo documentale saprà decisamente lasciare il segno e introdurre in tutte le aziende che decideranno di adottarlo il valore impagabile della semplificazione.
Archiviato in: Open source, Opinioni

giu 17 2010

Pillole di IPv6 n°2

di a.miraglies

Facciamo chiarezza sulle tipologie di indirizzi del nuovo protocollo Internet.
Gli indirizzi possono essere:

  • -unicast, individuano una ed una sola interfaccia di rete
  • -multicast, sono quelli che identificano un gruppo di nodi
  • -anycast (novità!) sono dei particolari indirizzi multicast in cui il mittente comunica con il nodo più vicino di un gruppo

In questa pillola di saggezza informatica analizzeremo gli indirizzi unicast, che come potrete spesso vedere digitando “ifconfig” oppure “ipconfig” possono essere:

-link-local: per ogni interfaccia di un nodo viene generato automaticamente un indirizzo di tipo link-local utilizzabile solo a livello locale. Non bastano quindi per essere visibili sulla rete Internet. Il prefisso per i link-local unicast è fe80, mentre l’interface id (64 bit) è ricavato dall’indirizzo fisico (MAC address) dell’interfaccia. Poichè il MAC ha 48 bit viene aggiunto a metà  ff:fe (16 bit). Per esempio, se un’interfaccia di rete ha il MAC aa:bb:cc:dd:ee:ff il suo indirizzo locale sarà  fe80::aabb:ccff:fedd:eeff.
Cosa accade con IPv4 quando un nodo si connette ad una rete? Se non si configura manualmente un indirizzo statico, l’interfaccia aspetta desiderosa che un server DHCP le assegni un indirizzo. Se, sfortunatamente, non è presente alcun server o relay agent entra in gioco il protocollo APIPA (Automatic Private IP Address) che però non fa parte delle specifiche IPv4 ma fu introdotto da Microsoft ed è diventato, de facto, uno standard.
Con IPv6, grazie al fatto che l’indirizzo link local si basa sul MAC address, si ha una certezza del 100% che esso sia univoco, certezza non garantita da APIPA.
Inoltre la generazione del link local avviene non appena l’interfaccia viene accesa, e si ha quindi immediatamente un indirizzo con cui poter parlare nella propria rete privata.

-Global: sono indirizzi a visibilità  pubblica. Le prossime righe potranno assopirvi, quindi fate una pausa caffè, non vorrei mai che possiate perdervi un argomento così importante.

L’indirizzo è composto dai seguenti campi:

TLA ID (13bit): Top Level Aggregation identifier. Il TLA identifica il livello più alto della gerarchia di routing.
I TLA sono amministrati dalla IANA e allocati in registri Internet locali che a loro volta allocano i singoli ID TLA a provider di servizi Internet (ISP, Internet Service Provider) globali. Un campo di 13 bit può contenere fino a 8.192 ID TLA diversi. Per i router del livello più alto della gerarchia di routing di Internet IPv6 non è disponibile una route predefinita ma solo route con prefissi di 16 bit che corrispondono ai TLA allocati.

RISERVATO (8bit): il campo Riservato è riservato per un utilizzo futuro per l’espansione della dimensione dell’ID TLA o dell’ID NLA.

NLA ID (24 bit): il campo ID NLA indica il Next Level Aggregation Identifier. L’ID NLA identifica il sito di un cliente specifico. Esso consente all’ISP di creare più livelli di gerarchia di indirizzamento per organizzare l’indirizzamento e il routing e per identificare i siti. La struttura della rete dell’ISP non è visibile ai router senza route predefinita.

SLA ID (16bit): Site Level Aggregation Identifier. L’ID SLA viene utilizzato dalle singole organizzazioni per identificare le subnet all’interno del proprio sito. I 16 bit possono essere utilizzati dall’organizzazione per creare 65.536 subnet o più livelli di gerarchia di indirizzamento e un’infrastruttura di routing efficiente. Con 16 bit di flessibilità  di subnet, un prefisso unicast globale aggregabile assegnato a un’organizzazione equivale ad allocare all’organizzazione un ID di rete IPv4 di classe A (presupponendo che l’ultimo ottetto venga utilizzato per identificare i nodi nelle subnet). La struttura della rete del cliente non è visibile all’ISP.

L’indirizzo globale può essere formato dall’interface-ID, che come abbiamo già  visto è basato sul MAC address. Quindi un computer che si trova in Olanda o in Australia cambierà  il prefisso di rete ma non l’interface ID. E’ evidente che questo fatto comporta problemi di privacy, ma niente paura: esiste la possibilità  di generare la parte host dell’indirizzo randomicamente (oppure assegnarcene uno inventato di nostro pugno, in modo statico, proprio come si faceva con IPv4).

Archiviato in: Uncategorized

giu 08 2010

Pillole di IPv6 n° 1

di s.catellani

Aprile 2012, data stimata per l’esaurimento definitivo degli indirizzi IPv4 disponibili. La soluzione è una tecnologia innovativa già presente, i cui studi sono iniziati nel lontano 1994 da parte dell’IETF e che hanno portato alla prima pubblicazione del protocollo già nel 1998. Tale innovazione prende il nome di IPv6.

La caratteristica principale di questo nuovo protocollo è il numero di bit riservati agli indirizzi, ben 128 bit contro i 32 del vecchio protocollo IPv4. Tale cambiamento porta con sé la capacità di gestire 2128 indirizzi (circa 3,4 × 1038, cioè 666 mila miliardi di miliardi per metro quadro di superficie terreste), mentre IPv4 permette di indirizzarne solo 4 x 109.

Entriamo un po’ più nello specifico. L’header IPv6 presenta parecchie modifiche rispetto a quello precedente, basti guardare il peso, 40byte contro i 20byte di quello IPv4. Nella seguente immagine si possono notare i campi mantenuti, i campi tolti, i campi rinominati e cambiati di posizione ed infine i campi nuovi.

header IPv6

IPv6 renderà obsoleti ARP e NAT, essenziali in questo momento, grazie a protocolli già inclusi in esso, tra cui per esempio NDP (Neighbor Discovery Protocol) che si occupa della scoperta degli altri nodi nella rete determinando il link layer address di quest’ultimi, di trovare i router disponibili e di mantenere informazioni riguardanti i percorsi per gli altri nodi attivi limitrofi; l’utilizzo del NAT non sarà più necessario in quanto lo smodato spazio di indirizzamento permetterà ad ogni dispositivo di rete di comunicare con il mondo con il proprio indirizzo.

Qui sopra abbiamo parlato di link layer address: ogni dispositivo di rete avrà a disposizione questo indirizzo auto-generato che gli permetterà di comunicare all’interno della propria rete con il protocollo NDP per poter ottenere la configurazione dell’indirizzo Ipv6 globale; quest’ultimo gli permetterà di comunicare con il resto della rete Internet.

Archiviato in: Uncategorized

mag 28 2010

Platespin per il datacenter

di s.scarso

Platespin è una recente acquisizione di Novell che offre da tempo prodotti di server consolidation. Ad oggi si presentano sul mercato con una suite di ampio respriro che vuole coprire le esigenze di controllo e protezione a livello data center.

Il principio di partenza su cui si basano i prodotti Platespin è quello di workload: con questo concetto si intende l’insieme di dati, applicazioni e sistema operativo, ecco che in questo modo si riesce a trattare nello stesso modo un sistema fisico o virtuale, un workload appunto.

Ma vediamo di scendere più in dettaglio sui singoli prodotti per capire cosa fanno e a quali esigenze rispondono:

Recon: un prodotto che può essere strategico nel data center di oggi, che cresce e si modifica molto in fretta. Fa essenzialmente inventario, reporting, grafici e consolidation planning a livello data center. E’ in grado di eseguire la discovery dei server, fornire l’asset hardware e software, analisi e report delle risorse e del loro utilizzo e molto altro, in modo centralizzato senza aver bisogno di agent.

Migrate/Protect: permette la portabilità dei workload, ovvero la conversione tra fisico, virtuale e immagine.

Da una console centralizzata di gestione posso eseguire o schedulare la migrazione di hardware, backup o replica delle macchine siano esse fisiche o virtuali, supporta os windows e linux. Questo “motore” di conversione consente di trattare sistemi fisici e virtuali alla stessa stregua e fornisce inoltre la gestione di scenari quali disaster recovery, data center relocation, dynamic server provisioning.

Forge: è una soluzione di disaster recovery affidabile e completa sotto forma di un’unica appliance totalmente autonoma, in pratica è la versione appliance del software di migrate/protect. Permette  il recupero di molteplici workload fisici e virtuali utilizzando una singola appliance Forge. Monitora e fornisce rapporti su funzioni chiave relative alla replica dei workload e al recupero. Failover attivabili con un clic e a opzioni di ripristino flessibili.

Archiviato in: Uncategorized

mag 24 2010

Evento Miriade del 1° Giugno

di e.buffarini

PRESENTA

SI SVELA:
tra Università, Business Intelligence e… pizza!!!


Martedì 1° Giugno, ore 9:00 – 14:00
presso la sede di Miriade, a Thiene (VI)
___________________________________________________________________________________________________________
Per fare chiarezza, per fare domande e ricevere risposte, per sgombrare il campo da tanti dubbi, per scoprire cosa stiamo sviluppando con l’Università di Padova sul cloud, per mettere il naso nel settore IT protagonista del 2010 (la Business Intelligence), per addentare dell’ottima pizza… per questi e per tanti altri motivi non puoi mancare al nuovo appuntamento di Miriade.

A G E N D A  D E L L A  G I O R N A T A

I momenti cardine della giornata:
Microsoft gestirà direttamente due interventi: un approfondimento in tema licensing e una panoramica sulle strategie di virtualizzazione.
Miriade invece vi proporrà l’appliance di Business Intelligence: una black box open source che ha tutto a bordo (DB, ETL,…) su un hardware con ottime prestazioni e una capacità disco a partire da circa 800 Gb utili.
Uno spazio anche all’Università di Padova e ai ragazzi che, in un progetto che vede coinvolta Miriade, hanno sviluppato un’applicazione per Google che verrà rilasciata open source.

E per finire… pizza per tutti!!!

___________________________________________________________________________________________________________

REGISTRAZIONE: l’evento è gratuito, per iscriversi è sufficiente mandare una mail a Eros Buffarini e.buffarini@miriade.it e confermare la propria presenza.
A questo link l’agenda completa e dettagliata della giornata!!!
Vietato mancare!

Archiviato in: Eventi

mag 14 2010

Il controllo della navigazione dei dipendenti dal punto di vista legale

di Loredana Reniero

Con particolare riferimento all’uso di Internet da parte del dipendente, il provvedimento del Garante della privacy stabilisce che il datore di lavoro, per ridurre il rischio di usi impropri della navigazione in rete, possa adottare opportune misure al fine di prevenire controlli successivi sul lavoratore.
Il datore di lavoro può adottare quindi una o più delle seguenti misure opportune, tenendo conto delle peculiarità proprie di ciascuna
organizzazione produttiva e dei diversi profili professionali:
•individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;
•configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni – reputate inconferenti con l’attività lavorativa – quali l’upload o l’accesso a determinati siti (inseriti in una sorta di black list) e/o il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato);
•trattamento di dati in forma anonima o tale da precludere l’immediata identificazione di utenti mediante loro opportune aggregazioni (ad es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori);
•eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza.
E’ invece vietato ai datori di lavoro privati e pubblici il trattamento di dati personali effettuato mediante sistemi hardware e software preordinati al controllo a distanza, grazie ai quali sia possibile ricostruire – a volte anche minuziosamente – l’attività di lavoratori.
É il caso, ad esempio:
• della lettura e della registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
• della riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
• della lettura e della registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
• dell’analisi occulta di computer portatili affidati in uso.
Per quanto concerne la conservazione dei dati, dalla motivazione del provvedimento si evince inoltre che i sistemi software debbano essere programmati e configurati in modo da cancellare periodicamente e automaticamente (attraverso procedure di registrazione come la c.d. rotazione dei log files) i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria.
Per approfondimenti:
http://www.mitiworks.it/images/stories/pdf/controllonavigabilita.pdf
Per soluzioni tecnologiche:
http://www.mitiworks.it/index.php?option=com_content&view=article&id=40&Itemid=17
Archiviato in: mitiworks

mag 13 2010

Social networks: effetti collaterali?

di a.rigoni

Come tutelare la propria privacy nell’era di Facebook, Myspace e co.? In che modo è possibile difendere la propria reputazione, l’ambiente di lavoro, gli amici, la famiglia, da spiacevoli inconvenienti che possono essere causati da un uso incauto o non appropriato di questi potenti strumenti offerti dai social networks?

A queste domande il Garante per la privacy dà delle risposte attraverso una guida, una sorta di vademecum, sia per dummies che per esperti, pensata per aiutare chi intende entrare in un social network, o chi ne fa già parte,  a usare in maniera consapevole uno strumento così innovativo.

Scarica qui la guida.

Archiviato in: mitiworks

mag 12 2010

Back from Brainshare

di Giorgio Canale

Quest’anno, dopo una pausa forzata imposta forse dalla congiuntura economica dello scorso anno, si è svolta l’edizione del Novell Brainshare a Salt Lake City. Si tratta di un evento di formazione in cui si tengono seminari sulle tecnologie Novell e si ha modo di vedere nuove soluzioni o tecnologie che saranno presentate in futuro
Io ci sono stato e vorrei riportare alcuni aspetti che mi hanno colpito.
IDM 4
La suite di Identity and access Management targata Novell si rifà il trucco. Attualmente è allo stato di beta la nuova versione che include una serie di migliorie e nuove funzioni.
La funzione più interessante secondo me è quella che chiamano “Role mapping”, che permette di associare, tramite un’interfaccia web, gruppi e accessi applicativi a ruoli aziendali definiti, eseguendo le query runtime sui sistemi di riferimento, e permettendo così di popolare una struttura di ruoli anche a figure aziendali non tecniche.
La nuova release sarà “Cloud ready” integrando già connettori verso alcune soluzioni cloud-based.
Rivista anche l’interfaccia web utente, più organica e accessibile ora anche da device mobili (PDA, iPhone, ecc.).
L’installazione ora sarà realizzata come unico setup per tutti i componenti.
Per quanto riguarda gli sviluppatori viene realizzato un sistema di controllo che rende più agevole lo sviluppo impedendo la modifica accidentale di porzioni di codice sensibile.
Sarà inoltre possibile realizzare un connettore verso un sistema eDirectory “slave” senza la necessità di avere un doppio engine, a differenza di quanto accadeva nelle versioni precedenti.
La parte di ruoli e workflow, finora vista solo come interfaccia web, sarà esposta in ogni sua parte e gestibile/interrogabile via SOAP
Pulse
Nasce come alternativa a google Wave, con cui condivide modalità di funzionamento e API.
Si tratta di un sistema di collaborazione condivisa via web realtime.
Pulse rende possibile il co-editing realtime dei documenti utilizzando solamente un browser.
Durante una presentazione è stata mostrata la funzione di co-editing multipiattaforma, sfruttando la federazione tra Novell Pulse e Google Wave.
Il PM di Google Wave editava lo stesso Wave editato in contemporanea tramite novell Pulse.
Workload Management
Si tratta di uno strumento web che consente di richiedere, approvare e gestire l’accounting su risorse virtuali di un datacenter. Di fatto si possono creare dei meccanismi per governare l’accesso e l’utilizzo delle risorse da parte degli utenti di un datacenter.
Archiviato in: IAM, Micore

mag 11 2010

Oracle clusterware 11gR2 & mysql 5.1 & ACFS

di Matteo Durighetto

I’m very exited to annuced that I have tested Mysql 5.1.47 clustered as a service/application on Oracle clusterware 11.2.0.1 using the new ACFS filesystem as a shared filesystem between 2 nodes. The trick is to create two virtual resources mysql.rg / mysql.res   to enclose the dependencies on all resource like this  ( → means depend on ) :

mysql.rg  → mysql.db → acfs → vip → mysql.res

It works very well, and the performance are good on a SAN, and the switchig is very fast!

Raccomended

Archiviato in: Uncategorized

Next »

rss