1 Dispositivi di rete Docente: Marco Sechi Modulo 1 Docente: Marco Sechi Modulo 1 DISPOSITIVI DI RETE Analizziamo ora alcuni dispositivi utilizzati nella rete: RIPETITORE: Un ripetitore (repeater) riceve un segnale debole (attenuato dalla lunghezza del collegamento o dai disturbi sulla linea), lo “rigenera” e lo ritrasmette in modo da garantire una percorrenza su distanze più lunghe. Esso opera al livello 1 dello standard ISO-OSI. I ripetitori sono fondamentali nell’estensione di reti locali in quanto consentono di collegare fra loro cavi appartenenti a due distinte porzione di rete, aumentando di conseguenza la distanza raggiungibile dalle LAN. Sono dispositivi che sono ormai andati in disuso sostituiti dagli HUB. 2 Docente: Marco Sechi Modulo 1 HUB: L’Hub “converte” una topologia “a Bus” in una topologia “a Stella”. Non è niente altro che un “filo” che riesce ad amplificare i segnali in entrata per poi inviarli in “broadcast” a tutti i computer a lui connessi. L’hub crea un unico dominio di collisione per cui se due calcolatori connessi trasmettono contemporaneamente, si verifica una collisione Le comunicazioni avvengono sempre in maniera Half-Duplex, ovvero si possono avere comunicazioni in entrambe le direzioni (in/out), ma non contemporaneamente. La topologia Ethernet che utilizza gli hub viene chiamata Ethernet condiviso poiché ogni messaggio emesso è inviato a tutti i nodi connessi e la banda passante è condivisa. L'hub è noto anche con il nome multiport-repeater, ovvero si tratta di un dispositivo che opera a livello fisico (il primo del modello ISO/OSI). Si distinguono due categorie di hub : • Gli hub detti "attivi": sono alimentati elettricamente e permettono di rigenerare il segnale sulle differenti porte • Gli hub detti "passivi": permettono solo di diffondere il segnale a tutti gli host connessi senza amplificazione 3 Docente: Marco Sechi Modulo 1 Un hub non ha idea di cosa sia un pacchetto o un frame. Un hub si occupa solo di bit. Quando arrivano dei bit su una delle sue porte l'hub li ritrasmette a tutte le altre. Un chiaro vantaggio di questo approccio è la bassissima latenza: non c'è infatti alcun tempo di elaborazione. Man mano che i bit arrivano, vengono ritrasmessi in automatico. Solo un computer può quindi parlare alla volta. Il messaggio viene inviato in broadcast a tutti i nodi della rete. Al crescere dei nodi crescono il numero di collisioni nella rete. E' possibile connettere più hub. Si parla allora di connessione a cascata (talvolta detta daisy chains in inglese). Per questo, basta connettere gli hub attraverso un cavo incrociato, cioè un cavo che collega i connettori di ricezione di un'estremità ai connettori di ricezione dell'altra. Gli hub sono in generale dotati di una porta speciale detta "uplink " che permette di utilizzare un cavo dritto per connettere due hub fra loro. Esistono anche hub capaci di incrociare o di disincrociare automaticamente le loro porte a seconda se sono collegati ad un host o ad un hub. Una porta uplink ha la stessa funzionalità del cavo incrociato (crossover cable) per cui è essenzialmente un suo sostituto. 4 Docente: Marco Sechi Modulo 1 SWITCH Lo switch è noto come multiport-bridge. Si tratta di un dispositivo di livello data-link (livello 2 del modello ISO/OSI) . Uno switch non si ferma alla semplice conoscenza dei bit, ma è in grado di decifrare le informazioni di livello 2 rappresentate dai frame. Le reti Ethernet che utilizzano gli switch vengono chiamate Switched Ethernet. Dal punto di vista visivo una semplice LAN basata su hub o su switch non presenta differenze: tutte le stazioni sono connesse con un proprio cavo al concentratore. A differenza però di quanto farebbe un hub, lo switch inoltra i frames ricevuti a una delle sue porte verso quella a cui è connesso il nodo destinatario. In questo modo si possono raggiungere velocità di trasmissione maggiori. Si consideri ad esempio una rete di 100Mbps costituita da uno switch con 4 porte. Se si creano due connessioni separate (ad esempio tra la porta 1 e 3 e la porta 2 e 4) si potranno raggiungere velocità di 200Mbps. Gli switch possono operare in modalità Full-Duplex (trasmettere e ricevere contemporaneamente aumentando ulteriormente il throughput). Un aspetto negativo degli switch è invece la latenza. Uno switch deve infatti analizzare alcune informazioni prima di inviare il pacchetto, naturalmente questo provoca un ritardo superiore dell'hub (dove i bit invece vengono inviati subito). 5 Docente: Marco Sechi Modulo 1 Uno switch non è in grado di connettere reti fisicamente diverse, ad esempio una rete Ethernet con una Token Ring mentre può interconnettere reti ethernet con velocità e tecnologie fisiche diverse. Nel gergo delle reti locali, uno switch isola ogni PC (connesso alle sue porte) in un proprio dominio di collisione. Se due calcolatori collegati a porte diverse trasmettono contemporaneamente, non si verifica una collisione, e i due frame possono attraversare lo switch contemporaneamente. Gli switch non si limitano a replicare il segnale, ma agiscono sui frame ricevuti instradandoli verso la destinazione esatta. Mediante queste loro capacità essi tengono i domini di collisione separati, col vantaggio di occupare banda passante solo sulle porte effettivamente interessate dal traffico, lasciando libere le altre. Operano anche sulla gestione dei frame per cui se trovano la rete occupata utilizzano un buffer per immagazzinare i frame attendendo che la rete si liberi. 6 Docente: Marco Sechi Modulo 1 Lo switch controlla gli indirizzi sorgente e di destinazione dei messaggi e crea in memoria una tabella che associa gli indirizzi MAC dei computer connessi alle sue porte (di solito questo processo avviene automaticamente, ma il gestore dello switch può procedere a delle configurazioni complementari) utilizzata per creare circuiti virtuali di connessione tra mittente e destinatario. Il risultato di questa modalità è quello che i dati inviati ad una porta non vengono più inviati a tutte le altre, ma solo a quelle dove si trova il destinatario. Quindi non si può più parlare di mezzo condiviso, inoltre le collisioni vengono molto ridimensionate. Conoscendo la porta del destinatario, lo switch trasmetterà il messaggio solo sulla porta indicata, e le altre porte resteranno libere per altre trasmissioni che potranno prodursi contemporaneamente. Ne risulta un aumento sensibile della banda della rete disponibile. Gli switch ethernet rilevano la velocità di trasmissione utilizzata da ogni terminale (autosensing) e si adeguano alla massima velocità consentita. Questo permette di avere un parco informatico connesso con performance differenti. Dato che il traffico emesso e ricevuto non è trasmesso su tutte le porte, diventa più difficile "controllare" (sniffing) quello che succede, contribuendo così alla sicurezza generale della rete, tema molto sensibile ai nostri giorni. 7 Docente: Marco Sechi Modulo 1 BRIDGE Un bridge è un dispositivo simile allo switch che viene utilizzato per connettere diversi segmenti di rete mentre uno switch viene collegato direttamente ai singoli host. Un bridge (letteralmente ponte) si colloca al livello datalink (il secondo) del modello ISO/OSI Quando un bridge riceve un frame su una porta, cerca di capire dall'indirizzo del destinatario se questi si trova nello stesso segmento del mittente oppure no. In questo caso evita di inoltrare il frame, in quanto presumibilmente il destinatario l'ha già ricevuto. Altrimenti il bridge inoltra la trama verso il segmento in cui si trova effettivamente il destinatario. Se non sa su quale segmento si trova il destinatario, il bridge inoltra il frame su tutte le porte tranne quella da cui l'ha ricevuta. Queste operazioni sono definite operazioni di filtraggio e inoltro. 8 Docente: Marco Sechi Modulo 1 Nell'attraversare il bridge il pacchetto informativo subisce un maggior ritardo, rispetto a quello consueto di propagazione, e questo per i tempi di elaborazione necessari al bridge per decidere su quale segmento inoltrarlo. Altra differenza rispetto allo switch è il numero di porte: un bridge possiede al massimo una decina di porte, mentre uno switch può arrivare fino ad alcune centinaia nei modelli più complessi. Il comportamento del bridge è dunque simile a quello dello switch per via della capacità di indirizzamento ma il suo ruolo nell'architettura di una rete è anche simile a quello del repeater grazie alla capacità di inoltrare verso un altro segmento di rete. 9 Il bridge riduce il volume di traffico in una lan poiché in effetti la divide in due domini di collisione distinti. Docente: Marco Sechi Modulo 1 ROUTER È un dispositivo di rete che si posiziona sul livello 3 del modello OSI. Pertanto un Router (dall'inglese instradatore) è un dispositivo che è in grado di instradare i dati fra reti fisicamente diverse. Un router ha almeno due interfacce di rete, ciascuna connessa su una rete fisicamente differente (altrimenti si utilizza il termine di bridge/switch). Quando il router riceve un pacchetto (per il quale il computer mittente non ha saputo identificare la posizione del destinatario) dobbiamo considerare due casi: • Il router risolve l'indirizzo logico del destinatario traducendolo nell'indirizzo hardware di una macchina posta su una delle reti a cui esso è connesso. Esegue l'inoltro del pacchetto verso la rete di destinazione. • Il router non sa eseguire la risoluzione. Crea un frame diretto verso il successivo router (next hop) posto su una delle reti cui è connesso. 10 Docente: Marco Sechi Modulo 1 L'instradamento dei pacchetti, attraverso le reti direttamente e indirettamente connesse, avviene sulla base di particolari tabelle di instradamento (caricate sul router). Alcuni router (detti dinamici) comunicano tra di loro per determinare qual sia il miglior tragitto basandosi su parametri come il costo della tratta e la velocità trasmissiva dei vari collegamenti (generano quindi tabelle di routing dinamiche). Per visualizzare l'elenco dei router attraversati da un pacchetto per raggiungere una determinata destinazione i sistemi operativi mettono a disposizione un comando che in windows è tracert (traceroute ovvero tracciamento dei router). 11 Docente: Marco Sechi Modulo 1 Per visualizzare le tabelle di routing caricate sul proprio PC in windows si utilizza il comando route: 12 Docente: Marco Sechi Modulo 1 A seconda di come vengono costruite le tabelle di routing distinguiamo due tipologie di router: router statici e router dinamici. I router statici hanno tabelle di instradamento che … – sono invarianti nel tempo – sono indipendenti dalle condizioni di traffico nella rete (non adottano algoritmi adattativi) - non comunicano con altri router per scambiare le informazioni contenute nelle proprie tabelle di instradamento Nei router statici le tabelle di instradamento vengono modificate con l’intervento di un operatore durante la fase di configurazione e successivamente, solo in caso di variazioni strutturali o topologiche della rete. Gli unici modi con cui un router statico può inviare un pacchetto a un computer che si trova su una rete a cui non è direttamente connesso sono: - inviare il pacchetto al suo “gateway” predefinito - consultare la sua tabella d'instradamento statica. L'instradamento statico è perfetto per le reti composte da due sole sottoreti. Le tabelle d'instradamento di ogni router statico elencano tutte le reti di destinazione e il router a cui dovrebbero essere inviati i pacchetti per iniziare il loro tragitto verso la destinazione. Si definisce inter-rete un gruppo di reti locali (segmenti) che sono collegate tra loro tramite router. 13 Docente: Marco Sechi Modulo 1 Un router dinamico, invece, aggiorna la sua tabella d'instradamento automaticamente scoprendo e comunicando percorsi ad altri router dinamici sulla rete. Se si verifica un guasto lungo una connessione oppure ne viene attivata una nuova, gli aggiornamenti dei vari percorsi vengono automaticamente propagati a tutti i router. Lo scopo di un protocollo di routing (Routing Protocol) è quello di mantenere dinamicamente le routing table. I router dinamici contengono informazioni costantemente aggiornate sui possibili percorsi attraverso la rete, nonché informazioni su colli di bottiglia ed interruzioni del collegamento. Alcuni protocolli per la costruzione e l'aggiornamento automatico delle tabelle di instradamento sono RIP o OSPF. L'instradamento dinamico è adatto a inter-reti complesse come Internet. 14 Docente: Marco Sechi Modulo 1 PROXY Un proxy è un dispositivo (sw/hw) che si interpone tra un client ed un server facendo da tramite o interfaccia tra i due. Il client invece di collegarsi al server si collega al proxy al quale invia le richieste. Il proxy a sua volta si collega al server ed inoltra le richiesta del client al server. La risposta ricevuta viene poi inviata al client corrispondente. A differenza del bridge e del router, che lavorano ad un livello ISO/OSI più basso, i proxy lavorano a livello applicativo. Di conseguenza un programma proxy può gestire solo il protocollo applicativo per il quale è stato progettato. Un caso in cui viene spesso usato un proxy è per la navigazione web (denominato proxy HTTP dal nome del protocollo usato). Se non siamo in presenza di situazioni dette di proxy trasparente occorre configurare il client (browser) in modo che questo si colleghi al proxy invece che al server. 15 Docente: Marco Sechi Modulo 1 Un proxy HTTP viene usato per questi motivi: connettività: è possibile configurare un computer in modo che faccia da proxy a tutti gli altri computer della lan. In questo caso un unico computer (il proxy) è connesso ad internet ma tutti gli altri possono accedere ai servizi offerti dalla rete (web, posta, etc.) caching: un proxy può immagazzinare per un certo tempo i risultati delle richieste dei suoi client e se un altro utente effettua le stesse richieste può rispondere senza dover consultare il server originale. Questo consente un miglioramento delle prestazioni ed una riduzione del consumo di ampiezza di banda. monitoraggio: un proxy può tenere traccia di tutte le operazioni effettuate (ad esempio, tutte le pagine web visitate), consentendo statistiche ed osservazioni sull'utilizzo di internet. filtro: un proxy può applicare regole definite dall'amministratore del sistema come limitare l‘ampiezza di banda utilizzata dai client oppure impedire l’accesso a determinati siti. privacy: un proxy può garantire un maggiore livello di privacy mascherando il vero indirizzo IP del client poiché il server vede solo quello del proxy. risparmio di indirizzi IP pubblici: questo punto vale per gli ISP: un proxy consente di limitare il numero di ip pubblici da assegnare ai clienti dell’ISP quando questi si connettono ad internet. 16 Docente: Marco Sechi Modulo 1 GATEWAY Il gateway è considerato un dispositivo che connette due reti con protocolli diversi (traduce quindi il protocollo). I gateway possono operare a qualsiasi livello del modello ISO a seconda del protocollo che supportano. Spesso il termine gateway viene utilizzato impropriamente come sinonimo di router, ma un router è un dispositivo responsabile dell'instradamento dei pacchetti di dati attraverso due reti fisicamente diverse. Un gateway può essere completamente software, hardware o combinazione di entrambi. I gateway più importanti sono quelli che mettono in connessione due o più reti, intervenendo all'ultimo livello (il settimo) del modello OSI/ISO. Tali gateway mettono in connessione i servizi di due o più ambienti che altrimenti sarebbero incompatibili. Esempi di gateway che intervengono al settimo livello sono: • un file translator (ad esempio quando consente a dei MACintosh (Apple) di accedere al file system di un server LINUX) • un mail translator (quando mette in comunicazione due protocolli di posta differenti) • un network protocol translator (ad esempio traduce da TCP/IP a AppleTalk) • un’interfaccia tra VoIP (voice over Internet protocol) e la rete telefonica pubblica (PSTN public switched telephone network). 17 • un OS Gateway ovvero quando mette in connessione differenti NOS (Network Operating System) es. Windows e UNIX. Docente: Marco Sechi Modulo 1 NETWORK FIREWALL Un network firewall (o perimetrale) è una componente di difesa di una rete informatica, che svolge funzioni di collegamento tra due o più tronconi di rete, garantendo la protezione (in termini di sicurezza informatica) della rete stessa. Usualmente il firewall divide la rete in due sottoreti: una (detta esterna) che comprende l'intera Internet mentre l'altra (detta interna) è costituita dalla LAN che rappresenta l’insieme dei computer locali. Tutto il traffico fra la LAN ed Internet transita attraverso il firewall. In alcuni casi è possibile che si crei l'esigenza di creare una terza sottorete detta DMZ (o zona demilitarizzata) adatta a contenere quei sistemi che devono essere isolati dalla rete interna, ma che devono comunque essere protetti dal firewall ed essere raggiungibili dall'esterno (server pubblici). 18 Docente: Marco Sechi Modulo 1 Un firewall può essere realizzato con un semplice computer (con almeno due schede di rete, una per l'input l'altra per l'output) ed un apposito software. Talvolta la funzionalità logica (software) che implementa il firewall è parte del software installato in un router ed in questo caso si parla di router/firewall. Il principio di funzionamento dei network firewall si basa sulla definizione di regole che inibiscono/permettono flussi di traffico. Le regole vengono impostate in base: - all'indirizzo IP sorgente - all'indirizzo IP di destinazione - alla porta attraverso la quale viene erogato il servizio. Le regole devono essere impostate in modo da autorizzare solo il traffico considerato sicuro. Nella stesura delle regole occorre: • garantire l’accesso solo ai servizi di rete ritenuti necessari • verificare che il firewall sia immune da problemi di sicurezza (aggiornamento del firmware) • In fase di configurazione del firewall, decidere la politica di default per tutti i servizi di rete: default deny : tutti servizi non esplicitamente permessi sono negati default allow : tutti i servizi non esplicitamente negati sono permessi 19 Docente: Marco Sechi Modulo 1 Esistono inoltre i cosiddetti “personal firewall" che sono programmi installati su normali computer e che hanno il compito di filtrare solamente i pacchetti che entrano ed escono da quel calcolatore. In questo caso la scheda di rete è una sola: quella del PC! Un buon personal firewall controlla che i programmi installati nel PC non tentino di accedere ad Internet senza autorizzazione. L’utente può impostare delle regole che neghino o permettano tale accesso. Questo per prevenire la possibilità che un programma malevolo possa connettere il computer all'esterno pregiudicandone la sicurezza. Nel personal firewall le regole di filtraggio vengono definite dall'utente mediante una semplice espressione di consenso affinché una determinata applicazione possa interagire con il mondo esterno attraverso il protocollo IP. Da sottolineare che l'aggiornamento del personal firewall è importante ma non è così vitale come invece lo è l'aggiornamento di un antivirus, in quanto le operazioni che il firewall deve compiere sono sostanzialmente sempre le stesse. È invece importante creare delle regole che siano corrette per decidere quali programmi devono poter accedere alla rete esterna e quali invece non devono. 20