Come già accennato in precedenti articoli una rete mesh basata sull’uso delle frequenze concesse al servizio radioamatore, per rientrare nei canoni della legalità non può basarsi sull’uso della crittografia per implementare metodiche di protezione della rete e di accesso ai suoi servizi.

Da questo deriva che l’unica possibilità in pratica utilizzabile per evitare usi impropri della rete è quella di implementare un robusto sistema di protezione degli accessi e un sistema di monitororaggio degli accessi e del traffico che consentano con buona probabilità di evidenziare ed eventualmete inibire utilizzi impropri della rete e delle sue risorse.

A questo scopo la tecnologia base AREDN da noi utilizzata non fornisce gli strumenti sufficienti per implementare un insieme adeguato di misure protettive.

La soluzione da noi implementata per realizzare la rete è stata quindi leggermente modificata in modo da avere la possibilità presente e soprattutto futura di implementare una ampia serie di modalità di protezione di rete.

La variante principale consiste nel definire una struttura del generico nodo che includesse accanto ad una o più radio basate sul SW AREDN, anche un dispositivo di controllo dell’accesso: nel caso specifico il dispositivo utilizzato è un mini-access gateway basato sul SW MikroTik Router-OS: si  tratta dello scatolotto bianco-celeste che tutti gli utilizzatori della rete SARIMESH ben conoscono.

Questo dispositivo fornisce una serie di servizi normalmente da considerare essenziali per un nodo SARIMESH:

• possibilità di collegare fino a due dispositivi tramite cavo ethernet
• possibilità di collegare un insieme di dispositivi WiFi tramite un punto di accesso WiFi in tecnologia IEEE 802.11 b/g/n fino a 300 Mbit/sec in una zona di copertura tipica di una normale abitazione, eventualmente espandibile tramite ulteriori ripetitori WiFi
• possibilità di implementare un accesso ad internet di emergenza sfruttando una eventuale linea ADSL locale.
• possibilità di implementare opportune regole di controllo del traffico e di filtraggio e protezione da e verso la rete radio SARIMESH esterna.
• possibilità di supportare tecniche di monitoraggio in tempo reale dei flussi di traffico da e verso la rete SARIMESH e verso la connessione internet locale eventualmente presente.
• possibilità di effettuare test di troughtput da nodo a nodo per scopo di test o per verifiche di performancies.

Il dispositivo in questione  rappresenta lo strumento principale per garantire una possibilità di monitoraggio della rete SARIMESH e nello stesso tempo lo strumento atto ad implementare eventuali future metodiche di isolamento di risorse locali da e verso il resto della rete.

Nell’ambito del nodo master della rete è presente un dispositivo analogo che viene utilizzato per implementare una  metodica di supervisione di rete nota come DuDe: si tratta di un sistema supportato dal SW MikroTik-RouterOS che interagisce in tempo reale con tutti gli analoghi gateways presenti nei vari nodi, consentendo di creare una mappa aggiornata in tempo reale della disponibilità dei singoli nodi e dei collegamenti verso i vari nodi.

Il sistema permette anche di raccogliere una serie di eventi che possono indicare eventuai situazioni di disservizio o di anomalia presenti in rete.

Particolare attenzione è stata rivolta al gateway verso internet presente nel nodo master. Contrariamente al modo utilizzato dal SW base AREDN per la gestione dell’interfaccia internet, nel nodo master viene implementata una metodica che realizza l’interfacciamento ad internet tramite un gateway MikroTik simile a quelli presenti nei vari nodi: questa variante consente, contrariamente a quanto accade con il SW originale AREDN, di implementare una interfaccia internet estremamente flessibilie, con la possibilità di monitorare i singoli flussi di traffico, eventualmente intervenendo sugli stessi con azioni di policing.

Questa funzionalità è essenziale per inibire eventuali utilizzi impropri della rete da parte di soggetti non autorizzati: in pratica lo strumento permette di colpire anche selettivamente singoli flussi di traffico identificabili sia come sorgente che come destinazione.

Il sistema DuDe utilizzato consente di integrare anche i dati di traffico dei nodi radio AREDN: questo consente in pratica di identificare a livello di indirizzi di rete eventuali utenti collegati ai singoli nodi consentendo quindi di localizzare eventuali punti di vulnerabilità della rete.

La figura seguente rappresenta un esempio di mappa di un segmento della rete

La figura seguente rappresenta un esempio di una situazione della rete, da cui si possono evidenziare eventuali  anomalie:

La figura seguente riporta per es. il livello di traffico per le interfacce di un generico nodo radio della rete:

La figura seguente fornisce per es. il diagramma del traffico della rete SARIMESH da e verso la rete internet:

La figura seguente invece rappresenta un esempio di analisi del traffico che è possibile realizzare sfruttando il sistema di monitoraggio implementato sulla rete.

Si noti come sia possibile identificare i vari flussi di traffico con le relative caratteristiche sia a livello di indirizzi sorgente/destinazione che a livello di intensità del traffico sviluppato.

La figura seguente riporta invece un esempio di test di troughput realizzato tra due nodi della rete:

La figura riporta il livello di traffico traffco UDP possibile tra i due nodi indicati nelle due direzioni. Il tipo di test possibile può essere selezionato come deducibile dalla parte superiore del pannellino. Per l’interpretazione dei risultati bisogna considerare che il test  rappresenta una misura della banda disponibile al momento, al netto del traffico al momento presente sulla tratta e generato da altri utilizzatori.

Dagli esempio riportati penso sia comprensibile il tipo di analisi che il sistema consente: è evidente che in condizioni normali il sistema descritto non richiederà assolutamente nessun tipo di supervisione, a meno che non vengano segnalate o evidenziate da parte degli utilizzatori particolari situazioni degne di attenzione.

La potenzialità presente serve quindi sostanzialmente come una forma di prevenzione per cercare qualora se ne evidenzi la necessità di approfondire l’analisi e cercare di identificare e fissare eventuali anomali o impropri utilizzi delle risorse della rete.

In assenza di un sistema quale quello presente sarebbe estremamente difficile individuare e quindi fissare situazioni di utilizzo improprio in quanto il SW AREDN utilizzato nei nodi di rete non fornisce strumenti di analisi sufficienti ad individuare e fissare situazioni di utilizzo anomalo della rete.

Conclusione