menu di navigazione del network

[LG-WIFI] Criteri di implementazione del servizio per le PA


(Docs Italia) #1

Collegamento

Contenuto
Criteri di implementazione del servizio per le PA


(Antonio Prado) #3

ciao,

il paragrafo su IPv6 e’ tecnicamente e concettualmente sbagliato.

innanzitutto il richiamo ai Site-local Addresses e’ deprecato, quanto ai Link-local Addresses nulla hanno a che fare con ARP (che appartiene al campo semantico di IPv4).
lasciamo fare ai link local address il loro lavoro che non e’ quello di essere instradati su Internet, ma quello di connettersi agli host appartenenti allo stesso dominio di broadcast.
in altre parole non e’ corretto traslare l’architettura IPv4 nel mondo IPv6, sarebbe un fallimento, come a esempio il NAT.
infine, incoraggiamo l’adozione di IPv6.

il testo consigliato e’ questo:

#######################

L'uso dello spazio di indirizzamento IPv6, in uno scenario cosiddetto
dual-stack (cioè con la compresenza di IPv4 e IPv6), è auspicabile
nell'erogazione del servizio Wi-Fi.

Il protocollo IPv6 potrà funzionare soltanto se supportato dai Provider
dell'infrastruttura, dal dispositivo dell'utente, dai sistemi operativi
o dalle applicazioni presenti sui dispositivi dell'utente.

A ciascuna rete Wi-Fi è consigliabile assegnare una rete /64 IPv6 di tipo 
global unicast, attinta da una /48 allocata dal Provider, con
meccanismi di assegnazione dinamica degli indirizzi come SLAAC
(Stateless autoconfiguration) o DHCPv6.

È necessario anche per IPv6 l'uso di sistemi di packet filtering configurati
in modo tale da garantire la sicurezza dei dispositivi degli utenti che
fruiscono dell'infrastruttura Wi-Fi.

Nell'uso di IPv6 è consigliabile, infine, evitare meccanismi di NAT o di
protocolli di transizione come 6to4 o 6rd così da mantenere semplice e
lineare la configurazione e, al contempo, sfruttare i vantaggi del protocollo.

#######################

ciao

antonio


(Antonio Prado) #4

ciao,

il paragrafo sulle misure minime di sicurezza riporta alcune funzionalita’ che, cosi’ come espresse, sono difficilmente applicabili a un servizio di connettivita’ senza fili a Internet rivolto al pubblico.

mi riferisco all’antivirus “per la protezione a livello centrale, per evitare compromissioni da malware provenienti dai dispositivi mobili”.

cioe’, occorre proteggere Internet dai dispositivi mobili?
oppure occorre evitare che l’utente infetto possa contagiare gli altri utenti?

il primo caso sarebbe fantasioso.
nel secondo caso non occorrerebbe un antivirus centrale, ma il semplice client isolation abbinato a un packet filtering.

e ancora: Data Loss Prevention, per la protezione dei dati e per evitare perdite di informazioni aziendali.
se le reti devono essere segregate (come precedentemente stabilito), quale sarebbe l’ulteriore misura minima da implementare per evitare una perdita di dati eventualmente provocata dagli utenti della rete Wi-Fi?

infine: Policy di web-filtering, per l’utilizzo dei soli protocolli sicuri per l’accesso al servizio e la limitazione ai soli siti web e servizi consentiti.

quali sarebbero i “soli” servizi consentiti fruibili attraverso i “soli” protocolli sicuri?
se da un lato e’ possibile individuare un insieme di siti web inibiti dal nostro ordinamento (AAMS, CNCPO, AGCOM, LEA), e di conseguenza lasciare la navigazione libera verso tutte le altre risorse, dall’altro e’ improduttivo introdurre la nozione di “servizi consentiti”, per di piu’ secondo l’uso di TLS (1.3 compreso o no?).

ciao

antonio