PON 2004
Reti di Computer
…più una breve introduzione alla Sicurezza ICT
By G.Esposito
PON 2004 – Reti di Computer
1
Reti di Computer
indice
•
•
•
•
•
•
•
•
Introduzione
Definizioni
Tecnologie per le Reti
Tecnologie per le LAN
Tecnologie e Servizi di Internetworking
Il futuro delle Reti
Fondamenti di ICT Security
Internet Firewalls
PON 2004 – Reti di Computer
2
Perchè le Reti sono
importanti
• La tecnologia chiave del 20° secolo è la raccolta,
l’elaborazione e la distribuzione di informazioni
• Reti telefoniche estese a tutto il Mondo sono in essere
• Reti Radio e Televisive hanno raggiunto ogni angolo del
mondo
• Sono stati lanciati Satelliti per Comunicazioni
• Nei passati 20/30 anni computer molto potenti sono stati
interconnessi per formare reti di computer
• Queste Reti stanno rapidamente cambiando il nostro modo
di insegnare, imparare, fare affari, comunicare l’uno con
l’altro.
PON 2004 – Reti di Computer
3
Una “ingenua” definizione di
“Computer Network”
Una rete di computer interconnette una varietà di “nodi
di elaborazione” (“end nodes”) così che possano
comunicare tra loro
PON 2004 – Reti di Computer
4
Blocchi fondamentali di una
Rete
• Terminali, Workstation, Computer, e altri dispositivi (end
nodes)
• Media Trasmissivi ( per trasmettere dati e segnali di
controllo)
• Elettronica di Rete (dispositivi intermedi per instradare o
commutare dati da una sorgente ad una destinazione)
• Software per controllare la trasmissione
• Standard Architetturali di Rete (assicurano la
interoperabilità tra dispositivi costruiti da diverse Case)
PON 2004 – Reti di Computer
5
Terminali e Workstation
• Questi dispositivi sono le sorgenti e le destinazioni
di dati in una Rete (cioè “end nodes” dove i dati
sono originati o ricevuti)
• Esempi
–
–
–
–
–
–
Personal computer
Terminali
Workstation
Computer
Registratori di cassa
Bancomat…
PON 2004 – Reti di Computer
6
Media Trasmissivi
• Questi trasmettono i segnali elettrici o ottici e
possono essere vari. Questi possono essere
“vincolati” (bounded) o “non vincolati”
(unbounded)
Bounded Media
- Twisted pair wire
- Co-axial cable
- Fiber optic cables
- Wave guides
PON 2004 – Reti di Computer
Unbounded Media
- AM and FM radio
- TV broadcasting
- Satellite communication
- Microwave radio
- Infrared signals
7
Elettronica di Rete
• I dispositivi elettronici di Rete assolvono una
varietà di funzioni che includono l’instradamento
(routing) e la commutazione (switching) di dati
dalla sorgente alla destinazione o che forniscono
l’interfaccia tra differenti media trasmissivi o
protocolli di comunicazione
Esempi
- Bridges
- Routers
- Private Branch
Exchange (PBX)
- Multiplexers
PON 2004 – Reti di Computer
- Concentrators
- Front End Processors
- Switches
- Hubs
- Gateways
8
Software
• Il Software negli end nodes implementa le
tecniche e i protocolli che definiscono le regole e
le procedure per iniziale e terminare trasferimento
dati, interpretare come i dati siano rappresentati e
trasmessi e come devono essere gestiti gli errori
• Il Software nell’elettronica di Rete, esegue altre
funzioni per assicurare che i dati siano trasmessi
dalla sorgente alla/e destinazione/i
PON 2004 – Reti di Computer
9
Organizazioni degli
Standard
• ITU - International Telecommunication Union che sviluppa
standard mondiali per le tecnologie telecomunicative
• CCITT - Consultative Committee for International
Telegraph and Telephone. Responsabile per lo sviluppo
degli standard di comunicazione
• IEEE - Institute of Electrical and Electronic Engineers.
• ISO - International Standardization Organization.
Responsabile per un ampio campo di standard, includenti
quelli di rete
PON 2004 – Reti di Computer
10
Organizzazioni degli
Standard (Cont.)
• ANSI - American National Standards Institute. Approva
standard U.S.A e sviluppa orientamenti U.S.A nelle
organizzazioni internazionali degli standard
• IAB - Internet Architecture Board. Ricercatori di
Internetwork che discutono argomenti pertinenti
all’architettura Internet
• IETF - Internet Engineering Task Force. Consiste di oltre
80 working group responsabili per lo sviluppo degli
standard Internet
PON 2004 – Reti di Computer
11
Tipi di Reti
• Privata – Reti per l’utilizzo privato di una società e
dei suoi utenti autorizzati e nessun altro
• Pubblica – Reti che possono essere usate da
chiunque (es.: la rete telefonica)
• Local Area Networks (LAN). – Reti confinate ad
utenti in una piccola area geografica (es.: un
edificio o un campus universitario).
PON 2004 – Reti di Computer
12
Tipi di reti (Cont.)
• Wide Area Networks (WAN) – Reti che servono
utenti in una vasta area geografica spesso
utilizzando linee trasmissive fornite da gestori
comuni
• Metropolitan Area Networks (MAN) – Reti che
servono utilizzatori di una area metropolitana
• High Speed Networks – Oggi è 100 Mbps o oltre
per LAN e 10 Mbps o oltre per WANs
PON 2004 – Reti di Computer
13
Una classificazione
per i tipi di rete
Distanza tra
processori
Processori situati
nella stessa...
0,1 m
Circuito
Macchina data flow
1m
Sistema
Multicomputer
10 m
Stanza
100 m
Edificio
1 km
Università
10 km
Città
100 km
Nazione
1.000 km
Continente
10.000 km
Pianeta
Internet
1 a.l.
Sistema Solare
Accettasi suggerimenti....
PON 2004 – Reti di Computer
Esempio
Rete Locale (LAN)
Rete Metropolitana (MAN)
Rete Geografica (WAN)
14
Topologie di reti
Stella
Anello
Albero
Anelli Secanti
Completa
PON 2004 – Reti di Computer
15
Protocolli e architetture:
definizione
• Per ridurre la complessità di progettazione, le reti sono
organizzate in strati o livelli
• Numero, nome, funzionalità dei livelli differiscono da
modello a modello
• Ogni livello, comunque, fornisce servizi al livello
superiore e dialoga con il suo pari
• Tra livelli adiacenti c’è una interfaccia
• Regole e convenzioni usate sono conosciute come
protocolli
• L’insieme di livelli e protocolli definiscono una
architettura
PON 2004 – Reti di Computer
16
Protocolli: livelli e interfacce
Peer di livello5
Livello 5
Protocollo di livello 5
Livello 5
Peer di livello 5
Interfaccia 5/4
Livello 4
Protocollo di livello 4
Livello 4
Interfaccia 4/3
Livello 3
Protocollo di livello 3
Livello 3
Protocollo di livello 2
Livello 2
Protocollo di livello 1
Livello 1
Interfaccia 3/2
Livello 2
Interfaccia 2/1
Peer di livello 1
Livello 1
Peer di livello 1
Mezzo Fisico
PON 2004 – Reti di Computer
17
Relazioni tra livelli
IDU
Livello n+1
ICI
SAP
Interfaccia
Livello n
SDU
ICI
SDU
SAP = Service Access Point
IDU = Interface Data Unit
SDU = Service Data Unit
PDU = Protocol Data Unit
ICI = Interface Control Information
Le entità di liv. N si scambiano
N-PDU nel loro protocollo di
liv. N
intestazione
SDU
N-PDU
PON 2004 – Reti di Computer
18
Modelli di riferimento
• Modello OSI
• Modello 3-Layer
• Modello TCP/IP
PON 2004 – Reti di Computer
19
Modello ISO-OSI
(International Organization for Standardization –
Open System Interconnection )
Application
Indipendente dalla tecnologia
Presentation
Session
Confine
Transport
Network
Data Link
LLC
Dipendente dalla tecnologia
MAC
Physical
PON 2004 – Reti di Computer
20
Modello OSI :
Physical Layer (1)
• Ha a che fare con l’interfacciamento meccanico, elettrico e
procedurale
• Fornisce “collision detection”
• Specifica cavi, connettori e altri componenti
• Trasmette le informazioni “grezze” (raw information) sui
canali di comunicazione
• Stabilisce, mantiene e disconnette i collegamenti fisici
• Include software device drivers per le interfacce di
comunicazione
PON 2004 – Reti di Computer
21
Modello OSI :
Data Link Layer (2)
•
•
•
•
•
•
•
•
•
Fornisce il trasferimento di dati affidabile
Frammenta dati (packets) in frames
Aggiunge bits per la rilevazione e la correzione degli errori
Gestisce l’accesso e l’uso del canale
Risolve problemi causati da perdita, danneggiamento e
frame duplicati
Invia acknowledgment
Aggiunge flag per indicare l’inizio e la fine del messaggio
Servizi “connectionless” o “connection oriented”
Supporta IEEE MAC (Medium Access Control) e LLC
(Logical Link Control)
PON 2004 – Reti di Computer
22
Modello OSI :
Network Layer (3)
•
•
•
•
•
Stabilisce, mantiene e termina connessioni
Determina come i paccheti sono instradati
Divide messaggi di trasporto in paccehtti e li riassembla
Esegue controllo della congestione e controllo di flusso
Fornisce servizi di circuito virtuale (connection oriented) o
datagramma (connectionless)
• Riconosce le priorità dei messaggi
• Invia messaggi nel giusto ordine
• Gestisce l’internetworking
PON 2004 – Reti di Computer
23
Modello OSI :
Transport Layer (4)
• Stabilisce sessioni di trasporto end-to-end affidabili (error
detection e recovery), una volta che il percorso è stato
stabilito
• Frammentazione di messaggi in pacchetti (se non gestito
dal livello 3)
• Multiplexing di varie sessione dalla stessa sorgente e tutte
dirette alla stessa destinazione
• Crea connessioni di rete distinte
• Monitora la QoS (Quality of Service)
• Disassembla e assembla messaggi di sessione
• Controllo flusso (se non viene fatto dal livello 3)
PON 2004 – Reti di Computer
24
Modello OSI :
Session Layer (5)
•
•
•
•
•
•
Stabilisce e controlla questioni system-dependent
Stabilisce e termina connessioni
Servizio di accounting
Interfaccia l’utente alla rete
Autenticazione dell’utente
Controlla i dialoghi, organizza e sincronizza
PON 2004 – Reti di Computer
25
Modello OSI :
Presentation Layer (6)
• Crittografia dei dati, security, compressione e conversione
di codice
• Si assicura che i dati siano codificati in formato standard
(es.:ASCII)
• Gestisce il pass-through dei servizi dal livello Session (5)
al livello Application (7)
PON 2004 – Reti di Computer
26
Modello OSI :
Application Layer (7)
•
•
•
•
•
•
•
•
•
•
login, password check
Concorda la semantica per lo scambio di informazioni
file transfer, accesso e gestione
message handling, e-mail
job transfer e manipulation
directory service
system management
industry protocols
database access and management
terminali virtuali
PON 2004 – Reti di Computer
27
Modello OSI
Data
Processo ricevente
Processo mittente
Application
Application
Presentation
Presentation
Session
Session
Transport
Transport
Network
Network
Data Link
Data Link
Physical
bit
Physical
Physical
PON 2004 – Reti di Computer
28
Modello 3-Layer
• Mappatura tra modello a 7 livelli OSI al modello 3 livelli
– System integrators approach
Application
Network Services
Presentation
Session
Transport
Network Protocols
Network
Data Link
Physical
PON 2004 – Reti di Computer
Network
Infrastructure
29
Modello TCP/IP
• TCP/IP Protocol Suite, ARPANET (DARPA)
Application
Transport (TCP,UDP)
Internet (IP)
Network Access
Physical
PON 2004 – Reti di Computer
30
Confronto tra modello OSI e
TCP/IP
Application
Presentation
Application
Session
Transport
Network
Data Link
Physical
Transport (TCP,UDP)
Internet (IP)
Network Access
Physical
Nota: in realtà il modello TCP/IP non specifica in alcun modo il livello “fisico”...
il che lo rende meno un modello, ma molto più flessibile!
PON 2004 – Reti di Computer
31
Posizionamento dei
dispositivi di rete
• 4 tipi di dispositivi
– Modem; Repeaters
- layer 1
– Bridges; Switches
- layer 2
– Routers
- layer 3
– Gateways
- layers 1-7
• Tutti utilizzano le funzionalità dei livelli più bassi
PON 2004 – Reti di Computer
32
Dispositivi di rete
(Layer 1)
• Modem: Dispositivi OSI-Layer 1. Modulatordemodulator, dispositivo che converte segnali
analogici e digitali, permette ai dati di essere
trasmessi su linee telefoniche pensate per la voce
(PSTN). Standard per i modem includono: V.21,
V.22 bis, V.32 bis, V.34, V.42 bis, ecc.
• Repeater: Dispositivi OSI-Layer 1. Rigenera e
propaga segnali elettrici tra due segmenti di rete
Standard per i Repeater includono: Ethernet,
IEEE 802.3 (10Base5, 10Base2, 10BaseT,
10BaseFX), FDDI, ATM, ecc.
PON 2004 – Reti di Computer
33
Repeaters
max. Ethernet segment
•
•
•
•
•
Utilizzati per estendere le reti
Connettono due segmenti di
cavo
Amplificano ed inviano
segnali tra segmenti
Le stazioni non sanno se un
repeater le separa
IEEE 802.3: max. 4 repeaters
tra due stazioni
PON 2004 – Reti di Computer
max. Ethernet segment
direct connection
repeater
34
Dispositivi di Rete
(Layer 2)
• Bridge: Dispositivi OSI Layer 2. Connettono e
passano pacchetti tra segmenti di rete che usano
simili o differenti protocolli di comunicazione.
Standards per i bridge : IEEE 802.1d, Transparent
Source Routing, Translational, ecc.
• Switch: Dispositivi OSI Layer 2. Bridge molto
veloci. Standards per gli switch: Ethernet, ATM,
Frame Relay, SMDS, ISDN, ecc.
PON 2004 – Reti di Computer
35
Bridges
stations
•Il modo più semplice per estendere una
LAN
• Le LAN possono essere di tipo diverso
•Interconnettono LAN e MAN
•Passato: usate tra LAN con protocolli
identici (fisico, MAC)
stations
bridge
standard connection
(same as computers)
•Presente: usato tra LAN con differenti
protocolli
PON 2004 – Reti di Computer
36
Switches
•
•
stations
switch
•
standard connection
(same as computers)
stations
PON 2004 – Reti di Computer
LAN commutate, un singolo dispositivo
elettronico che trasferisce frames tra
varie stazioni
Hub: simulano un singolo media
condiviso
– Al più due stazioni possono
comunicare alla volta
– La larghezza di banda massima è
R (la velocità a cui un singolo
computer può inviare dati)
Switch: simula una bridged LAN con
una stazione per segmento
– Ogni computer è in un segmento
LAN simulato
– Fino a N/2 (N=numero stazioni)
stazioni possono inviare dati allo
stesso tempo
– La larghezza di banda massima
possibile è RN/2
37
Dispositivi di Rete
(Layer 3 +)
• Router: Dispositivi OSI Layer 3. Trasferiscono
pacchetti da una rete ad un’altra basandosi su
metriche che permetteranno il percorso ottimale.
Gli standard : RIP, OSPF, ISIS, BGP, EGP, ecc.
• Gateway: Dispositivi OSI Layers 1-7. Dispositivi
speciali che convertono informazioni da un
protocol stack ad un altro.
PON 2004 – Reti di Computer
38
Routers/Gateway (I)
Network R
stations
Network G
Router(s)
stations
standard connection
(same as computers)
PON 2004 – Reti di Computer
39
Routers/Gateway (II)
Network B
stations
Router-B
Network A
Network C
stations
Router-A
Router-C
PON 2004 – Reti di Computer
40
Tecnologie di Rete
•
•
•
•
Trasmissione dati
Media trasmissivo
Sistemi di cablaggio
Tecnologie LAN
– Ethernet
– Token Ring
– FDDI
PON 2004 – Reti di Computer
41
Trasmissione Dati
• La trasmissione dei dati dipende da
– Qualità del segnale
– Caratteristiche del media
• Necessità di eseguire elaborazione del segnale
• Necessità di misurare la qualità del segnale ricevuto
– Analogico: rapporto segnale/rumore
– Digitale: probabilità di errori di simbolo
• Per trasmettere bit (0 o 1) abbiamo bisogno di
mapparli in onde elettromagnetiche: tecniche di
modulazione
PON 2004 – Reti di Computer
42
Trasmissione Dati
• I segnali trasmessi sono
– Attenuati
– Distorti
– Corrotti da rumore
• Attenuazione e distorsione dipendono da
– Tipo di media trasmissivo
– Bit rate
– Distanza
• Il media trasmissivo determina
– Data rate
– Larghezza di banda del canale
PON 2004 – Reti di Computer
43
Media trasmissivo
•
Twisted pair (UTP, STP):
– Due coppie isolare di filo attorcigliate a spirale
– Sono utilizzate nelle reti telefoniche
•
Cavo coassiale (Coaxial cable):
– Un conduttore cavo cilindrico circonda un singolo filo interno
– Utilizzato in linee telefoniche a lunga distanza e in trasmissioni televisive
•
Fibbra Ottica:
– Un media flessibile da 2 a 124 mm
– Conduce un raggio ottico
•
Wireless:
–
–
–
–
–
Microonde Terrestri
Microonde satellitari
Trasmissioni radio
Infrarosso
Laser
PON 2004 – Reti di Computer
44
Evoluzione dei sistemi di
cablaggio
1G
622 Mb/s
Data Rate bps
100M
TP-PMD
10BASE-T
10M
16M Token Ring
Baseband
Video
4M Token Ring
1M
IBM 3270
StarLAN 1
100K
ATM
DCP
10K
1K
1975
EIA-232
1980
PON 2004 – Reti di Computer
1985
1990
1995
2000
Anno
45
Costi di Rete
Wiring
LAN
Attachment
Software &
Mainframe
Intelligent
Workstation
Intelligent Workstation
Wiring
34%
5%
7% LAN
Attachment
54%
Software &
Mainframe
PON 2004 – Reti di Computer
46
Cablaggio basato su
Standard
• Unstructured cabling
– Non viene seguito uno standard per l’interconnessione
– Costo iniziale basso, più costoso in seguito
– Difficoltà, a lungo termine, con le tecnologie in
sviluppo
– Difficoltà nella manutenzione e nella scalabilità
• Il cablaggio strutturato ha un costo iniziale
superiore ma può evitare i problemi e le spese
future
PON 2004 – Reti di Computer
47
Cablaggio basato su
standard (Cont.)
• Electronic Industries Association (EIA),
Telecommunications Industry Association (TIA) e
altre compagnie dominanti nelle
telecomunicazioni hanno collaborato per creare lo
standard ANSI/TIA/EIA-568-A per gli edifici
commerciali
• Questo standard definisce il cablaggio strutturato,
un sistema di cablaggio per telecomunicazioni che
può supportare virtualmente ogni applicazione
voce, video o dati che l’utente finale può scegliere
PON 2004 – Reti di Computer
48
Standard
ANSI/TIA/EIA 568-A*
• Le specifiche EIA/TIA 568-A riguardano
–
–
–
–
–
–
–
I media riconosciuti
Topologia.
Distanze di cablaggio
Interfaccie utente
Prestazioni dell’hardware di cablaggio e di connessione
Pratiche di installazione
Prestazioni dei collegamenti
* E’ divenuto EIA/TIA 568-B nel 2001/2002. In Europa è recepito come ISO/IEC IS 11801
PON 2004 – Reti di Computer
49
Elementi di cablaggio
•
•
•
•
•
•
Cablaggio orizzontale (Horizontal Cabling)
Cablaggio Verticale (Backbone Cabling)
Work Area (WA).
Armadio di TLC (Telecommunication closet (TC))
Equipment Room (ER).
Entrance Facility (EF).
PON 2004 – Reti di Computer
50
Elementi di cablaggio (cont.)
PON 2004 – Reti di Computer
51
Tecnologie LAN
•
•
•
•
PON 2004 – Reti di Computer
Ethernet
Token Ring
FDDI
Gigabit Ethernet
52
Ethernet
• Sviluppato nei primi anni ‘70 allo Xerox PARC (Palo Alto
Research Center)
• Standardizzato come IEEE 802.3
• Fornisce comunicazione dati sistemi LAN
• Tecnologia Baseband sviluppata da Xerox, Intel, DEC (Digital
Equipment Co.)
• Version Broadband sviluppata dal MITRE (www.mitre.org)
• Trasmissione basata su frame
• Il metodo di controllo di accesso al media più usato
(CSMA/CD)
PON 2004 – Reti di Computer
53
Token Ring
•
•
•
•
Concetto di “gettone di controllo” della IBM e GM
Metodo deterministico (senza contesa)
Due gli standard principali: IEEE 802.5 MAC, FDDI
Mentre Ethernet utilizza CSMA/CD, Token Ring
utilizza un meccanismo di passaggio di un “gettone”
dove una sola stazione alla volta è ammessa a
“parlare”
• Il traffico si muove in un circolo logico, passando di
stazione in stazione, finchè la stazione appropriata lo
riceve e lo detiene
PON 2004 – Reti di Computer
54
FDDI
•
•
•
•
•
Segue lo schema del token ring
Simile al IEEE 802.5
Non ha bit di prenotazione o priorità
Progettato per LAN e MAN
Fornisce data rates superiori ai 100Mbps
PON 2004 – Reti di Computer
55
FDDI
• FDDI operation
Dual Attach Station
Single Attach Station
PON 2004 – Reti di Computer
Primary Ring
Secondary Ring
56
10, 100, 1000…Ethernet
Ethernet
Speed....................................... 10 Mbps
Cost......................................... X
Fast Ethernet
100 Mbps
2X 10BT
Gigabit Ethernet
1000 Mbps
2-4X 100BT
IEEE Standard...................... 802.3
Media Access Protocol.......... CSMA/CD
Frame Format........................ IEEE 802.3
802.3u
CSMA/CD
IEEE 802.3
802.3z
CSMA/CD
IEEE 802.3
Topology.................................
Cable support.........................
Network diameter (max).......
UTP link distance (max)........
Media independent interface
Star
UTP, fiber
210 meters
100 meters
Yes (MII)
Star
UTP, fiber
200 meters
100 meters
Yes (G-MII)
Full duplex capable?............. Yes
Yes
Yes
Broad multivendor support.. Yes
Multivendor Availability....... Now
Yes
Now
Yes
Now
PON 2004 – Reti di Computer
Bus or star
Coax, UTP, fiber
2,500 meters
100 meters
Yes (AUI)
57
Tecnologia Gigabit Ethernet
10 Mbps Ethernet
CSMA/CD MAC
100 Mbps Ethernet
No change
CSMA/CD MAC
AUI
Thick Coax
(10Base5)
Fiber
(10BaseF)
Thin Coax
(10Base2)
Twisted
Pair
(10Base-T)
PON 2004 – Reti di Computer
1000 Mbps Ethernet
Minor
change
CSMA/CD MAC
MII
G-MII
Four Pair UTP
(100Base-T4)
Four Pair UTP
(TBD)
Fiber
(100Base-FX)
Two Pair
UTP, STP
(100Base-TX)
MM Fiber
CD Laser
1300nm Laser
SM Fiber
1300nm
Laser
58
Terminologia Wireless LAN
• Standard definito dal comitato IEEE 802.11 (http://grouper.ieee.org)
• Basic services set (BSS):
– Contiene stazioni che eseguono lo stesso protocollo MAC
– Le stazioni sono in competizione per l’uso di un media wireless condiviso
• Access point (AP)
– Permette la connessione di un BSS al sistema di distribuzione backbone
– L’AP agisce come un bridge
• Distribution system
– Connette tra loro due o più BSS
– Tipicamente è una backbone LAN su filo
• Extended service set (ESS)
– Collezione di BSS connesse ad un distribution system.
PON 2004 – Reti di Computer
59
Tipi di stazioni wireless
• Definizioni specificate in IEEE 802.11, basate sulla
mobilità
• Tre tipi di stazioni:
– No transition
• Di solito stazionaria
• Può essere mobile in diretta comunicazione con stazioni
all’interno della BSS
– BSS transition
• La stazione si muove da una BSS all’altra all’interno della
stessa ESS
– ESS transition
• La stazione si muove da una BSS di una ESS ad una BSS di
un’altra ESS
PON 2004 – Reti di Computer
60
Specifiche per il media fisico
wireless
• Lo standard fornisce 2 livelli fisici per le onde radio, operanti nella
banda 2.400 – 2.483,5 MHz (dipende dai luoghi) e uno per
l’infrarosso
– Frequency Hopping Spread Spectrum Radio. Questo livello è per le
operazioni a 1 Mbit/s (2 Mbit/s opzionale). La versione 1 Mbit/s utilizza
2 livelli di modulazione GFSK (Gaussian Frequency Shift Keying) e la
versione 2 Mbit/s utilizza 4 livelli GFSK.
– Direct Sequence Spread Spectrum Radio. Questo livello fornisce
operazioni sia a 1 che a 2 Mbit/s. La versione a 1 Mbit/s utilizza DBPSK
(Differential Binary Phase Shift Keying) e la versione a 2 Mbit/s utilizza
DQPSK (Differential Quadrature Phase Shift Keying).
– Infrarosso. Questo livello fornisce 1 Mbit/s con l’opzione dei 2 Mbit/s.
La versione 1 Mbit/s utilizza 16-PPM (Pulse Position Modulation with
16 positions) e la versione 2 Mbit/s utilizza 4-PPM.
PON 2004 – Reti di Computer
61
TCP/IP
• Un insieme di protocolli sviluppati dal U.S. Defense
Department's Advanced Research Projects Agency
(DARPA) nei primi anni ‘70.
• E’ uno standard “de facto”
• E’ ben congegnato per LAN e WAN
• Nascita di Internet: connettività nazionale e internazionale
• Gli standard sono gestiti dall’Internet Activities Board
(IAB) tramite l’Internet Engineering Task Force (IETF)
• Gli standard sono tenuti on line nelle Request for
Comments (RFC) (es.: IP è definito in RFC791 e TCP in
RFC793) (http://rfc.sunsite.dk/)
PON 2004 – Reti di Computer
62
Architettura di TCP/IP
PON 2004 – Reti di Computer
63
IP - Internet Protocol
• L’Internet Protocol (IP) è un protocollo packetbased utilizzato per scambiare dati su reti di
computer. IP manipola indirizzamento,
frammentazione, riassemblaggio e multiplexing
• E’ il fondamento sul quale si basano tutti gli altri
protocolli IP, riferiti collettivamente come “IP
Protocol suite” (TCP, UDP, ICMP, ARP, ecc.).
• IP è protocollo network-layer che contiene
informazioni di indirizzamento e di controllo che
permettono l’instradamento dei pacchetti
PON 2004 – Reti di Computer
64
IP - Internet Protocol
• IP è responsabile per la movimentazione di
pacchetti da nodo a nodo. IP trasmette ogni
pacchetto basandosi su un indirizzo di
destinazione a 4 byte (il “numero IP”). Le autorità
di Internet assegnano gli intervalli di numeri a
differenti organizzazioni. Le organizzazioni
assegnano gruppi dei loro numeri a dipartimenti.
IP opera su macchine gateway che spostano dati
da un dipartimento ad una organizzazione a una
regione e quindi in tutto il mondo.
PON 2004 – Reti di Computer
65
TCP - Transmission Control
Protocol
• Il protocollo TCP (Transmission Control Protocol) si
basa sull’IP layer. TCP e un protocollo connectionoriented che specifica il formato dei dati e gli
acknowledgment (ACK) utilizzati nel trasferimento dei
dati. TCP specifica inoltre le procedure che i computer
utilizzano per assicurarsi che i dati siano arrivati
correttamente.
• TCP permette a più applicazioni su un sistema di
comunicare concorrentemente poichè gestisce il
multiplexing del traffico in ricezione tra le varie
applicazioni.
PON 2004 – Reti di Computer
66
TCP - Transmission Control
Protocol
• TCP è responsabile della verifica del corretto invio
dei dati dal client al server. I dati possono perdersi
nelle reti intermedie. TCP aggiunge supporto al
riconoscimento degli errori o alla perdita di dati e
per innescare la ritrasmissione fino a che i dati
siano stati ticevuti correttamente e completamente.
• “Socket” è il nome dato al package di subroutine
che forniscono l’accesso a TCP/IP su molti
sistemi.
PON 2004 – Reti di Computer
67
UDP - User Datagram
Protocol
• Lo User Datagram Protocol (UDP) è utilizzato
quando il meccanismo di affidabilità di TCP non è
necessario. UDP è un protocollo connection-lessoriented.
• Molte applicazioni client/server che prevedono
una richiesta e una risposta usano UDP invece che
perdere tempo a stabilire una connessione e poi
richiuderla!
• UDP è definito nel RFC768
PON 2004 – Reti di Computer
68
Formato del pacchetto IP (v4)
PON 2004 – Reti di Computer
69
Formato del pacchetto TCP
32 bit
Source Port
Destination Port
Sequence Number
Acknowledgement Number
TCP
hdr
len
U
R
G
A
C
K
P
S
H
Checksum
R
S
T
S
Y
N
F
I
N
Window size
Urgent Pointer
Options (0 o + word da 32 bit)
Data (opzionale)
PON 2004 – Reti di Computer
70
Formato del pacchetto UDP
32 bit
Source Port
UDP length
Destination Port
UDP Checksum
Dati (opzionale)
PON 2004 – Reti di Computer
71
Indirizzamento IP
• L’indirizzo IP è lungo 32 bit, diviso in due o tre
parti:
– La prima parte designa l’indirizzo di rete (net address)
– La seconda parte (se presente) designa l’indirizzo di
sottorete (subnet address)
– La terza parte designa l’indirizzo di nodo (host address)
• Interpretazione concettuale
– [Internet Part:Local Part] - Original
– [Internet Part:Physical Network:Host] - With subnets
PON 2004 – Reti di Computer
72
Indirizzi IP
• L’indirizzamento IP supporta 5 differenti classi di indirizzo:
– Classe A: Principalmente usato con poche ma molto grandi
reti. Solo 7 bit sono usati perl l’indirizzo di rete.
– Classe B: 14 bit usati per il network address, 16 bit per l’host
address
– Classe C: 22 bit per il network address, solo 8 bits per l’host
address.
– Classe D: Riservata per gruppi multicast, i 4 bit di ordine più
alto sono 1, 1, 1, e 0.
– Classe E: Riservata per usi futuri, i 4 bit di ordine più alto
sono tutti ad 1.
PON 2004 – Reti di Computer
73
Indirizzi IP
•
•
•
•
•
Class A:
Class B:
Class C:
Class D:
Class E:
[0:netid:hostid]
[10:netid:hostid]
[110:netid:hostid]
[1110:Multicast]
[11110:Reserved]
PON 2004 – Reti di Computer
74
Indirizzi IP
• Indirizzamento subnet e multicast
– Progettati per conservare indirizzi di rete
– Multipoint delivery
• Indirizzo di loopback
– Non tutti possibili indirizzi sono stati assegnati alle classi
– L’indirizzo di Classe A 127.0.0.0 è riservato per il
loopback
– E’ usato per i test TCP/IP e per le comunicazioni interprocess sulla macchina locale
– Pacchetti con network address non dovrebbero mai
apparire in una rete
PON 2004 – Reti di Computer
75
Indirizzi IP
• Limiti
– Gli indirizzi si riferiscono a connessioni di rete e
non ad host
• Authority per gli indirizzi IP
– Tutti gli indirizzi IP sono assegnati da un’autorità
centrale
– IANA: Internet Assigned Number Authority ha il
controllo globale
– INTERNIC: Internet Network Information Center
assegna gli indirizzi
PON 2004 – Reti di Computer
76
Security TCP/IP
• La Network security può essere mirata al:
– Layer 1 (Physical Media)
– Layer 2 (Data Link)
– Layer 3 (Network Layer)
– Layer 6 & 7 ( Presentation e Application Layer)
• Non esiste una singola soluzione alla TCP/IP security
– Hub switching
– Router packet filter
– Router access list e firewall
– Crittografia
PON 2004 – Reti di Computer
77
Applicazioni e Servizi
TCP/IP
• FTP ( File Transfer Protocol): Muove file tra
computer.
• Telnet ( Terminal Emulation Protocol): Permette
una emulazione di terminale virtuale.
• SMTP ( Simple Mail Transfer Protocol): Fornisce
il meccanismo di trasporto per e-mail.
• SNMP ( Simple Network Management Protocol):
E’ un protocollo di network management utilizzato
per rapportare condizioni anomale di rete e per
impostare i valori di soglia (SNMP Version 1 e 2).
PON 2004 – Reti di Computer
78
Applicazioni e Servizi
TCP/IP
• HTTP (Hypertext Transfer Protocol)
• NFS (Network File System): Permette
l’accesso trasparente alle risorse di rete.
Include 3 servizi:
– NFS (Network File System)
– XDR (eXternal Data Representation)
– RPC (Remote Procedure Call)
PON 2004 – Reti di Computer
79
Architettura delle Applicazioni
e Servizi TCP/IP
PON 2004 – Reti di Computer
80
Introduzione alla ICT
Security
•
•
•
•
•
Cosa è la Security?
Perchè ne ho bisogno?
Livelli di Security
Alcuni scenari
Politiche di Security
PON 2004 – Reti di Computer
81
Cosa è la Security?
• Procedure che proteggono
– Voi, i vostri impiegati e i vostri pari
– Supporti elettronici o cartacei
– Hardware, software e reti
• Protegge da danni, furti o modifiche
• Protegge i beni e le risorse da
– Errori umani
– Intrusi dall’esterno
– Impiegati disonesti
– Sabotaggio tecnico
PON 2004 – Reti di Computer
82
Perchè ne ho bisogno?
•
•
•
•
•
•
Tipico furto bancario: $9000
Tipico crimine malavitoso o “white collar”: $25000
Tipico crimine elettronico: $650000
Nominate una società: è stata quasi certamente violata
Quanto costa in un anno? (Stimato: $5 miliardi)
Il 17% delle società USA ha avuto delle perdite a causa di
mancanza di security
• Il CERT (www.cert.org) riporta un aumento del 77% delle
violazioni dei computer dal 1994-1995*
• E’ stimato che l’85%-97% delle intrusioni non viene
scoperto
PON 2004 – Reti di Computer
83
Perchè ne ho bisogno?
• La crescita di Internet e delle applicazioni client/server sta
trasportando sempre di più gli affari in rete. Questo
comporta grosse perdite se i dati vengono alterati o rubati
• L’Internetworking è ottimo per la condivisione di dati ma
riduce la security.
• Vi protegge da un attacco al vostro account o network
• Protegge gli altri dall’essere attaccati dal vostro account o
network
• Disaster recovery
PON 2004 – Reti di Computer
84
Perchè ne ho bisogno?
Statistiche - I
• Chi attacca è:
– Un impiegato in carica : 81%
– Un ex impiegato : 6%
– Esterni : 13%
PON 2004 – Reti di Computer
85
Perchè ne ho bisogno?
Statistiche - II
• Cosa fanno?
– Furto di denaro : 44%
– Furto di informazioni : 16%
– Danno al software : 16%
– Alterazione di informazioni : 12%
– Furto di servizi : 10%
– Trasgressione : 2%
PON 2004 – Reti di Computer
86
Perchè ne ho bisogno?
Statistiche - III
• Danno ai dati
– Impiegati disonesti : 10%
– Terrorismo : 3%
– Sabotaggio tecnico : 10%
– Allagamenti : 10%
– Incendi : 15%
– Errore umano : 55%
PON 2004 – Reti di Computer
87
Livelli di Security
• Lo United States Department of Defense
(DoD) ha definito 7 livelli di security per i
S.O. dei computer in un documento
conosciuto come Trusted Computer
Standards Evaluation Criteria (TC-SEC alias
“Orange Book”, dal colore della sua
copertina) (www.fas.org/irp/nsa/rainbow.htm).
• I livelli sono usati per definire i differenti
livelli di protezione per hardware, software,
e per le informazioni registrate.
• Il sistema è complementare – i livelli più alti
includono le funzionalità dei livelli più bassi
PON 2004 – Reti di Computer
A
B
C
D
88
Livelli di Security
Classe “D”
• D1 è la più bassa forma di sicurezza disponibile e
dispone che il sistema è “senza fiducia”
(untrusted)
• Una valutazione D1 non è stata mai assegnata
perchè, essenzialmente, indica la completa
mancanza di security
D
PON 2004 – Reti di Computer
89
Livelli di Security
Classe “C”
• C1 è il più basso livello di security.
– Il sistema ha controllo di read/write su file e directory e
autenticazione tramite user login. Comunque, non esiste
un supervisoe e l’auditing (system logging) non è
disponibile.
– Molte macchine Window$ potrebbero essere classificate
C1.
• C2 implementa una funzione di auditing per
registrare gli eventi security-related e fornisce
una portezione più forte sui file chiave del
sistema, come il file delle password
C
– Molte macchine *nix (Unix, Linux...) hanno la capacità di
divenire, con software aggiuntivo, conformi al livello C2.
PON 2004 – Reti di Computer
90
Livelli di Security
Classe “B”
• B1 supporta security multi-level, come secret e top
secret, e MAC (mandatory access control) che significa
che un utente non può modificare le permissions su file
o directory
• B2 richiede che ogni oggetto e file sia etichettato in
B
accordo al suo livello di sicurezza e che queste netichette
cambiano dinamicamente dipendenti da come vengono
usate.
• B3 estende i livelli di security fino al livello
dell’hardware di sistema; per esempio, i terminali
possono solo connettersi tramite cavi affidabili e
hardware di sistema specilizzato per assicurarsi che non
ci siano accessi non autorizzati
PON 2004 – Reti di Computer
91
Livelli di Security
Classe “A”
• A1 è il più alto livello di security.
• La progettazione del sistema deve
essere matematicamente verificata;
tutto l’hardware e il software
devono essere stati protetti durante
la spedizione per prevenire
alterazioni
PON 2004 – Reti di Computer
A
92
Tipi di Attacco
1 - Incendio
• C’è stato un incendio nell’ufficio. Il fuoco ha
distrutto tutto il software, il computer, e molti dei
file. L’ufficio era quello dell’amministratore che
gestisce le promozioni, il budget e i contratti
• Prevenzione?
• Cosa fare?
PON 2004 – Reti di Computer
93
Disaster Recovery Plan
(DRP)
• Politica di Backup
• Quali passi intraprendere quando si ha un disastro
• Persone da contattare
PON 2004 – Reti di Computer
94
Disaster Recovery (Backups)
• Create una politica di backup
• Ci sono 2 ragione per il backups
– Ripristino dalla cancellazione accidentale di
file
– Ripristino da disastri
• Seguite la politica ed effettuate il backup
regolarmente.
• Verificare i backup a intervalli
• Tenere i backups in altro luogo
PON 2004 – Reti di Computer
95
Disaster Recovery
(Recovery)
• Cosa fare quando capita un grande disastro?
– NON FATEVI PRENDERE DAL PANICO
– In fin dei conti avete il vostro bravo backup
– Seguite il vostro DRP (Perchè...ce lo avete un piano,
no??)
PON 2004 – Reti di Computer
96
Tipi di Attacco
2 – Furto o modifica
• In un ufficio aperto, trafficato avete accesso
a risorse finanziarie via rete, ma dovete
anche svolgere altri compiti che vi
allontanano dalla vostra scrivania spesso.
• Come svolgete il vostro lavoro... Senza
compromettere i dati?
PON 2004 – Reti di Computer
97
Protezione da furto o
modifica
•
•
•
•
•
•
•
•
Analisi dei rischi (Risks analysis)
Quali sono i rischi potenziali?
Chi vuole vedere questi dati?
Chi vuole cambiare questi dati?
Sono possibili attacchi dall’interno?
DOVETE creare una politica di security!
Proteggere l’area dai “passanti”
Avere una buona passwords e screen saver con password
PON 2004 – Reti di Computer
98
Tipi di attacco
3 – PASSWORD
• Utilizzando tool facilmente accessibili (hacker
tools) la vostra password può facilmente essere
scoperta e qualcuno può usarla o usare il vostro
account per portare altri attacchi.
• Prevenzione?
• Cosa fare?
PON 2004 – Reti di Computer
99
Password Hacker
(Prevenzione)
• Buone password (non solo lettere, ma anche
numeri e segni di interpunzione, almeno 8
caratteri, maiuscole e minuscole…)
• Cambiarle spesso
• Osservate qual e’ stato l’ultimo accesso con il
vostro account
• Controllate se ci sono nuovi file o se ne sono stati
modificati altri o se CI SONO COSE CHE NON
FARESTE SOLITAMENTE
PON 2004 – Reti di Computer
100
Password (per l’utente)
•
•
•
•
NON FATEVI PRENDERE DAL PANICO
Cambiate la/le vostre password
Contattare l’amministratore della security
Date un occhio se vi sono back doors lasciate
dall’intruso (dovete essere proprio in gamba, per
questo)
PON 2004 – Reti di Computer
101
Password (per il Security
Admin)
• Monitorate se ci sono nuovi file o modificati, cose che l’utente
non è solito fare...
• Cercate back door lasciate dall’intruso
• Controllate se ci sono nuovi account
• Abilitate l’accounting così da tracciare i comandi che questa
persona esegue
• Controllate se esistono patch per “buchi” della security che
possono essere sfruttati per portare attacchi
• Cercate sui siti web e sulle news group per informazioni sulla
security (ricordatevi che è qui che gli hacker acquisiscono le
loro informazioni)
PON 2004 – Reti di Computer
102
Password (NO!)
• NON usate il login in ogni forma (com’è, al contrario, in
maiuscolo, raddoppiato...)
• NON usate il vostro nome, cognome, quello dei vostri
figli, moglie, fidanzata in nessuna forma
• NON usate altre informazioni che possono essere
facilmente ottenute su voi (patente, numero telefonico...)
• NON usate una password di tutti numeri, lettere...
• NON usate parole di senso compiuto
• NON usare password più corte di 6 caratteri
PON 2004 – Reti di Computer
103
Password (SI)
• Usate password con lettere maiuscole/minuscole
mischiate
• Usate password con caratteri non alfabetici
(numeri o segni di interpunzione)
• Usate password facili da ricordare, in modo da
non doverle scrivere
PON 2004 – Reti di Computer
104
Tipi di attacco
4 - DoS
• Siete seduti nel vostro ufficio quando il vostro
mail server diventa irraggiungibile. Un’ora dopo
accade di nuovo e così anche ad altri servizi.
PON 2004 – Reti di Computer
105
Denial of Service
• Attacchi di tipo “SYN” si avvantaggiano di problemi
inerenti TCP/IP, e possono causare il malfunzionamento di
certi servizi
• “PING Flood” possono mettere K.O. l’intera rete
• Tutti gli attacchi sono progettati per rendere inutilizzabile
un servizio
• Un firewall può bloccare molti degli attacchi “denial of
service”
• Un router può essere usato per bloccare “a mano”
l’indirizzo IP dal quale il DoS è partito
• Attacchi “Denial of service” sono difficili da fermare
PON 2004 – Reti di Computer
106
Tipi di attacco
5 - VIRUS
• Il vostro PC inizia a comportarsi in modo strano,
file scompaiono, si odono le “voci”...AVETE UN
VIRUS!!!
• Prevenzione?
• Cosa fare?
PON 2004 – Reti di Computer
107
Virus (Sintomi)
•
•
•
•
•
Comportamenti irregolari
Cattive prestazioni
Attività strane
Perdita di file o directory
…risposta positiva dal vostro software antivirus
(nel migliore dei casi ;-) )
PON 2004 – Reti di Computer
108
Virus (Prevenzione)
• Avere un buon backup
• Scansione di tutti i supporti, file, mail...
• Scansione del vostro sistema giornalmente (o “onthe-fly”/”real-time”)
PON 2004 – Reti di Computer
109
Virus (Cosa fare)
•
•
•
•
NON FATEVI PRENDERE DAL PANICO
Utilizzate sistemi antivirus
Ricordatevi che avete un backup (??!!??)
Contattate il Security Administrator se avete
bisogno di aiuto
PON 2004 – Reti di Computer
110
Tipi di attacco
6 - SNIFF
• Una studentessa vi porta una lista di account e
password che ha trovato vicino ad un PC.
Sembrano essere state prese con uno...sniffer!
• Prevenzione?
• Cosa fare?
PON 2004 – Reti di Computer
111
Sniffer (Prevenzione)
• Siate sicuri che i computer pubblicamente accessibili siano
protetti
– Non lasciate che gli utenti vi installino programmi
– Fate in modo che gli utenti si “firmino” per l’utilizzo
– Autenticate l’utete prima di permettergli l’utilizzo del PC
• Questo vi aiuterà a tener traccia di chi ha fatto cosa se qualcosa
dovesse accadere
• Avere una security policy vi renderà possibile prendere azioni
contro chi usa gli sniffer
• Ricordatevi: uno sniffer può solo annusarsi i piedi in una rete
commutata e non può attraversare un router
PON 2004 – Reti di Computer
112
Sniffer (Cosa fare)
• Contattate gli utenti della lista e obbligateli a
cambiare password
• Iniziate a monitorare la lista di utenti per vedere se
qualcuno tenta di accedere usando tali account
PON 2004 – Reti di Computer
113
Security Policy
• La prima regola della security è,
fondamentalmente: qualunque cosa non abbiate
esplicitamente detto che non deve essere fatta, si è
autorizzati a farla.
• Una buona security policy dovrebbe partire
negando tutti gli accessi e quindi espressamente
autorizzare quelli necessari
• Considerare gli obiettivi e la missione del vostro
sito
– Un sito militare avrà requisiti diversi da un sito universitario, così
come un dipartimento dall’altro nello stesso sito
PON 2004 – Reti di Computer
114
Security Policy
• Create una lista di beni che devono essere protetti
– Hardware
– Software
– Dati
– Documentazione
– Forniture
PON 2004 – Reti di Computer
115
Security Policy
• Comunicate la politica agli utenti
• Agli utenti dovrebbe essere detto qual è
l’accettabile uso della politica al momento
in cui acquisiscono il loro account.
PON 2004 – Reti di Computer
116
Valutazione del rischio
(Risk Assessment)
• Quali sono i vostri rischi?
– Che tipo di dati state proteggendo?
– Da cosa?
– Ci sono società e consulenti che lo possono fare per voi
• Il processo di esaminare tutti i vostri rischi e
assegnarli un livello di severità del rischio.
• Questo processo coinvolge decisioni a livello di
costo relativamente a quello che dovete proteggere
PON 2004 – Reti di Computer
117
Risk Assessment
• Usate uno schema per pesare i rischi nei confronti
dell’importanza dei dati
• Questo permetterà alle politiche di essere ritagliate
nei confronti di quello che maggiormente volete
proteggere
PON 2004 – Reti di Computer
118
Risk Assessment –
Rischi Possibili
•
•
•
•
Utilizzo non autorizzato
Servizi non disponibili
Furto di dati
…
PON 2004 – Reti di Computer
119
Uso Accettabile
•
•
•
•
•
•
•
•
•
•
•
•
Chi può usarlo?
Per cosa possono usarlo?
Chi può concederne l’uso?
Qual è il consumo di risorse?
Cosa è l’abuso del sistema?
Agli utenti è concesso condividere account?
Chi fa il backup?
E-mail privacy?
Politica sulle oscenità?
Politica sul “mail forgery” (mittente fasullo)?
Che altro?
Chi interpreterà questa politica? Un comitato, una persona, o...?
PON 2004 – Reti di Computer
120
Auditing
• Usate i tool del vostro sistema per controllare i log
files
• Controllate gli orari inusuali di accesso degli
utenti
• Controllate i luoghi di accessi inusuali
• Controllate i login falliti
• Controllate i grossi numeri di messaggi di errore
PON 2004 – Reti di Computer
121
Revisione
• Alla fine di tutto il processo…rivederlo!
• Se non lo fate, potreste essere superati dagli ultimi
metodi di “penetrazione”
• A intervalli, dovreste comunque rivedere e
rivalutare i rischi
• Le cose cambiano spesso...e velocemente!
PON 2004 – Reti di Computer
122
Siti Web di interesse
• Ci sono varie organizzazioni di interesse:
– CLUSIT : http://www.clusit.it/
– CERT : http://www.cert.org/
– CIAC : http://ciac.llnl.gov/ciac/
– NISC : http://cscrc.nisc.gov/
– IBM ERS : http://www.ers.ibm.com/
E altri riferimenti riportati nella presentazione stessa.
E ora…
PON 2004 – Reti di Computer
123
... Una perla di saggezza!
Spaf’s First Principle of Security
Administration
If you have responsibility for security, but
have no authority to set rules or punish
violators, your own role in the organization
is to take the blame when something big
goes wrong
PON 2004 – Reti di Computer
124