PON 2004 Reti di Computer

1
PON 2004Reti di Computerpiù una breve
introduzione alla Sicurezza ICTBy G.Esposito
2
Reti di Computerindice

• Introduzione
• Definizioni
• Tecnologie per le Reti
• Tecnologie per le LAN
• Tecnologie e Servizi di Internetworking
• Il futuro delle Reti
• Fondamenti di ICT Security
• Internet Firewalls

3
Perchè le Reti sono importanti

• La tecnologia chiave del 20 secolo è la
  raccolta, lelaborazione e la distribuzione di
  informazioni
• Reti telefoniche estese a tutto il Mondo sono in
  essere
• Reti Radio e Televisive hanno raggiunto ogni
  angolo del mondo
• Sono stati lanciati Satelliti per Comunicazioni
• Nei passati 20/30 anni computer molto potenti
  sono stati interconnessi per formare reti di
  computer
• Queste Reti stanno rapidamente cambiando il
  nostro modo di insegnare, imparare, fare affari,
  comunicare luno con laltro.

4
Una ingenua definizione di Computer Network

• Una rete di computer interconnette una varietà di
  nodi di elaborazione (end nodes) così che
  possano comunicare tra loro

5
Blocchi fondamentali di una Rete

• Terminali, Workstation, Computer, e altri
  dispositivi (end nodes)
• Media Trasmissivi ( per trasmettere dati e
  segnali di controllo)
• Elettronica di Rete (dispositivi intermedi per
  instradare o commutare dati da una sorgente ad
  una destinazione)
• Software per controllare la trasmissione
• Standard Architetturali di Rete (assicurano la
  interoperabilità tra dispositivi costruiti da
  diverse Case)

6
Terminali e Workstation

• Questi dispositivi sono le sorgenti e le
  destinazioni di dati in una Rete (cioè end
  nodes dove i dati sono originati o ricevuti)
• Esempi
• Personal computer
• Terminali
• Workstation
• Computer
• Registratori di cassa
• Bancomat

7
Media Trasmissivi

• Questi trasmettono i segnali elettrici o ottici e
  possono essere vari. Questi possono essere
  vincolati (bounded) o non vincolati
  (unbounded)

Bounded Media Unbounded Media - Twisted
pair wire - AM and FM radio - Co-axial cable -
TV broadcasting - Fiber optic cables - Satellite
communication - Wave guides - Microwave
radio - Infrared signals
8
Elettronica di Rete

• I dispositivi elettronici di Rete assolvono una
  varietà di funzioni che includono linstradamento
  (routing) e la commutazione (switching) di dati
  dalla sorgente alla destinazione o che forniscono
  linterfaccia tra differenti media trasmissivi o
  protocolli di comunicazione
• Esempi
• - Bridges - Concentrators
• - Routers - Front End Processors
• - Private Branch - Switches
• Exchange (PBX) - Hubs
• - Multiplexers - Gateways

9
Software

• Il Software negli end nodes implementa le
  tecniche e i protocolli che definiscono le regole
  e le procedure per iniziale e terminare
  trasferimento dati, interpretare come i dati
  siano rappresentati e trasmessi e come devono
  essere gestiti gli errori
• Il Software nellelettronica di Rete, esegue
  altre funzioni per assicurare che i dati siano
  trasmessi dalla sorgente alla/e destinazione/i

10
Organizazioni degli Standard

• ITU - International Telecommunication Union che
  sviluppa standard mondiali per le tecnologie
  telecomunicative
• CCITT - Consultative Committee for International
  Telegraph and Telephone. Responsabile per lo
  sviluppo degli standard di comunicazione
• IEEE - Institute of Electrical and Electronic
  Engineers.
• ISO - International Standardization Organization.
  Responsabile per un ampio campo di standard,
  includenti quelli di rete

11
Organizzazioni degli Standard (Cont.)

• ANSI - American National Standards Institute.
  Approva standard U.S.A e sviluppa orientamenti
  U.S.A nelle organizzazioni internazionali degli
  standard
• IAB - Internet Architecture Board. Ricercatori
  di Internetwork che discutono argomenti
  pertinenti allarchitettura Internet
• IETF - Internet Engineering Task Force. Consiste
  di oltre 80 working group responsabili per lo
  sviluppo degli standard Internet

12
Tipi di Reti

• Privata Reti per lutilizzo privato di una
  società e dei suoi utenti autorizzati e nessun
  altro
• Pubblica Reti che possono essere usate da
  chiunque (es. la rete telefonica)
• Local Area Networks (LAN). Reti confinate ad
  utenti in una piccola area geografica (es. un
  edificio o un campus universitario).

13
Tipi di reti (Cont.)

• Wide Area Networks (WAN) Reti che servono
  utenti in una vasta area geografica spesso
  utilizzando linee trasmissive fornite da gestori
  comuni
• Metropolitan Area Networks (MAN) Reti che
  servono utilizzatori di una area metropolitana
• High Speed Networks Oggi è 100 Mbps o oltre per
  LAN e 10 Mbps o oltre per WANs

14
Una classificazione per i tipi di rete
Distanza tra processori Processori situati nella stessa... Esempio
0,1 m Circuito Macchina data flow
1 m Sistema Multicomputer
10 m Stanza Rete Locale (LAN)
100 m Edificio Rete Locale (LAN)
1 km Università Rete Locale (LAN)
10 km Città Rete Metropolitana (MAN)
100 km Nazione Rete Geografica (WAN)
1.000 km Continente Rete Geografica (WAN)
10.000 km Pianeta Internet
1 a.l. Sistema Solare Accettasi suggerimenti....
15
Topologie di reti
16
Protocolli e architetture definizione

• Per ridurre la complessità di progettazione, le
  reti sono organizzate in strati o livelli
• Numero, nome, funzionalità dei livelli
  differiscono da modello a modello
• Ogni livello, comunque, fornisce servizi al
  livello superiore e dialoga con il suo pari
• Tra livelli adiacenti cè una interfaccia
• Regole e convenzioni usate sono conosciute come
  protocolli
• Linsieme di livelli e protocolli definiscono una
  architettura

17
Protocolli livelli e interfacce
Protocollo di livello 5
Livello 5
Livello 5
Peer di livello5
Peer di livello 5
Interfaccia 5/4
Protocollo di livello 4
Livello 4
Livello 4
Interfaccia 4/3
Protocollo di livello 3
Livello 3
Livello 3
Interfaccia 3/2
Protocollo di livello 2
Livello 2
Livello 2
Interfaccia 2/1
Protocollo di livello 1
Livello 1
Livello 1
Peer di livello 1
Peer di livello 1
Mezzo Fisico
18
Relazioni tra livelli
SAP Service Access Point IDU Interface Data
Unit SDU Service Data Unit PDU Protocol Data
Unit ICI Interface Control Information
IDU
Livello n1
ICI
SDU
SAP
Interfaccia
Le entità di liv. N si scambiano N-PDU nel loro
protocollo di liv. N
SDU
ICI
Livello n
SDU
intestazione
N-PDU
19
Modelli di riferimento

• Modello OSI
• Modello 3-Layer
• Modello TCP/IP

20
Modello ISO-OSI (International Organization
for Standardization Open System
Interconnection )
LLC
MAC
21
Modello OSI Physical Layer (1)

• Ha a che fare con linterfacciamento meccanico,
  elettrico e procedurale
• Fornisce collision detection
• Specifica cavi, connettori e altri componenti
• Trasmette le informazioni grezze (raw
  information) sui canali di comunicazione
• Stabilisce, mantiene e disconnette i collegamenti
  fisici
• Include software device drivers per le interfacce
  di comunicazione

22
Modello OSI Data Link Layer (2)

• Fornisce il trasferimento di dati affidabile
• Frammenta dati (packets) in frames
• Aggiunge bits per la rilevazione e la correzione
  degli errori
• Gestisce laccesso e luso del canale
• Risolve problemi causati da perdita,
  danneggiamento e frame duplicati
• Invia acknowledgment
• Aggiunge flag per indicare linizio e la fine del
  messaggio
• Servizi connectionless o connection oriented
• Supporta IEEE MAC (Medium Access Control) e LLC
  (Logical Link Control)

23
Modello OSI Network Layer (3)

• Stabilisce, mantiene e termina connessioni
• Determina come i paccheti sono instradati
• Divide messaggi di trasporto in paccehtti e li
  riassembla
• Esegue controllo della congestione e controllo di
  flusso
• Fornisce servizi di circuito virtuale (connection
  oriented) o datagramma (connectionless)
• Riconosce le priorità dei messaggi
• Invia messaggi nel giusto ordine
• Gestisce linternetworking

24
Modello OSI Transport Layer (4)

• Stabilisce sessioni di trasporto end-to-end
  affidabili (error detection e recovery), una
  volta che il percorso è stato stabilito
• Frammentazione di messaggi in pacchetti (se non
  gestito dal livello 3)
• Multiplexing di varie sessione dalla stessa
  sorgente e tutte dirette alla stessa destinazione
• Crea connessioni di rete distinte
• Monitora la QoS (Quality of Service)
• Disassembla e assembla messaggi di sessione
• Controllo flusso (se non viene fatto dal livello
  3)

25
Modello OSI Session Layer (5)

• Stabilisce e controlla questioni system-dependent
• Stabilisce e termina connessioni
• Servizio di accounting
• Interfaccia lutente alla rete
• Autenticazione dellutente
• Controlla i dialoghi, organizza e sincronizza

26
Modello OSI Presentation Layer (6)

• Crittografia dei dati, security, compressione e
  conversione di codice
• Si assicura che i dati siano codificati in
  formato standard (es.ASCII)
• Gestisce il pass-through dei servizi dal livello
  Session (5) al livello Application (7)

27
Modello OSI Application Layer (7)

• login, password check
• Concorda la semantica per lo scambio di
  informazioni
• file transfer, accesso e gestione
• message handling, e-mail
• job transfer e manipulation
• directory service
• system management
• industry protocols
• database access and management
• terminali virtuali

28
Modello OSI
Data
Processo mittente
Processo ricevente
Application
Application
Presentation
Presentation
Session
Session
Transport
Transport
Network
Network
Data Link
Data Link
Physical
Physical
bit
Physical
29
Modello 3-Layer

• Mappatura tra modello a 7 livelli OSI al modello
  3 livelli
• System integrators approach

30
Modello TCP/IP

• TCP/IP Protocol Suite, ARPANET (DARPA)

31
Confronto tra modello OSI e TCP/IP
Nota in realtà il modello TCP/IP non specifica
in alcun modo il livello fisico... il che lo
rende meno un modello, ma molto più flessibile!
32
Posizionamento dei dispositivi di rete

• 4 tipi di dispositivi
• Modem Repeaters - layer 1
• Bridges Switches - layer 2
• Routers - layer 3
• Gateways - layers 1-7
• Tutti utilizzano le funzionalità dei livelli più
  bassi

33
Dispositivi di rete (Layer 1)

• Modem Dispositivi OSI-Layer 1.
  Modulator-demodulator, dispositivo che converte
  segnali analogici e digitali, permette ai dati di
  essere trasmessi su linee telefoniche pensate per
  la voce (PSTN). Standard per i modem includono
  V.21, V.22 bis, V.32 bis, V.34, V.42 bis, ecc.
• Repeater Dispositivi OSI-Layer 1. Rigenera e
  propaga segnali elettrici tra due segmenti di
  rete Standard per i Repeater includono
  Ethernet, IEEE 802.3 (10Base5, 10Base2, 10BaseT,
  10BaseFX), FDDI, ATM, ecc.

34
Repeaters

• Utilizzati per estendere le reti
• Connettono due segmenti di cavo
• Amplificano ed inviano segnali tra segmenti
• Le stazioni non sanno se un repeater le separa
• IEEE 802.3 max. 4 repeaters tra due stazioni

35
Dispositivi di Rete (Layer 2)

• Bridge Dispositivi OSI Layer 2. Connettono e
  passano pacchetti tra segmenti di rete che usano
  simili o differenti protocolli di comunicazione.
  Standards per i bridge IEEE 802.1d,
  Transparent Source Routing, Translational, ecc.
• Switch Dispositivi OSI Layer 2. Bridge molto
  veloci. Standards per gli switch Ethernet, ATM,
  Frame Relay, SMDS, ISDN, ecc.

36
Bridges

• Il modo più semplice per estendere una LAN
• Le LAN possono essere di tipo diverso
• Interconnettono LAN e MAN
• Passato usate tra LAN con protocolli identici
  (fisico, MAC)
• Presente usato tra LAN con differenti protocolli

37
Switches

• LAN commutate, un singolo dispositivo elettronico
  che trasferisce frames tra varie stazioni
• Hub simulano un singolo media condiviso
• Al più due stazioni possono comunicare alla volta
• La larghezza di banda massima è R (la velocità a
  cui un singolo computer può inviare dati)
• Switch simula una bridged LAN con una stazione
  per segmento
• Ogni computer è in un segmento LAN simulato
• Fino a N/2 (Nnumero stazioni) stazioni possono
  inviare dati allo stesso tempo
• La larghezza di banda massima possibile è RN/2

switch
stations
standard connection (same as computers)
stations
38
Dispositivi di Rete (Layer 3 )

• Router Dispositivi OSI Layer 3. Trasferiscono
  pacchetti da una rete ad unaltra basandosi su
  metriche che permetteranno il percorso ottimale.
  Gli standard RIP, OSPF, ISIS, BGP, EGP, ecc.
• Gateway Dispositivi OSI Layers 1-7. Dispositivi
  speciali che convertono informazioni da un
  protocol stack ad un altro.

39
Routers/Gateway (I)
Network R
Network G
stations
stations
Router(s)
standard connection (same as computers)
40
Routers/Gateway (II)
41
Tecnologie di Rete

• Trasmissione dati
• Media trasmissivo
• Sistemi di cablaggio
• Tecnologie LAN
• Ethernet
• Token Ring
• FDDI

42
Trasmissione Dati

• La trasmissione dei dati dipende da
• Qualità del segnale
• Caratteristiche del media
• Necessità di eseguire elaborazione del segnale
• Necessità di misurare la qualità del segnale
  ricevuto
• Analogico rapporto segnale/rumore
• Digitale probabilità di errori di simbolo
• Per trasmettere bit (0 o 1) abbiamo bisogno di
  mapparli in onde elettromagnetiche tecniche di
  modulazione

43
Trasmissione Dati

• I segnali trasmessi sono
• Attenuati
• Distorti
• Corrotti da rumore
• Attenuazione e distorsione dipendono da
• Tipo di media trasmissivo
• Bit rate
• Distanza
• Il media trasmissivo determina
• Data rate
• Larghezza di banda del canale

44
Media trasmissivo

• Twisted pair (UTP, STP)
• Due coppie isolare di filo attorcigliate a
  spirale
• Sono utilizzate nelle reti telefoniche
• Cavo coassiale (Coaxial cable)
• Un conduttore cavo cilindrico circonda un singolo
  filo interno
• Utilizzato in linee telefoniche a lunga distanza
  e in trasmissioni televisive
• Fibbra Ottica
• Un media flessibile da 2 a 124 mm
• Conduce un raggio ottico
• Wireless
• Microonde Terrestri
• Microonde satellitari
• Trasmissioni radio
• Infrarosso
• Laser

45
Evoluzione dei sistemi di cablaggio
1G
Data Rate bps
622 Mb/s
ATM
100M
TP-PMD
10BASE-T
16M Token Ring
10M
Baseband Video
4M Token Ring
IBM 3270
1M
StarLAN 1
DCP
100K
10K
EIA-232
1K
Anno
1975
1980
1985
1990
1995
2000
46
Costi di Rete
Wiring
Intelligent Workstation
Wiring
34
LAN
5
Attachment
7
LAN Attachment
Software
Mainframe
Intelligent
Workstation
54
Software Mainframe
47
Cablaggio basato su Standard

• Unstructured cabling
• Non viene seguito uno standard per
  linterconnessione
• Costo iniziale basso, più costoso in seguito
• Difficoltà, a lungo termine, con le tecnologie in
  sviluppo
• Difficoltà nella manutenzione e nella scalabilità
• Il cablaggio strutturato ha un costo iniziale
  superiore ma può evitare i problemi e le spese
  future

48
Cablaggio basato su standard (Cont.)

• Electronic Industries Association (EIA),
  Telecommunications Industry Association (TIA) e
  altre compagnie dominanti nelle telecomunicazioni
  hanno collaborato per creare lo standard
  ANSI/TIA/EIA-568-A per gli edifici commerciali
• Questo standard definisce il cablaggio
  strutturato, un sistema di cablaggio per
  telecomunicazioni che può supportare virtualmente
  ogni applicazione voce, video o dati che lutente
  finale può scegliere

49
Standard ANSI/TIA/EIA 568-A

• Le specifiche EIA/TIA 568-A riguardano
• I media riconosciuti
• Topologia.
• Distanze di cablaggio
• Interfaccie utente
• Prestazioni dellhardware di cablaggio e di
  connessione
• Pratiche di installazione
• Prestazioni dei collegamenti
• E divenuto EIA/TIA 568-B nel 2001/2002. In
  Europa è recepito come ISO/IEC IS 11801

50
Elementi di cablaggio

• Cablaggio orizzontale (Horizontal Cabling)
• Cablaggio Verticale (Backbone Cabling)
• Work Area (WA).
• Armadio di TLC (Telecommunication closet (TC))
• Equipment Room (ER).
• Entrance Facility (EF).

51
Elementi di cablaggio (cont.)
52
Tecnologie LAN

• Ethernet
• Token Ring
• FDDI
• Gigabit Ethernet

53
Ethernet

• Sviluppato nei primi anni 70 allo Xerox PARC
  (Palo Alto Research Center)
• Standardizzato come IEEE 802.3
• Fornisce comunicazione dati sistemi LAN
• Tecnologia Baseband sviluppata da Xerox, Intel,
  DEC (Digital Equipment Co.)
• Version Broadband sviluppata dal MITRE
  (www.mitre.org)
• Trasmissione basata su frame
• Il metodo di controllo di accesso al media più
  usato (CSMA/CD)

54
Token Ring

• Concetto di gettone di controllo della IBM e GM
• Metodo deterministico (senza contesa)
• Due gli standard principali IEEE 802.5 MAC, FDDI
• Mentre Ethernet utilizza CSMA/CD, Token Ring
  utilizza un meccanismo di passaggio di un
  gettone dove una sola stazione alla volta è
  ammessa a parlare
• Il traffico si muove in un circolo logico,
  passando di stazione in stazione, finchè la
  stazione appropriata lo riceve e lo detiene

55
FDDI

• Segue lo schema del token ring
• Simile al IEEE 802.5
• Non ha bit di prenotazione o priorità
• Progettato per LAN e MAN
• Fornisce data rates superiori ai 100Mbps

56
FDDI

• FDDI operation

Primary Ring
Dual Attach Station
Secondary Ring
Single Attach Station
57
10, 100, 1000Ethernet
Ethernet
Fast Ethernet
Gigabit Ethernet
Speed....................................... Cost.
........................................ IEEE
Standard...................... Media Access
Protocol.......... Frame Format...................
..... Topology................................. C
able support......................... Network
diameter (max)....... UTP link distance
(max)........ Media independent interface Full
duplex capable?............. Broad multivendor
support.. Multivendor Availability.......
10 Mbps X 802.3 CSMA/CD IEEE 802.3 Bus or
star Coax, UTP, fiber 2,500 meters 100 meters Yes
(AUI) Yes Yes Now
100 Mbps 2X 10BT 802.3u CSMA/CD IEEE
802.3 Star UTP, fiber 210 meters 100 meters Yes
(MII) Yes Yes Now
1000 Mbps 2-4X 100BT 802.3z CSMA/CD IEEE
802.3 Star UTP, fiber 200 meters 100 meters Yes
(G-MII) Yes Yes Now
58
Tecnologia Gigabit Ethernet
10 Mbps Ethernet
100 Mbps Ethernet
1000 Mbps Ethernet
Minor change
CSMA/CD MAC
CSMA/CD MAC
CSMA/CD MAC
No change
AUI
MII
G-MII
Thick Coax(10Base5)
Thin Coax(10Base2)
Four Pair UTP (100Base-T4)
Four Pair UTP (TBD)
Fiber (10Base-F)
Twisted Pair (10Base-T)
MM Fiber CD Laser 1300nm Laser
Fiber (100Base-FX)
Two Pair UTP, STP (100Base-TX)
SM Fiber1300nm Laser
59
Terminologia Wireless LAN

• Standard definito dal comitato IEEE 802.11
  (http//grouper.ieee.org)
• Basic services set (BSS)
• Contiene stazioni che eseguono lo stesso
  protocollo MAC
• Le stazioni sono in competizione per luso di un
  media wireless condiviso
• Access point (AP)
• Permette la connessione di un BSS al sistema di
  distribuzione backbone
• LAP agisce come un bridge
• Distribution system
• Connette tra loro due o più BSS
• Tipicamente è una backbone LAN su filo
• Extended service set (ESS)
• Collezione di BSS connesse ad un distribution
  system.

60
Tipi di stazioni wireless

• Definizioni specificate in IEEE 802.11, basate
  sulla mobilità
• Tre tipi di stazioni
• No transition
• Di solito stazionaria
• Può essere mobile in diretta comunicazione con
  stazioni allinterno della BSS
• BSS transition
• La stazione si muove da una BSS allaltra
  allinterno della stessa ESS
• ESS transition
• La stazione si muove da una BSS di una ESS ad una
  BSS di unaltra ESS

61
Specifiche per il media fisico wireless

• Lo standard fornisce 2 livelli fisici per le onde
  radio, operanti nella banda 2.400 2.483,5 MHz
  (dipende dai luoghi) e uno per linfrarosso
• Frequency Hopping Spread Spectrum Radio. Questo
  livello è per le operazioni a 1 Mbit/s (2 Mbit/s
  opzionale). La versione 1 Mbit/s utilizza 2
  livelli di modulazione GFSK (Gaussian Frequency
  Shift Keying) e la versione 2 Mbit/s utilizza 4
  livelli GFSK.
• Direct Sequence Spread Spectrum Radio. Questo
  livello fornisce operazioni sia a 1 che a 2
  Mbit/s. La versione a 1 Mbit/s utilizza DBPSK
  (Differential Binary Phase Shift Keying) e la
  versione a 2 Mbit/s utilizza DQPSK (Differential
  Quadrature Phase Shift Keying).
• Infrarosso. Questo livello fornisce 1 Mbit/s con
  lopzione dei 2 Mbit/s. La versione 1 Mbit/s
  utilizza 16-PPM (Pulse Position Modulation with
  16 positions) e la versione 2 Mbit/s utilizza
  4-PPM.

62
TCP/IP

• Un insieme di protocolli sviluppati dal U.S.
  Defense Department's Advanced Research Projects
  Agency (DARPA) nei primi anni 70.
• E uno standard de facto
• E ben congegnato per LAN e WAN
• Nascita di Internet connettività nazionale e
  internazionale
• Gli standard sono gestiti dallInternet
  Activities Board (IAB) tramite lInternet
  Engineering Task Force (IETF)
• Gli standard sono tenuti on line nelle Request
  for Comments (RFC) (es. IP è definito in RFC791
  e TCP in RFC793) (http//rfc.sunsite.dk/)

63
Architettura di TCP/IP
64
IP - Internet Protocol

• LInternet Protocol (IP) è un protocollo
  packet-based utilizzato per scambiare dati su
  reti di computer. IP manipola indirizzamento,
  frammentazione, riassemblaggio e multiplexing
• E il fondamento sul quale si basano tutti gli
  altri protocolli IP, riferiti collettivamente
  come IP Protocol suite (TCP, UDP, ICMP, ARP,
  ecc.).
• IP è protocollo network-layer che contiene
  informazioni di indirizzamento e di controllo che
  permettono linstradamento dei pacchetti

65
IP - Internet Protocol

• IP è responsabile per la movimentazione di
  pacchetti da nodo a nodo. IP trasmette ogni
  pacchetto basandosi su un indirizzo di
  destinazione a 4 byte (il numero IP). Le
  autorità di Internet assegnano gli intervalli di
  numeri a differenti organizzazioni. Le
  organizzazioni assegnano gruppi dei loro numeri a
  dipartimenti. IP opera su macchine gateway che
  spostano dati da un dipartimento ad una
  organizzazione a una regione e quindi in tutto il
  mondo.

66
TCP - Transmission Control Protocol

• Il protocollo TCP (Transmission Control Protocol)
  si basa sullIP layer. TCP e un protocollo
  connection-oriented che specifica il formato dei
  dati e gli acknowledgment (ACK) utilizzati nel
  trasferimento dei dati. TCP specifica inoltre le
  procedure che i computer utilizzano per
  assicurarsi che i dati siano arrivati
  correttamente.
• TCP permette a più applicazioni su un sistema di
  comunicare concorrentemente poichè gestisce il
  multiplexing del traffico in ricezione tra le
  varie applicazioni.

67
TCP - Transmission Control Protocol

• TCP è responsabile della verifica del corretto
  invio dei dati dal client al server. I dati
  possono perdersi nelle reti intermedie. TCP
  aggiunge supporto al riconoscimento degli errori
  o alla perdita di dati e per innescare la
  ritrasmissione fino a che i dati siano stati
  ticevuti correttamente e completamente.
• Socket è il nome dato al package di subroutine
  che forniscono laccesso a TCP/IP su molti
  sistemi.

68
UDP - User Datagram Protocol

• Lo User Datagram Protocol (UDP) è utilizzato
  quando il meccanismo di affidabilità di TCP non è
  necessario. UDP è un protocollo
  connection-less-oriented.
• Molte applicazioni client/server che prevedono
  una richiesta e una risposta usano UDP invece che
  perdere tempo a stabilire una connessione e poi
  richiuderla!
• UDP è definito nel RFC768

69
Formato del pacchetto IP (v4)
70
Formato del pacchetto TCP
71
Formato del pacchetto UDP
72
Indirizzamento IP

• Lindirizzo IP è lungo 32 bit, diviso in due o
  tre parti
• La prima parte designa lindirizzo di rete (net
  address)
• La seconda parte (se presente) designa
  lindirizzo di sottorete (subnet address)
• La terza parte designa lindirizzo di nodo (host
  address)
• Interpretazione concettuale
• Internet PartLocal Part - Original
• Internet PartPhysical NetworkHost - With
  subnets

73
Indirizzi IP

• Lindirizzamento IP supporta 5 differenti classi
  di indirizzo
• Classe A Principalmente usato con poche ma
  molto grandi reti. Solo 7 bit sono usati perl
  lindirizzo di rete.
• Classe B 14 bit usati per il network address,
  16 bit per lhost address
• Classe C 22 bit per il network address, solo 8
  bits per lhost address.
• Classe D Riservata per gruppi multicast, i 4
  bit di ordine più alto sono 1, 1, 1, e 0.
• Classe E Riservata per usi futuri, i 4 bit di
  ordine più alto sono tutti ad 1.

74
Indirizzi IP

• Class A 0netidhostid
• Class B 10netidhostid
• Class C 110netidhostid
• Class D 1110Multicast
• Class E 11110Reserved

75
Indirizzi IP

• Indirizzamento subnet e multicast
• Progettati per conservare indirizzi di rete
• Multipoint delivery
• Indirizzo di loopback
• Non tutti possibili indirizzi sono stati
  assegnati alle classi
• Lindirizzo di Classe A 127.0.0.0 è riservato per
  il loopback
• E usato per i test TCP/IP e per le comunicazioni
  inter-process sulla macchina locale
• Pacchetti con network address non dovrebbero mai
  apparire in una rete

76
Indirizzi IP

• Limiti
• Gli indirizzi si riferiscono a connessioni di
  rete e non ad host
• Authority per gli indirizzi IP
• Tutti gli indirizzi IP sono assegnati da
  unautorità centrale
• IANA Internet Assigned Number Authority ha il
  controllo globale
• INTERNIC Internet Network Information Center
  assegna gli indirizzi

77
Security TCP/IP

• La Network security può essere mirata al
• Layer 1 (Physical Media)
• Layer 2 (Data Link)
• Layer 3 (Network Layer)
• Layer 6 7 ( Presentation e Application Layer)
• Non esiste una singola soluzione alla TCP/IP
  security
• Hub switching
• Router packet filter
• Router access list e firewall
• Crittografia

78
Applicazioni e Servizi TCP/IP

• FTP ( File Transfer Protocol) Muove file tra
  computer.
• Telnet ( Terminal Emulation Protocol) Permette
  una emulazione di terminale virtuale.
• SMTP ( Simple Mail Transfer Protocol) Fornisce
  il meccanismo di trasporto per e-mail.
• SNMP ( Simple Network Management Protocol) E
  un protocollo di network management utilizzato
  per rapportare condizioni anomale di rete e per
  impostare i valori di soglia (SNMP Version 1 e 2).

79
Applicazioni e Servizi TCP/IP

• HTTP (Hypertext Transfer Protocol)
• NFS (Network File System) Permette laccesso
  trasparente alle risorse di rete. Include 3
  servizi
• NFS (Network File System)
• XDR (eXternal Data Representation)
• RPC (Remote Procedure Call)

80
Architettura delle Applicazioni e Servizi TCP/IP
81
Introduzione alla ICT Security

• Cosa è la Security?
• Perchè ne ho bisogno?
• Livelli di Security
• Alcuni scenari
• Politiche di Security

82
Cosa è la Security?

• Procedure che proteggono
• Voi, i vostri impiegati e i vostri pari
• Supporti elettronici o cartacei
• Hardware, software e reti
• Protegge da danni, furti o modifiche
• Protegge i beni e le risorse da
• Errori umani
• Intrusi dallesterno
• Impiegati disonesti
• Sabotaggio tecnico

83
Perchè ne ho bisogno?

• Tipico furto bancario 9000
• Tipico crimine malavitoso o white collar
  25000
• Tipico crimine elettronico 650000
• Nominate una società è stata quasi certamente
  violata
• Quanto costa in un anno? (Stimato 5 miliardi)
• Il 17 delle società USA ha avuto delle perdite a
  causa di mancanza di security
• Il CERT (www.cert.org) riporta un aumento del 77
  delle violazioni dei computer dal 1994-1995
• E stimato che l85-97 delle intrusioni non
  viene scoperto

84
Perchè ne ho bisogno?

• La crescita di Internet e delle applicazioni
  client/server sta trasportando sempre di più gli
  affari in rete. Questo comporta grosse perdite se
  i dati vengono alterati o rubati
• LInternetworking è ottimo per la condivisione di
  dati ma riduce la security.
• Vi protegge da un attacco al vostro account o
  network
• Protegge gli altri dallessere attaccati dal
  vostro account o network
• Disaster recovery

85
Perchè ne ho bisogno?Statistiche - I

• Chi attacca è
• Un impiegato in carica 81
• Un ex impiegato 6
• Esterni 13

86
Perchè ne ho bisogno?Statistiche - II

• Cosa fanno?
• Furto di denaro 44
• Furto di informazioni 16
• Danno al software 16
• Alterazione di informazioni 12
• Furto di servizi 10
• Trasgressione 2

87
Perchè ne ho bisogno?Statistiche - III

• Danno ai dati
• Impiegati disonesti 10
• Terrorismo 3
• Sabotaggio tecnico 10
• Allagamenti 10
• Incendi 15
• Errore umano 55

88
Livelli di Security

• Lo United States Department of Defense (DoD) ha
  definito 7 livelli di security per i S.O. dei
  computer in un documento conosciuto come Trusted
  Computer Standards Evaluation Criteria (TC-SEC
  alias Orange Book, dal colore della sua
  copertina) (www.fas.org/irp/nsa/rainbow.htm).
• I livelli sono usati per definire i differenti
  livelli di protezione per hardware, software, e
  per le informazioni registrate.
• Il sistema è complementare i livelli più alti
  includono le funzionalità dei livelli più bassi

89
Livelli di Security Classe D

• D1 è la più bassa forma di sicurezza disponibile
  e dispone che il sistema è senza fiducia
  (untrusted)
• Una valutazione D1 non è stata mai assegnata
  perchè, essenzialmente, indica la completa
  mancanza di security

90
Livelli di Security Classe C

• C1 è il più basso livello di security.
• Il sistema ha controllo di read/write su file e
  directory e autenticazione tramite user login.
  Comunque, non esiste un supervisoe e lauditing
  (system logging) non è disponibile.
• Molte macchine Window potrebbero essere
  classificate C1.
• C2 implementa una funzione di auditing per
  registrare gli eventi security-related e fornisce
  una portezione più forte sui file chiave del
  sistema, come il file delle password
• Molte macchine nix (Unix, Linux...) hanno la
  capacità di divenire, con software aggiuntivo,
  conformi al livello C2.

91
Livelli di Security Classe B

• B1 supporta security multi-level, come secret e
  top secret, e MAC (mandatory access control) che
  significa che un utente non può modificare le
  permissions su file o directory
• B2 richiede che ogni oggetto e file sia
  etichettato in accordo al suo livello di
  sicurezza e che queste netichette cambiano
  dinamicamente dipendenti da come vengono usate.
• B3 estende i livelli di security fino al livello
  dellhardware di sistema per esempio, i
  terminali possono solo connettersi tramite cavi
  affidabili e hardware di sistema specilizzato per
  assicurarsi che non ci siano accessi non
  autorizzati

92
Livelli di Security Classe A

• A1 è il più alto livello di security.
• La progettazione del sistema deve essere
  matematicamente verificata tutto lhardware e il
  software devono essere stati protetti durante la
  spedizione per prevenire alterazioni

93
Tipi di Attacco1 - Incendio

• Cè stato un incendio nellufficio. Il fuoco ha
  distrutto tutto il software, il computer, e molti
  dei file. Lufficio era quello dellamministratore
  che gestisce le promozioni, il budget e i
  contratti
• Prevenzione?
• Cosa fare?

94
Disaster Recovery Plan (DRP)

• Politica di Backup
• Quali passi intraprendere quando si ha un
  disastro
• Persone da contattare

95
Disaster Recovery (Backups)

• Create una politica di backup
• Ci sono 2 ragione per il backups
• Ripristino dalla cancellazione accidentale di
  file
• Ripristino da disastri
• Seguite la politica ed effettuate il backup
  regolarmente.
• Verificare i backup a intervalli
• Tenere i backups in altro luogo

96
Disaster Recovery (Recovery)

• Cosa fare quando capita un grande disastro?
• NON FATEVI PRENDERE DAL PANICO
• In fin dei conti avete il vostro bravo backup
• Seguite il vostro DRP (Perchè...ce lo avete un
  piano, no??)

97
Tipi di Attacco2 Furto o modifica

• In un ufficio aperto, trafficato avete accesso a
  risorse finanziarie via rete, ma dovete anche
  svolgere altri compiti che vi allontanano dalla
  vostra scrivania spesso.
• Come svolgete il vostro lavoro... Senza
  compromettere i dati?

98
Protezione da furto o modifica

• Analisi dei rischi (Risks analysis)
• Quali sono i rischi potenziali?
• Chi vuole vedere questi dati?
• Chi vuole cambiare questi dati?
• Sono possibili attacchi dallinterno?
• DOVETE creare una politica di security!
• Proteggere larea dai passanti
• Avere una buona passwords e screen saver con
  password

99
Tipi di attacco3 PASSWORD

• Utilizzando tool facilmente accessibili (hacker
  tools) la vostra password può facilmente essere
  scoperta e qualcuno può usarla o usare il vostro
  account per portare altri attacchi.
• Prevenzione?
• Cosa fare?

100
Password Hacker (Prevenzione)

• Buone password (non solo lettere, ma anche numeri
  e segni di interpunzione, almeno 8 caratteri,
  maiuscole e minuscole)
• Cambiarle spesso
• Osservate qual e stato lultimo accesso con il
  vostro account
• Controllate se ci sono nuovi file o se ne sono
  stati modificati altri o se CI SONO COSE CHE NON
  FARESTE SOLITAMENTE

101
Password (per lutente)

• NON FATEVI PRENDERE DAL PANICO
• Cambiate la/le vostre password
• Contattare lamministratore della security
• Date un occhio se vi sono back doors lasciate
  dallintruso (dovete essere proprio in gamba, per
  questo)

102
Password (per il Security Admin)

• Monitorate se ci sono nuovi file o modificati,
  cose che lutente non è solito fare...
• Cercate back door lasciate dallintruso
• Controllate se ci sono nuovi account
• Abilitate laccounting così da tracciare i
  comandi che questa persona esegue
• Controllate se esistono patch per buchi della
  security che possono essere sfruttati per portare
  attacchi
• Cercate sui siti web e sulle news group per
  informazioni sulla security (ricordatevi che è
  qui che gli hacker acquisiscono le loro
  informazioni)

103
Password (NO!)

• NON usate il login in ogni forma (comè, al
  contrario, in maiuscolo, raddoppiato...)
• NON usate il vostro nome, cognome, quello dei
  vostri figli, moglie, fidanzata in nessuna forma
• NON usate altre informazioni che possono essere
  facilmente ottenute su voi (patente, numero
  telefonico...)
• NON usate una password di tutti numeri,
  lettere...
• NON usate parole di senso compiuto
• NON usare password più corte di 6 caratteri

104
Password (SI)

• Usate password con lettere maiuscole/minuscole
  mischiate
• Usate password con caratteri non alfabetici
  (numeri o segni di interpunzione)
• Usate password facili da ricordare, in modo da
  non doverle scrivere

105
Tipi di attacco4 - DoS

• Siete seduti nel vostro ufficio quando il vostro
  mail server diventa irraggiungibile. Unora dopo
  accade di nuovo e così anche ad altri servizi.

106
Denial of Service

• Attacchi di tipo SYN si avvantaggiano di
  problemi inerenti TCP/IP, e possono causare il
  malfunzionamento di certi servizi
• PING Flood possono mettere K.O. lintera rete
• Tutti gli attacchi sono progettati per rendere
  inutilizzabile un servizio
• Un firewall può bloccare molti degli attacchi
  denial of service
• Un router può essere usato per bloccare a mano
  lindirizzo IP dal quale il DoS è partito
• Attacchi Denial of service sono difficili da
  fermare

107
Tipi di attacco5 - VIRUS

• Il vostro PC inizia a comportarsi in modo
  strano, file scompaiono, si odono le
  voci...AVETE UN VIRUS!!!
• Prevenzione?
• Cosa fare?

108
Virus (Sintomi)

• Comportamenti irregolari
• Cattive prestazioni
• Attività strane
• Perdita di file o directory
• risposta positiva dal vostro software antivirus
  (nel migliore dei casi -) )

109
Virus (Prevenzione)

• Avere un buon backup
• Scansione di tutti i supporti, file, mail...
• Scansione del vostro sistema giornalmente (o
  on-the-fly/real-time)

110
Virus (Cosa fare)

• NON FATEVI PRENDERE DAL PANICO
• Utilizzate sistemi antivirus
• Ricordatevi che avete un backup (??!!??)
• Contattate il Security Administrator se avete
  bisogno di aiuto

111
Tipi di attacco6 - SNIFF

• Una studentessa vi porta una lista di account e
  password che ha trovato vicino ad un PC.
  Sembrano essere state prese con uno...sniffer!
• Prevenzione?
• Cosa fare?

112
Sniffer (Prevenzione)

• Siate sicuri che i computer pubblicamente
  accessibili siano protetti
• Non lasciate che gli utenti vi installino
  programmi
• Fate in modo che gli utenti si firmino per
  lutilizzo
• Autenticate lutete prima di permettergli
  lutilizzo del PC
• Questo vi aiuterà a tener traccia di chi ha fatto
  cosa se qualcosa dovesse accadere
• Avere una security policy vi renderà possibile
  prendere azioni contro chi usa gli sniffer
• Ricordatevi uno sniffer può solo annusarsi i
  piedi in una rete commutata e non può
  attraversare un router

113
Sniffer (Cosa fare)

• Contattate gli utenti della lista e obbligateli a
  cambiare password
• Iniziate a monitorare la lista di utenti per
  vedere se qualcuno tenta di accedere usando tali
  account

114
Security Policy

• La prima regola della security è,
  fondamentalmente qualunque cosa non abbiate
  esplicitamente detto che non deve essere fatta,
  si è autorizzati a farla.
• Una buona security policy dovrebbe partire
  negando tutti gli accessi e quindi espressamente
  autorizzare quelli necessari
• Considerare gli obiettivi e la missione del
  vostro sito
• Un sito militare avrà requisiti diversi da un
  sito universitario, così come un dipartimento
  dallaltro nello stesso sito

115
Security Policy

• Create una lista di beni che devono essere
  protetti
• Hardware
• Software
• Dati
• Documentazione
• Forniture

116
Security Policy

• Comunicate la politica agli utenti
• Agli utenti dovrebbe essere detto qual è
  laccettabile uso della politica al momento in
  cui acquisiscono il loro account.

117
Valutazione del rischio (Risk Assessment)

• Quali sono i vostri rischi?
• Che tipo di dati state proteggendo?
• Da cosa?
• Ci sono società e consulenti che lo possono fare
  per voi
• Il processo di esaminare tutti i vostri rischi e
  assegnarli un livello di severità del rischio.
• Questo processo coinvolge decisioni a livello di
  costo relativamente a quello che dovete proteggere

118
Risk Assessment

• Usate uno schema per pesare i rischi nei
  confronti dellimportanza dei dati
• Questo permetterà alle politiche di essere
  ritagliate nei confronti di quello che
  maggiormente volete proteggere

119
Risk Assessment Rischi Possibili

• Utilizzo non autorizzato
• Servizi non disponibili
• Furto di dati

120
Uso Accettabile

• Chi può usarlo?
• Per cosa possono usarlo?
• Chi può concederne luso?
• Qual è il consumo di risorse?
• Cosa è labuso del sistema?
• Agli utenti è concesso condividere account?
• Chi fa il backup?
• E-mail privacy?
• Politica sulle oscenità?
• Politica sul mail forgery (mittente fasullo)?
• Che altro?
• Chi interpreterà questa politica? Un comitato,
  una persona, o...?

121
Auditing

• Usate i tool del vostro sistema per controllare i
  log files
• Controllate gli orari inusuali di accesso degli
  utenti
• Controllate i luoghi di accessi inusuali
• Controllate i login falliti
• Controllate i grossi numeri di messaggi di errore

122
Revisione

• Alla fine di tutto il processorivederlo!
• Se non lo fate, potreste essere superati dagli
  ultimi metodi di penetrazione
• A intervalli, dovreste comunque rivedere e
  rivalutare i rischi
• Le cose cambiano spesso...e velocemente!

123
Siti Web di interesse

• Ci sono varie organizzazioni di interesse
• CLUSIT http//www.clusit.it/
• CERT http//www.cert.org/
• CIAC http//ciac.llnl.gov/ciac/
• NISC http//cscrc.nisc.gov/
• IBM ERS http//www.ers.ibm.com/
• E altri riferimenti riportati nella presentazione
  stessa.
• E ora

124
... Una perla di saggezza!

• Spafs First Principle of Security Administration
• If you have responsibility for security, but
  have no authority to set rules or punish
  violators, your own role in the organization is
  to take the blame when something big goes wrong