Numeri e statistiche dell'IT Security in Italia

Di recente il Clusit ha rilasciato il suo consueto ed annuale rapporto sull'IT Security focalizzato principalmente nel nostro Paese. L'ottimo ed esemplare rapporto, unito all'affidabilità dell'organizzazione e ad autorevoli autori, disegnano un quadro prevedibile ed in linea con quanto spesso citato nei precedenti articoli di questo blog.

Proviamo a guardare qualche numero non solo riportato dal Clusit, ma anche da altre comprovate fonti.

• Nel 2014 gli investimenti globali in sicurezza delle infrastrutture informatiche è cresciuto dell'8%, nonostante la crisi mondiale abbia colpito qualsiasi settore.

• In Italia i danni causati da attacchi informatici si aggirano intorno ai 9 miliardi (per intenderci, la tanto discussa manovra dell'IMU è di 4 miliardi).

• I danni derivati da attacchi informatici, sempre in Italia, hanno superato la somma dei problemi hardware, software e di interruzione elettrica.

• E' cambiato il parametro di misurazione da "ricevere/non ricevere un attacco informatico andato a buon fine" a "quando riceverò un attacco informatico che andrà a buon fine", sostanzialmente si da per scontato che prima o poi qualcosa succederà.

Come riportato dal precedente articolo, 2015Q1Q2 Considerazioni in ambito sicurezza informatica, è evidente un "incattivimento" degli attacchi. Assistiamo sempre meno ai fenomeni Hacktivisti e sempre più ad attacchi finalizzati al lucro. Lo scenario informatico si è evoluto, svezzato, portandoci verso una perdita di "pseudo-etica" che, nel bene o nel male, caratterizzava spesso questo tipo di azioni.

Anche le tipologie di attacco, come previsto, sono differenti. I fenomeni hacktivisti veicolano attacchi tecnicamente spesso meno evoluti (non per questo meno dannosi), come i DDoS, a differenza di attacchi commerciali di spessore ed elevatura normalmente più raffinati. In entrambi i casi, certamente, ci sono eclatanti eccezioni. 

A proposito dei DDoS, il tempo medio di un attacco finalizzato ad interrompere un servizio, è aumentato da 4h a 22h e nel 2014 abbiamo assistito ad un attacco record da 321Gbit/s (in grado di mettere in crisi anche ISP e AS importanti). E la risposta è "si", avete letto bene.

Tra i settori maggiormente colpiti, ovviamente, il cloud, il gaming e soprattutto si nota un incremento esponenziale dell'hacking governativo mosso o ricevuto da enti di questo tipo (CyberWarfare).

Utilizzare i social per cambiare l'opinione pubblica

Interessanti valutazioni stanno prendendo in considerazione anche i fenomeni di "Psychological Warfare" e "Percepition Management", veicolati attraverso i Social Network con lo scopo di fare pressioni psicologiche e cambiare la percezione della realtà su larga scala. Fenomeno tutt'altro che banale e che, a conti fatti, sta sortendo effetti devastanti (basti pensare alle vicende legate ai vaccini, ma è solo l'esempio più eclatante). Nel 2012 un rapporto governativo Italino evidenziava come i profili creati "ad hoc" stessero drammaticamente incrementando e venissero seguiti con costanza. Nel 2013 il governo degli stati uniti monitorizzò una notizia falsa (riguardava l'aggressione di un poliziotto verso un uomo di colore). La notizia ebbe una diffusione enorme (oggi la chiameremmo "virale", nel 2013 questo termine non esisteva). La stessa fonte rilasciò la smentita e questa rettifica, invece, ebbe una diffusione di appena il 24% rispetto alla notizia reale.

Morale della favola, alla fine sono sempre gli utilizzatori l'anello debole. Vuoi per sensazionalismo (condivido nonostante la fonte non autorevole), vuoi per ingenuità (condivido senza accertarmi della fonte), vuoi per disattenzione (condivido credendo sia una fonte autorevole), la circolazione di notizie la cui fonte è assolutamente non attendibile è uno dei cancri sociali del nostro tempo.

L'altra faccia del Cloud...

Ormai si sente spesso parlare di servizi Cloud, una storia che i più nostalgici chiamavano, in tempi non sospetti, Outsourcing. Sta prendendo certamente piede, ha indubbi e tangibili vantaggi e si vende molto facilmente grazie alla tipologia di vendita tipica delle diete caratteristiche di chi soffre di gastrite come me, ovvero "pagami poco, ma pagami spesso" (che poi il costo al cliente finale sia davvero più conveniente di un investimento iniziale, questo è tutto da vedere e nella maggior parte dei casi facilmente si può evincere come non sia così).

Si narra che l'Imperatore della Cina, preso dal nuovo gioco degli scacchi, volle ricompensare il suo inventore chiedendogli cosa avesse voluto in dono. "solo un chicco di riso nella prima casella, due chicchi nella seconda, quattro nella terza e così via, vostra maestà", rispose l'inventore degli scacchi. Stupito l'Imperatore rispose "tutto qui?", acconsentendo e pensando fosse una richiesta del tutto irrisoria. Arrivati a metà scacchiera, il conto riportava quasi 4 miliardi di chicchi di riso, ovvero una risaia intera. A fine scacchiera l'imperatore, per mantenere la sua parola, non potette fare altro che cedere il suo impero.

Questo simpatico aneddoto introduce il punto 1.

I costi

Apparentemente, 9 euro al mese per un office non sono tanti. In un anno diventano 108, in 20 mesi mi sono ripagato una licenza permanente e tipicamente un PC con office dura in media 5 anni portandomi ad un costo di 540 euro (l'office, in buona sostanza, mi è costato 3 volte).

Possiamo fare innumerevoli considerazioni su quanto office 365 offra molti più servizi (offra? tolga?) di una licenza permanente e limitata ad una singola macchina. Ed io sono d'accordo. Ma francamente ad un utente serve l'office per lavorare sul suo foglio excel o word... punto.

E' solo un esempio, non è mia intenzione prendere il caso specifico di office 365, ma non è inusuale che i costi della stragrande maggioranza dei servizi in cloud appaiano piccoli e frammentati, ma poi sommati e attualizzati ad una media ed una aspettativa di vita di un servizio, diventino considerevoli.

Altro aspetto è il concetto di "espansione". Hai a disposizione 100, la tua attività è cresciuta, auguri e felicitazioni, adesso mi devi 100+10. Spesso però, quando contestualizziamo questo aspetto, siamo più che felici di pagare qualcosa in seguito ad un incremento della nostra attività. Ma è davvero così? I dati crescono con l'aumentare dei nostri introiti? Non mi sembra. I dati crescono perlopiù con il passare del tempo, e così ci porteremo dietro un "carrozzone" sempre più ingombrante.

Dove sono i miei dati?

Bella domanda. Alcuni dichiarano esplicitamente dove si trovano i dati. Altri, i più grandi, semplicemente li sparpagliano tra i propri datacenter. I miei dati, sostanzialmente, non sono più ben localizzati, confinati, definiti. Al contrario, diventano spesso un fantastico puzzle le cui sembianze ed i cui contorni sono del tutto ignoti.

Ecco qualche esempio:

"I dati personali raccolti da Google possono essere archiviati ed elaborati negli Stati Uniti d'America o in qualsiasi altro Paese in cui Google è presente attraverso proprie strutture o propri agenti.". "Un Cliente residente in un Paese al di fuori degli Stati Uniti accetta inoltre di rispettare tutte le normative locali in materia di condotta online e contenuti accettabili, incluse le leggi che disciplinano l'esportazione e la riesportazione di dati verso o dagli Stati Uniti e il Paese in questione."

Non sottovalutiamo che, dopo il Patriot Act, c'è una certa "goliardia" nel concetto di privacy.

Indubbiamente datacenter più piccoli e specializzati (ad esempio il classico esempio di "gestionale in cloud") offrono più vantaggi sotto questo aspetto.

Non ultimo, è bene ricordare che l'art.25 comma 1 della direttiva 96/46/CE e l'art.45 del Codice Privacy impongono serie restrizioni sulla trasferibilità dei dati fuori dalla Comunità Europea, anche temporaneamente.

I miei dati sono al sicuro?

Quando la nuvola diventa temporalesca, si scappa. C'è poco da fare, se i dati vengono persi, i fattacci sono i tuoi. Non c'è provider che non ti faccia firmare la clausola di esclusione di responsabilità. E non c'è datacenter che non abbia mai incontrato problemi di Data Loss.

Ecco qualche policy simpatica che nessuno legge:

LIMITAZIONE DI RESPONSABILITÀ 
L'UTENTE RICONOSCE E ACCETTA ESPRESSAMENTE CHE GOOGLE E I PARTNER NON SARANNO RESPONSABILI NEI SUOI CONFRONTI PER QUALSIASI DANNO DIRETTO, INDIRETTO, INCIDENTALE, SPECIALE, CONSEQUENZIALE O ESEMPLARE, INCLUSI, A TITOLO ESEMPLIFICATIVO, I DANNI PER LA PERDITA DI PROFITTI, AVVIAMENTO, USO, DATI O ALTRE PERDITE INTANGIBILI (ANCHE SE GOOGLE O I PARTNER SONO STATI AVVISATI DELLA POSSIBILITÀ DI TALI DANNI.) DERIVANTI DA: (i) USO O IMPOSSIBILITÀ DI UTILIZZARE I SERVIZI GOOGLE, (ii) COSTO PER IL PROCACCIAMENTO DI BENI O SERVIZI SOSTITUTIVI RISULTANTI DA MERCI, DATI, INFORMAZIONI O SERVIZI ACQUISTATI O OTTENUTI O DA MESSAGGI RICEVUTI O TRANSAZIONI CONCLUSE TRAMITE O DAI SERVIZI GOOGLE, (iii) ACCESSI NON AUTORIZZATI O ALTERAZIONI DELLE TRASMISSIONI O DEI DATI DELL'UTENTE, (IV) DICHIARAZIONI O CONDOTTA DI QUALSIASI TERZA PARTE SUI SERVIZI GOOGLE O (v) QUALSIASI ALTRO ASPETTO CORRELATO AI SERVIZI GOOGLE. 

http://www.google.com/apps/intl/it/terms/user_terms.html

Ma troviamo casi simili anche altrove:

http://www.microsoft.com/it-it/useterms

Insomma, i backup non sono un opzional, anche se l'infrastruttura non è la tua. E la cosa, paradossalmente (avevamo scelto il cloud proprio per non occuparci della manutenzione dei nostri dati), si complica parecchio quando i sistemi non sono i tuoi.

Rivoglio indietro i miei dati!

Una volta nella nuvola, riavere indietro i propri dati non è sempre semplice.

Per trasferire il software e i servizi a governi di paesi sottoposti a embargo o ad alcune parti verso le quali esiste il divieto di esportazione, il licenziatario dovrà ricevere l’autorizzazione del governo degli Stati Uniti. Per ulteriori informazioni, il licenziatario potrà leggere il documento treasury.gov/resource-center/Documents/soc_net.pdf. Inoltre, i servizi a pagamento sono soggetti alle leggi e ai regolamenti vigenti negli Stati Uniti in materia di controllo dell’esportazione. Il licenziatario dovrà conformarsi a tali leggi e regolamenti. Queste leggi includono limitazioni circa le destinazioni, gli utenti finali e l’utilizzo finale. Per ulteriori informazioni, il licenziatario potrà visitare la pagina www.microsoft.com/exporting.

Ho appreso ieri che Google stessa pone pesanti limitazioni sul recupero dei tuoi dati se vuoi cessare il servizio. Restrizioni che rendono estremamente difficoltoso il passaggio altrove.

Conclusione

Voglio essere chiaro: io non sono contro il cloud. Ha aperto scenari importanti, vero, ma spesso è stata una forzatura e le aziende hanno sottoscritto contratti che definire "alla leggera" è un eufemismo. Troppo spesso ci si dimentica che i dati di un'azienda sono un patrimonio inestimabile, più degli automezzi, più degli immobili e spesso persino più di ogni altra cosa. Quando i dati della contabilità o i dati dei CAD di produzione vengono persi, ci si rende conto del vero valore di quelle informazioni. Un'azienda non compra alla leggera un immobile, perchè dovrebbe dare i propri dati così superficialmente? Senza valutare poi i rischi legati all'assenza di connettività e ai danni che questa può arrecare alla produttività.

Il cloud è un fenomeno interessante, ma non sempre. Il cloud privato, ad esempio, può essere una strada ibrida e che può preservare la riservatezza ed il controllo del nostro patrimonio informatico, pur erogando tutti i servizi estremamente comodi ed interessanti tipici del cloud.

Si rimanda ad un utile documento informativo redatto dal Garante della Privacy che riporta un interessante e condiviso decalogo che andrebbe consultato prima di decidere di spostare i propri dati nella nuvola. Reperibile QUI.

VMWare 6.0 - Il Cluster

Nel precedente articolo abbiamo parlato genericamente del concetto di virtualizzazione. Oggi approfondiremo come le dinamiche cambiano quando gli host sono due o più.

Licenze

Tanto per iniziare, VMWare ha varie licenze e determinate funzionalità sono disponibili solo all'aumentare del livello di licenza acquistato.

In questo breve specchietto è riassunto tutto.

Se vogliamo interattività tra due o più host, allora parliamo in pratica della licenza Essential Plus o successive.

Architetture Hardware e Software

Un cluster minimale VMWare è formato da due host ed uno storage condiviso, ovvero visibile ad entrambi gli host simultaneamente (collegato tipicamente in SAS, FC, iSCSI o NFS, parleremo successivamente delle performance e delle architetture).

Al suo interno deve esserci una macchina virtuale di gestione (dalla versione 4 in poi non è necessario che sia un server fisico dedicato), chiamata VMWare vCenter con interfaccia web vSphere Client a bordo (normalmente è una macchina OpenSUSE customizzata, dedicata e pronta all'uso, scaricabile dal sito vmware).

vMotion e Storage vMotion

Quando parliamo di vMotion, ci riferiamo alla possibilità di spostare una macchina originariamente posizionata su un host fisico, su un altro di destinazione. E' evidente che questa operazione (prima della virtualizzazione assolutamente impensabile) sposta il carico elaborativo da un server fisico ad un altro. Nella fattispecie, viene spostato tutto (ram, cpu, etc..) tranne la parte di storage.

Lo Storage vMotion, invece e come si può facilmente intuire, è la medesima operazione ma che riguarda esclusivamente la parte dischi. Richiede una licenza almeno di tipo enterprise.

A parte l'evidente vantaggio di ridistribuire "a caldo" e senza alcun disservizio il carico di lavoro tra i server fisici, basti pensare ad uno scenario in cui uno dei server accenda il fatidico led ambra di errore hardware. Senza alcun disservizio possiamo spostare tutte le macchine sul server "sano" e spegnere quello guasto effettuando le operazioni manutentive necessarie.

HA (high availability)

Con il termine HA, nella versione 6, si intende la possibilità di automatizzare le operazioni di ripristino delle macchine virtuali il cui host fisico sia venuto a mancare.

Ipotizziamo che entrambi i nostri nodi abbiano 5 VM distinte cadauno, ed uno dei nostri due nodi esploda in mille pezzi in un assordante boato proveniente dal CED. Avendo abilitato la funzione di HA sul Cluster, il sistema riaccenderà le macchine virtuali sul nodo (o sui nodi) superstite.

Per la macchina equivale ad un'interruzione elettrica nell'alimentazione e, nel tempo di un riavvio, la macchina sarà nuovamente operativa.

Fault Tolerance

Se il tempo di un riavvio è comunque troppo per la nostra macchina virtuale, è possibile abilitare il Fault Tolerance. A differenza dell'HA esso duplica la macchina su due nodi mantenendoli costantemente allineati. In caso di fail di un server fisico, il sistema non dovrà riavviare la macchina su un nuovo nodo, ma semplicemente abilitare la parte di network e renderla attiva.

E' bene precisare che, a differenza della modalità HA, questa funzione è estremamente più impegnativa da un punto di vista di risorse. Il traffico di rete elevato (si consiglia di dedicare un'interfaccia vmkernel dedicata a questa funzione) e l'occupazione attiva di risorse su ogni nodo in cui la macchina è duplicata, unitamente ai costi di licenza necessari a sbloccarla, rendono questa funzionalità utilizzabile solo in scenari ove sia realmente necessaria ed indispensabile.

DRS

Il DRS è uno strumento estremamente interessante ma disponibile purtroppo solo con le licenze Enterprise.

Mediante il DRS, infatti, è possibile automatizzare lo spostamento di una macchina virtuale in base a dei criteri.

• Load Balancing: il sistema può bilanciare il carico dei nodi assegnando a quelli più scarichi delle macchine che, invece, stanno mandando in sofferenza i nodi ove si trovano;
• Affinità con macchine raggruppate: è possibile stabilire che due o più macchine stiano sempre preferibilmente insieme (ad esempio in caso di alto carico di rete tra le stesse);
• Affinità con macchine separate: quando due macchine devono preferibilmente stare su nodi separati (ad esempio due controller di dominio è opportuno che non stiano sullo stesso hardware perchè nativamente svolgono funzioni di backup l'una all'altra)

Il DRS ha dei settaggi che lo possono rendere più conservativo o più aggressivo, in base a quanto si voglia far intervenire il bilanciatore di risorse.

Un'altra utile implementazione del sistema DRS riguarda il risparmio energetico. La funzionalità Power Management consente di stabilire degli orari di spegnimento e riaccensione (mediante Wake On Lan) degli host fisici al fine di ridurre i consumi energetici nei grandi CED. 

Immaginiamo di avere 40 nodi vmware e di osservare una riduzione del carico di lavoro dalle 20,00 alle 8,00 del 70%. Mediante il DRS Power Management è possibile, ad esempio ed in questo scenario ipotizzato, istruire il sistema a spegnere gradualmente i server fisici spostando le macchine affinchè rimanga acceso solo il 30% dei nodi. Dalle 7,00 in poi il sistema riaccenderà gradualmente i server (ribilanciando ovviamente anche le macchine virtuali) fin quando non raggiungerà la piena operatività e capacità elaborativa alle 8,00 del mattino.

Il consumo energetico viene, quindi, ridotto drasticamente e le risorse non vengono disperse o sprecate. Ad onor del vero va detto che, per ripagarsi del costo della licenza, è necessario avere davvero molti nodi.

Nel prossimo articolo parleremo di storage, performance e modalità di collegamento, perchè sottodimensionare lo storage di un'infrastruttura virtuale è davvero un attimo ed è un errore particolarmente comune.

VMWare 6.0 - Panoramica sulla virtualizzazione

Con questo articolo inizia la "saga di vmware", ovvero una serie di articoli ad approfondimento progressivo con l'obiettivo di esplorare la virtualizzazione mediante VMWare 6.

I primi articoli saranno molto elementari, quindi mi scuso fin d'ora se gli argomenti trattati potranno risultare banali e consiglio di saltare questa parte a chi ha dimestichezza con l'argomento. Man mano che ci addentreremo, parleremo di Cluster Balancing, di DRS con gestione intelligente del consumo energetico (spegnimento notturno ed automatizzato di host), di HA e di storage performance (iSCSI, SAS, FC, NFS, etc.), nonchè di sistemi di backup e di gestione centralizzata mediante i tool a disposizione del la piattaforma vSphere. 

Iniziamo dal principio: cosa si intende per virtualizzazione?

Partiamo dall'inizio. In passato l'assioma Server Fisico <---> Sistema Operativo era indissolubilmente univoco. Ad ogni macchina fisica corrispondeva un sistema operativo. I più virtuosi amavano differenziare i ruoli, ma questo comportava la proliferazione di tanti (spesso piccoli e poco affidabili) server fisici nel proprio CED.

In questo scenario sono evidenti alcuni limiti:

• Le risorse sono spesso sprecate, normalmente le macchine rimangono "a riposo" per la maggior parte del tempo
• Il consumo energetico è significativo
• Gli spazi nei CED iniziano a diventare un problema
• La manutenzione di tanti piccoli server è molto problematica (ricambi, garanzie, architetture ridondate, etc)
• I backup sono spesso di difficile gestione in architetture frammentate

Da qualche anno vmware (seguito a ruota da altri attori) ha rivoluzionato il mondo dell'hardware rendendo possibile quello che in passato era considerato solo un miraggio (o si faceva con artifizi davvero orrendi), ovvero astrarre (virtualizzare) la parte fisica del server e renderla disponibile a più macchine virtuali (sistemi operativi). Così facendo, le risorse di un server fisico (host) vanno in un contenitore che le metterà a disposizione (frazionandole) di tutte le macchine virtuali. Lo strato che astrae l'hardware (ovvero l'hypervisor), nel nostro caso si chiama ESXi.

Facciamo l'esempio della RAM: sul mio server fisico ho 64Gb, potrò disporre quindi di allocarne 4 per la macchina Windows che fa da Controller di Dominio, 8 per quella che fa da FileServer ed altri 4 per il WebServer. Così anche per la porzione disco, per i core del processore (che in questo caso vengono condivisi tra le macchine portando il concetto di "frazionamento" verso quello di "priorità" di accesso alla risorsa) e così via.

In buona sostanza, le risorse hardware possono essere suddivise ed allocate alle singole macchine in maniera granulare, ed un singolo server fisico sarà in grado di far girare N sistemi operativi differenti, detti anche Macchine Virtuali.

All'interno del software di controllo, chiamato anche vSphere Client (per il singolo server), sarà possibile comandare le singole macchine, vederne l'output video (come se ci fosse un monitor collegato) e assegnare loro le periferiche usb connesse al sistema fisico.

I vantaggi sono palesi, basti pensare alla possibilità di assegnare più RAM ad un sistema operativo con un solo click.

Intendiamoci, sto banalizzando, lo scopo di questo articolo è introdurre il neofita a concetti nuovi. La semplificazione è dovuta.

A questo punto, ho acquistato un singolo server particolarmente robusto da un punto di vista di performance e ridondanza (dimensionato opportunamente ed in grado quindi di reggere il precedente carico di tutte le macchine), ed ho consolidato il mio CED virtualizzando (o ricreando ex novo) le macchine che originariamente erano fisiche in "contenitori virtuali" in esecuzione sul mio nuovo hardware. La virtualizzazione può avvenire mediante il tool apposito chiamato VMWare vCenter Converter Standalone.

Nel prossimo articolo parleremo di Cluster e di cosa è possibile fare quando gli host sono due o più, introducendoci al rivoluzionario mondo del vMotion: ovvero la possibilità di spostare "a caldo" le macchine da un server fisico ad un altro, senza creare alcun disservizio.

Windows 10: Prime impressioni

In questi giorni, complici i temporali e le ferie, ho avuto modo di installare e provare Windows 10. Intendiamoci, ho alle spalle una decina di ore di utilizzo e non sono sufficienti a dare un parere completo. Ma al tempo stesso mi ha meravigliato la frequenza dei bug in cui mi sono imbattuto in così poche ore.

Installazione

Un'odissea. Il popup rassicurante fa ben sperare. Nella realtà ho installato Windows 10 su 3 macchine e nella migliore delle ipotesi ha scaricato per ben due volte i file di installazione (non capisco perchè cestinare, in seguito ad un problema nell'installazione, 2,5Gb per poi riscaricarli nuovamente...). Rassegnato sono stato costretto a scaricare la ISO offline per poi procedere ad un'installazione classica (che va fatta dal sistema operativo precedente, e non partendo dalla ISO al boot).

Dei 3 PC, solo 2 hanno completato l'installazione (dopo molte ore). Il mio consiglio è di non perdere tempo e aggiornare direttamente dalla ISO offline. E buona fortuna.

Interfaccia

Molto gradevole il nuovo menu start. Anche se non trovo comodo lo spazio che toglie la nuova barra di ricerca. Decisamente troppo. Oltretutto la ricerca al suo interno è lenta e scoraggia l'utilizzatore. Non aspettatevi Spotlight, insomma. Cortana, il nuovo sistema di ricerca assistita, sembra essere stata una manovra dell'ultim'ora per non perdere terreno rispetto ai concorrenti.

Convergenza

Sembra essere la parola d'ordine di tutti i maggiori player. Un tablet, un telefono ed un computer non devono avere differenze sostanziali. A qualcuno può piacere, ad altri no. Personalmente utilizzo un computer perchè mi aspetto qualcosa di diverso da un tablet (altrimenti utilizzerei quest'ultimo), e mi innervosisce vedere questa grafica essenziale da touchscreen. Va a finire che ogni device prende i difetti del sistema che non è riuscito a coprire con il suo hardware.

Non lo apprezzai a suo tempo su MAC, non lo apprezzo ora su Windows 8 e 10. E lo trovo del tutto ridicolo su sistemi operativi server come il 2012 ed il 2012R2.

Wireless

Pare che Microsoft abbia deciso di imitare Apple proprio su tutto (non solo sul "10", sullo store, sull'assistente vocale, sui sistemi unificati, su time machine su supporti usb, ...), anche sui problemi del wireless. Per Yosemite il wireless è stato un vero e proprio massacro, al terzo aggiornamento ancora non si trova la quadra. Microsoft poteva essere da meno? Il wifi funzionava perfettamente, sarebbe stato inopportuno lasciare le cose invariate.

Ed ecco che tutti lamentano la necessità di riavviare continuamente per far funzionare la propria scheda wifi.

Sicurezza

Francamente mi aspettavo di più. Ok il menu Start superattraente, ok Cortana, ok lo store... si ma queste, a mio avviso non sono prioritarie. Cryptolocker è una priorità, il controllo remoto e non autorizzato della macchina è una priorità.

Francamente non mi sembra si sia mosso granchè in ambito security, anzi. Con le nuove funzioni di integrazione con Active Directory, un account potrà salvare le sue password ed i suoi account all'interno del Dominio AD. Comodo... e se il DC server viene compromesso? Addio dati di tutti. E se un PC viene compromesso? Addio a tutti gli account dell'utente, non solo quelli memorizzati su quella macchina. E poi vai a scoprire che macchina ha la backdoor se tutte vedono tutto... a me non convince. Spero di ricredermi...

Ma sarebbe stato così complesso inserire dei limiti nell'eliminazione delle shadow copy o nell'alterazione massiva dei file da parte di un processo? O nell'acquisizione di audio ambientale o delle schermate?

Conclusioni

Ho apprezzato molto la possibilità di impostare la priorità dei processi su windows 8, non capisco perchè questa splendida funzione non sia stata riportata su 10. Questa ed altre innumerevoli micro "angherie" di cui non capisco la motivazione, unite ad altrettanti innumerevoli micro bug, mi portano a pensare che Windows 10:

1.  sia stato rilasciato in maniera estremamente prematura;
2. non apporti quella ventata di innovazioni che ci si aspettava, soprattutto da un punto di vista di sicurezza, dove Microsoft dovrebbe francamente fare di più;
3. non sia ancora adatto ad utilizzi aziendali (non oso immaginare cosa possa accadere con le nuove funzioni AD);

Windows 10 ha delle potenzialità, ma si è pensato troppo alla grafica e poco al debugging e alla sostanza. Ma c'era tutta questa fretta di rilasciarlo, oltretutto a fine luglio... ??

Continuo a dire, magari contro corrente, che Windows 7 era ed è il miglior sistema sfornato da Microsoft. Magari mi ricrederò intorno alla soglia dei 5Gb di aggiornamenti...



Edit 2015/09/16

Windows 10 sembra essere particolarmente sensibile nei collegamenti ai FileServer. Se si possiede un classico FS e questo rimane inservibile anche per un breve periodo di tempo, è necessario riavviare il Client con Windows 10, altrimenti le cartelle di rete non saranno assolutamente più visibili (anche se, ovviamente, il FileServer è risalito).

2015Q1Q2 Considerazioni in ambito sicurezza informatica

Gli ultimi avvenimenti stanno condizionando pesantemente il mondo informatico. Modalità criminali sempre più spietate e sempre meno "didattiche", ma finalizzate alla monetizzazione, stanno trasformando il panorama informatico in una vera e propria giungla (oltre quanto non lo fosse già).

La sensazione, alla luce degli ultimi accadimenti, è quella di una totale impotenza dinnanzi all'insicurezza delle apparecchiature che quotidianamente fanno muovere il pianeta. Proviamo a fare il punto di questo primo semestre del 2015.

CryptoLocker, CryptoWall et simila

Un tempo il mondo della sicurezza informatica, nella sua accezione più variegata, aveva comunque delle regole. Chi attaccava, spesso, si poneva degli interrogativi etici, ragionava in virtù di un tornaconto, ma che comunque non inficiasse gravemente la propria vittima. Adesso le cose sono cambiate, ed era solo questione di tempo perchè l'adolescente freschezza lasciasse spazio ad una incurante spietatezza. Ed arrivò CryptoLocker, l'estorsore.

CryptoLocker è un malware a km 0. Dal produttore al consumatore. Per monetizzare l'inventore lo vende all'attaccante che incassa dalla vittima direttamente. Non deve più rivendere qualcosa nel deep web, con innumerevoli passaggi attraverso un non ben meglio noto black market. I tuoi dati vengono crittografati, tu paghi per riaverli. Fine. Spietato, pragmatico, immediato. CryptoLocker traccia una linea e separa due epoche informatiche, definisce permanentemente la fine dell' "adolescenza" degli attaccanti. Di cryptolocker mi affascina non la modalità, nè la tecnica (banale, quanto il suo metodo infettivo da ABC del piccolo hacker) nè l'idea (tutto sommato semplice), ma la socialità. Mi stupisce la fine di un'etica che, comunque e per quanto spesso irrisoria, stava tutto sommato alla base di questo mondo.

Le sue varianti CryptoWall sono in grado di cancellare backup, shadow copy, dischi di rete... e sono così tante che molte non vengono nemmeno identificate.

Se pensate che questo sia il peggio, sappiate che non abbiamo nemmeno iniziato.

HackingTeam e lo spionaggio governativo

Qui si apre un altro scenario, grazie alla ben nota vicenda HackingTeam. Senza soffermarci troppo sul caso in se, la vicenda ha mostrato in tutta la sia semplicità 

1. quanto sia banale compromettere macchine ed assumerne completamente il controllo (e persino far lasciare al software "forense" prove di reato... ma questa è un'altra storia e la magistratura si occuperà di valutarne la veridicità);
2. quanto l'NSA sia potente e possa controllare sostanzialmente ogni informazione (in alcuni passaggi è emerso che, nonostante HackingTeam sia una multinazionale di tutto rilievo, non sia praticamente nulla in confronto all'NSA che sistematicamente è presente praticamente ovunque con una "potenza di fuoco" illimitata);
3. quanto possa essere conveniente creare un software gratuito ad alta diffusione e che contenga delle backdoor rivendibili a chi le deve usare di mestiere (uh.. il responsabile della Security di Facebook ha bandito Flash... la verità è che ci siamo un pò tutti stancati di questo colabrodo);

C'è anche un aspetto positivo, ora sappiamo che Karspersky Labs braccava dal 2013 HT e forse (si vocifera) avrebbe cercato di corrompere alcuni sviluppatori interni con mezzo milione di euro per la creazione di un antidoto. Quindi è emersa la vera potenza di sistemi antivirus come Karsperky, seguito da Sophos, e quanto siano in grado di investire nei loro prodotti.

Una chicca: era in progetto di sviluppare dei micro-droni a ricarica solare in grado di atterrare autonomamente nei pressi di una rete wifi specifica compromettendone la sicurezza e, quindi, infettandone le macchine. Fantascienza? No, tutta la tecnologia è ampiamente disponibile, tutto sommato serviva solo avere l'idea. Ed ora l'idea è pubblica.

Firmware Injection

Un interessante articolo di Repubblica (qui) spiega un nuovo scenario, fin'ora sempre toccato in maniera più o meno collaterale, ovvero che un'infezione possa avvenire direttamente dal firmware delle periferiche che colleghiamo alla nostra macchina. Bene, ora è realtà ed è stato dimostrato che PC e MAC possono essere resi inutilizzabili definitivamente (formattare non risolve) semplicemente collegando una periferica o una scheda con firmware infetto.

Che scenari si aprono? Un mondo.

A breve, quindi:

1. in perfetto stile CryptoLocker potremmo ritrovarci con una macchina davvero inutilizzabile (a partire dal bios) salvo corrispondere un pagamento;
2. dovremo far attenzione ad acquistare hardware su internet, poichè al costo basso di una periferica potrebbe corrispondere un illecito guadagno derivato da un'attività successiva e correlata;
3. infezioni inattive ed azionate a comando potrebbero partire tutte insieme, mettendo in ginocchio intere aziende

Anche qui... fantascienza? Mannò, è noto che l'NSA alteri sistematicamente i firmware di alcune macchine destinate a paesi "caldi". Ci sono innumerevoli articoli tecnici di come l'alterazione di un firmware di un hard disk possa compromettere la stabilità della macchina o dei dati in esso contenuti, ed è tristemente noto che l'acquisto di hard disk usati possa essere passibile di queste problematiche ("controllate che non vi siano saldature strane sul circuito sotto al disco", recitava un promemoria qualche tempo fa).

ShellShock, HeartBleed e chi più ne ha più ne metta

In ambito Linux non siamo messi meglio, i recenti ShellShock e HeartBleed, rispettivamente su bash (software più stabile penso non esista...) e openssl (su cui gira praticamente tutto) nascondevano incredibili vulnerabilità, classificate per la prima volta come 10/10/10 (potenzialmente e realmente di una pericolosità fuori dal mondo). Non c'è più riparo... salvo diventare "eremiti informatici" come Stallman...

Insicurezza informatica

Come dire... ClamAV ha dichiarato di recente di non riuscire a classificare oltre il 30% dei nuovi virus che vengono creati quotidianamente. Dropbox ha visto compromessi 7 milioni di account, intere Certification Authority hanno fallito perchè compromesse e persino chi fa "attacco informatico" si è visto 400Gb di dati e email spiattellati su Wikileaks... che considerazioni possiamo fare?

Riporto un aneddoto. Quasi 10 anni fa mi chiamarono per fare un'analisi su un server. Era evidente che fosse stato compromesso, ma era un server su cui non c'erano dati importanti... si trovava in DMZ e tutto sommato gli attaccanti stavano usando anche poca banda. Il server era difficile da migrare o da ripristinare, quindi il cliente mi confessò che avrebbe lasciato il mondo come stava e, seppur tenendo sotto controllo la situazione, non sarebbe comunque intervenuto. Come per un sistema vivente, il parassita non creava problemi e andava bene così. Oggi tutto questo sarebbe impensabile, gli attacchi si sono incattiviti, non c'è più scrupolo e dove ieri si scippava, oggi si spara a bruciapelo.

E' convenuto avere tutta questa libertà? Io non sono nessuno per giudicare, ma temo che il motto "sul web siamo tutti liberi" possa lasciare troppo spazio ad anarchie ed attività illegali assolutamente fuori controllo.

Stiamo vivendo in piena insicurezza, le armi difensive sono assolutamente inefficaci.

Immaginate cosa accadrebbe se lo sviluppo Microsoft fosse compromesso. Nel giro di un aggiornamento avremmo l'apocalisse. Aeroporti fermi, mercati finanziari fermi, compagnie elettriche, aziende chiuse (dalla S.p.A. al tabaccaio). I computer sono alla base dell'umanità per come la conosciamo oggi, senza riusciremmo a far funzionare tutto? E se una nuova vulnerabilità in grado di infettare le macchine intaccasse Microsoft? O Google? O Facebook? Non mi sembra uno scenario poi così irrealizzabile... nonostante osservatori e sforzi governativi...

Hard Disk, una breve panoramica nel mondo NAS/SAN oriented

Premessa a tutti gli articoli riguardanti l'argomento storage

Ormai è più di un mese che approfondisco la questione storage e, grazie anche all'aiuto di colleghi particolarmente esperti nel settore (e che gentilmente hanno deciso di condividere le proprie esperienze all'interno di gruppi di discussione) ed a specifici ed importanti investimenti, sia in corsi di formazione (multivendor) sia in hardware, ho scoperto che alle spalle dell'argomento Storage c'è un mondo molto più ampio e molto meno banale di quanto si possa normalmente immaginare. Normalmente si tende a pensare che sì, sia un settore importante ed articolato, ma comunque entro certi limiti. Invece più vado avanti e più lo scenario di arricchisce di variabili, opzioni, riflessioni e nodi da comprendere. Anche perchè, diciamocelo, sbagliare lo storage in una virtualizzazione è un attimo, le cui conseguenze sono spesso anche irrimediabili.

Nel mio piccolo, ho deciso di condividere i miei studi ed i miei approfondimenti trattando l'argomento in vari articoli così suddivisi:

- Gli Hard Disk

- La SAN (cache, RAID, performance)

- Il collegamento tra SAN e Infrastruttura Virtuale (performance e riflessioni sull'hardware, iSCSI, NFS, SAS, FC)

Con l'occasione, metterò anche ordine alle mie idee.

Questo primo articolo riguarderà, appunto, le dita della mano, ovvero i Dischi. Argomento indubbiamente più semplice di tutti, ma non meno importante, anzi.

Tipologie

Tanto per iniziare, i dischi si dividono in 4 macro categorie:

1. SATA, 7.200 rpm, 70 IOPS medi, capienti e molto economici
2. SAS 10.000 rpm, 140 IOPS medi, meno economici ma più performanti dei SATA
3. SAS 15.000 rpm, 200 IOPS medi, molto veloci ma abbastanza costosi
4. SSD, 100.000 IOPS medi (chi più chi meno), velocissimi (un altro pianeta, soprattutto in R/W random), ma costosissimi

I primi tre dischi sono di tipo magnetico, il quarto è a memoria a stato solido. Ovviamente, all'aumentare delle prestazioni aumenta esponenzialmente il costo per GB. Un elenco ben dettagliato è disponibile qui.

Fin qui nulla di nuovo, nel dimensionare uno storage i dischi saranno spesso il punto più importante, sia per costi, sia per prestazioni. La scelta dei dischi condizionerà pesantemente ogni altra riflessione (che comunque vedremo negli articoli successivi). Già in uno storage a 24 o 48 baie, è facile comprendere che spendere 110 euro a disco di 3Tb/cad è diverso da spenderne 650 per 120Gb/cad. A prescindere dalla ridondanza, dal numero di controller e dall'espandibilità, salta subito all'occhio che il dimensionamento di uno storage è il frutto di un compromesso tra performance, costi e capienza. Sempre.

Dischi economici e dischi enterprise: panoramica

Perchè, ad apparente parità di tecnologia e performance, un Hard Disk di fascia alta può costare anche quattro volte rispetto ad uno di fascia bassa?

Sono sincero, ci ho messo giorni a scremare le inutili informazioni commerciali dalle ben più importanti motivazioni tecniche. Alla fine un disco deve essere veloce (per la sua tecnologia), capiente (quanto ci basta) e non rompersi. Ma questi tre elementi sono tutt'altro che banali.

Per comodità (ma appena posso farò lo stesso per Hitachi e Segate), proviamo a prendere un semplicissimo disco da 2Tb SATA Western Digital.

Ecco cosa possiamo prendere oggi da WD:

• WD Blue 2Tb SATA a 75 euro circa (se esistesse il taglio da 2Tb)
• WD Green 2Tb SATA a 95 euro circa
• WD Black 2Tb SATA a 143 euro circa
• WD VelociRaptor 2Tb SATA (10krpm) a 300 euro circa
• WD Purple 2Tb SATA a 99 euro circa
• WD Purple NV 2Tb SATA a 115 euro circa
• WD Red 2Tb SATA a 119 euro circa
• WD Red Pro 2Tb SATA a 148 euro circa
• WD Re 2Tb SATA a 183 euro circa
• WD Re+ 2Tb SATA a 200 euro circa (se esistesse il taglio da 2Tb)
• WD Se 2Tb SATA a 153 euro circa
• WD Ae 2Tb SATA a 120 euro circa (se esistesse il taglio da 2Tb)

Ok... sono tutti 2Tb SATA (ipoteticamente)... ci sarà qualche differenza? Alla fine, che vuoi che cambi?

Tanto per iniziare, quelli che ho evidenziato in verde sono ad uso desktop, quelli in viola ad uso intensivo (videosorveglianza e nas) e quelli in blu ad uso datacenter. Scartiamo dalla nostra lista (l'articolo parla di SAN e NAS), quindi, tutti i dischi per desktop (che hanno caratteristiche non compatibili con le alte affidabilità e le basse vibrazioni prodotte che vengono chieste su sistemi di array) e gli hard disk specifici (i purple per la videosorveglianza, anche se si avvicinano molto ai red per caratteristiche). Scartiamo anche i dischi per archiviazione massiva (grandi dimensioni specifici per archivi), quindi via i Re+ e gli Ae. Ci rimandono, quindi, questi tre dischi:

WD Red

La serie Red è la prima serie per NAS. Un disco "onesto", che fa bene il suo lavoro. Affidabile e con tecnologie specifiche, sostanzialmente l'entry level di un array da 2 a 8 dischi. Anche la garanzia viene estesa rispetto a prodotti desktop.

WD Red Pro

La serie Red Pro è studiata per lavorare in array di maggiori dimensioni (8-16), quindi ha delle tecnologie particolarmente rivolte a non produrre vibrazioni (dannosi per i dischi adiacenti) e a proteggersi dalle vibrazioni. Tralasciando le specifiche squisitamente commerciali, questo disco è il primo ad avere un doppio attuatore e l'albero motore ancorato ad entrambe le estremità. Tecnologie particolari si occupano di bilanciare attivamente i piatti per evitare le vibrazioni.

Da qui i dischi, inoltre, subiscono dei test approfonditi prima della vendita.

WD Re

Questo disco è l'enterprise di WD. Oltre alle tecnologie precedenti, i dischi subiscono ancora più controlli prima della vendita (con anche cicli termici) ed hanno un doppio processore di gestione (vedi immagine di confronto tra la piastra di un RED e quella di un RE). La testina, inoltre, sfrutta una particolare tecnologia anti usura che ne aumenta la longevità, insieme ad altre tecnologie specifiche per aumentarne l'affidabilità generale. Questo disco, inoltre, ha un sensore multiassiale, in grado di compensare gli urti affinchè i dati siano protetti.

Perdonatemi se ho trattato solo WD, ma ha una delle gamme più chiare e complete del panorama e mi è tornato estremamente utile per meglio mettere a fuoco le differenze tra dischi apparentemente simili.

Lo scopo di questo articolo era comprendere cosa rende architetturalmente un disco costoso, performance e MTBF a parte.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

Cosa sono e come si utilizzano le VLAN

Non è inusuale che l'utilizzo delle VLAN 802.11q sfugga anche agli addetti ai lavori o ai responsabili IT. Proviamo a semplificare i concetti in maniera banale ma immediata.

Cos'è una VLAN?

Uno degli errori più comuni consiste nel pensare che la suddivisione del traffico possa essere effettuata semplicemente agendo sulle classi IP delle macchine.

Questo scenario, se lo switch non viene opportunamente istruito ad utilizzare le vlan, è errato per vari motivi:

• A livello di sicurezza, una macchina in grado di variare il proprio indirizzo IP si può ritrovare facilmente sull'altra rete
• Il traffico di broadcast non è stato limitato (con 6 macchine, questo non è un problema, ma dalle 5-600 in su è tangibile una riduzione delle performance di rete e un carico eccessivo sulle macchine impegnate a scartare frame e pacchetti non a loro destinati)
• Un eventuale server DHCP non è facilmente utilizzabile, perchè non ha elementi per assegnare indirizzi a macchine sconosciute (e comunque effettuare una reservation per ogni macchina non è affatto banale in reti voluminose)
• Svariati altri motivi

La VLAN nasce per suddividere il traffico. Nel nostro scenario, creare due VLAN, significa aver creato due "compartimenti stagno" in grado di non entrare in contatto l'uno con l'altro (salvo realizzare eccezioni e punti di routing, ma lo vedremo più avanti).

Possiamo dire, quindi, che l'aver creato due VLAN ha trasformato il nostro switch in "due switch distinti". Al pari di averne utilizzati due. E' una terribile banalizzazione, intendiamoci, ma necessaria a spiegare in maniera basilare il meccanismo. Non me ne vogliano i puristi.

A questo punto dell'architettura, la situazione di cui sopra è, tutto sommato, simile a questa:

Abbiamo ottenuto una suddivisione "reale" del traffico delle due sottoreti. Due host appartenenti a due vlan diverse, in questo scenario, non si potranno mai parlare. Non solo sono due domini di broadcast distinti, ma il traffico realmente non arriva nelle reti adiacenti.

Tag, Untag, (cisco) Trunk e Uplink

Partiamo con il dire che le VLAN si gestiscono a livello di porte o generando interfacce virtuali. Le due modalità primarie delle vlan sono "untagged" e "tagged".

Una porta classificata come vlan untagged è una porta su cui è collegata una NIC che non conosce lo stato delle vlan, semplicemente vi si ritrova dentro. Per capirci, tutti gli switch non configurati hanno le porte untagged nella vlan1. Tipicamente si tratta di  host e server a servizio di una singola rete.

Una porta classificata come vlan tagged, trasferisce tutto il traffico di tutte le vlan taggate sulla porta (pur mantenendole separate, ovviamente). Si tratta di porte dedicate al collegamento tra apparati di rete (switch to switch, switch to firewall, access point to switch, etc.) oppure tra lo switch ed un server che eroga servizi a più vlan (reti).

Nel nostro caso, presupponendo si tratti di uno switch HP, la configurazione sarebbe stata semplicemente la seguente:

vlan 10 untagged 1-12

vlan 20 untagged 13-24

Adesso abbiamo un problema... immaginiamo di avere due switch su cui propagare le due vlan create, ma abbiamo a disposizione un solo link (di qualsiasi natura, fibra ottica, rame, radio, etc..).

A questo servono le porte tagged, ovvero a trasferire il traffico di più vlan utilizzando uno stesso mezzo trasmissivo. Il traffico rimarrà diviso ed entrambi gli apparati saranno in grado di ripropagare alle porte untagged il relativo traffico di appartenenza.

La configurazione, in questo secondo scenario e presupponendo sempre di trovarci su switch HP in cli, è questa:

vlan 10 untagged 1-12

vlan 10 tagged 25,26

vlan 20 untagged 13-24

vlan 20 tagged 25,26

Si noti come siano state taggate entrambe le porte di uplink. Non è obbligatorio nè necessario, ma in uno scenario simile è la norma.

In caso di LACP, la porta trk va trattata come una porta fisica e non è necessario agire sulle porte singole.

Le porte "trunk" (cisco) o uplink (allied telesis), non sono altro che porte che trasferiscono tutte le vlan automaticamente, senza preoccuparsi di specificare i tag. Personalmente uso solo untag e tag gestendo manualmente le propagazioni, ma è una scelta personale e che per alcuni può apparire meno comoda.

NB: Quando utilizzo una porta per trasferire il traffico di due o più VLAN, a differenza di quanto indicato nell'esempio di cui sopra, alcuni apparati non consentono l'utilizzo di una modalità "full tag", ma necessitano comunque di avere almeno una VLAN che sia untagged.

VID

Il VLAN ID è il numero identificativo, da 1 a 4096, della VLAN. Tutti gli apparati 802.11q compliant comunicano con il VID. Il nome della vlan è solo una convenzione e non ha alcuna valenza nel trasferimento delle informazioni.

Nella progettazione di un'infrastruttura di rete con le vlan è opportuno, inoltre, stabilire un VID di management, ovvero una vlan diversa da tutte le altre dove si trovano nativamente tutti gli apparati. Sarebbe inopportuno settorializzare ma consentire l'accesso agli switch da una vlan tradizionale. In caso di problemi, operazioni di manomissione degli switch vanificano, in un attimo, il lavoro di suddivisione.

Per convenzione (anche qui, non obbligatoria), quando possibile è opportuno associare il VID all'indirizzo di rete. Ad esempio: 192.168.45.0/24 avrà il VID 45. 172.16.99.0/24 avrà il 99, e così via.

Punti di routing ed eccezioni, gli switch di livello 2 e 3

Non sempre mantenere tutte le vlan divise è un bene, a volte uno stesso server deve essere consultato da più vlan pur trovandosi all'interno di una sola, e così via per una serie di altri servizi che possiamo considerare "intravlan". Immaginiamo un Comune con vlan divise tra Ufficio Tributi, Ufficio Anagrafica, Ufficio Personale... ma con l'esigenza di accedere ad uno stesso server interno per consultare un database unico. 

Ricordando che le vlan devono avere subnet diverse, un punto di routing (il gateway della vlan) può opportunamente gestire queste eccezioni (oppure semplicemente far ruotare le vlan verso un router di connettività internet). Ci sono diverse scuole di pensiero, c'è chi adopera switch di livello 3 (il cui unico scopo è quello di gestire il routing L3 del traffico delle vlan) e chi preferisce demandare il routing ad un firewall, in grado di "maneggiare" meglio e con più semplicità il traffico proveniente da tutte le sottoreti create.

Ad ogni modo, se non volete far gestire allo switch di centro stella il routing delle vlan, gli switch di livello 3 sono del tutto inutili (la funzionalità rimane spenta) ed in alcuni casi persino pericolosi.

Ho visto, inoltre, tantissimi progetti con tutti gli switch di livello 3. Nel 99,999% dei casi (sono generoso) sono del tutto inutili perchè, al massimo, il routing delle vlan si demanda al Centro Stella. E' del tutto inutile, quindi, che uno switch di distribuzione orizzontale possa fare Layer 3. Salvo non trovarsi in un campus di 10.000 host, ovviamente (ma in questo caso parleremmo di altre dinamiche e delle funzioni avanzate di routing degli switch, delle licenze OSPF e RIP ...e così via... insomma, non staremmo qui a leggere questo articolo).

Una nota sul forward va fatta: attenzione a tutti gli apparati che consentono la gestione dei tag vlan. E' frequentissimo che server con NIC multivlan abbiano erroneamente attivato il forward (personalmente trovo questa casistica persino superiore a quella "tradizionale"). In questo caso per un client sarà sufficiente cambiare il proprio gateway (inserendo l'ip del server erroneamente configurato) per attraversare le vlan (seppur con alcuni limiti dovuti al percorso di risposta).

Le vlan sul wireless

Con lo stesso principio, possiamo avere un access point che propaga 4 reti diverse, e sulla porta LAN comunica allo switch che il traffico delle rete wireless 1 appartiene alla vlan 1, il traffico della rete wireless 2 alla vlan 2 e così via. A voi intuirne le potenzialità.

Maggiori dettagli

Maggiori dettagli sono reperibili sul mio libro in cui vengono approfonditi argomenti riguardanti gli switch nel primo capitolo: CyberSecurity Creativa.

Il libro è reperibile su amazon a questo link anche in formato kindle:  >> qui <<.

Mentre l'elenco degli argomenti del primo capitolo è il seguente:

Capitolo 1 – Lo switch è tuo amico!

Cosa sono e come si utilizzano le VLAN 802.1q?

Tag, Untag, Trunk e Uplink e Private VLAN

Le vlan sul wireless (come suddividere correttamente le reti)

La compartimentazione e la DMZ

Chi deve fare routing?

Forwarding abusivi

SNMP: suvvia... Ma c’è qualcuno che se ne preoccupa?

Non buttate quegli hub! L’antenato del mirroring

Spanning Tree manipulation attack (e un caso concreto)

Port Security, MAC LockOUT e learning

DHCP Snooping: evitare il rilascio non autorizzato di IP

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.