Sicurezza dei Sistemi Informatici Introduzione ai modelli ... TorVergata 2012 - Introduzione...

Sicurezza dei Sistemi Informatici

Introduzione ai modelliISO/OSI e TCP/IP

CORSO DI LAUREA IN INGEGNERIA MEDICAUniversità degli Studi di Roma – “Tor Vergata”(Marzo– Giugno 2012)[email protected]

Giovanni Bottazzi

Modelli di riferimentoISO/OSIl'Open Systems Interconnection (meglio conosciuto comemodello ISO/OSI) è uno standard per reti di calcolatoristabilito nel 1978 dall’International Standard Organization, ilprincipale ente di standardizzazione internazionale, chestabilisce per l’architettura logica di rete un'architettura astrati composta da una pila di protocolli suddivisa in 7 livelli, iquali insieme espletano in maniera logico-gerarchica tutte lefunzionalità della rete. L'organizzazione sentì la necessità diprodurre una serie standard per le reti di calcolatori ed avviòil progetto OSI (Open Systems Interconnection), un modellostandard di riferimento per l'interconnessione di sistemi dicomputer. Il documento che illustra tale attività è il BasicReference Model di OSI, noto come standard ISO 7498.


Modelli di riferimentoISO/OSIIl modello ISO/OSI, concepito per reti di telecomunicazioni acommutazione di pacchetto, è costituito da una pila (o stack) diprotocolli attraverso i quali viene ridotta la complessitàimplementativa di un sistema di comunicazione per il networking.In particolare ISO/OSI è costituito da strati (o livelli), i cosiddettilayer, che racchiudono uno o più aspetti fra loro correlati dellacomunicazione fra due nodi di una rete. I layers sono in totale 7e vanno dal livello fisico (quello del mezzo fisico, ossia del cavo odelle onde radio) fino al livello delle applicazioni, attraverso cui sirealizza la comunicazione di alto livello.Ogni layer individua un protocollo di comunicazione del livellomedesimo. ISO/OSI realizza una comunicazione per livelli,cioè dati due nodi A e B, il livello n del nodo A può scambiareinformazioni col livello n del nodo B ma non con gli altri: ciòconferisce modularità al sistema e semplicità di implementazionee reimplementazione.


Modelli di riferimentoISO/OSIISO/OSI realizza una comunicazione per livelli, cioè dati duenodi A e B, il livello n del nodo A può scambiare informazioni collivello n del nodo B ma non con gli altri: ciò conferisce modularitàal sistema e semplicità di implementazione e reimplementazione.Inoltre ogni livello realizza la comunicazione col livellocorrispondente su altri nodi usando il livello immediatamentesottostante. Sicché ISO/OSI incapsula i messaggi di livello n inmessaggi del livello n-1. Così se A deve inviare, ad esempio, unaemail a B, l'applicazione (liv. 7) di A propagherà il messaggiousando il layer sottostante (liv. 6) che a sua volta userà il layerinferiore, fino ad arrivare alla comunicazione ovvero trasmissionesul mezzo fisico.


Modelli di riferimentoISO/OSI – I livelli


Modelli di riferimentoISO/OSI – Il percorso dei dati


Modelli di riferimentoISO/OSI – Il livello fisicoObiettivo: trasmettere sequenze binarie sulcanale trasmissivoMezzo trasmissivo– wired: materiale (metallo, vetro), struttura(rivestimento, schermatura, numero diconduttori), lunghezza, sezione,attenuazione, impedenza, diafonia,connettori, raggi di curvatura, etc.– wireless: antenna (tipo, forma,guadagno), forma dei lobi, distanza daostacoli, etc.Segnali– frequenza, tensione, potenza, codifica,modulazione (in banda base, di fase, difrequenza, di ampiezza), etc.

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello fisico

Deve trasmettere bit su un canale dicomunicazione.Gli aspetti di progetto sono:• garantire che la comunicazione avvenga inmodo corretto (es. se viene inviato un 1, vengaricevuto un 1 e non uno 0)• gestione esplicita delle caratteristichemeccaniche, elettriche e procedurali delleinterfacce di rete (componenti che connettonol'elaboratore al mezzo fisico) e le caratteristichedel mezzo fisicoSi gestiscono, ad esempio:• Tensioni scelte per rappresentare 0 ed 1• Durata (in microsecondi) di un bit• Trasmissione simultanea in due direzionioppure no• Forma dei connettori

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello datiObiettivo: far sì che un mezzo fisicotrasmissivo appaia, al livello superiore,come una linea di trasmissione esente daerrori di trasmissione non rilevati.Trasmettere frame con "sufficiente"affidabilità tra due entità direttamenteconnesse, rilevare errori di trasmissione e(raramente) correggerliFrame– delimitazione, ordinamento dei bit,suddivisione in campi, indirizzi, etc.Rilevazione e correzione errori– codici autocorreggenti, ritrasmissione, etc. Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello dati

Funzionamento• Spezzetta i dati provenienti dal livello superiore in frame;• Invia i frame in sequenza• Aspetta un acknowledgement (ack) per ogni frame inviatoCompiti:• Aggiunta di delimitatori (framing) all'inizio ed alla fine delframe;• Gestione di errori di trasmissione causati da:• Errori in ricezione• Perdita di frame• Duplicazione di frame (da perdita di ack)• regolazione del traffico (per impedire che il ricevente sia"sommerso")• meccanismi per l'invio degli ack• piggybacking (da pickaback, cioè trasportare sulle spalle)Per le reti broadcast che devono controllare l'accessocondiviso al canale trasmissivo, è stato implementato unospeciale sottolivello del livello data link, il MAC (MediumAccess Control)

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello rete

Obiettivo: gestire l'instradamento di frameattraverso sistemi intermedi, e trovare percorsialternativi in caso di problemiAlgoritmi di instradamento– definizione e/o apprendimento (completoo parziale) della topologia della rete, calcolo delpercorso su base locale e/o globale,riconfigurazione in caso di guasti, ecc.Non garantisce– affidabilità della trasmissione, nonduplicazione alla destinazione, rispetto alladestinazione dell’ordine di invio.

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello trasporto

Obiettivo: garantire una trasmissione end-to-endaffidabile, ottimizzando l'uso delle risorseAffidabilità– tutte le trame arrivano a destinazione, incopia unica e in ordineOttimizzazione– traffico ripartito sui canali disponibili,prevenzione della congestione della rete

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello trasporto

Deve accettare dati dal livello superiore, spezzettarli inpacchetti, passarli al livello rete ed assicurarsi che arrivinoalla peer entity corrispondente.E’ il primo livello end-to-end: le peer entity di questo livelloportano avanti una conversazione senza intermediariCompiti:• Creazione di connessioni di livello rete:– Una connessione rete per ciascuna connessione trasporto– Molte connessioni rete per una singola connessionetrasporto– Una singola connessione rete per molte connessionitrasporto , con meccanismi di multiplexingOfferta di servizi al livello superiore:– canale punto a punto affidabile, che consegna dati inordine e senza errori (il servizio più diffuso, connectionoriented)– invio di messaggi isolati, con o senza garanzia diconsegna (connectionless)– broadcasting di messaggi a molti destinatari(connectionless)

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello trasporto –protocolli connessi e non connessiProtocolli orientati alla connessione: telefono– Fase di connessione - Viene istituito un canalevirtuale con il destinatario in base al suo indirizzo– Fase di trasmissione - L'informazione inserita nelcanale vi "fluisce" senza ulteriori necessità diindirizzamento

Protocolli non orientati alla connessione: posta– Fase unica - L'informazione viene instradata lungoun percorso individuato in base all'indirizzo deldestinatario

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello sessione

Obiettivo: gestire il dialogo end-to-end tra dueprogrammi applicativi che devono comunicare

Dialogo– garantire la mutua esclusione nell'utilizzo dirisorse condivise,– intercalare domande e risposte garantendo laconsequenzialità

Sincronizzazione– stabilire punti intermedi nella comunicazionerispetto ai quali entrambe le parti abbiano lagaranzia che quanto accaduto prima sia andatoa buon fine Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello presentazione

Obiettivo: gestire la sintassi dell'informazionelungo l'intero percorso end-to-end, convertendoi vari formatiSintassi astratta– definizione formale dei dati scambiatidagli applicativiSintassi concreta locale– come i dati sono rappresentati suisingoli sistemiSintassi concreta di trasferimento– come i dati sono rappresentati lungoil percorso

Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoISO/OSI – Il livello applicazioneObiettivo: definire i servizi attraverso cuil'utente (non necessariamente umano)utilizza la rete, con tutte le relativeinterfacce di accessoServizi di utente– terminale virtuale, trasferimento difile, posta elettronica, servizi didirectory, etc.Servizi di sistema operativo– risoluzione di nomi, localizzazionedi risorse, sincronizzazione degliorologi tra sistemi diversi, controllodi diritti di accesso, etc. Fisico

Dati

Rete

Trasporto

Sessione

Presentazione

Applicazione


Modelli di riferimentoTCP/IP

ENCAPSULATION


TCP/IP – livello FISICO

Fisico

Dati

Rete

Trasporto

Applicazione

Il livello fisico si preoccupa di trasmettere sequenze di bit sul canaledi trasmissione. Banalmente se viene trasmesso un 1 deve arrivareun 1 e non uno 0. I tipi di bit trasmessi rappresentano una grandezzafisica. frequenza, tensione, potenza, codifica, modulazione (in bandabase, di fase, di frequenza, di ampiezza).

Gli aspetti di progetto sono:• garantire che la comunicazione avvenga in modo corretto (es. seviene inviato un 1, venga ricevuto un 1 e non uno 0)

• gestione esplicita delle caratteristiche meccaniche, elettriche eprocedurali delle interfacce di rete (componenti che connettonol'elaboratore al mezzo fisico) e le caratteristiche del mezzo fisico

Si gestiscono, ad esempio:• Tensioni scelte per rappresentare 0 ed 1 (campionamento)• Durata (in microsecondi) di un bit• Trasmissione simultanea in due direzioni oppure no, propagazione• Forma dei connettori



Fisico

Dati

Rete

Trasporto

Applicazione

Connessioni cablate (wired)Il mezzo fisico di trasmissione è composto da uno opiù cavi e connettori che trasportano grandezze fisiche.Materiale (metallo, vetro), struttura (rivestimento,schermatura, numero di conduttori), lunghezza,sezione, attenuazione, impedenza, diafonia, connettori,raggi di curvatura, etc.Connessioni non cablate (wireless)Il mezzo fisico di trasmissione è l’etere per il trasportodi frequenze di onda elettromagnetica.Trasmettitore, antenna (tipo, forma, guadagno),forma dei lobi, distanza da ostacoli, etc.



Fisico

Dati

Rete

Trasporto

Applicazione

Connettorizzazione rame (crimpatura)Materiale utilizzato rame.Tipi di connettori esistenti RJ45 (8P8C) e RJ11 (8P2C).Cavo dritto e cavo cross.RJ45 può alimentare (POE).



Fisico

Dati

Rete

Trasporto

Applicazione

Fibra Ottica

Materiale utilizzato fibra di vetro (core).Ogni singola fibra ottica è composta da due strati concentrici di materialetrasparente estremamente puro: un nucleo cilindrico centrale, o core, ed unmantello o cladding attorno ad esso. Il core presenta un diametro moltopiccolo (fino a 10 µm) per le Monomodali e fino a 50 µm per leMultimodali, mentre il cladding ha un diametro di circa 125-150 µm.FO Multimodali – cablaggio reti LAN – poco costose, illuminate con LED,non coprono grandi distanze (causa dispersione e perdita).FO Monomodali – reti geografiche – molto costose, molto veloci illuminatecon laser, coprono grandi distanze (il principale problema è l’allineamentodel laser al core a causa del diametro ridotto del core stesso).



Fisico

Dati

Rete

Trasporto

Applicazione

Fibra OtticaConnettorizzazione molto difficile inversamente proporzionale al diametrodel core. Nell'uso pratico, un collegamento bidirezionale (ad esempio IEEE802.3) viene realizzato utilizzando una coppia di fibre, una per ciascunadirezione. Le fibre ottiche sono collegate agli apparati di telecomunicazione(trasmettitore e ricevitore) mediante connettori che allineanomeccanicamente il core della fibra con il laser e con il ricevitore. Unconnettore è molto sensibile alla polvere, per cui connettori e cavi inutilizzativengono normalmente coperti per evitare infiltrazioni. Esistono diversi tipi diconnettori, ad esempio SC, LC (in plastica, quadrati), ST (in metallo, tondi,con innesto a baionetta), FC (In metallo, tondi con innesto a vite), MTRJ(forma simile all'SC, ma leggermente più larghi e schiacciati).



Fisico

Dati

Rete

Trasporto

Applicazione

L’ultimo miglio e codifiche a livello fisicoLa rete fisica più diffusa in Italia – probabilmente ovunque – è quellatelefonica (PSTN). L’evoluzione tecnologica degli operatori per ovvi motivisi concentra prevalentemente sulle dorsali principali (backbone) cercando disfruttare al massimo – anche in ragione del business – la capacità trasmissivadell’ultimo miglio (inteso dalla centrale all’utente finale).

Modem V90ISDNADSL, HDSL



Fisico

Dati

Rete

Trasporto

Applicazione

L’ultimo miglio e codifiche a livello fisico

Modem (56kbps DOWN, 33,6 kbps UP)ISDN (128 kbps DOWN/UP)ADSL, HDSL (decine di Mbps DOWN, molto meno di 1 Mbps UP no per HDSL)



Fisico

Dati

Rete

Trasporto

Applicazione

Dorsali geografiche (backbone)



Fisico

Dati

Rete

Trasporto

Applicazione


COMMUTAZIONE DI CIRCUITOIl percorso da un estremo all’altro della connessione:- deve essere disponibile prima dell’inizio della

comunicazione- viene impegnato per tutta la durata del tempo della

comunicazione (tariffazione a tempo).Bassi ritardi di propagazione (un circuito elettricoproduce ritardi ordine di 5 ms / 1.000 Km)



Fisico

Dati

Rete

Trasporto

Applicazione

Dorsali geografiche (backbone)Necessità del MultiplexingEconomia di scala: più conversazioni (telefonia) ocollegamenti dati (reti di computer).Fondamentale in ambito geografico, a causa deicosti elevati dei canali fisici.Due categorie di base:FDM (Frequency Division Multiplexing)…molto usato inpresenza di tecnologie analogiche;TDM (Time Division Multiplexing)…in presenza ditecnologie completamente digitali… E’ questo il casodell’SDH (Synchronous Digital Hierarchy);Una variante del FDM è il WDM (Walelength DivisionMultiplexing) in caso di uso della fibra ottica.



Fisico

Dati

Rete

Trasporto

Applicazione




Fisico

Dati

Rete

Trasporto

Applicazione


COMMUTAZIONE DI PACCHETTO- Possibile perdita di dati.- Possibile ordine dei pacchetti in arrivo differente da

quello in trasmissione.- Maggiori ritardi rispetto alla commutazione di

circuito.- Addebito a volume di traffico.- Sfruttamento migliore dei canali.



Fisico

Dati

Rete

Trasporto

Applicazione




Fisico

Dati

Rete

Trasporto

Applicazione

Dorsali geografiche (backbone)ISDN (Integrated Services Digital Network)…primocaso di «canale sfruttato digitalmente»….X.25 e Frame Relay. Si comincia a parlare dicircuiti virtuali permanenti o switchati conviventisullo stesso canale fisico (oggi sarebbero nuvole)con punti di accesso…X.25 implementa anche un livello 3.Frame Relay è un protocollo di livello 2 puro.ATM (Asynchronous Transfer Mode), peraumentare le prestazioni della commutazionedi pacchetto è necessario realizzare inhardware l’instradamento di pacchetti didimensione fissa (celle di 53 byte)


TCP/IP – livello DATI

Fisico

Dati

Rete

Trasporto

Applicazione

Il livello datalink è il secondo livello dei protocolli del modello ISO/OSIper l'interconnessione di sistemi aperti. Questo livello in trasmissionericeve pacchetti dal livello di rete e forma i frame che vengono passati alsottostante livello fisico con l'obiettivo di permettere il trasferimentoaffidabile dei dati attraverso il sottostante canale. Il Livello di Datalinkdeve quindi svolgere diverse funzioni specifiche:- in trasmissione raggruppare i bit provenienti dallo strato superiore e

destinati al livello fisico in pacchetti chiamati frame (framing);- in ricezione controllare e gestire gli errori di trasmissione (controllo

di errore);- regolare il flusso della trasmissione fra sorgente e destinatario

(controllo di flusso).Tutto ciò consente di far apparire in ricezione, al livello superiore, ilmezzo fisico come una linea di trasmissione esente da errori.Comunicazione sufficientemente affidabile ed efficiente tra nodiadiacenti

Nelle reti locali (LAN) anche gestione della condivisione del mezzotrasmissivo



Fisico

Dati

Rete

Trasporto

Applicazione

FRAMING.Il livello 2 riceve dal livello superiore (rete) dei pacchetti. Considerandoche:- la lunghezza dei pacchetti (livello 3) e delle corrispondenti trame

(livello 2) è variabile;- i sistemi non sono sincronizzati tra loro;- il livello 1 tratta solo bit e quindi non è in grado di distinguere se un

bit appartiene ad una trama o a quella successiva,nasce il problema della delimitazione delle trame. La funzionalità diframing è dunque quella di rendere distinguibile una trama dall’altraattraverso l’utilizzo di opportuna codifica.



Fisico

Dati

Rete

Trasporto

Applicazione

MODALITA’ DI FRAMING.Esistono diverse tecniche per implementare il framing:Inserire intervalli temporali fra trame consecutive. Le reti ditelecomunicazione non danno garanzie sul rispetto delle caratteristichetemporali. Gli intervalli inseriti potrebbero essere espansi o ridottigenerando problemi di ricezione.Marcare inizio e termine di ogni trama.- Character count. Delimitazione della trama con conteggio dei byte

(o caratteri) all’inizio della trama.- Character stuffing. Delimitazione della trama con caratteri speciali.

Se il carattere speciale compare anche nella trama viene raddoppiato(byte stuffing).

- Starting and ending flags (bit stuffing). Stessa tecnica del bytestuffing ma calcolato sul bit. Se nella trama ci sono 11111 vieneaggiunto uno 0 in trasmissione e rimosso in ricezione.



Fisico

Dati

Rete

Trasporto

Applicazione

CONTROLLO E CORREZIONE DEGLI ERRORI (FrameCheck Sequence).Il livello 2 si fa carico della rilevazione e dell’eventualecorrezione degli errori. Un controllo su un flusso di dati altro nonè che una funzione sui dati stessi – f(dati) – ovvero un calcolo. Selo stesso calcolo effettuato sulla stessa trama in trasmissione ericezione produce lo stesso risultato allora la comunicazione èpriva di errori.Alcuni di questi (codici di Hamming) permettono la rilevazione ela correzione, ovvero molto utili se non è conveniente laritrasmissione, altri invece si limitano a rilevare l’errore (CRC –polinomi per il controllo di ridondanza ciclica).



Fisico

Dati

Rete

Trasporto

Applicazione

CONTROLLO DI FLUSSO.I collegamenti punto-punto si basano sull’autorizzazione, esplicitao implicita, data dal ricevitore al trasmettitore per inviare i dati.Richiede protocolli con cui trasmettitore e ricevitore si scambianoinformazioni di controllo.Bisogna considerare la possibilità di perdere le informazioni dicontrollo.Il nodo A trasmette al una trama al nodo B e si mette in attesa delriscontro (STOP AND WAIT).Se il traffico è bidirezionale, il riscontro può viaggiarenell’intestazione di una delle trame in arrivo da B ad A(piggybacking).Se un riscontro non arriva? E’ andato persa la trama all’andata(necessario ritrasmettere)? E’ andato perso il riscontro (seritrasmetto c’è duplicazione)?



Fisico

Dati

Rete

Trasporto

Applicazione

CONTROLLO DI FLUSSO – SLIDING WINDOWS.

Il ricevitore mantiene una finestra di ricezione con numerod’ordine dei pacchetti che può ricevere. Consente di riconoscere escartare frame duplicati a causa di riscontri andati persi. Permettedi accettare frame non ordinati a causa di frame persi o diritrasmissioni.

Il trasmettitore mantiene una finestra di trasmissione con numerod’ordine dei pacchetti che può spedire (spedisce prima di ricevereun riscontro). I frame appartenenti alla finestra vengonomemorizzati per eventuali ritrasmissioni.



Fisico

Dati

Rete

Trasporto

Applicazione

CONTROLLO DI FLUSSO – SLIDING WINDOWS.

RICEVITORE. Il limite superioreviene fatto avanzare quando siriceve un frame e si invia ilriscontro. La dimensione dellafinestra e fissa.

TRASMETTIRORE. Il limitesuperiore viene fatto avanzarequando si spedisce un frame. Illimite inferiore viene fattoavanzare quando si riceve unriscontro.

ESEMPI DI PROTOCOLLI.HDLC, SLIP (nato con i modem),PPP.



Fisico

Dati

Rete

Trasporto

Applicazione

LA CONDIVISIONE DEL CANALE TRASMISSIVO

Trasmissione burst richiede elevata velocità per brevi periodi.Il numero di utenti è elevato e varia continuamente.Il traffico è intrinsecamente irregolare e asincrono (inefficientepensare a modalità di Time Division Multiplexing o FrequencyDivision Multiplexing) .Tutte le stazioni rice-trasmittenti sono indipendenti e paritetiche.Canale singolo per ricevere e trasmettere dati e/o informazionidi controllo.Le stazioni possono rilevare una portante – individuare unatrasmissione già in corso.Le stazioni possono rilevare collisioni – sovrapposizione di dueo più trasmissioni.



Fisico

Dati

Rete

Trasporto

Applicazione

LA CONDIVISIONE DEL CANALE TRASMISSIVO

Canale broadcast (il canale è di tutte le stazioni).Fisicamente. Wifi.Logicamente. Anello, stella, albero.



Fisico

Dati

Rete

Trasporto

Applicazione

- In ogni caso serve un meccanismo di arbitraggio del canale.- Tutte le stazioni ricevono tutti i pacchetti: serve un

meccanismo di indirizzamento.

Il progetto 802 dell’IEEE (Institute of Electrical andElectronic Engineers).Nato per definire uno standard per le LAN e MAN.E’ a cavallo dei livelli 1 e 2.Il più diffuso è l’802.3 – anche l’802.11……è piuttosto famoso.

802.3Meglio conosciuto come Ethernet – CSMA/CD.Si suddivide in due sottolivelli (LLC e MAC)Topologia inizialmente a bus ora a stellaArbitraggio a contesa del canaleLa versione attuale è la 802.3z (1 Gb/s).



Fisico

Dati

Rete

Trasporto

Applicazione

IL SOTTOLIVELLO LLC (Logical Link Control)

- Non deve preoccuparsi dei problemi di trasmissione.- Fornisce al superiore livello 3 la stessa interfaccia delle

WAN.- I dati provenienti dal livello superiore vengono incapsulati in

una unità di trasmissione (Protocol Data Unit, PDU) dellivello LLC e opportunamente trasferiti al livello MAC, chene cura la trasmissione sul mezzo fisico prescelto.

- Tipi di LLC-PDU. Unnumbered PDU (dati utente in modalitànon connessa), Information PDU (dati utente in modalitàconnessa), Supervisory PDU (dati di controllo del protocolloin modalità non connessa).



Fisico

Dati

Rete

Trasporto

Applicazione

IL SOTTOLIVELLO LLC (Logical Link Control)DSAP address (indirizzo Service Access Point di destinazione): 8 bit,di cui il meno significativo indica se fa riferimento a un SAPindividuale o di gruppo. Fornisce al superiore livello 3 la stessainterfaccia delle WAN.SSAP address (indirizzo Service Access Point di origine): 8 bit, di cuiil meno significativo indica se il messaggio costituisce un comando ouna risposta.Control (Controllo): 8 bit per le modalità di connessione che nonrichiedono un numero di sequenza, 16 bit altrimenti.Information (Dati): 0 o più byte (non è stabilito un limite massimo,ma PDU troppo grandi potrebbero essere frammentate dal livelloMAC).



Fisico

Dati

Rete

Trasporto

Applicazione

IL SOTTOLIVELLO MAC (Medium Access Control)Il MAC-PDU contiene il LLC PDU anteponendo gli indirizzi destinatario emittente (MAC Address) e postponendo un FCS (a meno di SFD e PAD).Gli indirizzi MS sono rappresentati da 6 byte (48 bit) – 6 coppie esadecimali.Unici a livello mondiale. Primi 3 byte costituiscono il Vendor Code, restantinumero progressivo assegnato dal costruttore.Il primo bit trasmesso distingue tra singola stazione destinataria (UNICAST)se è zero, gruppi di stazioni se è 1 (MULTICAST e BROADCAST).Tutti i bit a 1 indicano il broadcast.



Fisico

Dati

Rete

Trasporto

Applicazione

IL SOTTOLIVELLO MAC (Medium Access Control)Taluni apparati di interconnessione LAN (Hub) non applicano alcuna logica diselezione sul traffico in ingresso/uscita. Per questo motivo tutto il traffico iningresso su una porta viene replicato su tutte le altre porte in uscita.


La scheda di rete può essere programmata per accettare qualunque frame (cosiddetto modoPROMISCUO)Apparati di rete più sofisticati (Switch) memorizzano il MAC address collegato a ciascunaporta che può essere impostato staticamente ovvero «negoziato».

Sarà successivamente compito del livello MAC dell’host (implementato di solito sullascheda di rete) a capire se il frame è a lui destinato (e quindi passarlo al livello superiore)oppure no (e quindi scartare il frame).

TCP/IP – livello RETE

Fisico

Dati

Rete

Trasporto

Applicazione

Nel modello TCP/IP, il livello 3 viene detto livello internet oppure livellodi internetworking, in quanto interconnette reti eterogenee, che possonoessere basate su protocolli di livello collegamento (ad esempio ethernet,PPP) o su protocolli di rete (ad esempio Frame Relay, AsynchronousTransfer Mode), per realizzare un'unica rete in modo trasparente agliutilizzatori. Il livello IP, quindi, è indipendente dai livelli sottostanti esovrastanti, che permette di usare o riusare tecnologie già disponibili, e diadattarsi con naturalezza a nuove tecnologie.Frammentazione e riassemblaggio: se un pacchetto ricevuto ha unadimensione eccessiva per la rete su cui deve essere trasmesso, il livello direte lo divide in frammenti e, in maniera complementare, si occupa diriassemblare i frammenti ricevuti al momento della consegna.Instradamento (routing), ovvero determinare il percorso ideale per latrasmissione dei dati attraverso la rete a partire dall'indirizzo IP deldestinatario. Questa funzione viene svolta dinamicamente tramite appositiprotocolli di routing per il popolamento delle tabelle di instradamento inbase efficienza/distanza dei link, condizioni della rete, priorità del servizioe altri elementi secondari.



Fisico

Dati

Rete

Trasporto

Applicazione

E’ il primo livello che permette di introdurre il concetto di comunicazionetra nodi anche molto distanti (nel livello 2 si parlava di nodi adiacenti).Per fare ciò è necessario che un apparato su cui è «implementato» il livello3 sappia come «inoltrare» al meglio un pacchetto in arrivo…..La «logica decisionale» di instradamento identificata un protocollo diinstradamento (protocollo di routing) che altro non fa che popolare delle«tabelle decisionali» di instradamento (tabelle di routing)PARAMETRICORRETTEZZA….. Instradare correttamente.SEMPLICITA’…. Le capacità di calcolo e memorizzazione sono limitate.ROBUSTEZZA…. Gli algoritmi devono «sopravvivere» ai guasti.STABILITA’…. Per motivi di efficienza le tabelle di routing non devonoessere continuamente stravolte; in altro parole l’algoritmo deve convergereverso uno stato di equilibrio.IMPARZIALITA’….stesse condizioni stesso comportamento – scientificitàdell’algoritmo.OTTIMALITA’….Il percorso scelto deve essere sempre il migliore.



Fisico

Dati

Rete

Trasporto

Applicazione

SERVE UNA METRICA.Due parametri molto utilizzati:• HOPS: numero di salti effettuati, cioè il numero di nodi intermediattraversati lungo il cammino.• COSTO: somma dei “costi” di tutte le linee attraversate (il costo di unalinea è in genere inversamente proporzionale alla sua velocità).

Non adattativi (routing statico):• criteri fissi di instradamento.Adattativi (routing dinamico):• le tabelle di instradamento vengonocontinuamente aggiornate in funzione diinformazioni sullo stato della rete(topologia e traffico).

TIPI DI ALGORITMO.



Fisico

Dati

Rete

Trasporto

Applicazione

Algoritmi StaticiFixed directory routing• tabelle scritte a mano;• tabelle fisse ottenute tramite algoritmi, per esempio quello di

Dijkstra per calcolare il cammino minimo.Flooding (inondazione) - storico• i pacchetti vengono ripetuti su tutte le porte ad eccezione di quelladi arrivo

Algoritmi DinamiciRouting centralizzato - storicoRouting isolato - storicoRouting distribuito• distance vector• link state routing



Fisico

Dati

Rete

Trasporto

Applicazione



Fisico

Dati

Rete

Trasporto

Applicazione

Fixed Directory Routing• Ogni nodo ha una tabella di instradamento scritta manualmente, con informazionidel tipo: indirizzo di destinazione → linea• Il gestore della rete ha il totale controllo dei flussi di traffico• sono necessari interventi manuali per ridirigere il traffico in presenza di guastiFloodingAlgoritmo non adattativo.Ciascun pacchetto in arrivo viene ritrasmesso su tutte le linee eccetto quella da cui èstato ricevuto.Utilizzabile solo in presenza di traffico molto limitato.

Ottimizzazioni del flooding• Age-counter (TTL).• ogni pacchetto contiene un contatore di salti, inizializzato al massimo numero di salti previsto perarrivare a destinazione, che viene via via decrementato.• si scartano i pacchetti con il contatore a zero.• Memoria dei pacchetti transitati.• si scartano i pacchetti le successive volte che passano in un nodo.• Selective flooding (ritrasmissione su linee casuali o con code di trasmissione più brevi).

Algoritmi Statici



Fisico

Dati

Rete

Trasporto

Applicazione

Routing centralizzato.Esiste un Routing Control Center (RCC) che calcola e distribuisce le tabelle• Il RCC riceve informazioni sullo stato della rete da tutti i nodi e le usa percalcolare le nuove tabelle• Poco robusto (le tabelle non arrivano a tutti i router contemporaneamente)• Genera elevato carico sulla rete in prossimità del RCC

Routing isolatoOpposto al routing centralizzato: ogni nodo decide l’instradamento senzascambiare informazioni con gli altri nodi

Routing distribuitoOgni router calcola le sue tabelle dialogando con gli altri router e con gli end-node.Tale dialogo avviene tramite protocolli ausiliari di livello 3.Due approcci principali:• algoritmi “distance vector”• algoritmi “link state”

Algoritmi Dinamici



Fisico

Dati

Rete

Trasporto

Applicazione

Noto anche come algoritmo di “Bellman-Ford” o “Ford-Fulkerson”.Ogni nodo, quando modifica le proprie tabelle di instradamento, invia ai nodiadiacenti un “distance vector” (insieme di coppie [indirizzo - distanza]).La distanza è espressa tramite metriche classiche quali numero di hops ecosto.Ogni nodo memorizza per ogni linea l’ultimo distance vector ricevutoUn router ricalcola le sue tabelle se:• cade una linea attiva.• riceve un distance vector da un nodo adiacente diverso da quello memorizzato.• Il calcolo consiste nella fusione di tutti i distance vector delle linee attive.• Se le tabelle risultano diverse da quelle precedenti, invia ai nodi adiacenti un nuovodistance vector.

Distance Vector

Distance Vector: caratteristicheVantaggi: molto semplice da implementare• Svantaggi:• possono innescarsi dei loop a causa di particolari variazioni della topologia• la convergenza può essere molto lenta



Fisico

Dati

Rete

Trasporto

Applicazione

Distance VectorRouting Information Protocol (RIP)Interior Gateway Routing Protocol (IGRP)



Fisico

Dati

Rete

Trasporto

Applicazione

Link StateOgni router:• scopre i vicini e i loro indirizzi (pacchetto di “hello”)• misura il ritardo o il costo per raggiungerli• costruisce un pacchetto (LSP: Link State Packet) con tali informazioniche invia in flooding a tutti i router• calcola il cammino minimo per raggiungere ogni altro router

Vantaggi:• può gestire reti di grandi dimensioni• ha una convergenza rapida (complessità E log N, con E link e N nodi)• è robusto• ogni nodo ha la mappa dell’intera rete

• Svantaggi:• molto complesso da realizzare• necessita di meccanismi speciali per le LAN (un router diventa “pseudo-nodo”)

Open Shortest Path First (OSPF)



Fisico

Dati

Rete

Trasporto

Applicazione

Routing GerarchicoNecessario per reti di grandi dimensioni.Si basa su criteri gerarchici di assegnazione degli indirizzi di rete.La rete viene suddivisa in regioni.Ogni router conosce:• l’instradamento nella propria regione.• l’instradamento verso almeno un altro router di ogni altra regione.• per reti enormi può essere necessaria una gerarchia su più livelli.



Fisico

Dati

Rete

Trasporto

Applicazione

Routing Gerarchico – Border Gateway ProtocolI router sono «raggruppati» in Autonomous Systems (AS) …Ogni AS ha un proprio numero identificativo …. 16 bit…. 216-1=65536-1E’ un insieme, quindi do sottoreti raggruppate secondo criteri topologici,organizzativi (e gerarchici).All’interno di un AS il routing e l’indirizzamento sono strettamente coordinati.All’interno di un AS non tutti i router hanno lo stesso ruolo.



Fisico

Dati

Rete

Trasporto

Applicazione

Internet ProtocolProtocollo semplice di tipo datagram, non connessoFunzioni di:• instradamento dei messaggi basato su indirizzi 32 bit• frammentazione e riassemblaggio• rilevazione (senza correzione) degli erroriVersioni: IPv4 (attuale), IPv6 (futura già definita)



Fisico

Dati

Rete

Trasporto

Applicazione

Internet Protocol

Versione [4 bit] - ha valore 4Internet Header Length (IHL) [4 bit] - Indica la lunghezzaType of Service (TOS) [8 bit] - bit 0-2 : Precedenza, bit 3: Latenza (0 = normale, 1 = bassa), bit 4:Throughput (0 = normale, 1 = alto), bit 5: Affidabilità (0 = normale, 1 = alta), bit 6-7: Riservati perusi futuri. Dopo molte sperimentazioni e ricerche, recentemente questi 8 bit sono stati ridefiniti edhanno la funzione di Differentiated services (DiffServ nell'IETF e Explicit Congestion Notification(ECN) codepointsTotal Length [16 bit] - minimo di 20 byte (header minimo e campo dati vuoto) ad un massimo di65535 byte.Identification [16 bit] - identificare in modo univoco i vari frammenti in cui può essere stato"spezzato" un datagramma IP.



Fisico

Dati

Rete

Trasporto

Applicazione

Internet Protocol

Flags [3 bit] - DF (Don't Fragment) - se settato a 1, MF (More Fragments) - se settato a 0 indica che ildatagramma è l'ultimo frammento o il solo frammento del datagramma originario, pertanto tutti gli altri suoiframmenti hanno il bit MF settato a 1.Fragment Offset [13 bit] - Indica l'offset di un particolare frammento relativamente all'inizio del datagrammaIP originale.Time To Live (TTL) [8 bit] - Indica il tempo di vita (time to live) del datagramma, necessario per evitarne lapersistenza indefinita sulla rete nel caso in cui non si riesca a recapitarlo al destinatario.Protocol [8 bit] - codice associato al protocollo livello superiore. TCP è associato il codice 6, ad UDP ilcodice 17,Header Checksum [16 bit] - È un campo usato per il controllo degli errori dell'header.Source address [32 bit] – Destination address [32 bit]Options - Opzioni (facoltative e non molto usate) per usi più specifici del protocollo.



Fisico

Dati

Rete

Trasporto

Applicazione

Indirizzi IPSono organizzati gerarchicamente in reti.Le reti sono raggruppate in classi di dimensione variabile:• poche reti con molti nodi;• molte reti con pochi nodi.



Fisico

Dati

Rete

Trasporto

Applicazione

Indirizzi IPIndirizzi speciali“Questo host”: 00000000 00000000 00000000 00000000 (0.0.0.0)Un host di questa rete: zeri nel campo rete seguiti dal campo hostBroadcast su questa rete 11111111 11111111 11111111 11111111(255.255.255.255)Broadcast su una rete remota identificatore della rete seguito da tutti 1 nelcampo hostInoltre, la rete 127.0.0.0 (di classe A) è normalmente usata come rete di“loopback”, per permettere funzionalità all’interno della rete stessa.Esempio (effettua il ping su se stesso): # ping 127.0.0.1

Indirizzi IP per uso privatoLe seguenti reti sono riservate all’uso privato e gli indirizzi non possonoessere annunciati dai router pubblici (RFC 1918):• la rete 10 - da 10.0.0.0 a 10.255.255.255• parte della rete 172 - da 172.16.0.0 a 172.31.255.255• la rete 192.168 - da 192.168.0.0 a 192.168.255.255



Fisico

Dati

Rete

Trasporto

Applicazione

Indirizzi IP

Classe A• Campo rete• 7 bit• max 128 reti• valori compresi tra 0 e 127• Campo host• 24 bit• max 16M host

Classe B• Campo rete• 14 bit• max 16K reti• valori compresi tra 128 e 191• Campo host• 16 bit• max 64K host

Classe C• Campo rete• 21 bit• max 2M reti• valori compresi tra 192 e 223• Campo host• 8 bit• max 256 host



Fisico

Dati

Rete

Trasporto

Applicazione

Subnetting

Consente un ulteriore livello di gerarchia. N bit più significativi del campohost identificano la subnet.

Netmask• Parametro che specifica il subnetting.• bit a 1 in corrispondenza dei campi network e subnetwork• bit a 0 in corrispondenza del campo host• Esempio: rete di classe B partizionata in 16 subnet da 4096 host• netmask: 255.255.240.0, cioè 11111111 11111111 11110000 00000000



Fisico

Dati

Rete

Trasporto

Applicazione

Assegnazione degli indirizzi

Gli indirizzi vengono associati alle interfacce di reteAd ogni interfaccia sono note le seguenti informazioni:- proprio indirizzo IP- netmask- indirizzo IP del “default gateway”: il router da

utilizzare per inviare messaggi al di fuori della propriasubnet / rete fisica



Fisico

Dati

Rete

Trasporto

Applicazione



Fisico

Dati

Rete

Trasporto

Applicazione

Address Resolution Protocol (ARP)

Indirizzi IP e indirizzi MAC• Indirizzo conosciuto dall’applicazione: IP• Indirizzo necessario per spedire un messaggio su una LAN: MAC• Come trovare la corrispondenza tra indirizzi di livello 3 e indirizzi di livello 2?

ARP: Address Resolution Protocol- Sfrutta la trasmissione broadcast delle LAN- Viene inviato in broadcast (MAC DSAP FF-FF-FF-FF-FF-FF) un pacchetto

contenente l’indirizzo IP di cui si cerca il corrispondente MAC- Tutte le stazioni leggono il pacchetto, quella interessata risponde

E’ necessario ripetere questa operazione ogni volta?



Fisico

Dati

Rete

Trasporto

Applicazione

Internet Control Message Protocol (ICMP)ICMP (RFC 792) svolge funzioni di controllo per IP.IP usa ICMP per la gestione di situazioni anomale, per cui ICMP offre unservizio ad IP.I pacchetti ICMP sono incapsulati in datagrammi IP, per cui IP fornisce iltrasporto a ICMP.

ICMP è molto utilizzato per troubleshooting e……..



Fisico

Dati

Rete

Trasporto

Applicazione

Internet Control Message Protocol (ICMP) - Ping


Il comando PING è un comando di (diagnostica) che utilizza il protocolloICMP e consiste nell’invio di un pacchetto ICMP_ECHO_REQUEST dal unhost A verso un host B.L’host B, alla ricezione di un pacchetto ICMP_ECHO_REQUEST risponderàcon un pacchetto ICMP_ECHO_REPLY.L’invio e la ricezione di tali pacchetti ICMP permette prima di tutto diverificare la raggiungibilità di un host e in secondo luogo i tempi di risposta(Round Trip Time). Altra informazione fornita è il TTL che non essendo unostandard ha impostazioni diverse a seconda del sistema operativo dell’host B.Windows di solito 128 e Unix 255.


Fisico

Dati

Rete

Trasporto

Applicazione

Internet Control Message Protocol (ICMP) - Traceroute


Lo scopo del traceroute è quello di segnalare quali siano le macchine attraversate dai pacchetti pergiungere ad una determinata destinazione, nonché di utilizzare tutte le informazioni disponibiliper valutare l'affidabilità della connessione. Per far questo, il comando traceroute invia unasuccessione di pacchetti, incrementando di volta in volta il valore del TTL, ed attende le notificheICMP del tipo TIME_EXCEEDED, mandate indietro dai gateways lungo il percorso delpacchetto. I primi pacchetti lanciati avranno un TTL di un solo hop, poi questo valore vieneincrementato finché non si raggiunge il numero massimo di hops, oppure finché la stazionedestinazione, raggiunta dal pacchetto, non risponde con un DESTINATION_UNREACHABLE ditipo port_unreachable per segnalare che non sa cosa fare del pacchetto ricevuto (es. una portalogica non attivata).Per ogni valore di Max_ttl il traceroute manda tre pacchetti (ma il loro numero può esseremodificato dall'utente).


Fisico

Dati

Rete

Trasporto

Applicazione

InternetEccezione fatta per le classi di indirizzamento private tutte le classi sono utilizzabili.

La distribuzione degli indirizzi e degli AS WORLD-WIDE è «armonizzata»Il protocollo di routing utilizzato è il BGP – con i relativi AS

La proprietà e il coordinamento dell’intero spazio indirizzi IP sono affidati a IANA(Internet Assignment Numbers Authority). In passato la gestione di tale spazio era a caricodi una unica organizzazione (InterNIC) la quale distribuiva centralmente indirizzi IP surichiesta dei singoli utenti; tale gestione avviene ora in modo gerarchico: IANA assegna adifferenti Regional Internet Registry blocchi di indirizzi IP affinché questi li distribuiscanoall’interno delle rispettive aree geografiche di competenza. Attualmente sono attivi iseguenti 3 Regional Registry:InterNIC, in America, serve prevalentemente il Nord America. A partire da gennaio 1998l’attività di InterNIC verrà svolta da ARIN.APNIC, in Asia, serve prevalentemente la zona Asian PacificRIPE NCC, per l’Europa e paesi limitrofiI Regional Registry assegnano blocchi di indirizzi IP ai rispettivi Local Internet Registry(LIR) i quali, a loro volta, li assegneranno ai propri utenti. Il processo di assegnazioneprende il nome di allocation; i blocchi assegnati prendono il nome di delegated blocks.



Fisico

Dati

Rete

Trasporto

Applicazione

Internet


TCP/IP – livello TRASPORTO

Fisico

Dati

Rete

Trasporto

Applicazione

……Il livello di Trasporto fornisce:- fornisce servizi ai livelli superiori- fornisce indirizzi del livello di trasporto- crea e distrugge le connessioni- gestisce le connessioni- utilizza due tipi di protocolli TCP e UDPIl canale sottostante in questo caso è l’intera rete sottostante di comunicazione.L’altra estremità della connessione può non esistere senza che lo sappiamo.Sono possibili ritardi.I pacchetti possono seguire strade diverse ed arrivare in ordine diverso sa quello ditrasmissione.



Fisico

Dati

Rete

Trasporto

Applicazione

SocketInterfaccia verso i programmi applicativiSi basano su una serie di librerie (primitive) per:- rendere disponibile un punto di accesso al servizio per i client remoti;- aprire e chiudere una connessione (TCP);- scambiare dati (UDP).



Fisico

Dati

Rete

Trasporto

Applicazione

TSAP: Transport Service Access Point.Coppie <indirizzo IP, porta locale>.Definiscono punti di accesso presso cui i processi possono attendere leconnessioni.Molti sono noti a priori («Well Known Ports» di TCP – 80, 8080, 443, 23,TCP/UDP 53,....).

CREAZIONE/DISTRUZIONE/GESTIONE delle CONNESSIONIDue host «end to end» per poter comunicare necessitano di impiantare,gestire e distruggere una o più connessioni.Prima di poter scambiare dati i due host devono sincronizzarsi «Three WayHandshake».Dopo aver terminato lo scambio dati i due host devono distruggere (o chiudere)una connessione in modo asimmetrico (simile al sistema telefonico con rischiodi perdita di pacchetti in transito) o simmetrico «Four Way Handshake».

Ogni host può avere in piedi più di una connessione ….

In che stato permangono gli host se lo scambio delle informazioni disincronizzazione vanno perse/ritrasmesse? Il problema dei due eserciti…. «almio segnale attacchiamo!»



Fisico

Dati

Rete

Trasporto

Applicazione

TCP – Transmission Control Protocol



Fisico

Dati

Rete

Trasporto

Applicazione

Lo stesso meccanismo gestisce controllo di flusso e perdita di pacchetti.Protocollo di Sliding Window «più complesso di quello del livello datalink» perché il livello di trasporto deve gestire più connessioni.




Fisico

Dati

Rete

Trasporto

Applicazione




Fisico

Dati

Rete

Trasporto

Applicazione

Protocollo non connesso.Si limita ad aggiungere ad IP le funzionalità di:• multiplexing dei dati tra le diverse applicazioni (gestione delle porte);• generazione e verifica della checksum per l’integrità dei dati;Più snello del TCP.Non controlla che tutti i pacchetti giungano a destinazione.L’applicazione gestisce i meccanismi di ritrasmissione.

UDP – User Data Protocol


TCP/IP – livello APPLICAZIONE

Fisico

Dati

Rete

Trasporto

Applicazione

Al livello più alto ci sono applicazioni/sistemi lato utente molti dei quali diuso comune.


TCP/IP – digressione sul cablaggio strutturato

Fisico

Dati

Rete

Trasporto

Applicazione

Perché il cablaggio strutturato?Integrazione dei due principali sistemi di distribuzione di segnali in un edificiocommerciale: telefonia e rete dati. Problema trasmissione differente.



Fisico

Dati

Rete

Trasporto

ApplicazioneL’esigenza del cablaggio strutturato- Eliminazione dei costi di modifica dell’impianto conseguenti alla dinamica

dell’utilizzo dell’edificio- Estensione a tutti gli altri sistemi che trasmettono/ricevono segnali- controllo accessi, telesorveglianza- interfoni, apriporta- impianti di antenna e TV a circuito chiuso- ...Presa telematica. Ogni spazio che possa ospitare un posto di lavoro è raggiunto da prese“telematiche”. Ogni presa può essere attivata per erogare un qualsiasi servizio (es. telefono o retedati o videocitofono ecc.)…. Ogni presa a tendere sarà IP.Il Permutatore consente di collegare una presa telematica di un posto dilavoro a un dato servizio senza opere murarie o elettriche aggiuntive.



Fisico

Dati

Rete

Trasporto

Applicazione


Sicurezza dei Sistemi Informatici Introduzione ai modelli ... TorVergata 2012 - Introduzione...

Documents

Transcript of Sicurezza dei Sistemi Informatici Introduzione ai modelli ... TorVergata 2012 - Introduzione...