| |
Tipo di utente |
Caratteristiche
necessarie |
| |
|
|
| |
Rete connessa a
Internet con un router ISDN o ADSL |
A,B |
| |
Rete connessa a
Internet con un router ISDN o ADSL e Indirizzo IP statico |
A,B,C,E |
| |
Rete connessa a
Internet con linea dedicata e più indirizzi IP |
A,B,C,D,E |
| |
Rete connessa a
Internet con linea dedicata e più indirizzi IP con molti
servizi offerti verso Internet |
A,B,C,D,E,G,F |
| |
Rete connessa a
Internet con un router ISDN o ADSL e Indirizzo IP statico e
varie sedi remote o agenti sparsi per il territorio |
A,B,C,D,E,F |
| |
Scuole o Istituti
pubblici |
A,B |
|
|
A. Gestione e controllo dell'attività
in Internet degli utenti Interni
Come usano Internet i vostri
dipendenti? Quanto tempo dedicano a Internet?
Spesso si calcola il costo aziendale di Internet solo in base alle
bollette Telecom, al costo degli apparecchi (router, modem, ...) e del
software usato per collegarsi a Internet. In realtà un costo nascosto
ma spesso predominante è determinato dal tempo perso in modo non
produttivo dai 'navigatori di Internet.
Anche se la vostra fiducia e massima e senza voler controllare utente
per utente l'uso di Internet (sicuramente contrario alla privacy) i
SonicWALL permettono di evitare che l'utente frequenti siti appartenenti
a determinate categorie (sesso più o meno esplicito, violenza,
razzismo, e molte altre), o altri siti elencati, oppure permettono
l'accesso solo a siti appartenenti ad una specifica lista. Il tutto
avvertendo l'utente del "filtro" attivo, quindi rispettando la
sua privacy e prevenendo, invece di reprimere, i comportamenti
scorretti.
In servizi accessibili al pubblico e nelle scuole questa azione di
controllo è assolutamente indispensabile.
torna
in alto
B. Velocizzazione della Connessione
Maggiore velocità è il sogno di tutti. Un modo realistico di
ottenerla e quello di utilizzare una cache comune a tutti gli utenti in
rete. Questo fa si che ogni volta che siano richiesi gli stessi dati la
risposta sia locale e non data dai tempi di Internet. I dispositivi che
realizzano questa funzione si chiamano "Proxy Cache Server" e
svolgono la funzione di client web verso Internet e server web verso gli
utenti interni. Concentrando le comunicazioni degli utenti verso
Internet sono ideali per realizzare un log completo dell'attività e per
gestire eventuali accesi autenticati (con nome e password) verso
Internet. Maxum, con WebDoubler, ha realizzato un Proxy per Macintosh
dalle prestazioni ottime. La funzione di Proxy CacheServer si sposa
perfettamente con i firewall di SonicWALL in quanto permettono una
configurazione tale da obbligare tutti gli utenti a utilizzare il proxy.
torna
in alto
C. Gestione della sicurezza dei server
Internet locali
Se avete un server per Internet
(non importa quale servizio svolga: web, posta elettronica, ftp o
quant'altro) avete obbligatoriamente dei computer (i server stessi) che
sono accessibili da Internet. Purtroppo è estremamente semplice per un
malintenzionato bloccare la funzionalità di questi computer (bloccando
il servizio Internet). Sintomo classico di attacchi provenienti da
Internet è il ritrovare il server bloccato apparentemente senza motivo.
L'unico modo reale di difendersi da questi attacchi esterni è quello di
interporre tra i propri computer e Internet un dispositivo che analizzi
il traffico di passaggio, riconosca la normale evoluzione delle
comunicazioni e identifichi e blocchi i tentativi di attacco
dall'esterno. Questo dispositivo è un firewall con il 'packet
inspection'.
torna
in alto
D. Separazione della gestione della sicurezza tra zona riservata ai
servizi Internet e zona per gli utenti locali
Per la natura stessa dei server Internet (che devono essere
accessibili) questi sono meno sicuri degli altri computer in rete
locale. Per questo motivo si tende a separare la zona fisica dei server
Internet rispetto alla zona dei computer e dei server locali con un
ulteriore firewall. Tale separazione fa si che l'eventualità che un
server venga violato non mette in pericolo il resto della rete. Oggi si
trovano vari firewall con tre porte ethernet (LAN per la rete Locale,
WAN per il collegamento verso l'esterno e DMZ - DeMilitarized Zone- per
il collegamento dei server) che evitano la necessità di utilizzare due
firewall tradizionali (a due porte). I firewall SonicWALL DMZ, SonicWALL
Pro e Netopia S9500 appartengono a questa categoria.
torna
in alto
E. Connessione con reti remote o con utenti mobili in VPN (Virtual
Private Network)
Se la propria azienda ha sedi o collaboratori remoti è estremamente
funzionale poter garantire delle comunicazioni di rete sicure anche
attraverso Internet o linee telefoniche.
L'unico modo per rendere sicura una comunicazione è quella di cifrarla
prima che arrivi a una rete di pubblico accesso (per esempio Internet ma
anche la rete telefonica tradizionale!!!) e di decifrarla al termine
della comunicazione.
Un firewall che gestisca le VPN riconosce le comunicazioni dirette a una
rete remota connessa in VPN e crittografa/decrittografa le stesse in
modo del tutto trasparente ai computer in rete. Il risultato per
l'utente è quello di poter usare la rete remota come se fosse locale e
in modo sicuro.
Se viene utilizzato un apposito software su un Computer remoto la
trasmissione in VPN può avvenire anche tra firewall e computer (e non
tra due firewall). In questo modo è possibile collegarsi alla propria
rete aziendale da Internet con il proprio portatile ovunque si sia. Il
tutto in modo sicuro.
Netopia S9500 e SonicWALL Pro includono la gestione delle VPN. SonicWALL
DMZ e SOHO la prevedono opzionalmente.
torna
in alto
F. Maggiore importanza nelle connessioni VPN
Le VPN rappresentano un carico computazionale abbastanza gravoso per
il dispositivo che deve effettuare il lavoro di cifratura/decifratura
specialmente se la comunicazioni che deve gestire sono molte o
utilizzano una banda particolarmente elevata. Il SonicWALL Pro ha un
hardware con porte 10/100 e processore molto prestazionale, inoltre
prevede opzionalmente l'inserimento futuro di una scheda acceleratrice
per le VPN. Una struttura ben progettata a livello di VPN prevede un
SonicWALL Pro a livello di sede centrale, SonicWALL DMZ o SOHO per le
sedi periferiche e il software VPN per gli utenti dei PC portatili
connessi a Internet.
torna
in alto
G. Gestione della priorità dei
servizi Internet
Nel momento in cui usate Internet
per dare dei servizi (server web, posta elettronica, Voice over IP,....)
ai vostri utenti si presenta la necessità di garantire una banda
sufficiente a questi servizi.
Mediamente la banda complessiva che avete a disposizione non è
sufficiente a garantire la banda massima a tutti i servizi e non avete
alcuno strumento per gestire questa banda.
Mediante il 'Traffic Shaping ', caratteristica peculiare del Netopia
S9500, potrete assegnare a ogni servizio un banda minima garantita e una
banda massima utilizzabile. In tal modo, anche se la stessa connessione
Internet è utilizzata dalla vostra rete locale e dai vostri server,
sarete sicuri che lo scaricamento di un file da parte di un utente
Interno non andrà a influire sui servizi forniti dai vostri server.
Esempi tipici di utilizzo sono:
- assegnazione di diverse bande massime
a diversi server web (anche se gestiti da uno stesso PC)
- assegnazione di una banda minima
garantita a servizi quali Voice Over IP (comunicazioni telefoniche
via Internet per il collegamento di centralini telefonici aziendali
ecc...),
- a determinati server web, all'accesso
verso Internet di utenti Interni 'privilegiati', ...
|
Sicurezza
e Privacy
SonicWALL