RETI, PROTOCOLLI DI COMUNICAZIONE E SICUREZZ A NELLE ICT Questi appunti non hanno la pretesa di essere esaustivi e sono realizzati per la classe II del Liceo Scientifico Scienze Applicate. Nello studio vanno integrati con le altre fonti indicate. RETI Le reti informatiche sono collegamenti di computer per consentire scambi di informazioni. Possiamo distinguere le reti in base all’aspetto “geografico” o a quello dei permessi. Sotto il profilo geografico individuiamo reti • PAN (Personal Area Network) rete domestica, via cavo o wireless • LAN (Local Area Network) rete limitata nello spazio (a scuola), via cavo o wireless • MAN (Metropolitan Area Network) rete che copre un’area metropolitana, • WAN (Wide Area Network) rete estesa ad una nazione o continente • WWW (World Wide Web) la rete mondiale Le reti PAN e LAN possono essere basate sul modello client - server (v. pag. 38 e 39 del libro 1), che garantisce risparmi sulle periferiche (stampante) nonché maggior sicurezza da virus etc, oppure sul modello peer-to-peer, ovvero computer di pari livello tutti collegati fra loro. Il collegamento può essere effettuato nel primo caso a stella, nel secondo ad anello, ma ci sono anche forme miste. Si possono anche avere collegamenti a bus, che sfruttano un unico “filo” per connettere tutti i PC al server o fra loro (vedi anche video assegnato). Una porta (gateway) o nodo è il punto di connessione tra il browser ed il server. Da un punto di vista di permessi, le reti si possono suddividere in: RETI INTRANET Come dice la parola stessa, sono interne ad una azienda o semplicemente reti “locali” che molte volte vengono dislocate all'interno di un unico edificio. In sostanza non ci sono collegamenti con l'esterno e solo i terminali presenti nell'edificio o stanza possono dialogare. RETI EXTRANET Possono essere viste come espansioni di reti Intranet o LAN. Vengono utilizzate ad esempio per mettere in comunicazione le intranet di due o più partner commerciali. Non tutti potranno accedere alla rete, ma ai soggetti autorizzati verranno fornite delle credenziali di accesso. RETE INTERNET Come dice la parola, connette fra loro – tramite i server degli Internet Provider tutti i pc che possono navigare e comunicare liberamente e, senza fornire credenziali se non per l’accesso a particolari servizi. Per l’accesso ai servizi (e-commerce, e-banking, registro elettronico, prenotazioni sanitarie e anagrafe elettronica) il modello è quello client -server. Pag. 1 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia PROTOCOLLI DI COMUNICAZIONE IN RETE Sotto il profilo della comunicazione delle informazioni nelle reti superiori alla LAN, il modello di riferimento è quello client - server. Il Client è il terminale utilizzato dall'utente comune, quindi una macchina che si interfaccia con l'umano e lo fa interagire con altri Client o, in Internet, con dei Server. Solitamente non svolge molte attività contemporaneamente, ma ha la capacità di gestire più utenti, con diversi privilegi e con diverse caratteristiche. Non è però possibile comandare più utenti allo stesso tempo. Il Server è il dispositivo che esegue le richieste del Client. E’ progettato per svolgere molte azioni contemporaneamente e il suo hardware e il suo software non sono orientati all'utilizzo umano. É proprio per questo che essi possono essere gestiti da remoto attraverso terminali più simili ai Client. Infatti essi non hanno nessun dispositivo né di input né di output. Inoltre su un solo server possono essere stanziati più host, e si parla di virtualizzazione. In alcuni casi, però, la virtualizzazione non basta, ma servono più server fisici che lavorano insieme: si parla di Clustering. Per il trasferimento delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO) ha stabilito un modello, detto protocollo ISO/OSI (International Standard Organization / Open Systems Interconnection) (vedi anche figura sul libro a pag. 250), che individua sette “passaggi” (o livelli): Questo è solo un modello che descrive ciò che realmente avviene, ma per trasferire le informazioni si utilizzano delle procedure standard di comunicazione il cui insieme viene definito di volta in volta protocollo di comunicazione. Pag. 2 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia lo scambio di informazioni avviene a due livelli: - livello "basso" scambio di informazioni in linguaggio macchina - livello "alto" scambio di “oggetti” informatici (immagini, video, ipertesti, pdf, doc, etc) A LIVELLO BASSO si usa la cosiddetta Internet Protocol Suite (collezione di protocolli Internet), indicata in genere come protocolli TCP/IP , che comprende i protocolli TCP e IP insieme ad altri. A LIVELLO ALTO, i principali protocolli usati in Internet sono: • HTTP Hyper Text Transfer Protocolo trasferisce ipertesti nel www • FTP File Transfer Protocol copia file binari o di testo • Telnet Controllo di computer a distanza (come fa l’amministratore di rete collegato in remoto) • SMTP Simple Mail Transfer Protocol spedisce e-mail • POP 3 Post Office Protocol 3 gestisce caselle di posta elettronica (scaricare posta) • NNTP Network News Transfer Protocol trasferimento articoli di newsgroup Possiamo quindi individuare la cosiddetta PILA OSI. La figura associa i livelli ai protocolli: Grazie ai navigatori (browser), è stata superata la necessità di disporre di un programma per ogni protocollo utilizzato perché essi permettono di selezionare il protocollo scrivendolo come parte dell'indirizzo (URL). IP è un numero binario di 32 bit che identifica ogni macchina in Internet (non ha relazioni con il protocollo IP né con il MAC) per es.: 184.29.120.3 DNS Domain Name System, associa a tali numeri un nome. Pag. 3 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia Le macchine usano l’IP, i navigatori gli indirizzi, formati da una o più parole (anche numeri e altri caratteri come il trattino, ma non spazi) separate da punti. • • • A destra troviamo il dominio (domain), sottoinsieme della rete spesso coincidente con la WAN. Al centro i sottodomini (subdomains) A sinistra il sottodominio desiderato (hostname) Si hanno quindi domini di primo livello (top level domains), chiamati di solito soltanto domini, e domini di secondo, terzo... livello, etc, come: chivasso.to.piemonte.comunitaliani.it L’estensione del dominio può individuare: • negli USA e in Australia il settore d’uso .com .edu .gov .net .org • negli altri paesi la nazione .it .fr .br .cc oppure settore.nazione .co.uk Per poter recuperare un qualsiasi oggetto in rete occorre quindi sapere: • • Dove si trova (nome della macchina, percorso sul disco della macchina e nome del file). Con quale protocollo esso può essere recuperato. L’URL Uniform Resource Locator, Individuatore Uniforme di Risorse (associato ad uso di browser) è l’indirizzo dell’oggetto da recuperare ed ha la forma seguente: protocollo://nomemacchina:porta/nomeoggetto • protocollo di accesso alla risorsa • nomemacchina nome (letterale o IP) del computer su cui si trova l'oggetto; • porta (in genere sottintesa perché standard) è il numero della gateway attraverso cui si intende comunicare con la macchina; • nomeoggetto è il percorso e nome del file dell'oggetto da recuperare. Va considerato che in Internet i server usano in genere Il sistema operativo Unix, quindi gli indirirri vanno scritti con i seguenti accorgimenti: • barre a destra / e non rovesciate \ come invece quelle dell'MS-DOS • nome oggetto case-sensitive (ovvero per l’oggetto si fa distinzione fra maiuscole e minuscole) • manca limitazione a tre caratteri dell’ext (quindi potremo avere ad es. html e non htm) Pag. 4 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia Possiamo avere: http://www.dominio.ext/cartella/file.ext http://www.dominio.ext/cartella/ (l’ultima slash con molti browser non serve) http://www.dominio.ext con o senza cartella o file Quando il nome del file manca si sottintende index.html URL di un file su di un browser >> scaricamento del file (copia dal computer remoto al proprio). URL di una directory con protocollo FTP >> visualizzazione dell'elenco dei file contenuti in essa. (Vedi anche libro pag 262-267). SICUREZZA IN RETE La distinzione fra intranet, extranet e internet, essendo basata sui permessi d’accesso, è importante ai fini della sicurezza, ovvero di possibili intrusioni dall’esterno. La rete intranet non ha collegamenti con l’esterno, quindi è inaccessibile. La rete Internet permette l’accesso a chiunque, a meno di non utilizzare adeguate protezioni (vedi file sui rischi della rete già studiato). Alla rete extranet si può accedere, come abbiamo detto, mediante credenziali. Dal punto di vista del collegamento, si può prevedere:: • Accesso diretto – Viene creato un canale fisico dedicato su cui le informazioni vengono trasportate in modo protetto. • VPN – (virtual private network) Viene creato un canale virtuale dedicato per il trasferimento sicuro delle informazioni. • Web Access – L'accesso alla rete Extranet è pubblicato su Internet (sito) e solo chi possiede le credenziali può accedervi. In un processo di comunicazione online (e-commerce, registro elettronico, etc), l'utente, dal suo terminale, visita il sito che offre il servizio eseguendo il login (o logon) solitamente tramite uno username e una password scelti da lui. A questo punto avverrà lo scambio di informazioni, che può coinvolgere o meno un terzo server (Payment Server, nel caso dell’e-commerce). Ovviamente è alto il rischio di furto di dati sensibili quali password di accesso o dati personali degli allievi o ancora numeri di carte di credito e per prevenire tale eventualità sui siti/server si possono usare vari sistemi. Essi (come il VPN, che è tuttavia un software installabile anche sul client) hanno tutti un denominatore comune: la crittografia. La crittografia è il processo che traduce attraverso una chiave (numeri, parole o stringhe alfanumeriche) i messaggi che due server scambiano, in modo che, nel caso qualcuno venga abusivamente o casualmente in possesso di queste comunicazioni, non sia in grado di comprenderle. Pag. 5 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia Si parla di • cifratura simmetrica: la stessa chiave viene usata per criptare e decrittare il messaggio • cifratura asimmetrica: la chiave di crittografia non è la stessa usata per decrittare. L’algoritmo di cifratura più sicuro è quello AES (Advanced Encryption Standard) a 256 bit, che oltretutto richiede poca memoria. Vi sono altri sistemi di sicurezza, ad es. per l’e-banking il sistema a triplo codice (ID, pin e password), con password temporanea generata istantaneamente e per un tempo limitato da una chiavetta sincronizzata con il server o generata tramite un algoritmo riconoscibile dal server. CERTIFICATI DI PROTEZIONE Un altro presidio per la sicurezza online sono i certificati di protezione dei siti. Essi devono essere rilasciati da Autorità di certificazione riconosciute e riportano numerose informazioni. Un certificato digitale SSL è un documento elettronico che serve ad attestare l’associazione univoca tra una chiave pubblica e una società o un server che ne “dichiara” l’utilizzo mediante autenticazione tramite firma digitale. Questa procedura serve a garantire che un sito sia davvero chi afferma di essere, e questo avviene solitamente nel settore dei siti di e-commerce al fine di assicurarne l’autenticità. Il suo utilizzo è finalizzato ad evitare phishing, truffe e furti di identità di altri siti attendibili. SSL, Secure Sockets Layer, è un protocollo SSL sviluppato a suo tempo da Netscape e tutt'ora supportato dai più diffus browser (Explorer, Netscape, AOL, Opera etc). Le applicazioni che utilizzano i certificati SSL sono in grado di gestire l’invio e la ricezione di chiavi di protezione e di criptare/decriptare le informazioni trasmesse utilizzando le stesse chiavi. TLS,Transport Layer Security, è invece l’evoluzione tecnica del SSL. Requisito fondamentale per installare un certificato SSL è avere un indirizzo IP dedicato da assegnare al nome a dominio che vogliamo rendere sicuro. L'esecuzione di una sessione di navigazione sicura può essere verificata osservando l'eventuale modifica dell'HTTP all'interno della barra d'indirizzo in HTTPS e/o la visualizzazione di un lucchetto. Per visualizzare i dati relativi alla certificazione SSL installata sarà sufficiente cliccare sul simbolo del lucchetto presente nei pressi della barra dell'indirizzo. Occorre fare attenzione all’autorevolezza effettiva del certificato. I browser moderni riescono a rilevare in automatico se il certificato è autentico o meno, oppure se è scaduto o revocato, ed avvisano l’utilizzatore. HTTPS indica l'esecuzione, all'interno di un server sul quale risulta installato un certificato SSL attivo, di una sessione di navigazione sicura. Il certificato può validare: il dominio DV (Domain Validation), la società titolare del dominio, OV (Organization Validation), o entrambi EV (Extended Validation). I certificati SSL EV offrono il più elevato livello di sicurezza digitale. Quando i clienti visitano un sito Internet protetto da un certificato SSL EV la barra d'indirizzo dei browser di navigazione più avanzati si colora di verde ed appare un Pag. 6 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia campo con il nome del legittimo proprietario del sito e quello dell'Autorità Certificante. Gli SSL a 256 BIT permettono l'esecuzione di sessioni di navigazione al più alto livello di sicurezza oggi disponibile. La Private Key, Chiave Privata, é la sequenza segreta di caratteri alfanumerici associata ad un certo certificato SSL, installata sul server insieme alla certificazione finale e a quella intermedia in maniera tale da permettere la traduzione delle informazioni trasmesse in una variante comprensibile solo a chi autorizzato alla lettura. La creazione di un CSR sul server web si accompagna a quella della relativa Chiave Privata. CRL, Certificate Revocation List, è un file autenticato digitalmente che contiene dettagli relativi ad ogni certificato revocato. Un proxy SSL consente alle applicazioni prive del protocollo SSL di fruire degli effetti tipici di una connessione protetta mediante la connessione tra il browser (o client) e il server web. ETHERNET Ethernet non è una rete (né il mero cavo Ethernet che collega ad es. client e server in una LAN) ) ma un insieme di tecnologie che permette la trasmissione di dati in una LAN. Il protocollo Ethernet di trasmissione dei dati invia informazioni composte da 7 elementi: • preambolo (preamble), grande 7 byte, usato per la sincronizzazione del processo di comunicazione tra mittente e ricevente • SFD (Start Frame Delimiter), grande 1 byte, delimita il “preambolo” e segna l'inizio del pacchetto dati. • Destination MAC address e Source MAC address, di 6 byte ciascuno, riportano gli indirizzi MAC del destinatario e del mittente. Il MAC è un codice assegnato dal produttore al PC e lo identifica univocamente. • Ethertype, di 2 byte, indica il tipo di protocollo utilizzato nella comunicazione. In protocolli usati per queste comunicazioni sono di tipo IP, PPoE o ARP. • IPayload o “campo dati” – dai 46 ai 1500 byte – contiene le informazioni scambiate nella comunicazione. • FCS (Frame Check Sequence), di 4 byte, consente di rilevare se ci sono stati errori nel processo comunicativo. L’Ethernet può essere classificato in base alla velocità di trasmissione. Pag. 7 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia DISPOSITIVI DI TRASMISSIONE In origine, la trasmissione dei dati avveniva convertendo il segnale digitale in analogico inviandolo su doppino telefonico, e poi riconvertendolo in digitale all’arrivo. Si aveva pertanto il Modem (MODulatore-DEModulatore), un dispositivo per la trasmissione e la ricezione seriale in forma analogica o digitale oggi evolutosi. Si distinguono modem esterni (collegati al PC tramite un cavo seriale) e modem interni (scheda interna al computer). Come si diceva, a causa dell'evoluzione tecnologica, con l’ISDN e ancor più con l’ADSL, non vi sono più le fasi di modulazione e demodulazione e il nome modem ha perso il suo significato originario, mentre il dispositivo può essere assimilato ad una scheda di rete. ISDN, Integrated Services Digital Network, permette la trasmissione di dati in forma digitale. Significa che il segnale viene codificato in stringhe di bit prima di essere trasmesso. Le caratteristiche principali dell’ISDN sono: elevata velocità di trasmissione, qualità dell'ascolto per i servizi vocali, bassissima percentuale di errore per i pacchetti inviati. ADSL, Asymmetric Digital Subscriber Line, indica una classe di tecnologie di trasmissione hardware utilizzate per l'accesso digitale ad Internet ad alta velocità di trasmissione su doppino telefonico. Ha ormai soppiantato quasi totalmente sia i modem tradizionali che le linee ISDN. E’ detta anche a "banda larga" o broadband. Router è un dispositivo elettronico che consente, all'interno di una rete domestica, l'instradamento dei pacchetti dati verso i nodi della LAN (computer, tablet, stampanti, ecc.). Fa da “intermediario” tra i device collegati al router stesso che si occupa di gestire ed indirizzare i flussi di dati che vanno da un dispositivo all’altro. Quindi è un nodo interno di rete che si occupa della commutazione del livello 3 del modello ISO/OSI. Bridge (ponte) è un dispositivo di rete in grado di riconoscere, nei segnali elettrici che riceve, dei dati organizzati in pacchetti detti frame (trame) individuando all'interno di queste l'indirizzo del nodo mittente e quello del nodo destinatario e in base a questi opera l’indirizzamento. Switch (commutatore) è un dispositivo di rete o nodo interno di rete che, attraverso indirizzi MAC, inoltra i frame ricevuti verso un preciso destinatario grazie a una corrispondenza univoca portaindirizzo. Si differenzia dal router perché questo interconnette più reti locali attraverso il protocollo IP. Si comporta come il bridge, ma è più efficiente . Hub è solamente un ripetitore che non usa un indirizzamento. Un router può essere equipaggiato con due differenti tipologie di porte Ethernet: quelle che supportano velocità di trasferimento sino a 100 megabit al secondo (poco più di 12 megabyte al secondo)oppure le porte gigabit, che supportano una velocità di trasferimento dati di 1.000 megabit al secondo (poco più di 120 megabyte). Le prestazioni del router, in entrambi i casi, non influiranno sulle prestazioni della connessione alla Rete. La porta Ethernet gigabit entra in gioco quando si devono trasferire grandi quantità di dati tra due computer appartenenti alla stessa LAN: in questo caso il trasferimento dei file richiederà molto meno tempo rispetto ad una porta Ethernet da 100 megabit. Molti router domestici incorporano anche funzionalità di access point per reti Wi-Fi e modem per il collegamento diretto ad Internet. In questo ultimo caso si parlerà di modem o router Wi-Fi. Pag. 8 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia RETE WI FI (WLAN o Wireless LAN) E’ una rete locale senza fili. Una rete Wi-Wi è identificata attraverso il suo SSID (Service Set IDentifier), ovvero un nome solitamente scelto dall’utente che aiuta a riconoscere la propria WLAN. Ogni rete può essere composta da uno o più access point (o hotspot), ovvero di un punto d’accesso o più punti di accesso alla rete stessa che fungono da “sorgente” del segnale, e uno o più client che si connettono alla rete. Il segnale wireless di un singolo access point solitamente copre un’area tra i 50 ed i 100 metri, variando anche in funzione dell’architettura dei locali, ma può essere esteso attraverso il collegamento di differenti access point tramite cavo oppure creando un “ponte” wireless con ripetitori di segnali come gli amplificatori Wi-Fi . L’apparato Wi-Fi del router trasmette ogni 100 millisecondi un pacchetto dati, chiamato beacon contenente lo SSID della rete e altre informazioni, come il protocollo di sicurezza utilizzato. Il client (un computer dotato di scheda Wi-Fi o un ripetitore di segnale) può connettersi alla rete con un SSID noto (ossia a una rete alla quale già ci si è connessi in precedenza), oppure a quella dal segnale più forte e che quindi garantisce le prestazioni migliori. Nel caso in cui la rete sia protetta, l’utente dovrà inserire la password. Esistono tre differenti protocolli di sicurezza: WEP, WPA, WPA2. Quest’ultimo è il più sicuro, poiché permette di crittografare le chiavi di sicurezza con l’algoritmo AES a 256 bit già menzionato. Per aumentare la sicurezza del nostro W- Fi possiamo adottare diversi accorgimenti, fra cui: 1. Impostare una password di almeno 12 caratteri e un algoritmo di cifratura forte come il WPA2. 2. Consentire l’accesso al Wi-Fi dei soli dispositivi il cui indirizzo MAC è registrato. Il MAC è un numero attribuito al device dal costruttore e identifica univocamente il singolo apparecchio. Non divulgare la password né il SSID. 3. Fisicamente, si può anche porre il Router al centro del edificio e regolare la potenza del segnale al minimo evitando che il segnale esca dal perimetro prestabilito. (Per la rete nel suo complesso vedere l’immagine a pag. 249) Pag. 9 R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
© Copyright 2024 Paperzz
