dallosto.net

IP-PBX OpenSource : Asterisk

Asterisk nasce grazie ad un Ingegnere informatico statunitense, Mark Spencer, che nel 2000 ha fondato una società specializzata nella progettazione e realizzazione di schede di interfaccia telefoniche, la Digium.
Spencer si è dedicato allo sviluppo di Asterisk soprattutto per favorire la diffusione delle proprie schede di interfaccia, ma la scelta di distribuire gratuitamente il proprio software ha attirato l’interesse di sviluppatori ed appassionati che negli anni hanno creato attorno al progetto una vasta community.
La possibilità di utilizzare il software liberamente, modificandolo ed adattandolo alle proprie esigenze, ha permesso ad Asterisk di divenire il punto di riferimento nel settore: molte aziende utilizzano Asterisk per fornire servizi telefonici, per gestire call center o interfacciare la rete tradizionale con le tecnologie VoIP. L’architettura modulare del software permette l’utilizzo di molteplici servizi e protocolli, realizzati sia dalla community open source che da diverse aziende che basano il proprio business su prodotti e servizi legati all’IP PBX software.
La possibilità di utilizzare il software liberamente, modificandolo ed adattandolo alle proprie esigenze, ha permesso ad Asterisk di divenire il punto di riferimento nel settore: molte aziende utilizzano Asterisk per fornire servizi telefonici, per gestire call center o interfacciare la rete tradizionale con le tecnologie VoIP. L’architettura modulare del software permette l’utilizzo di molteplici servizi e protocolli, realizzati sia dalla community open source che da diverse aziende che basano il proprio business su prodotti e servizi legati all’IP PBX software. Asterisk è un software caratterizzato da un’estrema flessibilità che ne permette l’utilizzo sia su dispositivi di piccole dimensioni, con ridotte capacità elaborative, che su server o Appliance molto più performanti.
Un IP PBX Asterisk è basato su un sistema operativo Linux, anche se esistono diversi progetti per il porting del prodotto su Windows. Grazie ad appassionati ed utilizzatori sono nate negli anni diverse distribuzioni Linux che, oltre ad integrare l’IP PBX, forniscono interfacce di amministrazione web based e innumerevoli strumenti che permettono di gestire e configurare diversi aspetti di Asterisk nonché di monitorare il flusso delle chiamate, le caselle vocali, le conferenze e molto altro.
In seguito torneremo sull’argomento e parleremo più approfonditamente delle distribuzioni più importanti, degli strumenti di gestione ed amministrazione nonché dei possibili utilizzi di Asterisk.

TV ed internet

802.1x

Funzionamento di 802.1X

802.1X è progettato per funzionare praticamente con tutte le reti: cablate, senza fili.

802.1X necessita di un'infrastruttura di supporto,

in particolare di client che supportino 802.1X
switch
LAN
access point wireless che possano utilizzare 802.1X
un server RADIUS e un database di account.

Il client, detto richiedente, effettua una connessione iniziale a un autenticatore, rappresentato dallo switch LAN o da un access point wireless.

L'autenticatore è configurato in modo da richiedere 802.1X a tutti i richiedenti e ignorare tutte le connessioni entranti non conformi a questo requisito.

L'autenticatore chiede al richiedente di dichiarare la propria identità e, quindi, la inoltra al server di autenticazione (RADIUS).
RADIUS effettua tutte le operazioni necessarie per autenticare il client entrante.
Normalmente ciò significa instaurare una conversazione EAP tra il richiedente e il server di autenticazione (in questo caso, l'autenticatore è semplicemente un dispositivo passante) e stabilire un metodo per l'autenticazione nell'ambito della conversazione EAP.
Si osservi che EAP in se’ non definisce alcuna protezione: i protocolli di autenticazione utilizzati devono, infatti, provvedere alla propria protezione.

Windows supporta due metodi EAP diversi

EAP-TLS

Il server di autenticazione instaura una sessione TLS (Transport Layer Security) con il richiedente. Il server invia il proprio certificato digitale al richiedente, che lo convalida.
Il richiedente invia a sua volta il proprio certificato digitale al server di autenticazione, che lo convalida. In questo modo, il client e la rete si autenticano reciprocamente e, fintanto che ognuna delle parti ritiene affidabile il certificato dell'altra e tale certificato è valido, l'autenticazione ha luogo.

PEAP (Protected EAP).

PEAP avvia la procedura come EAP: il server di autenticazione instaura una sessione TLS con il richiedente e invia a quest'ultimo il proprio certificato digitale per la convalida.
Se il richiedente ritiene affidabile il certificato, esso utilizza uno dei metodi disponibili per autenticarsi presso il server. Attualmente, l'unico metodo per l'autenticazione del richiedente supportato da Windows è MS-CHAPv2, nel quale il richiedente esegue l'operazione utilizzando gli account tradizionali (ID e password dell'utente o del computer).
Questo metodo è detto PEAP-EAP-MS-CHAPv2.
Si osservi che PEAP-EAP-TLS è anche un'opzione configurabile, sebbene in realtà non vi siano motivi per sceglierlo.
Esso instaura una seconda sessione TLS completamente separate all'interno della prima e il raddoppiamento delle sessioni TLS implica una velocità inferiore a quella di EAP-TLS.
Una volta che RADIUS ha autenticato il richiedente, a quest'ultimo viene consentito di comunicare attraverso la rete protetta dall'autenticatore (ovvero, dallo switch LAN o dall'access point wireless).
Sebbene gli autenticatori dispongano di una porta di rete fisica, si può considerare che abbiano due "porte virtuali".
Il traffico proveniente dai richiedenti autenticati passa attraverso la porta controllata, che blocca il traffico proveniente dai richiedenti non autenticati.
Durante il processo di autenticazione, l'autenticatore comunica con il server RADIUS per mezzo della porta non controllata.
Una volta autenticato il richiedente, la porta controllata passa allo stato connesso per il richiedente in questione.

Utilizzo di 802.1X per la protezione di reti cablate

Affinche’ 802.1X sia efficace all'interno di reti cablate, l'infrastruttura deve essere adeguatamente aggiornata.
Tutti gli switch della rete, o almeno quelli a cui si connettono i client e i server, devono supportare 802.1X.
Ogni switch richiede un certificato digitale che presenta durante l'autenticazione rispetto ai client. Questa soluzione potrebbe essere piuttosto costosa, qualora si utilizzino certificati emessi da autorità pubbliche, quindi, per ridurre i costi, è opportuno creare un'autorità di certificazione aziendale Windows.
Tutti i computer riuniti nel dominio riterranno affidabile questa autorità di certificazione e, di conseguenza, anche i certificati emessi da quest'ultima.
Tutti i client devono disporre di uno stack IP che supporti 802.1X.
Se si utilizza Windows XP, lo stack costruito al suo interno è stato testato e approvato per l'utilizzo di 802.1X in reti cablate.
Se non si utilizza Windows XP (e non è possibile effettuare un aggiornamento), esiste un'alternativa: Microsoft ha rilasciato uno stack 802.1X per Windows 2000 (http://support.microsoft.com/default.aspx?scid=kb;it;313664?).
Sia in Windows XP sia in Windows 2000 può verificarsi un problema conosciuto.
Se 802.1X è stato configurato solo per l'autenticazione della macchina (non della macchina e dell'utente), si utilizza PEAP (non EAP-TLS) e la password dell'account macchina del computer è scaduta, il computer non può accedere al dominio.
Lo scambio dei messaggi tra due DLL coinvolte nell'autenticazione non avviene correttamente, principalmente perche’ esse sono state scritte molto prima dell'inclusione di 802.1X nel progetto. Non è possibile modificare queste DLL, poiche’ sarebbe necessario riprogettarle completamente e vi sono troppi rischi legati alle dipendenze.
È necessario essere configurati per l'utilizzo di PEAP e per l'autenticazione della sola macchina.
Se si utilizza EAP-TLS, il problema non si verifica perche’ l'autenticazione è gestita da un insieme di DLL diverso. Se si utilizza l'autenticazione della macchina e del computer, la password macchina viene reimpostata quando l'autenticazione dell'utente si conclude correttamente.
Cosa succede ai dispositivi di rete che non supportano 802.1X?
Ad esempio stampanti, dispositivi per la memorizzazione in rete, vecchi PC DOS sui quali vengono eseguite applicazioni vecchie, scricchiolanti, assolutamente ingestibili, ma indispensabili per l'azienda?
Si ricordi che il motivo principale per implementare 802.1X è assicurarsi che solo i dispositivi autorizzati possano comunicare.
Adesso è necessario creare un'eccezione. Prima di procedere, tuttavia, è necessario verificare se i criteri di protezione lo consentono.
Questa verifica deve essere effettuata preventivamente. Inoltre, è necessario creare eccezioni per l'avvio di nuovi sistemi (eventualmente situati in segmenti di rete isolati fisicamente per i quali non viene utilizzato 802.1X).
Si osservi che richiedere 802.1X esclude la possibilità di utilizzare l'avvio PXE nella rete.

Perche’ 802.1X è insufficiente nelle reti cablate

802.1X è la base ideale per la protezione wireless, come descritto molte volte durante le conferenze e nella do*****entazione nel sito Web Microsoft (http://www.microsoft.com/wifi).
Ma il suo utilizzo per la protezione delle reti cablate presenta alcuni notevoli inconvenienti. Uno di essi è l'impiego di dispositivi che non utilizzano questo standard, come spiegato in precedenza.
Un altro è la scarsa gestibilità: nei criteri di gruppo AD, vi sono diversi oggetti Criteri di gruppo che consentono di gestire 802.1X nelle reti wireless.
Questi GPO non sono disponibili per le interfacce cablate e non esistono API pubblicate per la gestione di client 802.1X appartenenti a reti cablate.
Vi sono alcune ragioni architetturali che impediscono di aggiungere a Windows 2000 e a Windows XP GPO per l'utilizzo di 802.1X in reti cablate.
A causa della mancanza di funzioni di gestione centralizzate, il deployment di 802.1X su larga scala non è fattibile.Infine, il protocollo presenta un importante punto debole: esso esegue l'autenticazione solo quando viene effettuato il collegamenti.
Una volta autenticato il richiedente e aperta la porta dello switch, le ulteriori comunicazioni tra il richiedente e lo switch non vengono autenticate.
Ciò crea una situazione in cui un intruso può collegarsi alla rete.
L'esecuzione di un attacco richiede di accedere fisicamente alla rete.
È necessario che l'intruso scolleghi un computer (che chiameremo "vittima") dalla porta dello switch appartenente alla rete protetta da 802.1X, collegare un hub alla porta, collegare la vittima all'hub e, infine, collegare il computer che sferrerà l'attacco (che chiameremo "ombra") all'hub. Queste operazioni sono estremamente facili se l'intruso si trova fisicamente all'interno dell'edificio e se i connettori Ethernet sono accessibili.
In alternativa, l'intruso potrebbe collegare all'hub un access point non gestito e, quindi, sferrare l'attacco dal parcheggio.
(Naturalmente, l'intruso potrebbe tentare di nascondersi disabilitando il broadcast SSI AP).
La breve disconnessione della vittima dalla rete non impedisce che l'attacco abbia successo.
Quando il computer vittima viene connesso nuovamente, esso ripete l'autenticazione presso lo switch.
Non importa che ora vi sia un hub nella rete, perche’ esso è poco di più di un cavo che contiene delle porte.
Dal punto di vista elettrico, la vittima è ancora connessa allo switch.
In seguito, l'intruso configura gli indirizzi MAC e IP del computer ombra in modo che siano uguali a quelle della vittima.
Una breve analisi della rete rivela rapidamente questa circostanza. L'intruso configura inoltre un firewall host affinche blocchi tutto il traffico interno che non sia una risposta alla comunicazione iniziata.
Ecco perche’ l'utilizzo di 802.1X nelle reti cablate è del tutto insufficiente.
Dopo che il computer vittima ha effettuato l'autenticazione e la porta dello switch è aperta, l'intruso può connettersi alle risorse appartenenti alla rete protetta.
Ciò avviene in quanto, dopo l'apertura della porta, non viene effettuata alcuna autenticazione del traffico.
Poiche’ il computer ombra presenta gli stessi indirizzi MAC e IP della vittima, dal punto di vista dello switch esso risulta evidente solo se alla porta è connesso un solo computer.
La mancanza di autenticazione continua basata sui pacchetti di 802.1X crea la possibilità di sferrare l'attacco per mezzo di un intruso appena descritta. 802.1X effettua l'autenticazione unicamente per la connessione e dà per scontato che tutto il traffico proveniente dalla connessione stessa sia legittimo.
Questa ipotesi costituisce il difetto fondamentale di 802.1X.Si osservi che l'intruso può comunicare unicamente attraverso protocolli privi di stato come ICMP o UDP.
In questo modo, l'intruso può inviare un ping ai computer della rete e ricevere un'autorizzazione DHCP (lo stesso indirizzo IP della vittima).
Ma l'intruso non può comunicare con la rete attraverso TCP, poiche’ il computer vittima reimposta tutte le connessioni iniziate dall'ombra.
La sequenza è la seguente:
1.Il computer ombra invia un pacchetto SYN a un server della rete protetta.
2.Il server restituisce il SYN-ACK, che viene ricevuto sia dall'ombra, sia dalla vittima.
3.Il computer vittima non aspetta un segnale SYN-ACK, quindi restituisce un segnale RST.
4.Il server restituisce un segnale RST-ACK (confermando la ricezione dell'RST e inviando il proprio) che viene ricevuto dall'ombra e dalla vittima.
5.L'ombra non aspetta il segnale RST-ACK, ma agisce di conseguenza e termina la connessione.
Questa regola presenta un'eccezione molto interessante.
Se il computer vittima utilizza un firewall che interrompe segnali interni SYN-ACK non richiesti, come fa la maggior parte dei firewall, la vittima non elabora il segnale SYN-ACK ricevuto nella fase 2 e, quindi, non invia alcun RST al server.
La parte successiva della sequenza descritta in precedenza non si verifica e il computer ombra ottiene l'accesso completo alla rete protetta.
Questo è l'unico caso di cui sia a conoscenza nel quale il firewall personale installato in un computer diminuisce la protezione del resto della rete!
Naturalmente, questo non è un motivo per non installare firewall personali, poiche’ i loro vantaggi sono notevolmente superiori alla probabilità che questo tipo di attacco si verifichi realmente.

Cosa fare?

Innanzitutto, è necessario comprendere lo scopo dell'attacco.
Le reti wireless non sono vulnerabili, poiche’ la combinazione di 802.1X ed EAP crea sessioni autenticate reciprocamente con chiavi di crittografia assegnate a ciascun richiedente (ciò viene detto "WEP dinamico").
Poiche’ le chiavi non sono mai trasmesse via radio, l'attacco del computer ombra non funziona, giacche’ esso non può acquisire la chiave in alcun modo.
L'ombra non è in grado di connettersi all'accces point a cui il computer vittima è già connesso. Quindi, in un certo senso, le reti wireless che utilizzano 802.1X ed EAP sono effettivamente più sicure di quelle cablate.
Invece, per le reti cablate consiglio caldamente di utilizzare IPsec anziche 802.1X.
IPsec non impedisce a un intruso di ottenere un indirizzo IP o di comunicare attraverso la LAN (è però sufficiente disabilitare la porta dello switch corrispondente a un utente che tenta di sferrare un attacco DoS alla rete), ma non gli consente di accedere alle risorse protette da IPsec.
È la combinazione della connessione IPsec e l'autenticazione dei pacchetti che lo rendono un'alternativa preferibile a 802.1X.
In Microsoft IPsec è stato utilizzato per implementare nella rete aziendale un concetto chiamato isolamento dei domini.

Asterisk

Skype, Google Talk, MSN e Yahoo sono programmi gratuiti che permettono di gestire facilmente le telefonate personali utilizzando la rete internet.
Queste nuove soluzioni innovative sono realta' "simili" alle soluzioni di Cisco, Avaya, Nortel
e di tanti grandi nomi della telefonia tradizionale che, sino a poco tempo fa, erano i grandi vettori delle telecomunicazioni.
Ovviamente, tra le due diverse correnti di pensiero, c’è una sostanziale differenza di comportamento e di prezzo.

Le due facce della stessa medaglia appena descritte
sono le icone di due ben distinti approcci al VoIP:
il primo vede nella nuova tecnologia
un modo per ridurre drasticamente i costi delle telefonate,
idea che poco si distingue dalla logica del Peer-to-peer
(tecnologia su cui, tra l’altro, si basa Skype),
Il secondo è interessato alle nuove possibilità
di integrazione tra informatica e telefonia. Mentre i primi intraprendono progetti Open Source e divulgano gratuitamente piccoli e semplici software per conversare gratuitamente, i secondi sono attenti alle esigenze delle grandi aziende e sviluppano particolari progetti “ad hoc”, con integrazioni in grandi sistemi di CRM, Telemarketing, automazione aziendale, etc. In questo mare di possibilità, ma soprattutto nel grande vuoto lasciato tra chi guarda troppo in alto e chi troppo in basso, nasce Asterisk, progetto Open Source di Digium (ed in particolare di Mark Spencer) che ha la grande pretesa di voler sconfiggere anche i più importanti concorrenti. La grande forza di Asterisk è quella di essere un progetto di un’azienda, la Digium, sviluppato totalmente in Open Source (quindi gratuitamente scaricabile dal sito www.asterisk.org), con una forte attenzione alle esigenze pratiche delle aziende: il software, installato su una piattaforma Linux e dotato delle giuste schede di interfaccia con le linee telefoniche tradizionali, è in grado di gestire un numero elevatissimo (ipoteticamente infinito, ovviamente relazionato alle prestazioni della macchina) di telefonate in contemporanea, sia su rete analogica (PSTN), sia in Voice over IP. Creato con un forte orientamento alla praticità e all’affidabilità (e quindi alla possibilità di utilizzarlo in contesti aziendali, dove l’Open Source viene sempre visto come inaffidabile e/o difficile da installare), il progetto Asterisk ha riscosso subito un notevole successo sia a livello dei singoli programmatori coinvolti (più che felici di collaborare senza fini di lucro), sia soprattutto nella moltitudine infinita di aziende che in questi 6 anni sono andati ad implementare e montare presso i propri clienti soluzioni “Asterisk-based”, testando così in maniera decisiva la robustezza della piattaforma e suggerendo e condividendo di volta in volta modifiche e nuove implementazioni. Ad oggi, grazie a tutti questi sforzi congiunti, Asterisk può essere ritenuta la piattaforma più performante e adattabile alle diverse esigenze: dove i piccoli con buona volontà possono scaricare gratuitamente il software, le aziende possono rivolgersi alle molteplici società che forniscono soluzioni professionali basate su Asterisk perfettamente funzionanti, economiche e con tutte le possibilità offerta dai grossi e costosi colossi della telefonia .

Networking OutSourcing Services

Networking Outsourcing Services I costi di gestione per le infrastrutture di rete sono sempre complessi da calcolare

duilio dallosto & C Snc. - Networking Services - collaborando con partner strategici, realizza e gestisce soluzioni per migliorare le tecnologie di rete e migliorare i livelli di servizio.
Inoltre vengono utilizzate tecniche innovative di gestione, sicurezza, resilienza e qualità secondo i massimi standard di mercato.

duilio dallosto & C. Snc - Networking Services - con una completa gestione dell'infrastruttuta di rete, puo' garantire la convergenza di voce, video e dati su una stessa rete. (WAN e LAN data networking, voice Networking)Di seguito sono elencati alcuni vantaggi, al cliente, del Networking OutSourcing Services :

Migliora la capacità di business
Affidando a duilio dallosto & C. Snc l’infrastruttura di rete, avrete la possibilità di estenderla e trasformarla per far fronte alle nuove esigenze di business. Insieme ai suoi partner strategici, duilio dallosto & C. Snc mette disposizione una gamma completa di servizi di rete: dalla convergenza IP, al miglioramento della sicurezza, all’installazione di VPN.
Controllo dei costi e aumento del ROI
Sviluppo di tecnologie specifiche quali Wireless VoIP e VoIP, sempre nell’ottica di riduzione costi e di un conseguente aumento del ROI.
Risk management

P2P - Considerazioni di Network Management

Il P2P come tutte le forme di condivisione libera
sfuggira' ad ogni tentativo di repressione anzi
qualsiasi azione in contrasto con l'obbiettivo della rete-delle-reti
(la comunicazione paritaria)
sara' reso inefficace dalla stessa topologia della rete internet.

Con questa premessa ho sperimentato recentemente,
nella mia attivita' di gestione di reti con un elevato numero di postazioni,
che il P2P,
se utilizzato senza le necessarie precauzioni,
puo' provocare danni rilevanti alla comunita' della LAN.

Le LAN che sono l'oggetto di questi appunti
non sono le infrastrutture aziendali,
gia' provviste di policies per impedire questo tipo di traffico
e che possono legittimamente "chiudere" i servizi P2P
ma che non possono condividere una grande opportunita',
bensi'
la LAN con centinaia di postazioni
attiva 24 ore al giorno per 7 giorni la settimana,
il router che NAT_ta
e con

l'utente internet "emancipato" e forestiero
il servizio internet a pagamento
l'interconnessione ad internet della LAN con banda da 10Mbps in su.

Questo tipo di LAN la si puo' ritrovare nel

grande albergo
campus universitario
grossi centri artigianali

Il servizio internet e' a pagamento (canone giornaliero o mensile)
e l'utente, che utilizza la connessione dal proprio appartamento/ufficio
...e paga......
usa il P2P non (solo) illegalmente e non (solo) per scaricare musica o files piratati,
quindi
non si possono limitare le porte di comunicazione.

Una prima considerazione :

Il p2p ha, di nuovo,
messo in discussione la struttura di comunicazione client/server

Con il p2p la comunicazione diventa paritaria ed
il ruolo di client non sussiste piu',
anzi
tutti i computer in rete debbono poter condividere
l'utilizzo delle risorse locali (e' il ruolo "server")

Il p2p promuove la cooperazione
anzi
la partecipazione
e, per dirla come Gaber,
la liberta' della comunicazione.

....continua

2lio
duilio dallosto

Stefano Quintarelli (EQuiLiber): La fine della neutralita'

Aprile 2006

LA FINE DELLA NEUTRALITÀ

di Stefano Quintarelli*

Il Prof. Lawrence Lessig, direttore dell’Istituto di Cyberlaw dell’Università di Stanford, nel libro “The future of ideas” del 2001 preconizzava una tendenza che alcuni operatori avrebbero messo in atto: la “chiusura” della rete Internet e la discriminazione del traffico, portando ad una situazione assai diversa da quella che conosciamo oggi.

Secondo Lessig, in assenza di interventi regolamentari e per ragioni di vantaggio economico degli operatori, il futuro tende verso reti private parzialmente interconnesse e verso un controllo dei servizi utilizzabili su di esse con una penalizzazione dei servizi “non graditi” all’operatore o comunque differenti dai consueti web e posta elettronica.

Per fare un paragone, è come se l’aria potesse essere condizionata a penalizzare le conversazioni di argomenti non graditi.

Molti di noi tendono ad identificare Internet con il web e la posta elettronica, ma la rete delle reti è molto di più.

Internet è l'agglomerato che nasce dalla interconnessione di reti distinte, proprietà di operatori diversi, che si scambiano traffico (bit) secondo delle regole comuni.

Queste regole generalmente condivise sono definite da una organizzazione internazionale, con un forte presidio statunitense, chiamata IANA: Internet Assigned Number Authority.

Alla base del funzionamento di Internet vi sono dei "numeri" il cui significato, affinchÃ© si possa operare, deve essere condiviso da tutti i partecipanti.

Facendo una analogia con il sistema telefonico, se il numero "39" fosse adottato oltre all’Italia anche da una nazione asiatica, una telefonata originata dagli USA non si saprebbe dove dovrebbe essere consegnata: in Italia o nell'ipotetico paese asiatico ?

Si comprende quindi come l'importanza di un accordo complessivo Ã© essenziale al funzionamento stesso della rete a livello mondiale.

Un operatore di telecomunicazioni però potrebbe, per proprie legittime scelte tecnologiche o di mercato, realizzare una propria rete ed utilizzare dei numeri "privati" mettendo ai propri confini dei dispositivi che convertano i suoi "numeri privati" in "numeri Internet" globalmente riconosciuti (chiamati indirizzi IP).

Ma questa rete "privata" non sarebbe a tutti gli effetti "parte di Internet", ma solo "interconnessa ad Internet" e le funzionalità assicurate agli utenti sarebbero limitate rispetto a quelle di cui può godere l'utente di un "pieno accesso ad Internet" (cd. "full Internet"). Ad esempio, potrebbe non essere direttamente raggiungibile dagli altri utenti Internet, salvo corresponsione di canoni aggiuntivi per il servizio di “traduzione” reso necessario dalle scelte tecnologiche di costruzione della rete.

L'effetto di un sistema siffatto è che gli utenti all'interno della rete privata, si trovano in una sorta di giardino recintato (magari anche dorato), al cui interno le comunicazioni possono avvenire liberamente ma i cui confini sono sorvegliati da delle "dogane" che limitano gli scambi.

Se il giardino recintato è sufficientemente grande, nuovi utenti saranno incentivati ad entrarvi per poter comunicare liberamente con il maggior numero di persone, in un circolo virtuoso per l'operatore in questione e vizioso per gli operatori concorrenti.

Una situazione delicata, nota come “esternalità di rete” che le regole del mercato affrontano nella disciplina antitrust, illegittimo se praticato da un operatore monopolista o dominante, e non in pieno accordo con i principi di Internet di libera comunicazione di chiunque con chiunque.

Ma non di soli “indirizzi IP” è costituita Internet, bensì anche di altri numeri che identificano gli sportelli virtuali che erogano i "servizi".

Questi numeri sono detti "porte" per analogia con il mondo fisico e dietro ad ogni porta c'Ã© un programma in grado di erogare un servizio. La porta della posta elettronica è diversa della porta del web così il nostro Eudora o Outlook sa che deve richiedere un servizio di posta elettronica ad una porta ben nota e non si rivolge per sbaglio a quella di competenza di Internet Explorer o Firefox. (La porta del web Ã© la numero 80, quella per l'invio della posta Ã© la numero 25).

Qualunque programma Internet, anche i popolari programmi per la VoIP (telefonia su Internet) o quelli usati per lo scambio di files "peer to peer" o P2P, comunicano usando indirizzi IP e numeri di porta.

E gli operatori possono decidere di chiudere la rete per non consentire di far passare il traffico destinato a quelle porte o di penalizzarlo inserendolo in "code" di traffico a bassa priorità per cui di fatto questi programmi sono inutilizzabili almeno nella maggior parte della giornata.

Non sempre queste pratiche sono ritenute nocive da una parte dell’utenza. Ad esempio, qualche operatore, in presenza di una rete improvvisamente satura, penalizza il traffico P2P a vantaggio del web e della posta elettronica, in attesa di potenziamento della rete.

Altre volte la scelta può avere motivazioni meno “nobili”. Recentemente mi è successo in Brasile di incappare in un operatore che bloccava integralmente il traffico del mio servizio VoIP obbligandomi pertanto a telefonare in Italia usando il sistema telefonico tradizionale, almeno 100 volte più costoso.

Questo è un chiaro esempio di come un operatore blocca l'innovazione per proteggere i propri ricavi, utilizzando l'architettura tecnologica della rete. Un comportamento sulla cui illiceità non vi è molta giurisprudenza.

Nella nostra esperienza quotidiana, il mezzo di trasmissione è neutrale rispetto al contenuto trasportato.

L'aria Ã© la stessa indipendentemente dal canale che un utente sintonizzi; la telefonata raggiunge chiunque, indipendentemente dell'argomento della conversazione o del destinatario della stessa; la rete internet consente a chiunque di fruire di qualunque contenuto senza discriminazioni qualitative indipendentemente dal fornitore di accesso e di servizio/contenuto.

Il futuro, potrebbe evolvere nella direzione della fine della neutralità della rete ? la rete di domani, anche in Italia, potrebbe essere costituita da giardini recitanti e di servizi penalizzati con interconnessioni solo parzialmente interoperanti ?

E' un tema assai delicato, all'intersezione di argomenti difficili quali le regole di tutela del mercato, i diritti individuali e piccoli dettagli tecnologici.

*Stefano Quintarelli :
Fondatore e direttore commerciale di I.NET, provider di servizi Internet quotato alla borsa di Milano. In precedenza ha lavorato come consulente per Olivetti, Ibm, Apple, Eni, P&g, ha fondato Sida Informatica (società specializzata nella computer security), ha fondato Educom (società dedicata allo sviluppo di applicazioni ipermediali e web-based). È anche fondatore di PressToday (rassegne informative online) e Garden Ventures (società di investimenti).
È stato fondatore di MI.NE.R.S, la prima associazione telematica universitaria in Italia. Ha collaborato alla nascita dell’Aiip, l’Associazione Italiana Internet Provider. È socio fondatore del Clusit, Associazione Italiana per la sicurezza informatica . www.equiliber.org

ethernet

Ethernet è la tecnologia più adottata per realizzare reti locali.

Sviluppata a partire dagli anni Settanta, si stabilizza negli anni Ottanta secondo le specifiche IEEE 802.3 che definiscono i protocolli di trasmissione dati a basso livello che consentono ai produttori di realizzare schede e cavi.

Dei livelli OSI Ethernet coinvolge i layer 1 e 2 (fisico e dati) e supporta i protocolli di livello superiore, come IP.

I trasferimento dei dati è partito con velocità da 10 Mbps per passare ai 100 Mbps di Fast Ethernet, ai 1000 Mbps di Gigabit Ethernet fino ai 10000 Mbps di 10 Gigabit Ethernet.

Attualmente il cablaggio Ethernet più diffuso è quello di categoria 5 che supporta fino a Fast Ethernet.

I cavi di categoria 5E supportano anche Gigabit Ethernet.

Per collegare i cavi al computer si utilizzano adattatori di rete su scheda (NIC) che si interfacciano direttamente con il bus di sistema del PC.
La più comune realizzazione di Ethernet avviene attraverso cablaggio su rame (suffisso T nelle specifiche 100Base o 1000Base), in alternativa ad altre più costose o specifiche realizzazioni.

A livello di topologia di rete l’Ethernet tradizionale impiega una topologia a bus, cioè tutti i dispositivi di rete (host) condividono la medesima linea di comunicazione.

Ogni dispositivo della rete è identificato da un indirizzo Ethernet (MAC address) a cui ricevere i messaggi inviati dagli altri device di rete.

I dati inviati sulla rete sono automaticamente mandati a tutti i dispositivi.

Confrontando il proprio indirizzo con quello contenuto nell’header del messaggio ogni dispositivo riconosce se ne è il destinatario.

Questa funzione è presente già nell’hardware del NIC.

Il dispositivo che invece vuole trasmettere controlla se la rete è disponibile o se una trasmissione è già in corso.

Si possono così verificare trasmissioni multiple o collisioni che non sono prevenute dallo standard Ethernet, che usa solo un algoritmo basato su ritardi casuali per determinare il periodo di attesa prima di una nuova trasmissione.

Anche questo algoritmo è cablato sulla scheda.

Questo protocollo tradizionale di Ethernet di trasmettere, ascoltare e scoprire collisioni è noto come CSMA/CD (Carrier Sense Multiple Access/Collision Detection).

Forme più nuove di Ethernet usano un protocollo full- duplex che supporta trasmissioni e ricezioni simultanee da punto a punto senza che sia necessario rilevare collisioni.

La distanza di trasmissione del segnale sul cavo è limitata.

Per coprire reti medio grandi sono necessari ripetitori del segnale, mentre dispositivi di bridge consentono una rete Ethernet di collegarsi ad un’altra di tipo diverso, come una WLAN.

Per ripetere e dirigere i messaggi tra dispositivi e reti diverse sono a disposizione hub, switch e router

La telefonia su IP

La Telefonia su IP network (VoIP)
La trasmissione di voce in tempo reale su di una rete IP, conosciuta anche come Voice over IP (VoIP) e' una delle nuove tecnologie emergenti di Internet.
Il motivo di tale interesse e di ottimistiche previsioni intorno questa "nicchia" VoIP è da ricercare nella riduzione in termini MOLTO significativi del costo delle comunicazioni vocali in relezione alla variabile "distanza".
In più la telefonia IP apre nyuove opportunita' a nuovi sistemi di comunicazione verbale quali il Video conferencing, l'application sharing, e il white-boarding, capaci di integrare l'interazione e l'operatività a tutti i livelli.
Una nuova classe di prodotti, chiamati Internet Telephony Gateways, sono capaci di rendere operativo l'interscambio di dati tra reti telefoniche pubbliche e reti IP.
Tali prodotti rendono pertanto disponibili i benefici di VoIP da un telefono connesso alla rete telefonica pubblica.

Per capire meglio la telefonia su Internet è necessario ricordare la "rivoluzione" di Internet evidenziando le principali differenze dell' IP rispetto alla rete telefonica pubblica ( PSTN: Public Switched Telephon Network).
Internet condivide aspetti della PSTN, ma presenta caratteristiche peculiari.
La rete telefonica (PSTN) è una rete a commutazione di circuito, specializzata per le comunicazioni vocali in sincrono, in tempo reale con una qualità di servizio garantita (QoS:Quality of Service).
Quando una sessione di comunicazione viene iniziata, si stabilisce un circuito fra la parte chiamante e quella chiamata.
La PSTN garantisce la qualità del servizio (QoS) dedicando alla conversazione un circuito full-duplex con una larghezza di banda 64KHz.
Tale larghezza di banda rimane inalterata indipendentemente dal fatto che le parti siano in conversazione attiva o in silenzio.
L’ampiezza è costante, il costo di una chiamata tramite PSTN è strettamente basato sulla distanza e sul tempo.
Internet, invece, è una rete a commutazione di pacchetto e, storicamente, è sempre stata usata per applicazioni dove una QoS variabile poteva essere un parametro specifico (e-mail, ftp, …).
Le reti a commutazione di pacchetto non dedicano un circuito (a meno di non considerare i circuiti virtuali) tra le parti in conversazione e perciò non possono garantire la qualità del servizio
Per come sono strutturati i protocolli di comunicazione e per come è stata concepita Internet, il meccanismo primario di costo per un’applicazione di telefonia IP non è nÃ© la distanza nÃ© il tempo ma l’ampiezza di banda usata nella comunicazione.
In ogni caso, tale costo è trasparente all’utente finale

Per quanto riguarda l’utente finale, la telefonia IP diventa dunque il mezzo per comunicare a distanze intercontinentali ai prezzi di una telefonata all’interno della locale rete PSTN.
Soprattutto per questo motivo il mercato VoIP promette una crescita esponenziale per i prossimi anni in tutti i suoi principali settori (ovvero la telefonia PC to PC, PC to Phone, Phone to PC, e quella classica Phone to Phone).

La qualità del Servizio (QoS, Quality of Service) Il problema fondamentale che sta alla base della comunicazione vocale su una rete come Internet è che la gestione dei pacchetti da parte del protocollo IP destinatario comporta una ricomposizione di questi nell’ordine originale.
Se alcuni subiscono errori di trasmissione o ritardi il processo di ricomposizione risulta rallentato.
Per le applicazioni, come ad esempio la posta elettronica, tale ritardo non acquista particolare significato, ma per la telefonia, dove il real-time tra le parti è fondamentale, questo può provocare un degrado notevole nella qualità di conversazione.
In generale, la qualità della comunicazione del VoIP dipende in parte dalla velocità della connessione di ciascun end_point possiede e dal traffico complessivo della rete.
Ci sono due caratteristiche che determinano la qualità di una connessione telefonica su Internet:
La prima caratteristica è il tempo di latenza (Latency).
Tale grandezza misura il ritardo che intercorre dal momento che certe parole sono pronunciate da un lato al momento che queste sono effettivamente sentite dall’altro lato.
Spesso gli utenti di VoIP rapportano tale latenza ai ritardi che le normali telefonate subiscono quando parte del circuito è fatto da collegamenti satellitari.
La latenza è qualcosa a cui gli utenti possono in genere abituarsi e compensare di conseguenza.
L’altra importante caratteristica che determina la qualità di una connessione telefonica su Internet, è, semplicemente, il grado di rispondenza della voce trasmessa rispetto alla voce naturale di chi parla.
Se certi pacchetti vocali risultano ritardati oltre una certa soglia, il software di telefonia IP cercherà in genere di interpolare i dati mancanti tramite i contenuti dei pacchetti adiacenti.
Naturalmente, più il software ricorre a questa tecnica interpolativa, più la qualità del software risulterà compromessa (distorsione del messaggio vocale).

TCP/IP, in sostanza, non garantisce agli utenti la trasmissione di un certo numero di dati in un preciso periodo di tempo.
Le prestazioni della rete possono fluttuare di momento in momento. A volte i dati sono trasmessi immediatamente, a volte subiscono ritardi o non sono inviati affatto.
Per molti aspetti sono simili a quelli incontrati nella progettazione di reti cellulari digitali, dove non ci sono garanzie che i dati arrivino intatti.
Quindi si deve ipotizzare che i livelli sottostanti siano inaffidabili, e compensare gli eventuali errori con le sopracitate tecniche di interpolazione e correzione.
Dunque e’ in genere arduo predire la QoS che ci si può aspettare da una sessione di telefonia in rete, ma, di solito, questa è direttamente correlata all’ampiezza di banda che viene sfruttata per la conversazione più che al traffico di rete.
Alcune organizzazioni dispongono già da ora di connessioni ad Internet con grande band-width.
Tali connessioni sono capaci di garantire la qualità sufficiente per fare del VoIP il mezzo standard nelle comunicazioni inter-ufficio a lunga distanza.
In definitiva, la qualità nel campo della telefonia IP presenta dei notevoli margini di miglioramento.

Ciascun Router che supporta tale protocollo ha la capacità difatti di riconoscere una priorità nei pacchetti che instrada, distinguendo tra quelli urgenti (real-time packets) e quelli meno, agendo così di conseguenza.

Una panoramica sulle proposte VoIP
Telefonia PC-to-PC
Il software per la telefonia Internet è facilmente reperibile e si colloca nella fascia dei prodotti a basso costo.
Esempi notevoli di software VoIP sono Microsoft NetMeeting, usato non solo per la telefonia Internet ma anche e soprattutto per l’application sharing, e VocalTec, uno dei prodotti più popolari.
Gli applicativi sopracitati sono ovviamente da inquadrarsi nel campo della telefonia da PC a PC.
Un importante aspetto del software per la telefonia Internet è l’interoperabilità.
Molti prodotti tra quelli inizialmente commercializzati non erano compatibili tra di loro e non potevano pertanto comunicare.
Queste limitazioni stanno tuttavia scomparendo dal momento che sempre più case produttrici supportano lo standard H.323 della ITU-T per le comunicazioni multimediali.
Sebbene per la telefonia Internet PC to PC non sia richiesto nessun hardware specializzato, si possono ottenere dei notevoli benefici dall’uso di schede di espansione per PC progettate appositamente per il VoIP.

Telefonia phone-to-phone, PC-to-phone, phone-to-PC: I Gateway VoIP.
I gateway VoIP sono da inquadrarsi nel settore delle comunicazioni phone-to-phone, phone-to-PC, PC-to-phone.
Tali gateway per la telefonia IP estendono i benefici di risparmio e le caratteristiche di VoIP a chiunque abbia un telefono connesso alla normale rete telefonica a commutazione di circuito (PSTN).
Il concetto è semplice: tali gateway manipolano le trasmissioni vocali (ma anche di fax) dalla rete PSTN convertendole per la rete a commutazione di pacchetto (vale naturalmente anche il viceversa).
Essendo i gateway normalmente locali ad entrambe le parti soggette alla comunicazione, i costi per l’uso del PSTN sono minimi.

In figura è descritto come lavora una connessione phone-to-phone.
Supponiamo che l’utente A voglia comunicare con l’utente remoto B il quale appartiene ad un altro PSTN solitamente molto distante.
"A" si connetterà al gateway VoIP interno alla propria rete PSTN locale.
Per poter operare, infatti, tali gateway sono visti dal lato PSTN come un semplice numero telefonico.
Il gateway risponde richiedendo l’immissione da parte dell’utente A del vero e proprio numero telefonico che si vuole raggiungere (lo stesso che si comporrebbe direttamente se si volesse passare dalla normale linea telefonica per contattare B).
Ricevuto tale numero, il gateway consulterà le proprie tabelle di instradamento per localizzare un altro gateway VoIP locale all’utente B. Questo secondo gateway, cercherà di instaurare la connessione chiamando telefonicamente B all’interno del suo PSTN.
Appena la connessione si stabilisce, la voce viaggia tra A e B partendo da un PSTN, entrando in Internet e riuscendone per arrivare al secondo PSTN.
Dato che le connessioni phone-to-phone richiedono la presenza di due gateway dello stesso tipo situati sufficentemente lontani uno dall’altro, i gateway VoIP sono attualmente sfruttati per scopi specifici come, ad esempio, la comunicazione inter-ufficio per le organizzazioni che possiedono filiali remote.
La comunicazione è difatti strettamente legata alla presenza o meno, all’interno delle due reti PSTN , dei gateway VoIP. Se tali gateway non sono effettivamente presenti all’interno dei PSTN locali, tutti i vantaggi di costo che questo approccio offre vengono meno.
Anche l’uso dei gateway VoIP per la telefonia PC-to-phone sta diventando sempre più popolare. In figura è illustrato una possibile configurazione delle comunicazioni PC-to-phone.
L’utente con il software di telefonia accede al gateway VoIP e da qui verso la locale rete PSTN.
Molte organizzazioni che gestiscono call centers, permettono l’accesso da rete a tali centri tramite, appunto, l’uso di gateway VoIP.

Networking Monitoring

Nell' evoluzione dei servizi per l'implementazione del networking, si può affermare che ci sono servizi di cui un'azienda moderna non può fare a meno.
Il compito di un buon sistema di monitoraggio è controllare che i servizi del sistema di comunicazione aziendale siano sempre attivi e raggiungibili.
Un sito internet momentaneamente non raggiungibile può provocare danni a livello d'immagine, e notevoli perdite economiche per l’azienda.
Perciò tutti i servizi che si affacciano su internet e che sono accessibili dall'esterno devono essere continuamente monitorati a intervalli prestabiliti
Inoltre un sistema di monitoraggio deve controllare le risorse dei terminali di maggior importanza all'interno della rete aziendale.
Se il computer adibito a web-server ha troppi processi attivi questo potrebbe non fornire in modo adeguato il servizio.
E' di primaria importanza l'implementazione del sistema di monitoraggio, in piena sicurezza; di conseguenza la macchina di management dovra' essere posizionate dietro ad un firewall, i dati che fluiscono attraverso la rete devono essere crittografati e chi ha accesso ai dati del monitoraggio ci può arrivare attraverso le opportune autenticazioni.
Un sistema di monitoraggio efficiente e completo informa e puo' anche prendere una decisione attiva su come risolvere i problemi.
Molti sono i sistemi di monitoraggio di reti presenti sul mercato e hanno caratteristiche in linea di massima pressochÃ© similari.
Il prodotto leader dei sistemi di monitoraggio, il più usato e sicuramente il più famoso è della Hewlett Packard ed è chiamato OpenView.
OpenView può essere composto da più di ventisette componenti tra cui Network Node Manager (NNM) 6.31, Performance Manager and Performance Insight 4.5, Operations 7.0, Storage Area Manager, Internet Services 4.0 e OpenView Reporter.
Il cuore del programma di OpenView è Network Node Manager che, come sottolinea la casa costruttrice, è in grado di configurare automaticamente la rete da monitorare.
Il nucleo di OpenView è basato sul protocollo SNMP acronimo di Simple Network Management Protocol; la macchina su cui gira il client SNMP crea “trap” che vengono inviati dalla macchina di management sui cui gira OpenView che poi genererà gli eventuali “alert” da spedire al cliente.
Il grande numero di moduli aggiuntivi rendono OpenView un sistema di monitoraggio molto personalizzabile.

IBM Tivoli-netview. Tivoli è costituito da un insieme di programmi adibiti al controllo completo di tutti gli aspetti di una rete aziendale.
Il nucleo è formato da un modulo principale chiamato Tivoli Management Platform che è in pratica un interfacciamento al database in cui vengono salvati tutti i risultati ottenuti.
La banca dati e il TMP sono la base del programma senza i quali i moduli da soli, come netview, non possono funzionare.
Netview è basato su un modulo di auto-rilevamento e auto-configurazione dei nodi.
Il modulo, che viene denominato Netmon, scopre i nodi IP nella rete a scadenza di un intervallo di tempo che può essere configurato.
Questo modulo è basato sulla presenza di un agent SNMP.
Questo dà la possibilità di utilizzare i dati che provengono dagli agent SNMP in tempo reale e di proporli sotto forma di grafico o tabella all'utente.
Tivoli Netview utilizza un motore che costruisce graficamente guide per diagnosticare i problemi all'amministratore senza segnalare i sintomi.
Netview può inoltre gestire un numero di azioni di risposta a eventi e eccezioni e riferire all'amministratore via e-mail o SMS via cellulare. Infine, è possibile, con il modulo denominato Tivoli Netview Web Console, controllare l'effettivo stato di salute da differenti postazioni connettendosi ad un sito web creato automaticamente da questo servizio che riporta in tempo reale i dati prodotti dal sistema di monitoraggio.

Fino a questo momento sono stati presi in considerazioni due prodotti di due case di software, la Hewlett-Packard e la IBM, che vendono i loro programmi senza pubblicare il codice sorgente. Questo vuol dire: gli sviluppatori del programma sono solo e rimarranno solamente i programmatori HP nel caso di OpenView e i programmatori IBM nel caso di Netview.
Negli ultimi anni si sta imponendo la filosofia dell'Open Source.
If software copy_left, cioe' aperto, libero permette, con la pubblicazione in di tutti i codici sorgenti, a chiunque abbia un minimo di conoscenza del linguaggio con cui sono scritti i moduli, di leggerli, modificarli per il loro uso e migliorarli.
Per quanto gli sviluppatori della IBM e della HP possano essere efficienti un numero finito.
Un programma Open Source ha un contributo continuo di sviluppatori programmatori da tutto il mondo che possano apportare diverse esperienze quindi un software NON libero NON può competere con il continuo aggiornamento che un programma che pubblica i propri codici sorgenti in internet.
Per questo motivo NetSaint è stato uno dei migliori software di monitoraggio di reti a livello "Open Source".
Ethan Galstad vero e proprio padre di questo programma, insieme ad un buon numero sviluppatori ufficiali, nel 2001 hanno deciso di chiudere per sempre il progetto NetSaint.
L'evoluzione di NetSaint, sempre con Ethan Galstad, insieme a buona parte degli sviluppatori ufficiali di NetSaint, e' NAGIOS.
Nagios, è l'acronimo di "Nagios Ain't Gonna Insist On Sainthood" che appunto spiega come questo programma sia il successore di NetSaint ma non ne voglia più sentire parlare (trad: Nagios non insisterà più sui santi).
Un altro acronimo di Nagios è "Notices Any Glitch In Our System" che sta a significare "Notifichiamo qualsiasi piccolo problema sul nostro sistema".
Nagios produce gli stessi risultati di OpenView e Tivoli Netview con costi sostanzialmente diversi.
Nagios, un software libero, ha costi esigui, quelli di installazione e implementazione.
Inoltre non essendo un programma complesso come gli altri due, è molto più semplice da utilizzare e da comprendere.