reti, protocolli di comunicazione e sicurezza nelle ict

RETI, PROTOCOLLI DI COMUNICAZIONE E SICUREZZ A NELLE ICT
Questi appunti non hanno la pretesa di essere esaustivi e sono realizzati per la classe II del
Liceo Scientifico Scienze Applicate. Nello studio vanno integrati con le altre fonti indicate.
RETI
Le reti informatiche sono collegamenti di computer per consentire scambi di informazioni.
Possiamo distinguere le reti in base all’aspetto “geografico” o a quello dei permessi.
Sotto il profilo geografico individuiamo reti
•
PAN (Personal Area Network) rete domestica, via cavo o wireless
•
LAN (Local Area Network) rete limitata nello spazio (a scuola), via cavo o wireless
•
MAN (Metropolitan Area Network) rete che copre un’area metropolitana,
•
WAN (Wide Area Network) rete estesa ad una nazione o continente
•
WWW (World Wide Web) la rete mondiale
Le reti PAN e LAN possono essere basate sul modello client - server (v. pag. 38 e 39 del libro 1),
che garantisce risparmi sulle periferiche (stampante) nonché maggior sicurezza da virus etc, oppure
sul modello peer-to-peer, ovvero computer di pari livello tutti collegati fra loro.
Il collegamento può essere effettuato nel primo caso a stella, nel secondo ad anello, ma ci sono
anche forme miste. Si possono anche avere collegamenti a bus, che sfruttano un unico “filo” per
connettere tutti i PC al server o fra loro (vedi anche video assegnato).
Una porta (gateway) o nodo è il punto di connessione tra il browser ed il server.
Da un punto di vista di permessi, le reti si possono suddividere in:
RETI INTRANET Come dice la parola stessa, sono interne ad una azienda o semplicemente reti
“locali” che molte volte vengono dislocate all'interno di un unico edificio. In sostanza non ci sono
collegamenti con l'esterno e solo i terminali presenti nell'edificio o stanza possono dialogare.
RETI EXTRANET Possono essere viste come espansioni di reti Intranet o LAN. Vengono utilizzate
ad esempio per mettere in comunicazione le intranet di due o più partner commerciali. Non tutti
potranno accedere alla rete, ma ai soggetti autorizzati verranno fornite delle credenziali di accesso.
RETE INTERNET Come dice la parola, connette fra loro – tramite i server degli Internet Provider tutti i pc che possono navigare e comunicare liberamente e, senza fornire credenziali se non per
l’accesso a particolari servizi. Per l’accesso ai servizi (e-commerce, e-banking, registro elettronico,
prenotazioni sanitarie e anagrafe elettronica) il modello è quello client -server.
Pag. 1
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
PROTOCOLLI DI COMUNICAZIONE IN RETE
Sotto il profilo della comunicazione delle informazioni nelle reti superiori alla LAN, il modello di
riferimento è quello client - server.
Il Client è il terminale utilizzato dall'utente comune, quindi una macchina che si interfaccia con
l'umano e lo fa interagire con altri Client o, in Internet, con dei Server. Solitamente non svolge molte
attività contemporaneamente, ma ha la capacità di gestire più utenti, con diversi privilegi e con
diverse caratteristiche. Non è però possibile comandare più utenti allo stesso tempo.
Il Server è il dispositivo che esegue le richieste del Client. E’ progettato per svolgere molte azioni
contemporaneamente e il suo hardware e il suo software non sono orientati all'utilizzo umano. É
proprio per questo che essi possono essere gestiti da remoto attraverso terminali più simili ai Client.
Infatti essi non hanno nessun dispositivo né di input né di output. Inoltre su un solo server possono
essere stanziati più host, e si parla di virtualizzazione. In alcuni casi, però, la virtualizzazione non
basta, ma servono più server fisici che lavorano insieme: si parla di Clustering.
Per il trasferimento delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO)
ha stabilito un modello, detto protocollo ISO/OSI (International Standard Organization / Open
Systems Interconnection) (vedi anche figura sul libro a pag. 250), che individua sette “passaggi” (o
livelli):
Questo è solo un modello che descrive ciò che realmente avviene, ma per trasferire le informazioni si
utilizzano delle procedure standard di comunicazione il cui insieme viene definito di volta in volta
protocollo di comunicazione.
Pag. 2
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
lo scambio di informazioni avviene a due livelli:
-
livello "basso" scambio di informazioni in linguaggio macchina
-
livello "alto" scambio di “oggetti” informatici (immagini, video, ipertesti, pdf, doc, etc)
A LIVELLO BASSO si usa la cosiddetta Internet Protocol Suite (collezione di protocolli Internet),
indicata in genere come protocolli TCP/IP , che comprende i protocolli TCP e IP insieme ad altri.
A LIVELLO ALTO, i principali protocolli usati in Internet sono:
•
HTTP Hyper Text Transfer Protocolo trasferisce ipertesti nel www
•
FTP File Transfer Protocol copia file binari o di testo
•
Telnet Controllo di computer a distanza (come fa l’amministratore di rete collegato in remoto)
•
SMTP Simple Mail Transfer Protocol spedisce e-mail
•
POP 3 Post Office Protocol 3 gestisce caselle di posta elettronica (scaricare posta)
•
NNTP Network News Transfer Protocol trasferimento articoli di newsgroup
Possiamo quindi individuare la cosiddetta PILA OSI. La figura associa i livelli ai protocolli:
Grazie ai navigatori (browser), è stata superata la necessità di disporre di un programma per ogni
protocollo utilizzato perché essi permettono di selezionare il protocollo scrivendolo come parte
dell'indirizzo (URL).
IP è un numero binario di 32 bit che identifica ogni macchina in Internet (non ha relazioni con il
protocollo IP né con il MAC) per es.: 184.29.120.3
DNS Domain Name System, associa a tali numeri un nome.
Pag. 3
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
Le macchine usano l’IP, i navigatori gli indirizzi, formati da una o più parole (anche numeri e altri
caratteri come il trattino, ma non spazi) separate da punti.
•
•
•
A destra troviamo il dominio (domain), sottoinsieme della rete spesso coincidente con la
WAN.
Al centro i sottodomini (subdomains)
A sinistra il sottodominio desiderato (hostname)
Si hanno quindi domini di primo livello (top level domains), chiamati di solito soltanto domini, e
domini di secondo, terzo... livello, etc, come:
chivasso.to.piemonte.comunitaliani.it
L’estensione del dominio può individuare:
•
negli USA e in Australia il settore d’uso .com .edu .gov .net .org
•
negli altri paesi la nazione .it .fr .br .cc
oppure settore.nazione
.co.uk
Per poter recuperare un qualsiasi oggetto in rete occorre quindi sapere:
•
•
Dove si trova (nome della macchina, percorso sul disco della macchina e nome del file).
Con quale protocollo esso può essere recuperato.
L’URL Uniform Resource Locator, Individuatore Uniforme di Risorse (associato ad uso di browser) è
l’indirizzo dell’oggetto da recuperare ed ha la forma seguente:
protocollo://nomemacchina:porta/nomeoggetto
•
protocollo di accesso alla risorsa
•
nomemacchina nome (letterale o IP) del computer su cui si trova l'oggetto;
•
porta (in genere sottintesa perché standard) è il numero della gateway attraverso cui si
intende comunicare con la macchina;
•
nomeoggetto è il percorso e nome del file dell'oggetto da recuperare.
Va considerato che in Internet i server usano in genere Il sistema operativo Unix, quindi gli indirirri
vanno scritti con i seguenti accorgimenti:
•
barre a destra / e non rovesciate \ come invece quelle dell'MS-DOS
•
nome oggetto case-sensitive (ovvero per l’oggetto si fa distinzione fra maiuscole e
minuscole)
•
manca limitazione a tre caratteri dell’ext (quindi potremo avere ad es. html e non htm)
Pag. 4
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
Possiamo avere:
http://www.dominio.ext/cartella/file.ext
http://www.dominio.ext/cartella/ (l’ultima slash con molti browser non serve)
http://www.dominio.ext con o senza cartella o file
Quando il nome del file manca si sottintende index.html
URL di un file su di un browser >> scaricamento del file (copia dal computer remoto al proprio).
URL di una directory con protocollo FTP >> visualizzazione dell'elenco dei file contenuti in essa.
(Vedi anche libro pag 262-267).
SICUREZZA IN RETE
La distinzione fra intranet, extranet e internet, essendo basata sui permessi d’accesso, è importante
ai fini della sicurezza, ovvero di possibili intrusioni dall’esterno.
La rete intranet non ha collegamenti con l’esterno, quindi è inaccessibile.
La rete Internet permette l’accesso a chiunque, a meno di non utilizzare adeguate protezioni (vedi
file sui rischi della rete già studiato).
Alla rete extranet si può accedere, come abbiamo detto, mediante credenziali. Dal punto di vista del
collegamento, si può prevedere::
• Accesso diretto – Viene creato un canale fisico dedicato su cui le informazioni vengono trasportate
in modo protetto.
• VPN – (virtual private network) Viene creato un canale virtuale dedicato per il trasferimento sicuro
delle informazioni.
• Web Access – L'accesso alla rete Extranet è pubblicato su Internet (sito) e solo chi possiede le
credenziali può accedervi.
In un processo di comunicazione online (e-commerce, registro elettronico, etc), l'utente, dal suo
terminale, visita il sito che offre il servizio eseguendo il login (o logon) solitamente tramite uno
username e una password scelti da lui. A questo punto avverrà lo scambio di informazioni, che può
coinvolgere o meno un terzo server (Payment Server, nel caso dell’e-commerce).
Ovviamente è alto il rischio di furto di dati sensibili quali password di accesso o dati personali degli
allievi o ancora numeri di carte di credito e per prevenire tale eventualità sui siti/server si possono
usare vari sistemi.
Essi (come il VPN, che è tuttavia un software installabile anche sul client) hanno tutti un
denominatore comune: la crittografia.
La crittografia è il processo che traduce attraverso una chiave (numeri, parole o stringhe
alfanumeriche) i messaggi che due server scambiano, in modo che, nel caso qualcuno venga
abusivamente o casualmente in possesso di queste comunicazioni, non sia in grado di comprenderle.
Pag. 5
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
Si parla di
•
cifratura simmetrica: la stessa chiave viene usata per criptare e decrittare il messaggio
•
cifratura asimmetrica: la chiave di crittografia non è la stessa usata per decrittare.
L’algoritmo di cifratura più sicuro è quello AES (Advanced Encryption Standard) a 256 bit, che
oltretutto richiede poca memoria.
Vi sono altri sistemi di sicurezza, ad es. per l’e-banking il sistema a triplo codice (ID, pin e password),
con password temporanea generata istantaneamente e per un tempo limitato da una chiavetta
sincronizzata con il server o generata tramite un algoritmo riconoscibile dal server.
CERTIFICATI DI PROTEZIONE
Un altro presidio per la sicurezza online sono i certificati di protezione dei siti. Essi devono essere
rilasciati da Autorità di certificazione riconosciute e riportano numerose informazioni.
Un certificato digitale SSL è un documento elettronico che serve ad attestare l’associazione
univoca tra una chiave pubblica e una società o un server che ne “dichiara” l’utilizzo mediante
autenticazione tramite firma digitale. Questa procedura serve a garantire che un sito sia davvero
chi afferma di essere, e questo avviene solitamente nel settore dei siti di e-commerce al fine di
assicurarne l’autenticità. Il suo utilizzo è finalizzato ad evitare phishing, truffe e furti di identità di
altri siti attendibili.
SSL, Secure Sockets Layer, è un protocollo SSL sviluppato a suo tempo da Netscape e tutt'ora
supportato dai più diffus browser (Explorer, Netscape, AOL, Opera etc). Le applicazioni che utilizzano
i certificati SSL sono in grado di gestire l’invio e la ricezione di chiavi di protezione e di
criptare/decriptare le informazioni trasmesse utilizzando le stesse chiavi.
TLS,Transport Layer Security, è invece l’evoluzione tecnica del SSL.
Requisito fondamentale per installare un certificato SSL è avere un indirizzo IP dedicato da
assegnare al nome a dominio che vogliamo rendere sicuro.
L'esecuzione di una sessione di navigazione sicura può essere verificata osservando l'eventuale
modifica dell'HTTP all'interno della barra d'indirizzo in HTTPS e/o la visualizzazione di un lucchetto.
Per visualizzare i dati relativi alla certificazione SSL installata sarà sufficiente cliccare sul simbolo del
lucchetto presente nei pressi della barra dell'indirizzo. Occorre fare attenzione all’autorevolezza
effettiva del certificato. I browser moderni riescono a rilevare in automatico se il certificato è autentico
o meno, oppure se è scaduto o revocato, ed avvisano l’utilizzatore. HTTPS indica l'esecuzione,
all'interno di un server sul quale risulta installato un certificato SSL attivo, di una sessione di
navigazione sicura.
Il certificato può validare: il dominio DV (Domain Validation), la società titolare del dominio, OV
(Organization Validation), o entrambi EV (Extended Validation). I certificati SSL EV offrono il più
elevato livello di sicurezza digitale. Quando i clienti visitano un sito Internet protetto da un certificato
SSL EV la barra d'indirizzo dei browser di navigazione più avanzati si colora di verde ed appare un
Pag. 6
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
campo con il nome del legittimo proprietario del sito e quello dell'Autorità Certificante. Gli SSL a 256
BIT permettono l'esecuzione di sessioni di navigazione al più alto livello di sicurezza oggi disponibile.
La Private Key, Chiave Privata, é la sequenza segreta di caratteri alfanumerici associata ad un certo
certificato SSL, installata sul server insieme alla certificazione finale e a quella intermedia in maniera
tale da permettere la traduzione delle informazioni trasmesse in una variante comprensibile solo a chi
autorizzato alla lettura. La creazione di un CSR sul server web si accompagna a quella della relativa
Chiave Privata.
CRL, Certificate Revocation List, è un file autenticato digitalmente che contiene dettagli relativi ad
ogni certificato revocato.
Un proxy SSL consente alle applicazioni prive del protocollo SSL di fruire degli effetti tipici di una
connessione protetta mediante la connessione tra il browser (o client) e il server web.
ETHERNET
Ethernet non è una rete (né il mero cavo Ethernet che collega ad es. client e server in una LAN) ) ma
un insieme di tecnologie che permette la trasmissione di dati in una LAN.
Il protocollo Ethernet di trasmissione dei dati invia informazioni composte da 7 elementi:
•
preambolo (preamble), grande 7 byte, usato per la sincronizzazione del processo di
comunicazione tra mittente e ricevente
•
SFD (Start Frame Delimiter), grande 1 byte, delimita il “preambolo” e segna l'inizio del
pacchetto dati.
•
Destination MAC address e Source MAC address, di 6 byte ciascuno, riportano gli indirizzi
MAC del destinatario e del mittente. Il MAC è un codice assegnato dal produttore al PC e lo
identifica univocamente.
•
Ethertype, di 2 byte, indica il tipo di protocollo utilizzato nella comunicazione. In protocolli usati
per queste comunicazioni sono di tipo IP, PPoE o ARP.
•
IPayload o “campo dati” – dai 46 ai 1500 byte – contiene le informazioni scambiate nella
comunicazione.
•
FCS (Frame Check Sequence), di 4 byte, consente di rilevare se ci sono stati errori nel
processo comunicativo.
L’Ethernet può essere classificato in base alla velocità di trasmissione.
Pag. 7
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
DISPOSITIVI DI TRASMISSIONE
In origine, la trasmissione dei dati avveniva convertendo il segnale digitale in analogico inviandolo su
doppino telefonico, e poi riconvertendolo in digitale all’arrivo. Si aveva pertanto il Modem
(MODulatore-DEModulatore), un dispositivo per la trasmissione e la ricezione seriale in forma
analogica o digitale oggi evolutosi. Si distinguono modem esterni (collegati al PC tramite un cavo
seriale) e modem interni (scheda interna al computer).
Come si diceva, a causa dell'evoluzione tecnologica, con l’ISDN e ancor più con l’ADSL, non vi sono
più le fasi di modulazione e demodulazione e il nome modem ha perso il suo significato originario,
mentre il dispositivo può essere assimilato ad una scheda di rete.
ISDN, Integrated Services Digital Network, permette la trasmissione di dati in forma digitale. Significa
che il segnale viene codificato in stringhe di bit prima di essere trasmesso. Le caratteristiche principali
dell’ISDN sono: elevata velocità di trasmissione, qualità dell'ascolto per i servizi vocali, bassissima
percentuale di errore per i pacchetti inviati.
ADSL, Asymmetric Digital Subscriber Line, indica una classe di tecnologie di trasmissione hardware
utilizzate per l'accesso digitale ad Internet ad alta velocità di trasmissione su doppino telefonico. Ha
ormai soppiantato quasi totalmente sia i modem tradizionali che le linee ISDN. E’ detta anche a
"banda larga" o broadband.
Router è un dispositivo elettronico che consente, all'interno di una rete domestica, l'instradamento
dei pacchetti dati verso i nodi della LAN (computer, tablet, stampanti, ecc.). Fa da “intermediario” tra i
device collegati al router stesso che si occupa di gestire ed indirizzare i flussi di dati che vanno da un
dispositivo all’altro. Quindi è un nodo interno di rete che si occupa della commutazione del livello 3
del modello ISO/OSI.
Bridge (ponte) è un dispositivo di rete in grado di riconoscere, nei segnali elettrici che riceve, dei dati
organizzati in pacchetti detti frame (trame) individuando all'interno di queste l'indirizzo del nodo
mittente e quello del nodo destinatario e in base a questi opera l’indirizzamento.
Switch (commutatore) è un dispositivo di rete o nodo interno di rete che, attraverso indirizzi MAC,
inoltra i frame ricevuti verso un preciso destinatario grazie a una corrispondenza univoca portaindirizzo. Si differenzia dal router perché questo interconnette più reti locali attraverso il protocollo IP.
Si comporta come il bridge, ma è più efficiente .
Hub è solamente un ripetitore che non usa un indirizzamento.
Un router può essere equipaggiato con due differenti tipologie di porte Ethernet: quelle che
supportano velocità di trasferimento sino a 100 megabit al secondo (poco più di 12 megabyte al
secondo)oppure le porte gigabit, che supportano una velocità di trasferimento dati di 1.000 megabit
al secondo (poco più di 120 megabyte).
Le prestazioni del router, in entrambi i casi, non influiranno sulle prestazioni della connessione alla
Rete. La porta Ethernet gigabit entra in gioco quando si devono trasferire grandi quantità di dati tra
due computer appartenenti alla stessa LAN: in questo caso il trasferimento dei file richiederà molto
meno tempo rispetto ad una porta Ethernet da 100 megabit.
Molti router domestici incorporano anche funzionalità di access point per reti Wi-Fi e modem per il
collegamento diretto ad Internet. In questo ultimo caso si parlerà di modem o router Wi-Fi.
Pag. 8
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia
RETE WI FI (WLAN o Wireless LAN)
E’ una rete locale senza fili.
Una rete Wi-Wi è identificata attraverso il
suo SSID (Service Set IDentifier), ovvero
un nome solitamente scelto dall’utente
che aiuta a riconoscere la propria WLAN.
Ogni rete può essere composta da uno o più access point (o hotspot), ovvero di un punto
d’accesso o più punti di accesso alla rete stessa che fungono da “sorgente” del segnale, e uno o più
client che si connettono alla rete. Il segnale wireless di un singolo access point solitamente copre
un’area tra i 50 ed i 100 metri, variando anche in funzione dell’architettura dei locali, ma può essere
esteso attraverso il collegamento di differenti access point tramite cavo oppure creando un “ponte”
wireless con ripetitori di segnali come gli amplificatori Wi-Fi .
L’apparato Wi-Fi del router trasmette ogni 100 millisecondi un pacchetto dati, chiamato beacon
contenente lo SSID della rete e altre informazioni, come il protocollo di sicurezza utilizzato.
Il client (un computer dotato di scheda Wi-Fi o un ripetitore di segnale) può connettersi alla rete con
un SSID noto (ossia a una rete alla quale già ci si è connessi in precedenza), oppure a quella dal
segnale più forte e che quindi garantisce le prestazioni migliori.
Nel caso in cui la rete sia protetta, l’utente dovrà inserire la password.
Esistono tre differenti protocolli di sicurezza: WEP, WPA, WPA2. Quest’ultimo è il più sicuro, poiché
permette di crittografare le chiavi di sicurezza con l’algoritmo AES a 256 bit già menzionato.
Per aumentare la sicurezza del nostro W- Fi possiamo adottare diversi accorgimenti, fra cui:
1. Impostare una password di almeno 12 caratteri e un algoritmo di cifratura forte come il WPA2.
2. Consentire l’accesso al Wi-Fi dei soli dispositivi il cui indirizzo MAC è registrato. Il MAC è un
numero attribuito al device dal costruttore e identifica univocamente il singolo apparecchio.
Non divulgare la password né il SSID.
3. Fisicamente, si può anche porre il Router al centro del edificio e regolare la potenza del
segnale al minimo evitando che il segnale esca dal perimetro prestabilito.
(Per la rete nel suo complesso vedere l’immagine a pag. 249)
Pag. 9
R. GUMA – APPUNTI DI INFORMATICA destinati a scopo di studio – tutti i diritti riservati. Immagini tratte da Wikipedia