Reti e dintorni 19

5/8/2018 Reti e dintorni 19 - slidepdf.com

http://slidepdf.com/reader/full/reti-e-dintorni-19 1/20

Maggio 2003 N° 19



2



RETI E DINTORNI N° 19 Pag. 3

WIRELESS SECURITY

Lo standard 802.11 descrive un modello di rete con

un’architettura (o Extended Service Set, ESS) riassunta

in Figura 1, il passaggio dalla modalità ad-hoc (o

Indipendent Basic Service Set, IBSS) a quella

“infrastructured” è concepito come un servizioaggiuntivo, offerto da un AP, di connessione a una rete

di distribuzione (o Distribution Service, DS). L'AP non

è poi descritto altrimenti che come una STA che

appunto implementa e fornisce funzionalità di inoltro

verso il DS alle altre STA presenti nella stessa Basic

Service Set (BSS).

Figura 1

La concezione delle funzionalità di inoltro come un

servizio a sè stante (addirittura opzionale), porta

naturalmente alla necessità di definire una procedura di

accesso a tale servizio e i relativi meccanismi per

discriminare tale accesso. Per quanto riguarda 802.11,

la soluzione di access control adottata è rappresentata

dalla funzione di "Associazione" e dal relativo scambio

di messaggi. I meccanismi di controllo di accesso si

basano tradizionalmente su procedure di autenticazione

delle entità in gioco (perlomeno è necessario

identificare l’entità richiedente prima di poter decidere

se concedere o meno l'accesso al servizio richiesto).L'approccio seguito da 802.11, come si può evincere

dalla macchina a stati descritta in Figura 2, presenta

delle peculiarità interessanti che meritano un'analisi

attenta. Iniziamo con l'evidenziare i rapporti tra le

procedure di "Autenticazione" e di "Associazione". Lo

standard 802.11 scorrela completamente le due

funzionalità: in particolare l'autenticazione delle entità

coinvolte è supposta avvenire prima di ogni tentativo di

richiesta di accesso alla rete (o in termini più esatti, di

accesso ai servizi di inoltro verso il DS). Tale

approccio deriva naturalmente dall'obiettivo, di definire

i meccanismi di confidenzialità e integrità di 802.11

come tentativo di assicurare lo stesso livello disicurezza offerto dalle tradizionali reti wired. Le entità

802.11 si autenticano, in prima istanza, per instaurare

una SA che permette loro di comunicare in modalità

cifrata. Sotto la relazione di fiducia offerta da tale

associazione è poi eseguita la procedura di richiesta di

accesso ai servizi di inoltro offerti da un AP.

Figura 2

Il modello precedentemente descritto, nella sua

semplicità e eleganza, si integra perfettamente con

l'architettura di rete definita in 802.11: il meccanismo

di autenticazione è completamente distribuito e in

grado di supportare ugualmente le due modalità ad-hoc

e infrastructured. Risulta inoltre estremamente

semplice il supporto alla mobilità, in particolare alle procedure di passaggio da un AP ad un altro senza

perdita di connettività (fast-handoff). L'autenticazione

verso il nuovo AP avviene, infatti, prima della

procedura di associazione con lo stesso (e

disassociazione dal vecchio AP): la complessità

computazionale presentata dal metodo di

autenticazione scelto rimane completamente esterna

alla regione critica di handoff.

Purtroppo, proprio il modello di autenticazione è una

delle cause delle ben note inadeguatezze del framework

di sicurezza di 802.11 e attualmente oggetto di una

sostanziale revisione in seno al WG 802.11 ad opera

del TG i.Prescindendo dalle vulnerabilità dei meccanismi di

cifratura (il famigerato WEP), l'attuale soluzione di

autenticazione (e di conseguenza quella di network

access control che su di essa si basa) si è dimostrata

inadeguata a fornire una serie di funzionalità essenziali

a costruire un framework di sicurezza sufficientemente

robusto e adeguato al reale utilizzo di reti LAN

wireless. La totale assenza di meccanismi automatici di

key agreement e tanto meno di re-keying

(tradizionalmente intimamente legati alle procedure di

autenticazione) rende estremamente complesso

contrastare l'inevitabile degrado della sicurezza del

materiale crittografico presente nel sistema, oltre che

impedire la gestione di scenari di deployment a parte i

più triviali.




La semplicità delle logiche di autenticazione e di

accesso previste, permette la loro implementazione a

livello delle STA e AP coinvolti, senza richiedere la

presenza di nessuna infrastruttura e dispositivi esterni.

Tuttavia, con un tale approccio, non includendo nessun

meccanismo di estensibilità, la modifica sia delle STA

sia degli AP si rende necessaria ad ogni upgrade dellelogiche esistenti. In particolare, il dover implementare

direttamente a livello AP nuovi meccanismi di

autenticazione e controllo (task potenzialmente

complesso, in particolare quando sono coinvolti

differenti algoritmi crittografici) contrasta con un

modello che vede gli AP come dispositivi il più

semplice (ovvero il più economico) possibile. Infine

l'impossibilita' a delegare parte della logica di

decisione ad entità esterne preclude il supporto a

scenari che prevedono il roaming di utenti (come

avviene comunemente nei servizi di telefonia mobile)

dove l'accesso alla rete può essere fornito ad utenti

completamente estranei al gestore della rete stessa.Volendo ricercare (con gusto un po' machiavellico) nel

modello stesso, le cause delle inadeguatezze riscontrate

nei fatti, si può osservare come proprio l'idea di

delegare il costruzione delle relazioni di trust

necessarie alla procedura di network access ad una

procedura di autenticazione indipendente e precedente

presentasse delle intrinseche limitazioni. Meccanismi

di autenticazione e key agreement che non richiedono

una prior knowledge tra le entità coinvolte si fondano

infatti sulla presenza di una qualche trusted third party:

lo stesso uso di certificati digitali prevede la necessità

di accedere a servizi online per la verifica della validità

dei certificati stessi. E' evidente che tali servizi non possono essere disponibili se non dopo aver avuto un

accesso, quantomeno parziale, ai servizi di inoltro

stessi.

L'analisi presentata in questa sezione come le

riflessioni descritte nella precedente sezione portano ad

evidenziare la necessità di un modello di accesso ai

servizi di inoltro (o di network access control) più

completo e complesso.

In particolare, un’effettiva soluzione dovrebbe

integrare robuste e complete funzionalità di

autenticazione e integrità come la capacità di delegare

parte delle logiche decisionali a entità esterne fidate.

Non sorprendentemente, tali elementi sono presi inconsiderazione dal tentativo di definizione, attualmente

in corso, della prossima versione del framework di

sicurezza per reti 802.11: il futuro standard 802.11i,

obiettivo del TG i interno al WG 802.11.

802.1X e la nuova architettura 802.11

Seppur ancora in corso di definizione e potenzialmente

ancora soggetto a sostanziali modifiche, è possibile

tentare alcune osservazioni preliminari sul lavoro, in

corso presso il TG i, che porterà alla standardizzazione

di una nova versione del framework di sicurezza per

reti 802.11.L'architettura 802.11i includerà innanzi tutto una

versione rivista degli attuali meccanismi di

confidenzialità (WEP) sul link wireless nonché una

soluzione crittografica completamente nuova basata su

AES. Per quanto riguarda il presente articolo, sono

tuttavia di maggiore interesse le sostanziali modifiche

apportate ai meccanismi di autenticazione e di

controllo di accesso basate sullo standard 802.1X.

Figura 3

Il modello di network access control previsto da

802.1X è riassunto in Figura 3. Brevemente, viene

definito un protocollo, EAPOL, con cui un'entità (o

suplicant) può effettuare una procedura di

autenticazione (e eventualmente di key agreement e/o

key distribution) verso un dispositivo di accesso alla

rete (o authenticator): nel caso l'autenticazione vada a

buon fine l'authenticator apre la porta associata al

suplicant garantendogli accesso ai servizi di inoltro.

802.1X sfrutta il protocollo EAP per poter delegare la

logica di autenticazione ad una facility esterna

all'autenticator: in particolare, 802.1X prevede

l'utilizzo del servizio RADIUS e del relativo protocollo

tra authenticator e authentication server. Nel contesto

delle reti 802.11 è facile individuare le associazioni

STA come supplicant 802.1X e AP come authenticator

802.1X. Si può già osservare come la stessa

architettura 802.1X presenti delle interessanti

caratteristiche in relazione alle ai concetti espressi nella

prima parte di questo articolo. Più specificatamente, il

relaying effettuato dall'authenticator dei messaggi EAP

dal protocollo EAPOL al protocollo RADIUS

rappresenta un esempio di integrazione di servizi di

sicurezza a livello 2 (accesso alla rete, ma anche

eventualmente di key management per confidenzialità

e integrità del link di accesso) con meccanismi a livello

applicativo (servizio RADIUS appunto). Se una simile

architettura si può ritrovare nel tradizionale accesso in

dial-up attraverso PPP (EAP e RADIUS nascono

indubbiamente in questo contesto), si assiste con

802.1X ad un'integrazione decisamente più profonda e

complessa, potenzialmente in grado di supportare

scenari avanzati come andremo ad analizza nel caso di802.11i. Obiettivo del futuro standard 802.11i è, tra

altri, quello di definire l'integrazione del modello

802.1X nel contesto delle reti 802.11. Andremo ad




analizzare gli aspetti salienti di questa integrazione e le

relative soluzioni proposte all'attuale stato dei lavori di

standardizzazione (come si può evincere dalla

documentazione disponibile pubblicamente sul sito del

TG i). La lista di tali punti include, ma non solo:

integrazione con le attuali procedure;

valutazione dei diversi meccanismi di autenticazione per EAP rispetto al loro;

utilizzo in reti 802.11 di meccanismi di key agreement,

key distribution e re-keying a supporto dei servizi di

confidenzialità e integrità su link wireless 802.11;

supporto ai servizi di mobilità, in altre parole a

procedure di fast-handoff e roaming;

supporto alla modalità ad-hoc;

Integrazione di 802.1X

Iniziamo con il valutare le alternative disponibili per

l'accoppiamento delle procedure (o in altre parole delle

macchine a stati) di 802.1X e 802.11. Una prima possibilità è quella di utilizzare 802.1X all'interno della

sequenza di authentication già prevista da 802.11 (vedi

Figura 2). Tale scelta comporterebbe sostanziali

modifiche all'attuale livello MAC di 802.11: in

particolare, la modifica/aggiunta di nuovi frame di tipo

management a supporto degli scambi 802.1X. Le scelte

in TG i sembrano preferire un’integrazione meno

stretta che permette di conservare sostanzialmente

invariate le vecchie procedure di authentication e

association e sposta 802.1X a un livello superiore dello

stack (si utilizzano i frame di tipo data). Le attuali

proposte prevedono che il protocollo EAPOL venga

eseguito subito dopo la procedura di association comeevidenziato in Figura 4. Le maggiori criticità della

soluzione in esame vanno ricercate nella necessità di

una robusta sincronizzazione degli stati 802.11 e

802.1X, le cui transizioni avvengono in questo caso a

livelli diversi. In particolare, le relazioni tra la

procedura di autenticazione attraverso 802.1X con

l'instaurazione delle SA per la protezione del canale

radio e con le procedure 802.11 di authentication e

association possono influenzare pesantemente il livello

di sicurezza effettivo garantito dal sistema. Tali aspetti

saranno analizzati più in dettaglio nel seguito di questa

sezione. Si noti che proprio aspetti avanzati come il

supporto ai peculiari requisiti di confidenzialità eintegrità del link wireless e come il supporto ai servizi

di mobilità (discusso anch'esso nel prosieguo della

presente sezione) fanno dell'integrazione di 802.1X

nell'architettura 802.11 un ulteriore passo nell'ottica di

evoluzione dei servizi di sicurezza nelle moderne reti

di calcolatori.

Metodi EAP

Come già osservato, lo standard 802.1X definisce un

framework di network access control flessibile che

presenta logiche estensibili in base alle peculiari

esigenze dei contesti in cui deve essere implementato.In particolare, uno di questi aspetti è la selezione dei

metodi di autenticazione da operare attraverso il

protocollo EAP. Numerose sono infatti le alternative

standardizzate o in via di standardizzazione (vedi, tra

gli altri, EAP-TLS, EAP-SRP, EAP-KRB).

Figura 4

La scelta del meccanismo di autenticazione risulta non

indifferente nel contesto di 802.11, in primo luogo a

causa delle precise caratteristiche dell'accesso wireless.

Specificatamente, gli unici metodi ammissibili sono

quelli che garantiscono una mutua autenticazione tra

supplicant e authentication server. In caso contrario, sul

canale radio sarebbe estremamente facile per un falso

AP offrire accesso a una STA legittima (senza in effetti

autenticarla) con lo scopo di avere accesso a tutto il

traffico scambiato dalla stessa.

Non stupisce dunque come le correnti tendenze in TG i paiono orientate su metodi come EAP-SRP e

soprattutto EAP-TLS che garantiscono appunto una

robusta mutua autenticazione.

Servizi di key-management, confidentiality e

integrity

Una delle fondamentali funzionalità fornite a 802.11

dall'integrazione di 802.1X è indubbiamente il supporto

a meccanismi di key management completamente

assenti in IEEE802.11. A tal proposito, le attuali

proposte per 802.11i prevedono che dopo la procedura

di autenticazione 802.1X parta una sequenza di keyagreement basato su messaggi di tipo EAPOL-Key:

brevemente, un 4-way handshake permette di derivare

una serie di chiavi di sessione partendo dal master

secret ottenuto come risultato secondario del metodo di

autenticazione implementato su EAP (vedi Figura 5 per

uno schema riassuntivo del processo). I messaggi di

tipo EAPOL-Key vengono ugualmente utilizzati per

implementare funzioni di re-keying e di key

distribution per chiavi multicast/broadcast.




Figura 5

La generazione del materiale crittografico a livello

802.1X deve essere sincronizzata con l'effettivo

utilizzo dello stesso nelle funzioni di confidenzialità e

integrità a livello MAC sul link wireless. Data l'utilizzo

di comuni frame di tipo data per i messaggi EAPOL-

Key, una mancata sincronizzazione risulterebbe

irrecuperabile (causando, in ultima istanza, la necessità

di ripetere l'intera procedura di autenticazione).

L'attuale soluzione in 802.11i (ancora soggetta a

proposte di modifica) prevede che STA e APcondividano in ogni momento una coppia di SA (una

attiva ed una pendente) e che il passaggio all'SA

pendente venga discriminata attraverso un apposito

campo (KEYID) presente nell'header dei frame 802.11.

Una più complessa classe di problematiche di

sincronizzazione tra 802.1X e 802.11 deriva

dall'interazione con le procedure di autentication e

association previste. I messaggi di controllo di tipo De-

Authentication e De-Association sono in grado di

"resettare" la state machine 802.11 (come appare

evidente in Figura 2) a dispetto dello stato

dell'associazione mantenuta a livello 802.1X.

Considerando che i frame di tipo management nonsono coperti dalle funzioni di confidenzialità e integrità

secondo quanto definito in IEEE802.11, si può

facilmente dedurre come tale situazione esponga il

sistema a una consistente vulnerabilità verso attacchi di

tipo DoS: una STA maligna attraverso l'invio di falsi

messaggi di De-Authentication sarebbe in grado di

costringere una STA legittima alla continua

reautenticazione attraverso 802.1X.

Non deve dunque risultare sorprendente, che un tema

di discussione corrente in seno al TG i sia proprio la

necessità di implementare servizi di integrità sui

messaggi di controllo e la valutazione delle relative

soluzioni.La securizzazione dei messaggi di management

richiede un ancora più intimo accoppiamento di 802.11

e 802.1X, essendo dipendente dallo stato corrente

dell’associazione 802.1X. In particolare, le logiche di

autenticazione dei messaggi di management devono

essere attentamente specificate in presenza di

procedure di fast-handoff: questa ed altre criticità

legate ai servizi di mobilità sono oggetto di analisi nel

resto di questa sezione.

Servizi di mobilità

L’introduzione di 802.1X presenta delle consistenti

conseguenze per quanto riguarda i servizi di mobilità,

sia in termini di procedure di fast-handoff e di supporto

a scenari di roaming.

In caso di fast-handoff, la differenza determinante è

che la sequenza di autenticazione avviene ora dopo la

procedura di association: questo implica che il carico

computazionale dei meccanismi di autenticazione cade

ora completamente nella regione temporale critica di

handoff. Tale fatto risulta chiaramente indesiderabile in

quanto preclude la possibilità di handoff efficientiusando metodi di autenticazione forti (e

computazionalmente intensivi!).

Una prima classe di soluzioni proposta in TG i sfrutta

la presenza di un protocollo di comunicazione tra AP

(attualmente oggetto di studio del TG f presso il WG

802.11) per permettere al nuovo AP di richiedere dal

vecchio AP i dettagli della SA precedentemente

stabilita dalla STA protagonista dell’handoff. Questo

tipo di soluzione richiede che una STA durante la

procedura di association sia in grado di segnalare al

nuovo AP gli estremi del vecchio AP da contattare. La

procedura potrebbe poi procedere direttamente alla fase

di rinnovo della SA a partire da quella vecchia (ovverodi rinnovo del materiale crittografico a partire dal

precedente).

Un differente modello, che pare attualmente godere

delle preferenze in TG i, si basa sul concetto di pre-

authentication. L’idea, semplificando, consiste nel

permettere a una STA in procinto di eseguire un

handoff di iniziare l’autenticazione 802.1X con il

nuovo AP essendo ancora associata al vecchio AP

(vedi Figura 6). Una volta creata la nuova associazione

802.1X, la STA può proseguire ad associarsi al nuovo

AP e a rinnovare il materiale crittografico per la

sessione attraverso i messaggi EAPOL-Key.

La seconda soluzione descritta, oltre a presentarsi piùsemplice (non richiede l’introduzione di uno specifico

protocollo tra AP), risulta particolarmente interessante

per le sue conseguenze sui modelli di accesso alla rete.

Si tratta, infatti, di un’ulteriore esempio di evoluzione

verso una profonda integrazione tra accesso alla rete e

servizi di autenticazione a livello applicativo:

l’autenticazione 802.1X risulta ora un vero e proprio

servizio accessibile da STA non direttamente

raggiungibili attraverso il canale radio.

Il passo successivo in termini di mobilità alle

procedure di handoff risiede indubbiamente nel

supporto a scenari di roaming. La maggior criticità in

termini di procedure di accesso alla rete risiede nella possibilità discriminare l’accesso ad utenti in assenza

di informazioni dirette sugli stessi (tali informazioni

risiedono infatti presso l’operatore con cui l’utente è




registrato, che in caso di roaming differisce

dall’operatore che deve fornire l’accesso alla rete).

Figura 6

L’architettura 802.1X, grazie all’utilizzo del servizio

RADIUS, è in grado di delegare la logica di

autenticazione a server esterni alla rete di accesso,

eventualmente residenti in domini di amministrazione

diversi. Le attuali proposte per il futuro 802.11i

sfruttano tali funzionalità con l’obiettivo di estendere il

campo applicativo di 802.11 da sostituto wireless delle

attuali tecnologie LAN a soluzione completa di accessoa Internet/Intranet attraverso canale radio, venendo

apertamente incontro alle tendenze di convergenza

discusse nella prima parte di questo articolo.

La definizione di un supporto robusto al roaming in

802.11 richiede comunque la particolare attenzione

data l’estrema novità architetturale nel campo delle reti

dati. Brevemente, le correnti soluzione prese in esame

in TG i (ancora in pieno stato di elaborazione) si

basano su un’architettura di proxy RADIUS prevedono

che una STA in roaming utilizzi un identificativo di

tipo NAI per comunicare all’operatore corrente la

locazione del servizio RADIUS gestito dall’home

operator (vedi Figura 7 per una descrizione generaledel modello).

Reti ad-hoc

La nuova architettura di accesso alla rete definita in

802.11i è nata rivolgendosi innanzi tutto alle reti

802.11 in modalità infrastructured. Le attuali

discussioni in TG i hanno tuttavia riportato

all’attenzione il supporto alla modalità ad-hoc.

Figura 7

L’architettura 802.1X, prevedendo un infrastruttura

esistente per l’autenticazione (servizio RADIUS), nonsi presenta per sua natura particolarmente adatta a

questo secondo tipo di reti (che presuppongono

appunto la totale mancanza di un’infrastruttura

preesistente). Una possibile soluzione potrebbe essere

costruita sull’idea di implementare le funzionalità di

authenticator e authentication server 802.1X sulle

stesse STA. Le procedure di autenticazione potrebbo in

questo caso ricalcare quelle definita tra STA e AP in

modalità infrastructured con alcune significative

differenze: l’utilizzo del protocollo RADIUS risulta ora

superfluo (le comunicazioni avvengono tutte

localmente alla STA) e differiscono le funzionalità

richieste al modo di autenticazione da selezionare per EAP (in particolare, sono auspicabili meccanismi

basati su semplici password scambiate dagli utenti al

momento stesso di creare la rete ad-hoc).

Recenti sottomissioni presso il TG i delineano proposte

che seguono lo schema appena descritto; tuttavia,

un’analisi più approfondita su questo tema appare

attualmente necessaria prima della stesura finale del

futuro standard 802.11i.

Conclusioni

Questo articolo ha presentato un analisi delle tendenze

evolutive nello specifico campo del network accesscontrol per reti dati basate su canale radio. Un rilevante

spazio è stato dedicato ad inquadrare le più recenti

proposte tecnologiche nel contesto delle motivazioni

architetturali e applicative a lungo termine che ne

rappresentano causa e giustificazione.

Lo studio si è concentrato sulle modifiche, in corso di

standardizzazione, allo standard IEEE 802.11,

selezionato come una delle tecnologie attualmente più

promettenti a esemplificare le citate esigenze evolutive.

In particolare, sono state evidenziate le consistenti

novità (rispetto alle tradizionali realtà nelle reti dati) in

termini sia di servizi (mobilità, sopra tutti) sia delle

architetture a supporto degli stessi (meccanismi evolutidi controllo d’accesso). Se, al momento presente,

numerose problematiche rimangono ancora prive di

soluzioni sufficientemente complete, appare evidente




che, a lavori completati, il futuro standard 802.11i

rappresenterà un passo fondamentale verso una nuova

generazione di modelli di rete.

R.GaetaBIBLIOGRAFIA

IEEE 802.11 Working Group site,

http://grouper.ieee.org/groups/802/11/.

J. Walker, Unsafe at any key size; An analysis of the

WEP encapsulation, October 2000.

N. Borisov, I. Goldberg, D. Wagner, Intercepting

Mobile Communications: The insecurity of 802.11,

July 2001.

W.A. Arbaugh, N. Shankar, Y.C. Justin Wan, Your

802.11 Wireless Network has No Clothes, March 2001.

L. Loeb, What's up with WEP, April 2001.

IEEE 802.11 Task Group I site,

http://grouper.ieee.org/groups/802/11/.

IEEE Std 802.1x-2001, Port-Based Network AccessControl.

L. Blunck, J. Vollbrecht, PPP Extensible

Authentication Protocol (EAP), RFC 2284, March

1998.

B. Aboba, D. Simon, PPP EAP TLS Authentication

Protocol, RFC 2716, October 1999.

C. Rigney, S. Willens, A. Rubens, W. Simpson,

Remote Authentication Dial In User Service

(RADIUS), RFC 2138, June 2000.

C. Rigney, W. Willats, P. Calhoun, RADIUS

Extensions, RFC 2869, June 2000.

B. Aboba, J. Vollbrecht, Proxy Chaining and Policy

Implementation in Roaming, Informational RFC 2607,June 1999.

N. Asokan, P. Ginzboorg, Key Agreement in Ad-hoc

Networks, February 2000.

M. Hietalahti, Key Establishment in Ad-hoc Networks,

2000.

Z. Lidong, J.H. Zygmunt, Securing Ad Hoc Networks.

F. Stajano, R. Anderson, The Resurrecting Duckling:

Security Issues for Ad-hoc Wireless Networks, 1999.

F. Stajano, R. Anderson, The Resurrecting Duckling :

what next?, 2000.

B. Aboba, IEEE 802.1X Pre-Authentication, WG

802.11 submission 02/389, June 2002.

B. Aboba, M. Beadles, The Network Access Identifier,

RFC2486, January 1999.




DWDM, la potenza della luce

Cos’è, come funziona e dove si applica una tecnologia

che va verso l’adozione di soli componenti ottici.

Tutti conoscono l’immediatezza e la semplicità di fare

o ricevere una telefonata, ma dietro questo gestoquotidiano esistono reti di TLC complesse e altamente

affidabili. L’emergente domanda di comunicazione

informatica di alta qualità e ad alte prestazioni ha

prodotto la progressiva digitalizzazione di tutti i segnali

come quello telefonico, dati, video. Così reti in origine

progettate per trasportare traffico vocale commutato

oggi devono integrare carichi di traffico significativi

per la trasmissione di dati, di flussi di segnali video

digitalizzati e compressi di alta qualità, di connessioni

a Internet a un numero sempre crescente di utenti

singoli e di aziende.

Ciò impone agli operatori una completa rivisitazione

delle reti telefoniche esistenti. Contemporaneamente però il processo di liberalizzazione del mercato delle

TLC, che in Italia ha avuto inizio con la legge quadro

318/97, pone loro degli interrogativi sulla fattibilità e

sul ritorno degli investimenti necessari per

ammodernare le reti esistenti.

Da un lato vi è la necessità di reti molto potenti,

affidabili, e in grado di fornire un’elevata qualità di

servizio per differenziare e caratterizzare l’offerta;

dall’altro lato vi è uno strenuo sforzo di misura degli

investimenti e un’attenzione crescente alla riduzione

dei costi di primo impianto, soprattutto

sull’infrastruttura, per rimanere competitivi sul

mercato.Dal punto di vista tecnologico la maggior parte delle

reti di TLC esistenti ha un supporto ottico e apparati di

trasporto in gerarchia SDH/PDH, a differenza

dell’America, dove è presente il sistema SONET. Tali

componenti di rete hanno garantito fino ad oggi:

• banda trasmissiva su fibra ottica praticamente

illimitata, utilizzando due fibre per ogni anello SDH;

• affidabilità a prova di connessione telefonica, in

quanto SDH è un protocollo in grado di reagire a un

singolo guasto entro 50 msec (millisecondi);

• semplicità di progettazione, configurazione e

manutenzione del traffico e della rete.

Tali apparati hanno raggiunto a oggi velocità di

trasmissione considerevoli, fino a 10 Gbps per ogni

sistema SDH.

Molti canali su una fibra sola

Al crescere delle esigenze i costruttori di apparati di

trasporto hanno dovuto affrontare problematiche di

integrazione, di limitazioni costruttive e trasmissive, e

hanno prodotto una tecnologia, la WDM, in grado di

trasportare più sistemi di trasmissione differente su una

singola fibra.

DWDM, acronimo di Dense Wavelength Division

Multiplexing, è una metodologia di multiplazione (e

demultiplazione) per trasmettere canali multipli a

diverse lunghezze d’onda (o diversi "colori") su una

singola fibra. In particolare la soluzione più diffusa

oggi tra gli operatori è portare molti singoli sistemi

SDH esistenti, e che trasmettono a una sola lunghezza

d’onda (1310 nm oppure 1550 nm, nm=nanometri), su

una fibra, con lo stesso meccanismo di multiplazione in

frequenza noto negli anni precedenti come FDM; con

DWDM si parla di trasmissione "colorata", a diverse

lunghezze d’onda ottiche.Esiste la possibilità di avere dagli operatori anche

lunghezze d’onda ottiche su cui si può far viaggiare

qualunque tipo di protocollo in grado di gestire il

livello ottico di trasmissione. Ad esempio, è in fase di

studio l’estensione del protocollo IP a livello fisico, che

permetterà di ottenere tutti i meccanismi di protezione

e di affidabilità di SDH senza introdurre un livello

intermedio di tramatura. Ora analizzeremo l’utilizzo e

le componenti principali di una rete fotonica complessa

che utilizza DWDM come modalità di multiplazione

ottica.

I perché sull’uso di DWDMLa tecnologia DWDM è tipicamente utilizzata per il

trasporto punto-punto di traffico digitale ad

alta/altissima velocità. Un tipico schema di rete che

impiega apparati DWDM è ben rappresentato nello

schema seguente.

Nel caso illustrato due dorsali DWDM ad alta velocità

raccolgono rispettivamente il traffico di due reti

metropolitane SDH a 155 Mbps sulla lunghezza d’onda

l1 e ln e lo portano a una rete regionale SDH a 622

Mbps.

All’interno di tali flussi a 155 Mbps che viaggiano

sulle due differenti lunghezze d’onda può essere

trasportato, all’interno di tributari (vengono definititributari in modo generico tutti i flussi di utente entranti

in un apparato di telecomunicazione geografico),

qualsiasi tipo di servizio, come ad esempio:

• accesso veloce a Internet, sia residenziale, sia

commerciale;

• connessioni punto-punto tra centralini telefonici o tra

centrali pubbliche;

• connessioni LAN to LAN tramite dispositivi di

"edge" (edge device) come router o switch;

• stream di segnali video.

Il meccanismo di funzionamento

La struttura di un tipico sistema DWDM punto-puntonormalmente installato nelle reti attuali è illustrata nel

secondo schema riportato di seguito.

I vari tributari (TX trib. 1, 2, ...m) che trasmettono il

segnale (ad esempio SDH) vengono inseriti in ogni

canale a una differente lunghezza d’onda. Nei sistemi

più utilizzati, definiti "aperti", chi fornisce il sistema

DWDM lo realizza in modo che possa accettare

tributari da un operatore qualsiasi. Ciò impone di

utilizzare come stadio intermedio una serie di

transponder ottici (OEO, Optical Electrical Optical l1,

l2... ln) in grado di adattare, o traslare, la lunghezza

d’onda ricevuta alla griglia evidenziata dalla normativa

internazionale ITU-T G.692 (da 1528,77 nm a 1560,61nm). Il modulatore ottico consente poi la multiplazione

di tutte queste lunghezze d’onda adattate in griglia su

una sola fibra ottica. I sistemi attualmente in uso




possono arrivare a multiplare fino a 128 l; sistemi a più

alte prestazioni sono in fase di sviluppo. Il segnale

composto e multiplato viene poi inviato sul mezzo

trasmissivo; a seconda delle caratteristiche e della

lunghezza della tratta, la trasmissione su fibra può

necessitare di uno o più stadi di amplificazione.

In ricezione il segnale ottico viene demultiplato escomposto nei singoli canali; a ogni ricevitore viene

poi restituito il segnale tributario originario.

Nella sezione A-B indicata nello schema 2 ( secondo )

sono raccolte tutte le caratteristiche di un sistema a

multiplazione di lunghezza d’onda. In tale sezione

dovranno essere tenuti in particolare considerazione i

seguenti parametri:

• Le caratteristiche dei trasmettitori laser e dei

ricevitori (potenza massima, modulanti, sensibilità del

ricevitore, ecc.);

• Il range di operatività delle lunghezze d’onda, che va

mantenuto il più ampio possibile e può divenire critico

in caso di utilizzo di sezioni di rigenerazione;• Le caratteristiche della lunghezza d’onda centrale

(deviazione, ampiezza di spettro);

• Le caratteristiche in potenza del segnale ottico

trasmesso;

• Le caratteristiche del segnale ottico multiplato e

demultiplato (potenza, rapporto segnale/rumore,

diafonia ottica e interferenza tra le varie portanti);

• L’attenuazione di tratta per ogni lunghezza d’onda,

che dipende fortemente dal tipo di fibra posata (G.652,

G.653);

• La dispersione cromatica, che dipende dal fatto che i

segnali ottici trasmessi a diverse lunghezze d’onda

vengono distorti in ricezione dal mezzo fisico; laminimizzazione della dispersione cromatica (come

quella effettuata dalle fibre G.653) introduce però

effetti dovuti a fenomeni non lineari. Per questo si

tende a utilizzare fibre a dispersione non nulla che

tenda a compensare gli effetti non lineari (G.655);

• Le caratteristiche degli stadi di amplificazione ottica

(controllo del guadagno, potenza ricevuta e restituita,

figura di rumore).

Gli acronimi da conoscere

DWDM Dense Wavelength Division Multiplexing

FDM Frequency Division Multiplexing

IP Internet Protocol

ITU-T International Telecommunication Unit -

Telecommunications

LAN Local Area Network

MAN Metropolitan Area Network

OEO Optical Electrical Optical (Device)

PDH Plesiochronous Digital Hierarchy

SDH Synchronous Digital Hierarchy

Gli ambiti applicativi

I sistemi DWDM nascono come prodotti adatti alla

trasmissione punto-punto di elevate moli di traffico su

lunga distanza. Sono stati sviluppati per rispondere alladomanda degli operatori telefonici internazionali che

necessitano di un sistema ad alte prestazioni

funzionante in modo affidabile su distanze dell’ordine

delle centinaia e delle migliaia di chilometri: si pensi a

un operatore che deve trasmettere tutte le telefonate

intercontinentali dagli Stati Uniti all’Europa su una

dorsale transoceanica con caratteristiche definite dal

cavo sottomarino.

Un sistema DWDM in tale ambito ha il duplice scopo

di minimizzare i costi sull’infrastruttura, preservando eriorganizzando l’uso della fibra esistente, e

massimizzando la velocità di trasmissione per fibra.

L’evoluzione della tecnologia e lo studio di nuovi

sistemi DWDM più compatti e adatti anche a esigenze

meno stringenti hanno diffuso questa modalità di

multiplazione anche in ambiti regionali e metropolitani.

I costruttori di apparati di trasporto geografici infatti

hanno prodotto negli ultimi mesi sistemi trasmissivi

particolarmente adatti a reti MAN e dotati delle

seguenti caratteristiche:

• Estrema flessibilità di adattamento a differenti

operatori;

• Accesso diretto alla maggior parte dei tributaridisponibili per facilitare la connettività immediata

all’utente;

• Alta scalabilità, per rispondere a un graduale planning

degli investimenti;

• Gestibilità di tutta la famiglia di apparati da un solo

sistema software di monitoraggio, configurazione e

allarmistica.

Grazie a tali tipi di apparati è sempre più frequente

sentir parlare di operatori nazionali con backbone, cioè

dorsali di rete, DWDM che mettono a disposizione, in

ambito cittadino o regionale, una o più lunghezze

d’onda tramite contratti che definiscono le

caratteristiche di banda offerta, del segnale otticotrasmesso, di qualità del supporto trasmissivo, e così

via.

La diffusione dei sistemi DWDM dal cuore delle reti

principali verso le reti secondarie renderà la banda una

risorsa sempre più accessibile.

Vantaggi e svantaggi rispetto alle reti attuali

Come già evidenziato in precedenza, le reti attuali, da

quelle metropolitane a quelle nazionali e internazionali,

sono realizzate nel loro backbone in tecnologia

SDH/SONET. L’apparato SDH ad oggi più efficiente è

in grado di trasportare 10 Gpbs su una coppia di fibre.

Un sistema DWDM è oggi in grado di trasportare 128x 64 Gbps su una singola fibra. I vantaggi più evidenti

che emergono da questi dati sono l’altissimo volume di

traffico che un sistema DWDM è in grado di

trasmettere e l’elevato rapporto di banda per fibra

utilizzata.

Non si possono però trascurare alcuni elementi che

hanno reso la tecnologia SDH una soluzione

diffusissima. Dal punto di vista tecnologico una rete

SDH è molto affidabile; come abbiamo prima

accennato, sono definiti meccanismi di protezione in

grado di reagire in modo trasparente rispetto al traffico

trasportato in 50 millisecondi. Attualmente sono in

corso di definizione meccanismi di protezione sullivello fisico DWDM simili a quelli di SDH, ma non

sono ancora stati sviluppati in modo standard dai

costruttori di apparati. La tecnologia SDH è matura e




ha raggiunto livelli di economicità che rendono gli

apparati avvicinabili anche da piccoli operatori nella

loro fase di start-up.

SDH rimarrà ancora per molto tempo sul mercato, sia

per il fatto che è tuttora la tecnologia più installata, sia

perché DWDM si inserisce a monte e può usare come

tributari le macchine SDH oggi esistenti, soltantomodulandone la colorazione della lunghezza d’onda. E’

certo però che sui collegamenti di backbone

compariranno sempre più infrastrutture DWDM.

Come già evidenziato, in una fase successiva

nasceranno protocolli che realizzano analoghi

meccanismi di affidabilità e protezione di SDH, e

utilizzeranno direttamente DWDM.

Le due dorsali DWDM raccolgono il traffico di due reti

metropolitane SDH e lo trasportano a una rete

regionale SDH a 622 Mbps

La realizzazione di un sistema DWDM compatibile con

qualunque tipo di operatore impone ai progettisti

l’utilizzo, a livello intermedio, di una serie di

transponder ottici (OEO)

In conclusione

La tecnica di multiplazione DWDM offre la

grandissima opportunità di potenziare fortemente le retidi TLC e di ottimizzare i costi soprattutto rispetto

all’infrastruttura già installata, sia per la possibilità di

integrare sistemi a differenti velocità su una sola fibra,

sia per l’alto livello di integrazione con gli apparati

SDH esistenti. Tale avanzamento ha aperto numerose

sfide per migliorare le reti di TLC. Innanzitutto la

conclusione del processo di standardizzazione e di

definizione di tutti i meccanismi di affidabilità

consentirà di basare il futuro della trasmissione ottica

su DWDM; verranno a breve sviluppate e integratemolte altre funzionalità che renderanno la

multiplazione ottica un supporto completamente

autonomo. In secondo luogo l’incremento di velocità di

trasmissione su fibra ottica sposta il collo di bottiglia

dal sistema di output al cuore dell’apparato di

backbone, che ad oggi richiede ancora una pesante

conversione elettro-ottica. Al momento tutti gli

apparati di TLC che lavorano su fibra ottica hanno una

sezione ottica, che può essere quella in trasmissione o

ricezione dei tributari o del backbone, ma hanno anche

una parte consistente di elettronica in rame. Le

conversioni elettro-ottiche necessarie abbassano di gran

lunga le prestazioni di trasmissione e commutazione.La sfida di oggi che diventerà standard domani è

proprio quella di realizzare commutatori, multiplexer

senza stadi di potenza elettrica, ma tutti ottici.

In questo senso la tecnologia avanza con passi da

gigante, consentendoci di vedere già installate oggi

alcune realizzazioni di reti di TLC completamente

ottiche, in cui i tributari, la matrice di cross-

connessione (ossia il cuore della commutazione degli

apparati SDH in cui si definisce come ogni tributario

viene trasportato sulla trama SDH), i transponder e la

multiplazione DWDM non richiedono più alcuna

conversione elettrica.

Ci si aspetta di vedere presto una forte integrazione dei protocolli e dei livelli trasmissivi, in modo da poter

avere Internet, la televisione, il telefono, il controllo

remoto della casa, i server dell’azienda, i rapporti con

la Borsa e la banca su un supporto fisico solo ottico.

DWDM, scegliere la fibra adatta

La realizzazione di un sistema di TLC valido deve

fondarsi sull’installazione di cavi idonei.

La tecnologia DWDM (Dense Wavelength Division

Multiplexing) sta diventando lo strumento trasmissivo

ideale per gli operatori telefonici e di TLC che

desiderano offrire servizi di varia natura (telefonia,

dati, video, ecc.) e che necessitano di una validaopportunita' tecnologica per far fronte alla crescente

esigenza di velocita' di trasferimento dei dati.

Tale tecnologia e' caratterizzata dalla possibilita' di una

trasmissione multipla di canali a lunghezze d’onda

diverse su una singola fibra ottica, in una banda che va

da 1.535 nm (nanometri) a 1.565 nm.

DWDM manifesta pero' delle caratteristiche stringenti

dal punto di vista del mezzo fisico di trasporto, la fibra

ottica, che non sempre risulta adeguata all’installazione

e al funzionamento di tale sistema.

Tratteremo gli elementi e i parametri della fibra che

maggiormente influenzano i sistemi DWDM e le

tipologie di fibre ottiche che a oggi sono statesviluppate per migliorare le prestazioni di tali

parametri..




Fattori che influenzano i sistemi DWDM

In natura non esistono mezzi trasmissivi ideali: tutti i

supporti a oggi utilizzati (aria, rame, fibra ottica, ecc.)

introducono delle alterazioni sull’informazione

trasmessa; anche la fibra ottica, nonostante rappresenti

un decisivo passo in avanti rispetto ai tradizionali cavi

in rame, e' caratterizzata da alcuni fenomeni cheincidono sul segnale originale modificandolo; questi

fenomeni, in alcune condizioni, influenzano

pesantemente i sistemi DWDM.

Durante la progettazione di un sistema di TLC ottico, si

deve quindi tenere conto di tutti questi fattori che, se

sottovalutati, possono portare a un forte degrado del

segnale e di conseguenza a un malfunzionamento del

sistema o di una sua parte. Inoltre durante la fase di

pianificazione di un sistema DWDM e' di fondamentale

importanza conoscere se la fibra ottica che si ha a

disposizione e' adeguata alla trasmissione di un sistema

multicanale (se gia' si possiede una rete ottica passiva

installata sul territorio); oppure quale fibra ottica e'opportuno installare, in caso di nuovo impianto, in

modo da preservare l’investimento e massimizzare le

prestazioni del sistema. Per tali motivi e' necessario

avere un maggiore dettaglio riguardo ai parametri

principali che influenzano un sistema DWDM, dal

punto di vista strettamente trasmissivo questi sono

l’attenuazione che il segnale ottico subisce lungo il

percorso, la dispersione che la fibra induce sul segnale

e i relativi effetti non lineari, il rapporto

segnale/rumore ottico (OSNR).

Un discorso a parte merita il problema della sicurezza:

tutte le comunicazioni radio, anche se criptate, possono

essere intercettate con scanner o apparati simili e, consforzi opportuni, decodificate.

Le soluzioni laser usano un fascio invisibile che, data

l’alta direttivita', non puo' essere captato; un qualunque

tentativo di intercettazione del fascio con un apparato

simile, inoltre, ne provoca l’interruzione e la

conseguente caduta della comunicazione.

L’attenuazione

L’effetto dell’attenuazione e' caratteristico di

qualunque mezzo trasmissivo; agisce riducendo

l’ampiezza del segnale e, oltre un certo limite,

impedisce al circuito di ricezione di distinguere il

segnale dal rumore di fondo. La potenza ricevutaall’altro capo del collegamento risulta quindi essere

anche molto inferiore alla potenza originale trasmessa.

L’attenuazione complessiva di un collegamento,

misurata come perdita (dB/Km), e' il risultato di una

serie di cause che dipendono dal materiale inteso come

struttura della materia (cause intrinseche) e dal

processo produttivo della fibra stessa (cause

estrinseche). Tra le cause intrinseche dell’attenuazione

puo' essere citato l’assorbimento dovuto alle

transazioni elettroniche dalla banda di valenza a quella

di conduzione; il fenomeno e' accentuato dall’uso di

opportuni agenti droganti (GeO2) necessari per

realizzare il corretto indice di rifrazione del nucleo(core) della fibra. Un’altra causa dell’attenuazione del

segnale puo' essere l’assorbimento nell’infrarosso: esso

e' causato dall’interazione fra il campo

elettromagnetico del segnale ottico, che sta

attraversando la fibra, e quello elettrico dei dipoli

chimici fondamentali del materiale drogato (Si-O

silicio - ossigeno, B-O Boro - Ossigeno, P-O Fosforo -

Ossigeno e Ge-O Germanio - Ossigeno). La diffusione

di Ryleigh puo' essere un’altra causa intrinseca

dell’attenuazione; e' prodotta dalla variazione delladensita' molecolare del vetro che costituisce la fibra.

Queste irregolarita' costituiscono dei centri di

diffusione della luce del segnale che attraversa il

materiale.

Vi sono poi le cause di attenuazione estrinseche. Fra

queste vi sono la presenza dell’acqua nella fibra sotto

forma di ossidrile; la variazione della geometria della

fibra a causa alle micro e/o macro curvature introdotte

in fase di posa ed installazione dei cavi; la presenza di

giunzioni sulla tratta di cavo ottico o di

connettorizzazioni nei punti terminali del cavo.

Nonostante tutte le variabili da cui dipende (materiale,

temperatura, lunghezza d’onda di trasmissione, tempo,diversi tipi di fibra, ecc.), l’attenuazione e' comunque

facilmente misurabile e calcolabile sia dal punto di

vista analitico in fase di progetto, sia tramite misure sul

campo.

Orientarsi fra le sigle

Un breve glossario puo' servire per orientarsi fra gli

acronimi piu' importanti che riguardano la tecnologia

DWDM. Prima pero' diamo una definizione di cosa si

intende per finestra di trasmissione: quest’ultima e' un

intervallo di frequenze (o di lunghezze d’onda) in cui

vengono minimizzati alcuni parametri (ad esempio

l’attenuazione per la terza finestra, la dispersione per altre, ecc.). Le finestre di trasmissione sono studiate

apposta per annullare alcuni fattori negativi.

Ecco ora alcune sigle chiave:

WDM = Wavelength Division Multiplexing

SBS = Stimulated Brillouin Scattering

SRS = Stimulated Raman Scattering

SPM = Shift Phase Modulation

XPM = Cross Phase Modulation

OSNR = Optical Signal to Noise Ratio

FWM = Four Wave Mixing.

DispersioneIl secondo effetto che caratterizza le trasmissioni

ottiche e' quello della dispersione, che agisce

allargando (e/o distorcendo) la forma dell’impulso

ottico; la conseguenza e' di ottenere in ricezione un

impulso non chiaramente identificabile e, quel che e'

peggio, interferenza tra i vari impulsi trasmessi e tra i

vari canali a diverse lunghezze d’onda (interferenza

intersimbolica), con limitazioni nella lunghezza del

collegamento.

Le due principali sorgenti di dispersione in una fibra

ottica monomodale sono due. La prima e' la dispersione

cromatica, o di materiale; e' causata dalla variazione

dell’indice di rifrazione al variare della lunghezzad’onda. Le diverse lunghezze d’onda si propagano

nella fibra a velocita' diversa (diversa velocita' di

gruppo); poiche' inoltre tutti i segnali ottici hanno




componenti multifrequenziali, si assiste a un

allargamento di ogni impulso trasmesso. L’altro tipo di

dispersione e' la dispersione di guida d’onda: questa e'

causata dall’impossibilita' di limitare la trasmissione

dell’onda ottica solo all’interno del nucleo; parte del

campo elettromagnetico infatti viene inevitabilmente

irradiato anche nel mantello.E’ possibile minimizzare l’effetto della dispersione in

una fibra ottica con varie tecniche; tra gli accorgimenti

piu' usati vi sono la variazione della struttura dei profili

dell’indice di rifrazione; l’impiego di fibre

compensatrici, cioe' fibre appositamente studiate con

dispersione cromatica di segno opposto; l’utilizzo di

reticoli di compensazione; l’uso simultaneo di effetti

non lineari che opportunamente combinati riescono a

compensare l’allargamento del segnale dovuto alla

dispersione cromatica.

Tramite questi accorgimenti si ottiene una dispersione

nulla (Zero Dispersion) in una precisa banda di

lunghezze d’onda. Sul mercato sono reperibili infattifibre ottiche conformi allo standard ITU-T G.652, tra le

fibre piu' largamente usate e installate in Europa, con

dispersione cromatica nulla in seconda finestra (1.310

nm) e fibre (ITU-T G.653) con dispersione cromatica

nulla in terza finestra (1.550 nm).

Poiche' i sistemi DWDM lavorano a differenti

lunghezze d’onda, in una banda tra 1.535 e 1.565 nm,

si sarebbe portati a pensare che la fibra G.653 sia la

soluzione ai problemi trasmissivi trattati. Invece

l’assenza di dispersione cromatica facilita la comparsa

di effetti indesiderati, non lineari rispetto alla potenza e

alla lunghezza d’onda dei canali trasmessi che, in

alcune condizioni, possono risultare piu' nocivi delladispersione cromatica stessa. E’ stato quindi introdotto

lo standard ITU-T G.655 che caratterizza fibre ottiche

monomodali con dispersione cromatica non nulla

all’interno della banda di lavoro dei sistemi DWDM.

Tipologie di fibre ottiche per DWDM

Per soddisfare le esigenze di trasmissione dei sistemi

DWDM e per migliorare le prestazioni delle fibre

esistenti, sono state sviluppate alcune fibre ottiche

innovative che tendono a mediare gli effetti di

attenuazione, di dispersione e di quelli non lineari nella

banda di interesse della trasmissione DWDM. Tra le

fibre piu' note in commercio se ne possono citarealcune. Una prima tipologia che si puo' individuare e la

fibra monomodale standard: questa categoria di fibre

ottiche e' la piu' largamente utilizzata e installata a

oggi; e' ottimizzata per la trasmissione in II finestra

(1.300 nm) ed e' caratterizzata da alti valori di

dispersione in III finestra (1.550 nm); cio' minimizza,

come gia' indicato, l’effetto non lineare FWM.

Tale fibra ottica, nonostante l’alta dispersione,

consente di coprire distanze di centinaia di chilometri

con sistemi ad elevate prestazioni (10 Gbps). Un

esempio di ultima evoluzione di questo tipo di fibra e'

rappresentato da AllWave di Lucent Technologies, che

e' costruita appositamente per applicazionimetropolitane o regionali. Nasce per abbattere

l’inaccettabile livello di attenuazione nella finestra

1.350 - 1.450 nm e presenta un ampio campo di modo

(cioe' un parametro che definisce l’accettazione della

fibra a trasmettere molti modi; piu' e' ampio meglio e'),

con un grado di "usabilita'" che va da 1.280 a 1.625

nm. Cio' la rende adatta per numerosi scopi che

spaziano dal WDM radio (utilizzo della tecnica WDM

con alcune tratte radio) in II finestra al DWDM fino a

2,5 Gbps sopra i 1.450 nm.Un’altra tipologia di fibre e' la NDSF (Non Zero

Dispersion Shifted). La fibra ottica NDSF e' stata

costruita con l’intento di minimizzare, ma non

annullare, l’effetto della dispersione all’interno della

banda di lavoro dei sistemi DWDM. Ne sono un

esempio le nuove fibre. Fra queste, TrueWave, sempre

di Lucent Technologies, e' costruita per operare in III

finestra con bassa attenuazione e dispersione cromatica

non nulla; e' una fibra appositamente progettata per i

sistemi DWDM con amplificatori drogati a erbio

poiche' consente di trasmettere numerose lunghezze

d’onda molto ravvicinate ed elimina, nella banda di

lavoro di tali amplificatori, la FWM. Consente diinviare canali a 10 Gbps senza introdurre

compensazioni di dispersione.

Una tipologia di fibra ottica costruita soprattuto per

dorsali sottomarine e' quella denominata LEAF e

commercializzata da Corning. Questa fibra e' in grado

di trasmettere sistemi DWDM con 16 canali a 10 Gbps,

su distanze transoceaniche. Essa minimizza gli effetti

non lineari componendo un largo campo di modo con

una dispersione nulla sotto la finestra di lavoro di

DWDM (1.550 nm).Tale tipo di fibra e' utilizzata con

profitto anche in alcune applicazioni terrestri.

Fibre monomodali e multimodaliLa fibra monomodale e' un cavo in fibra ottica

progettato per consentire un solo percorso di passaggio

per un’onda di luce: le fibre monomodo vengono

costruite per avere un angolo di accettazione tale da

ricevere luce monocromatica (con 1 solo modo).

Accettare un modo solo significa avere poca

attenuazione, poca interferenza intermodale e quindi

migliore qualita' trasmissiva. Si definisce invece fibra

multimodale una fibra ottica che accetta molti modi,

cioe' fornisce alle onde luminose piu' cammini su cui

viaggiare. Cio' si riflette sulla tecnica costruttiva,

generando cavi completamente diversi per usi definiti:

la fibra ottica multimodo viene applicata in campus ereti locali su distanza limitate; quella monomodo,

invece, si puo' utilizzare per distanze geografiche

maggiori di 2 Km, per arrivare fino alle dorsali

transoceaniche. Per questo motivo e' applicata spesso

nella realizzazione di reti telefoniche piuttosto che

nelle reti locali.

M. Guillaume

Questo articolo e' tratto da Networking Italia.

Progetto Tecnonet / IBM / Telecom con rete MAN in

DWDM per il Disaster Recovery INPS.

L’ INPS ha approvato e firmato un contratto per la

realizzazione di un sito di Disaster Recovery, collegato




in DWDM, per la formazione di un CED di Backup

dove replicare gli attuali router di Core ( ATM e

DLSW ), ed i sistemi OS/390 e AS400.

L’anello metropolitano in DWDM verrà realizzato

tramite apparati Nortel “ Optera Metro 4000 “ tra il

CED primario ed un CED di BACKUP sito a 15 Km

uno dall’altro.

Tecnonet, avrà il compito di realizzare il CED di

Backup ( Router di Core (ATM e DLSW) ) e una

piattaforma di Management remotizzata presso

PathNet, in grado di visionare lo stato degli apparati

Optera Metro e dell’anello DWDM.

Di seguito riportiamo lo Schema di connessione deiCED.




Uso di SSL per trasmissioni sicure in

Internet

La sigla SSL è l'acronimo di Secure Socket Layer, un

protocollo aperto (open source) sviluppato da Netscape

Communication Corporation, e proposto al W3

Consortium, per garantire la privacy dellecomunicazioni su Internet.

Un protocollo di questo tipo è particolarmente

interessante, in quanto permette alle applicazioni

client/server di comunicare in modo da prevenire le

intrusioni, le manomissioni e le falsificazioni dei

messaggi, consentendo, tra l'altro, di realizzare l'E-

commerce sicuro.

I problemi legati alla sicurezza nel caso in cui vi siano

informazioni in transito su Internet sono:

- segretezza: si vuole che le informazioni

circolanti siano leggibili solo al destinatario;

- autenticazione del mittente: si vuole essere

sicuri del fatto che l'interlocutore sia

veramente chi dice di essere;

- integrità del messaggio: si vuole essere sicuri

del fatto che il messaggio non possa essere

manomesso durante il transito in Internet.

La segretezza può essere ottenuta attraverso le tecniche

di crittografia, mentre autenticazione ed integrità

richiedono tecniche di firma digitale.

Quindi un protocollo crittografico completo, come il

protocollo SSL, integra le tecniche di crittografia e

firma digitale (certificati digitali), in modo da risolvere

contemporaneamente i tre problemi citati.

Introduzione a SSL

Il protocollo SSL non specifica gli algoritmi da

utilizzare, ma indica la sequenza dei passi che Client e

Server devono eseguire insieme alle tecniche da

adottare in ciascun passo.

Le tecniche crittografiche fanno uso di algoritmi a

chiave publica: RSA, DSS; ed a chiave segreta: DES,

RC4. Gli algoritmi di creazione dei digest utilizzati possono essere: MD5, SHA.

I passi base previsti dal protocollo sono:

- Il Client richiede un canale protetto al Server

SSL. La richiesta avviene tramite un link del

tipo: https://... (si noti la "s" che segue la sigla

che indica il protocollo http).

- Il Server risponde inviando il suo Certificato

Digitale.

- Il Client verifica la correttezza del Certificato,utilizzando la chiave pubblica della CA che ha

emesso il certificato al Server. Se la verifica è

OK, ottiene, dal certificato, la chiave pubblica

del Server (KS_pubb).

- Il Client produce una chiave segreta di

sessione (KS), una chiave simmetrica che

verrà utilizzata per crittare le informazioni che

verranno inviate nella sessione dicollegamento.

- Il Client, poi, critta la chiave di sessione KS,

utilizzando la chiave pubblica del Server

(KS_pubb) ed invia E(KS_pubb, KS) al

Server.

- Il Server decritta E(KS_pubb, KS) utilizzando

la propria chiave privata (KS_priv), ottenendo

quindi la chiave segreta di sessione KS.

A questo punto avviene la comunicazione protetta dalla

chiave KS.

Il passo che include lo scambio vero e proprio delle

informazioni, avviene nel modo che segue

(immaginiamo che il Client debba inviare delle

informazioni al Server, ad esempio quelle contenute in

una form per l'acquisto di un prodotto):

- Il Client invia il proprio Certificato Digitale al

Server (il Server verifica, quindi ottiene la

chiave pubblica del Client: KC_pubb).

- Il Client critta il messaggio P contenente le

informazioni con la chiave simmetrica disessione KS, quindi invia il messaggio cittato

C=E(KS, P) al Server.

- Il Client firma il messaggio crittato, cioè

produce il Message Digest di C e lo critta con

la propria chiave privata (KC_priv) ed invia la

firma al Server.

- Il Server legge il messaggio decrittando C con

la chiave KS di sessione. A questo punto deve

verificare che il messaggio è stato

effettivamente inviato dal Client.

- Per tale verifica, il Server produce il MD di C

che ha ricevuto e lo confronta con quanto

ottenuto dalla descrittazione della firma

ottenuta al passo 3 utilizzando la chiave

pubblica del Client (KC_pubb). Se la verifica

fornisce esito positivo, allora il messaggio P

ottenuto è attendibile.




Il protocollo è composto da due strati: a livello più

basso, interfacciato su di un protocollo di trasporto

affidabile come il TCP, c'è il protocollo SSL Record.

Questo è usato per l'incapsulamento dei vari protocolli

di livello superiore. Sul protocollo SSL Record si

interfaccia l'SSL Handshake Protocol che permette al

server e al client di autenticarsi a vicenda e dinegoziare un algoritmo di crittografia e le relative

chiavi, prima che il livello applicazione trasmetta o

riceva il suo primo byte. Un vantaggio del SSL è la sua

indipendenza dal protocollo di applicazione: un

protocollo di livello più alto può interfacciarsi sul

protocollo SSL in modo trasparente.

Caratteristiche dei browser e dei server SSL

Per impiegare la protezione offerta da SSL, è

necessario che un sito Web disponga di un server in cui

sia integrata la tecnologia SSL. L'implementazione

SSLref v3.0b1 della Netscape Communications C., è

mulipiattaforma anche se sono differenziate le versioni per Windows 9x/NT e per Solaris.

La politica di diffusione voluta dalla stessa Netscape

Communication Inc. rende disponibili questi e tutti gli

altri prodotti software a studenti, università ed altre

istituzioni non commerciali in modo free al sito

http://test-drive.netscape.com/edu_drive/index.html.

Anche il client (browser) deve supportare SSL per

poter stabilire una connessione sicura con un server

SSL. Netscape Navigator lo supporta dalla versione

0.93.Inoltre il browser deve essere sufficientemente

aggiornato da contenere le chiavi pubbliche delle CA

attuali, altrimenti si rischia di non riconoscere un

certificato valido.Per Unix e Windows 3.1/9x/NT esiste la versione

SSLLeay 0.6.0 che implementa SSLv2.0, free sia per

uso privato che commerciale: include una

implementazione di DES tra le più veloci, oltre agli

algoritmi di crittografia più comuni, IDEA, RC4, RSA

e MD5.

Poichè HTTP+SSL e HTTP sono protocolli differenti e

usano porte diverse, lo stesso server può far eseguire

contemporaneamente sia il server HTTP+SSL che

quello HTTP. Ciò significa che, in funzione delle

esigenze di sicurezza, un server può offrire alcune

informazioni a tutti gli utenti senza sicurezza e solo

altre in modo sicuro.

SSL e i tunnel nei firewall

Il protocollo SSL, come gia detto, viene utilizzato per

instaurare un canale sicuro, tipicamente tra client e

server, in particolare per la protezione di eventuali

attacchi del tipo "man-in-the-middle".

Qualora il Server SSL fosse all'interno di una rete

protetta da firewall si potrebbe avere un problema

rilevante: qualora il firewall fosse dotato di un

Application Gateway con funzioni proxy complete, il

protocollo SSL vedrebbe il proxy server proprio come

un man-in-the-middle, quindi bloccherebbe la

comunicazione!.Per risolvere tale problema il firewall utilizzato deve

supportare il tunnelling (SSL Tunneling CONNECT

extension method) tramite il quale il proxy viene

sorpassato dal traffico SSL.

Nel caso in cui il firewall fosse di tipo packet filtering,

basta settare il firewall per permettere il passaggio dei

pacchetti destinati alla porta riservata alla connessione

SSL (tipicamente la porta 443).

R. Gaeta

Procedura di aggiornamento software per

Cisco Catalyst 3550

Per poter effettuare l’aggiornamento del software su

apparati Cisco Catalyst 3550 non si deve utilizzare ilclassico comando “copy tftp: flash” perché non è la

procedura corretta. Se si deve fare un upgrade

dell’apparato la procedura corretta è la seguente; dal

prompt Switch# dare il seguente comando:

Switch# archive download-sw

a questo punto se si affianca al comando il punto

interrogativo apparirà la seguente maschera:

SW_BNL_RM_1#archive download-sw ? /force-reload Unconditionally reload sys after success sw upgrade

/imageonly Load only the IOS image

/leave-old-sw Leave old sw installed after successful sw upgrade

/no-set-boot Don't set BOOT -- leave existing boot config alone

/overwrite OK to overwrite an existing image /reload Reload system (if no unsaved config changes)

/safe Always load before deleting old version

flash: Image file ftp: Image file

rcp: Image file

tftp: Image file

SW_BNL_RM_1#archive download-sw

Come si può notare il comando permette una serie di

varianti tra le quail quella che permette di scaricare

solamente l’immagine, quella che mantiene il vecchio

software e quella che sovrascrive.

Dopo aver scelto l’opzione gradita, si completa ilcomando con tftp:// IP del Server /nome del file.TAR.E’ importante che il file abbia estensione TAR in

quanto questi apparati hanno l’interfaccia WEB, e solo

con questo tipo di estensione si aggiorna anche questa

opzione.

Per completare volevo aggiungere una nota

informativa, con la versione software:

C3550-19Q312-MZ.121-12C.EA1.BIN nell’apparato

non funziona EIGRP, quindi se si deve installare un

Catalyst 3550 e quest’ultimo deve fare EIGRP

verificate la versione del software ed eventualmente

scaricatene una più appropriata con le istruzioni sopra

riportate.

E. Lucidi




FTP

(File Transfer Protocol)

Tramite il protocollo FTP, gli utenti accreditati

possono accedere a un server FTP e trasferire files in

entrambe le direzioni. Per stabilire l’identità del

richiedente, il servizio FTP prevede il trasferimentodelle credenziali utente tramite il paradigma username-

password. Una volta superata la fase di autenticazione,

l’utente può digitare sul terminale locale tutti i comandi

riconosciuti dal protocollo FTP. Per gestire il processo

di trasferimento file il protocollo mantiene due

connessioni TCP separate. La prima viene utilizzata

per l’invio di una serie di comandi di controllo, che

permettono di stabilire le informazioni disponibili su

server e client e di indicare quali file si intendono

trasferire. La seconda connessione è invece dedicata

alla trasmissione dati vera e propria. La connessione di

controllo è la prima a essere aperta dal client,

contattando il server FTP sulla porta TCP 21. Tutti i

dati e i comandi trasferiti attraverso questa connessione

sono in formato standard NVT (Network Virtual

Terminal, in sostanza caratteri ASCII). La connessione

per il trasferimento dati viene invece aperta solo al

momento in cui è effettivamente richiesto un file

transfer. Il protocollo FTP permette di trasferire sia dati

binari che in formato ASCII.

L’apertura della nuova connessione TCP per il

trasferimento dati può essere avviata sia dal server che

dal client. Nel primo caso si parla di apertura attiva, nel

secondo caso si parla di apertura passiva.

Apertura FTP attiva

L’apertura attiva prevede che il client FTP, interessato

a iniziare un trasferimento dati, indichi al server la

porta che intende utilizzare, attraverso il comando

PORT. La porta selezionata dal client deve essere

maggiore di 1024. Il server ricevuto il comando PORT,

avvia l’apertura di una nuova connessione TCP con il

client utilizzando la porta TCP 20 come porta locale e

la porta indicata nel comando PORT come porta del

client. I parametri del comando PORT sono sei. I primi

quattro indicano l’indirizzo ip della stazione client, i

restanti due parametri indicano la porta eletta dal clent

per gestire la nuova connessione TCP. L’inserimentodell’indirizzo ip della stazione client all’interno di un

comando a livello applicativo può rappresentare un

serio problema per i client di una rete locale connessa a

una rete pubblica. L’apparato che opera il NAT, deve

implementare un NAT che gestisca questa

problematica.

L’apertura attiva non può comunque essere utilizzata

quando si vuole implementare, per la stazione che

agisce da client, una politica di accesso che proibisce

l’apertura di nuove connessioni TCP in seguito a

richieste esterne. In tal caso, bisogna ricorrere alla

procedura di apertura passiva.

La figura seguente esemplifica i passi della proceduradi un’apertura attiva FTP.

Apertura FTP passiva

L’apertura passiva prevede che il client avvii il

processo inviando al server un comando PASV. Il

server, ricevuto il comando, risponde con

un’indicazione riguardante il numero di porta su cui ha

attivato un processo figlio, pronto a gestire la prossima

connessione TCP. Il numero di porta del processo

figlio, generalmente maggiore di 1024, viene restituito

al client. A questo punto, il client avvia la richiesta per

una nuova connessione TCP per mezzo del quale

riceverà/trasferirà il file desiderato. La figura seguente

esemplifica i passi della procedura di un’apertura

passiva FTP.

R. Gaeta




RETI E DINTORNI N°1

(Marzo 2001)

“Interconnessione di reti locali” pag. 3 aut. R.

Gaeta

“Comandi di configurazione” pag. 7 aut.

R.Gaeta

“Il livello transport di Internet” pag. 9 aut. R.

Gaeta

“Generalità sui comandi per i router Cisco” pag. 12 documento trovato da L. Cupini


(Aprile 2001)

“Firewall” pag. 2 aut. R. Gaeta

“DHCP” pag. 5 aut. R. Gaeta

“Architettura dei Routers” pag. 7 aut. R.

Gaeta


(Maggio/Giugno 2001)

“Ip Security” pag. 2 aut. G. Grassi

“Ip Security su Nortel Network ” pag. 11 aut.

G. Grassi

“Installazione e configurazione NOKIA IP”

pag. 16 aut. M. Scapellato

“Introduzione alla progettazione” pag. 24 aut.

R. Gaeta


(Luglio/Agosto 2001)

“Information security” pag. 2 aut. M.

Scapellato

“Efficienza, errori e pacchetti” pag. 9 aut. R.

Gaeta

RETI E DINTORNI N° 5

(Settembre 2001)

“Lan virtuali” pag. 2 aut. R. Gaeta

“Internet Addressing” pag. 5 aut. R. Gaeta

“Principi di Routing” pag. 10 aut. R.Gaeta

“Protocolli di Routing” pag. 18 aut. R. Gaeta


(Ottobre 2001)

“ISDN” pag. 2 aut. R. Gaeta

“PPP” pag. 27 aut. R. Gaeta

“Analisi di protocollo di una chiamata ISDN”

pag. 30 aut. R. Gaeta

“Voice Over IP” pag. 32 aut. N. Memeo

RETI E DINTORNI N°7(Novembre/Dicembre 2001)

“La sicurezza” pag. 4 aut. R. Gaeta

“Configurazione iniziale dell’interfaccia E1,

PRI e BRI su routers Cisco” pag. 22 aut. R.

Gaeta

“ATM” pag. 25 aut. R. Gaeta


(Gennaio/Febbraio 2002)

“Fault-tolerance su topologie BMA

(Broadcast Multi Access)” pag. 4 aut. R.

Gaeta

“Wireless lan” pag. 12 aut. R. Gaeta





(Marzo/Aprile 2002)

“Routing Information Protocol” pag. 3 aut. G.

Grassi

“MultiLink Trunking over Passport 8000”

pag. 5 aut. G. Grassi

“Affidabilità di rete” pag. 7 aut. R. Gaeta

“Cisco AAA Security Technology” pag. 13

aut. M. Scapellato

“La normativa italiana per la Wireless” pag.

17


(Maggio 2002)

“DNS (Domain Name System)” pag. 4 aut. L.

Natale

“Procedura per il recovery password su cisco

761 M” pag. 9 aut. G. Grassi

“Caricamento IOS su piattaforme cisco” pag.

10 aut. D. Trombetta

“Roam About Wireless Enterasys” pag 14 aut.

E. Lucidi

“Concetti di VPN” pag. 16 (tratto da

networkingitalia)

“QoS: una faccenda non ancora per tutti” pag.

17 (tratto da networkingitalia)

“Un’indirizzo per tutti” pag. 20 (tratto da

networkingitalia)


(Giugno/Luglio 2002)

“ODR (On-Demand Routing) pag. 4 aut. R.Gaeta

“Cenni sull’architettura protocollare Netware”


“Esempio di Troubleshotting su rete Netware”


“Telefonia IP: la parola al laboratorio” pag.

19 (tratto da networkworld)


(Agosto/Settembre 2002)

“Introduzione al NetBEUI/NetBIOS” pag. 3(tratto da networkingitalia)

“Mezzi trasmissivi, normative e

strumentazione” pag. 7 aut. R. Gaeta

RETI E DINTORNI N° 13

(Ottobre 2002)

“Multi-Protocol Label Switching” pag. 3 aut.

R. Gaeta

“Caratteristiche degli apparati Enterasys” pag.

7 aut. R. Gaeta

“Procedure per la configurazione upgrade e

ottimizzazione degli switches 6500 e 3500”

pag. 11 aut. L. Natale


(Novembre 2002)

“Configurazione iniziale del PIX tramite il

PDM” pag. 3 aut. R. Gaeta

“Procedure di creazione vlan e vlan di

management su apparati Enterasys” pag. 10

aut. R. Gaeta

“Configurazione dell’access point cisco

aironet 350” pag. 17 aut. R. Gaeta

“Configurazione della scheda wireless air-

pcm352 e air-pci352” pag. 24 aut. R. Gaeta





(Dicembre 2002)

“Descrizione generale della costruzione di

una web-farm a più livelli protetti” pag. 3 aut.

M. Guillaume

“VoIP su routers cisco” pag. 7 aut. L. Natale

“VPN” pag. 10 aut. R. Gaeta


(Gennaio 2003)

“Standard TIA TSB-67 certificazione dei

cablaggi” pag. 4 aut. R. Gaeta

“Il lantek pro xl della wavetek ” pag. 6 aut. R.

Gaeta

“Time Domain Reflectometry (TDR)” pag. 9

aut. R. Gaeta

“Optical Time Domain Reflectometry

(OTDR)” pag. 11 aut. R. Gaeta

“Autonegoziazione (non è tutto oro ciò che

luccica)” pag. 17 aut. R. Gaeta

“Wireless Bridging” pag. 19 aut. R. Gaeta

“Server Farm” pag. 26 aut. M. Scapellato


(Febbraio 2003)

“Failure Distributions” pag. 4 aut. R. Gaeta

“Introduzione all’architettura Differentiated

Services” pag. 13 aut. R. Gaeta


(Marzo/Aprile 2003)

“Link Proof ” pag. 3 aut. L. Natale

“Intrusion Detection System” pag.6 aut. M.

Scapellato


(Maggio 2003)

“Wireless Security” pag. 3 aut. R. Gaeta

“DWDM, la potenza della luce” pag.10 aut.

M. Guillaume

“Uso di SSL per trasmissioni sicure in

Internet” pag. 15 aut. R. Gaeta

“Procedura di aggiornamento software per

Cisco Catalyst 3550” pag. 16 aut. E. lucidi

“FTP (File Transfer Protocol)” pag. 17 aut. R.Gaeta

Documents

Reti e dintorni 19