WLAN

WLAN è l'acronimo di Wireless Local Area Network, ovvero una rete locale senza fili. Una WLAN
è una rete di computer o dispositivi che si connettono tra loro senza l'uso di cavi fisici, ma
utilizzando onde radio per trasmettere i dati tra i dispositivi.

Le WLAN sono ampiamente utilizzate in ambienti domestici, uffici, scuole e aree pubbliche come
aeroporti, stazioni ferroviarie e centri commerciali, dove i dispositivi mobili come smartphone,
tablet e laptop necessitano di una connessione Internet wireless per accedere a risorse online.

Qual è la differenza tra modalità Ad-Hoc e Infrastruttura Wi-Fi?

Non tutte le reti Wi-Fi sono uguali. I punti di accesso Wi-Fi possono funzionare in modalità
"ad-hoc" o "infrastruttura" e molti dispositivi abilitati Wi-Fi possono connettersi solo a reti
in modalità infrastruttura, non ad-hoc. Reti Wi-Fi in modalità infrastruttura vengono
generalmente creati dai router Wi-Fi, mentre le reti ad-hoc sono solitamente reti di breve
durata create da un laptop o altro dispositivo.

La maggior parte delle reti Wi-Fi funziona in modalità infrastruttura. I dispositivi sulla
rete comunicano tutti attraverso un unico punto di accesso, che generalmente è il router
wireless. Ad esempio, supponiamo di avere due laptop seduti uno accanto all'altro, ciascuno
connesso alla stessa rete wireless. Anche se seduti uno accanto all'altro, non comunicano
direttamente. Invece, stanno comunicando indirettamente attraverso il punto di accesso
wireless. Mandano pacchetti al punto di accesso - probabilmente un router wireless - e
rimandano i pacchetti all'altro laptop. La modalità infrastruttura richiede un punto di accesso
centrale a cui tutti i dispositivi si connettono. La modalità Infrastruttura è l'ideale se stai
impostando una rete più permanente. I router wireless che funzionano come punti di accesso
generalmente dispongono di radio e antenne wireless ad alta potenza in modo che possano
coprire un'area più ampia.

La modalità ad-hoc è anche detta modalità "peer-to-peer". Le reti ad-hoc non richiedono
un punto di accesso centralizzato. Invece, i dispositivi sulla rete wireless si connettono
direttamente tra loro. Se si configurano i due laptop in modalità wireless ad hoc, si
collegano direttamente tra loro senza la necessità di un punto di accesso centralizzato. La
modalità ad-hoc può essere più semplice da configurare se si desidera semplicemente
collegare due dispositivi tra loro senza richiedere un punto di accesso centralizzato.
Richiede più risorse di sistema poiché il layout fisico della rete cambierà mentre i dispositivi
si spostano, mentre un punto di accesso in modalità infrastruttura rimane generalmente
stazionario. Se un dispositivo si trova fuori dalla portata di un altro dispositivo a cui
desidera connettersi, passerà i dati attraverso altri dispositivi lungo la strada.

Decidere quando utilizzare ogni tipo di rete è in realtà piuttosto semplice. Se stai
configurando un router wireless per funzionare come un punto di accesso, ti consigliamo di
lasciarlo in modalità infrastruttura. Se stai configurando una rete wireless temporanea tra
una manciata di dispositivi, probabilmente la modalità ad-hoc è buona. I router vengono
configurati per utilizzare la modalità infrastruttura per impostazione predefinita e la
modalità ad-hoc funzionerà per collegare rapidamente due laptop.
IEEE 802.11
in informatica e telecomunicazioni, definisce un insieme standard di trasmissione per reti
WLAN, specificando sia l'interfaccia tra client e access point sia le specifiche tra client
wireless. Questo termine viene usualmente utilizzato per definire la prima serie di
apparecchiature 802.11 sebbene in questo caso si debba preferire il termine "802.11 legacy".
Il simbolo Wi-Fi, termine con cui si identificano in genere i dispositivi 802.11 indica
l'appartenenza del dispositivo stesso alla Wi-fi Alliance.

Confronto fra modello ISO-OSI e TCP-IP

ISO/OSI è stato progettato per permettere la comunicazione in reti a "commutazione di
pacchetto", del tutto simili al paradigma TCP-UDP/IP usato in Unix e nella rete ARPAnet.
La differenza sostanziale fra TCP/IP e ISO/OSI consiste nel fatto che nel TCP/IP i livelli di
presentazione e di sessione sono esterni alla pila di protocolli (cioè è un'applicazione stand-
alone che "usa" TCP/IP per comunicare con altre applicazioni). I livelli sono dunque solo
quattro:

 Livello di applicazione
 Livello di trasporto
 Livello di rete
 Livello di accesso alla rete

Progettazione di una rete

Nel mondo digitale di oggi, la progettazione della tecnologia offre alla tua azienda un
vantaggio netto e competitivo. Tuttavia, è importante sottolineare che un’infrastruttura con
un design mal eseguito costituisce più un danno che un vantaggio. Se disporre di
un’infrastruttura di rete wireless veloce, affidabile e sicura è essenziale per la tua azienda,
allora è necessario conoscere quali sono le fasi da seguire per un valido Wireless Design.
Esistono principalmente 3 step per l’esecuzione di un progetto Wireless:

 Raccolta dati / Survey

 Wireless Design
  Implementazione e Post- Install Survey

Alla conclusione della fase di raccolta dati, il partner IT dovrebbe avere tutti gli elementi
necessari per poter fare un vero e proprio Wireless Design. Quest’ultimo, produce in genere
un report personalizzato e un documento per il posizionamento degli Access Point (AP
Placement Map). Assicurati che questi documenti mostrino quanti Access Point (AP) sono
necessari, oltre ad indicare dove saranno posizionati (con tutti i dettagli di altezza ed
eventuale inclinazione delle antenne). Infine, è necessario un documento commerciale che
mostri il costo dell’hardware, del software e dei servizi professionali necessari. Se, dopo
aver valutato il report, si è soddisfatti, si passa alla fase successiva: l’implementazione. In
questa fase, è fondamentale rispettare quanto indicato nel Wireless Design (Configurazioni
degli AP e del controller, Posizione degli Access Point, Configurazione dei canali e delle
frequenze, etc.). Se così non fosse, si invaliderebbe tutto il lavoro svolto nella fase
precedente.

Se hai bisogno di una rete wireless che sia veloce, affidabile e sicura, ecco alcuni elementi
indispensabili che devono essere inseriti nel Wi-Fi della tua azienda:

● Gestione adattiva delle frequenze radio

● Punti di accesso 802.11ax: durante la fase di design sono stati selezionati gli AP che
supportano l’ultimo standard Wi-Fi 6?

● Priorità delle applicazioni

● Sicurezza: la rete Wireless proposta è in grado di proteggere i dati e gli utenti dalle
minacce e dagli attacchi informatici costantemente in evoluzione?

● Filtro di contenuti e applicazioni: la rete wireless proposta è in grado di riconoscere le

applicazioni “sicure” da quelle “fake”?

● Bilanciamento del carico ad alta capacità: la rete wireless proposta è in grado di

riconoscere un Access Point in sovraccarico e spostare, quindi, gli utenti su altri Access
Points vicini per bilanciare il carico di lavoro?

● Copertura interna ed esterna

● Gestione dei dispositivi mobili

● Gestione della rete

● Misurazione delle prestazioni

● Ridondanza
● Roaming: la rete wireless proposta permette agli utenti di passare da AP ad un altro senza
interruzioni e in totale libertà (es. durante una call o una video conferenza)?

● Scalabilità: E’ in grado di espandere la sua copertura e capacità man mano che la tua
azienda cresce, senza dover rifare tutto da zero?

Realizzazione di una rete cablata e/o wireless

Per la realizzazione di una rete, sia essa cablata che wireless, sono necessarie alcune cose da
fare prima di realizzare l'impianto stesso:

- un sopralluogo presso i locali dove dovrà essere eseguito il lavoro;

- essere in possesso, nei limiti del possibile, delle planimetrie delle strutture interessate;
- realizzare un progetto di massima, completo di posizionamento AP WIFI, eventuali
armadi rack e di tutto l'hardware necessario per realizzare l'impianto;
- prevedere eventuali punti elettrici per l'alimentazione dell'hardware da installare.

Oggetto dell'impianto da realizzare è pertanto tutto l’hardware necessario per creare una rete
di Istituto. Se quest'ultimo ha già una rete LAN/WLAN, il nuovo hardware sarà installato
predisponendo nuovi punti wired interconnessi all’attuale infrastruttura di rete cablata
dell'edificio.

Access Point

Le prestazioni degli Access Point in fornitura devono essere all’avanguardia sia dal punto di
vista radio che per quanto riguarda le funzionalità di gestione dei client e devono esser
conformi agli standard IEEE 802.112. A seconda della richiesta, gli Access Point in offerta
possono essere alimentati sia autonomamente mediante adattatore di corrente, sia in
modalità Power-over- Ethernet (PoE). La copertura delle zone richieste deve essere
completa.

Switch

In una rete più o meno estesa, che deve coprire un intero edificio, sarà necessario l'uso degli
switches, che dovranno essere in grado di gestire al meglio il traffico dati della rete
dell’istituto e per questo dovranno avere le seguenti caratteristiche:

- Devono avere le dimensioni necessarie per essere montati in un armadio rack

- Tecnologia Ethernet su cavi in rame: 1000BASE-T, 100BASE-T, 10BASE-T
- Standard di rete

Progettazione di una rete scolastica

http://www.antani.biz/progettare-una-rete.html
CSMA/CA: definizione e spiegazione del procedimento
CSMA è un procedimento basilare che regola la comunicazione di più partecipanti su un
mezzo trasmissivo utilizzato in comune e organizzato in modo decentralizzato. Ora è
disponibile in tre diverse varianti in base al mezzo trasmissivo. Mentre il protocollo
CSMA/CA si utilizza soprattutto nelle reti Wi-Fi, il CSMA/CD è sviluppato per l’Ethernet e
il CSMA/CR viene usato nelle Controller Area Networks (CAN), tipico soprattutto nelle
auto e nelle macchine.

Il Carrier Sense Multiple Access with Collision Avoidance si compone di:

 Carrier Sense (CA): il pensiero alla base è che i partecipanti possono inviare dati
attraverso la rete solo se il mezzo trasmissivo è libero. Il riconoscimento dello stato
da parte della portante verifica perciò sempre ogni canale. Solo se è libero vengono
inviati i dati.

 Multiple Access (MA): diverse stazioni si spartiscono un mezzo trasmissivo. In

questo caso è decisivo per una comunicazione funzionante che tutti si attengano a un
protocollo vincolante.

 Collision Avoidance (CA): un processo complesso tenta di garantire che due o più
membri non comincino contemporaneamente una trasmissione per evitare collisioni.
Se tuttavia si dovessero verificare delle sovrapposizioni, verrà rilevato e si tenterà di
nuovo la trasmissione.

Se tutti parlano contemporaneamente nessuno riesce a capire cosa viene detto. Anche nelle
reti si possono sovrapporre gli input inviati, in questo caso sotto forma di pacchetti. Questo
processo prende il nome di collisione: i pacchetti si scontrano e presentano così in una
maniera diversa i loro contenuti. CSMA/CA tenta di diminuire la frequenza di queste
collisioni e propone allo stesso tempo un piano su come si debba procedere nel caso di una
collisione. Il protocollo è perciò importante perché nelle reti senza fili le trasmissioni non si
possono svolgere in modo ordinato, per via della tecnologia utilizzata, come succede,
invece, nelle reti cablate. In una rete decentralizzata è necessario che tutti i partecipanti
seguano una serie di regole e organizzino così la comunicazione tra di loro.

Le differenze tecniche tra le reti senza fili e quelle cablate portano anche al problema del
terminale nascosto. Le stazioni in una rete Wi-Fi hanno un’estensione limitata. Così può
succedere che i partecipanti di una rete non si riconoscano. Il protocollo CSMA/CA non può
risolvere da solo questo problema, perciò è stata creata un’estensione opzionale: RTS/CTS
(“Request to Send “e “Clear to Send “). Il problema del terminale nascosto, nelle
telecomunicazioni delle reti wireless, si verifica quando un nodo è visibile da un Access
Point wireless, ma non da altri nodi che possono vedere lo stesso AP. Questo comporta una
serie di difficoltà nel controllo di accesso al mezzo.
CSMA/CA vs CSMA/CD
CSMA/CD è stato il primo protocollo utilizzato nelle reti Ethernet. Con CSMA/CD, un dispositivo
che desidera inviare un pacchetto sulla rete ascolta per un breve periodo per verificare se la linea è
libera. Se la linea è libera, il dispositivo invia il pacchetto sulla rete. Tuttavia, se due dispositivi
inviano contemporaneamente pacchetti sulla rete, si verifica una collisione, che viene rilevata dai
dispositivi tramite l'ascolto della rete. Quando una collisione viene rilevata, entrambi i
dispositivi interrompono l'invio del pacchetto e attendono un periodo di tempo casuale prima
di riprovare ad inviare il pacchetto.

CSMA/CA, d'altra parte, evita le collisioni in modo più attivo. Con CSMA/CA, prima di
inviare un pacchetto sulla rete, il dispositivo ascolta la linea per un breve periodo per
verificare se la linea è libera. Se la linea è libera, il dispositivo invia il pacchetto sulla rete.
Tuttavia, prima di inviare il pacchetto, il dispositivo trasmette anche un segnale di richiesta di
trasmissione (RTS) alla rete, che informa gli altri dispositivi della sua intenzione di inviare un
pacchetto. Gli altri dispositivi rispondono con un segnale di conferma di trasmissione (CTS)
per indicare che la linea è libera e che il dispositivo può inviare il pacchetto. In questo modo,
CSMA/CA evita le collisioni perché i dispositivi coordinano le loro trasmissioni sulla rete.

In sintesi, la principale differenza tra CSMA/CD e CSMA/CA è che CSMA/CD utilizza la

rilevazione delle collisioni per gestire l'accesso alla rete, mentre CSMA/CA utilizza la
coordinazione attiva tra i dispositivi per evitare le collisioni.

La Distributed Coordination Function (DCF) regola l’intervallo che attende una stazione
prima che venga iniziata la trasmissione in un mezzo libero all’interno del protocollo
CSMA/CA. Anche per altre operazioni DCF assegna a ciascuno dei partecipanti della rete
un time slot preciso e crea così una divisione a tempo vincolante.

 DCF Interframe Space (DIFS): nel primo passaggio i partecipanti devono

controllare la rete per la durata del DIFS per stabilire se al momento è libera. Per
CSMA/CA ciò significa che al momento dell’invio non ci sono altri invii da parte di
altre stazioni nello stesso raggio di azione.
 Contention Window: se i partecipanti stabiliscono che il canale è libero, aspettano
ancora per un intervallo di tempo casuale prima di cominciare con l’invio. Questa
durata corrisponde al cosiddetto Contention Window e raddoppia a ogni collisione
che si verifica
 Short Interframe Space (SIFS): dopo l’invio dei pacchetti il nodo del destinatario
invia una notifica, nel caso in cui venga utilizzato in aggiunta il procedimento
RTS/CTS. Tuttavia prima dell’invio anche questa stazione aspetta un intervallo di
tempo predefinito.

I frame Request to Send (RTS) e Clear to Send (CTS) sono parte dell’estensione opzionale
CSMA/CA RTS/CTS. Questo procedimento precede la vera e propria trasmissione dei
dati. Per questo motivo è necessario che la stazione di destinazione invii una conferma
(ACK), non appena il pacchetto sarà arrivato correttamente.

Se il frame ACK non arriva, il trasmittente dei dati presume che sia sopraggiunta una
complicazione e invia di nuovo il pacchetto. La stazione ha in questo caso il diritto di
priorità sull’utilizzo del mezzo, non deve quindi di nuovo aspettare finché il canale sarà
libero. I tre tipi di frame sono composti ciascuno da più campi.

Frame Control; Duration (tempo necessario al trasmittente per la trasmissione dei dati);
Receiver Address (indirizzo MAC del destinatario); Transmitter Address (indirizzo MAC
del mittente); Frame Check Sequence (per stabilire se il Data Frame è arrivato
correttamente, come pianificato, se così la trasmissione è andata a buon fine);

Con lo scambio RTS/CTS viene risolto il problema del terminale nascosto, ma l’estensione
è responsabile di un’altra difficoltà: il problema della stazione esposta. La situazione è la
stessa del problema del terminale nascosto: una stazione si trova in mezzo ad altre due
stazioni che non si possono raggiungere. Uno dei due dispositivi vorrebbe inviare i dati alla
stazione nel mezzo. Ciò permette di superare il problema del terminale nascosto, ma ne crea
uno nuovo.

Prima che un dispositivo nella rete cominci con una trasmissione, invia prima di tutto
un’informazione a tutti gli altri partecipanti. Ogni altro dispositivo inserisce questa
informazione nel suo personale Network Allocation Vector. Questo viene gestito
internamente e indica quando è di nuovo possibile un tentativo di invio. Il Network
Allocation Vector (NAV) conta progressivamente e viene aggiunto di nuovo dalle altre
stazioni solo in presenza di nuove informazioni. Un NAV può aumentare il timer fino a un
massimo di 33 ms (32.767 µs). Questa è la durata massima per la quale un mittente può
bloccare il mezzo. I dispositivi nella rete sono inattivi, mentre il Network Allocation Vector
non è ancora scaduto, sprecando così meno energia. Solo quando il contatore è su 0, il
partecipante è di nuovo attivo e verifica la rete.

Lo svolgimento del processo CSMA/CA in sintesi

Se i partecipanti in una rete senza fili seguono le direttive del Carrier Sense Multiple Access
with Collision Avoidance devono rispettare dei precisi passaggi: prima di tutto le stazioni
controllano il mezzo trasmissivo. Ciò significa nel caso del Wi-Fi che il Carrier Sense
controlla il canale radio e verifica così se gli altri partecipanti della rete (per quanto
visibile per il rispettivo dispositivo) stanno inviando dei dati.

Se risulta che il mezzo trasmissivo è al momento riservato, viene avviato un backoff

casuale: la stazione attende un intervallo di tempo casuale fino a quando non viene
effettuata di nuovo una verifica. Succede lo stesso in tutte le altre stazioni che non sono al
momento occupate con l’invio e la ricezione. Il tempo di attesa stabilito casualmente
garantisce che i partecipanti non comincino a verificare la rete contemporaneamente e
quindi non possono neanche iniziare contemporaneamente la trasmissione dei dati. Ciò
succede però solo se, per via del Network Allocation Vector (NAV), alla stazione non è
chiaro che il mezzo è occupato.

Se la rete dovesse essere libera, la stazione avvia la modalità DCF: prima di tutto viene
verificato nuovamente il canale per la durata del DIFS. Nel caso in cui dovesse rimanere
libero per questo intervallo di tempo, inizia un backoff casuale e solo dopo comincia lo
scambio RTS/CTS, qualora venga utilizzato questo meccanismo aggiuntivo. Se la Request
to Send è arrivata correttamente al destinatario e quindi non si verifica nessuna collisione, il
mittente riceve tramite il frame CTS l’autorizzazione a riservare il mezzo trasmissivo.

Contemporaneamente tutti gli altri partecipanti vengono informati che la rete è occupata. In
questo modo fissano di nuovo i loro Network Allocation Vector e aspettano fino a quando la
verifica non segnalerà che il canale è di nuovo libero. Ora la stazione comincia la
trasmissione. Una volta terminata, il destinatario aspetta per la durata di un SIFS e risponde
poi con un frame ACK per confermare al mittente la ricezione completa e impostare il
Network Allocation Vector su 0; la rete è quindi libera per una nuova trasmissione.

Vantaggi e svantaggi del protocollo CSMA/CA

Vantaggi
Protegge efficacemente dalle collisioni di
dati
Grazie a verifiche i dati non vengono
persi senza accorgersene
Evita con l’estensione RTS/CTS un
traffico dati inutile
Svantaggi
Fissa dei tempi di attesa
Provoca un traffico dati aggiuntivo
Risolve il problema del terminale nascosto solo
tramite l’estensione RTS/CTS
Crea il problema della stazione esposta tramite
RTS/CTS

Visto che il procedimento CSMA/CA è ben lontano dall’essere perfetto, si pensa di

ampliarlo in modo da riuscire a eliminare i punti deboli. Gli accessi multipli in modo
coordinato stabiliscono un’organizzazione centralizzata: i permessi di accesso delle
singole stazioni sul mezzo trasmissivo non devono essere coordinati solo tra di loro; infatti
le richieste avvengono tramite l’Access Point (ad esempio tramite il router del Wi-Fi).

Il Point Coordination Function (PCF) viene inserito in aggiunta nel procedimento

CSMA/CA e sostituisce o aggiunge la Distributed Coordination Function (DCF). Il
procedimento fornisce un approccio per risolvere il problema del terminale nascosto: grazie
a un buon posizionamento dell’Access Point il necessario raggio di azione può essere
dimezzato. Tramite il PCF non è più necessario che i partecipanti si rilevino. Basta che
l’Access Point sia posizionato centralmente e possa raggiungere così tutte le stazioni,
creando una struttura a forma di stella. Dalla funzione Point Coordination deriva però un
altro punto debole: per poter utilizzare la tecnologia, tutti i partecipanti della rete devono
poter usufruire del PCF. Così è stato sviluppato un sistema alternante: qui si possono
alternare PCF e DCF per dare a tutti i dispositivi nella rete la possibilità di trasmissione.

Perciò l’Access Point mette a disposizione due intervalli di tempo: da una parte c’è il
Contention Free Period (CFP), in cui il PCF garantisce l’accesso multiplo in modo
coordinato, e dall’altra il Contention Period (CP), in cui è in uso la DCF, che evita le
collisioni tramite CSMA/CA, come descritto sopra.

L’altro procedimento con gli accessi multipli in modo coordinato, l’HCF Controlled
Channel Access. Al posto di un sistema alternato, HCCA stabilisce la possibilità che
l’Access Point possa essere sempre convertito da CP a CFP, che nell’HCCA si chiama però
Controlled Access Phase (CAP). In questo periodo l’Hybrid Coordinator coordina (anche
qui l’Access Point), chi può inviare i dati e quando, in base alla priorità. Il coordinatore lo
comunica tramite Traffic Classes (TC), che indicano pure le stazioni. Così a diverse classi
possono essere assegnate diverse priorità.

Polling
Polling, in informatica, indica la verifica ciclica di tutte le unità o periferiche di input/output
da parte del sistema operativo di un personal computer tramite test dei bit di bus associati ad
ogni periferica, seguita da un'eventuale interazione (scrittura o lettura). Questa attività
impegna molto del tempo di funzionamento del processore (CPU), rallentando di
conseguenza l'intero sistema.

Il polling presenta pochi vantaggi e alcuni svantaggi.

Il vantaggio principale è quello di riuscire a gestire le periferiche sia come struttura

hardware che software (cosa che non fanno le interruzioni), ma presenta degli svantaggi:

1. Potenzialmente la CPU potrebbe sprecare preziose risorse di calcolo: se, ad esempio,

nessuna periferica fosse pronta al colloquio, la CPU farebbe comunque un controllo a
vuoto sui bit di stato di tutte le periferiche;
2. L'intervallo tra due interrogazioni del bit di stato non è costante, ma dipende dallo
stato delle periferiche;
3. Ci si può trovare in una situazione di emergenza oppure che una periferica mandi un
segnale alla CPU per continuare il suo lavoro.

Tutti questi svantaggi vengono limitati dall'uso delle interruzioni.

Sicurezza wireless: differenze tra crittografia WPA, WEP, WPA2 e

WPA3
Impostare una rete wireless sicura, ossia protetta dalla maggior parte degli attacchi
informatici significa sapere che, per quanto siano protette e codificate, le reti senza fili non
possono garantire la stessa sicurezza delle reti cablate.

Nella gestione del wireless le password sono un aspetto fondamentale ma non risolutivo per
garantire la sicurezza informatica: ecco perché entrano quindi in gioco le chiavi WEP
(Wired Equivalent Privacy) e WPA (Wi-Fi Protected Access).

WPA (Wi-Fi Protected Access) significa accesso protetto Wi-Fi ossia si tratta di un
protocollo creato per generare reti wireless Wi-Fi sicure grazie alla crittografia dei dati.
Rispetto al protocollo WEP, gestisce meglio le chiavi di sicurezza e la modalità di
autorizzazione degli utenti. La chiave WPA è la password utilizzata per connettersi alla rete
wireless Wi-Fi. La password WPA si ottiene dal gestore della rete, mentre quella predefinita
si trova di solito stampata sul router wireless quando viene consegnato dal gestore stesso.
Le differenze tra chiavi di crittografia WPA e WPE wireless. La maggior parte degli access
point sono programmati per gestire tre tipologie di standard crittografici: Wired Equivalent
Privacy (WEP), Wi-Fi Protected Access (WPA) o Wi-Fi Protected Access2. WPA è più
sicuro di WEP mentre WPA2 è più sicuro di WPA. WPA2 richiede l’uso di una
crittografia wireless più forte rispetto a WPA e di conseguenza migliora la sicurezza delle
connessioni Wi-Fi.

Nello specifico, WPA2 non utilizza l’algoritmo chiamato Temporal Key Integrity Protocol
(TKIP), noto per creare danni alla sicurezza. WPA2, che richiede test e certificazione da
parte della Wi-Fi Alliance, implementa gli elementi obbligatori di IEEE 802.11. In
particolare, include il supporto obbligatorio per CCMP, una modalità di crittografia basata
su AES con una forte sicurezza.

A 20 anni di distanza dall’introduzione del protocollo WPA2, la WiFi Alliance (consorzio

di cui fanno parte Apple, Microsoft e Qualcomm) ha presentato lo standard WPA3 nel
2019. La promessa? Protezione da attacchi sniffing (intercettazione di dati) e man in the
middle (intercettare e manipolare il traffico). Il nuovo standard crittografico, infatti, non è
così perfetto come ci si aspettava. I ricercatori, infatti, in questo mesi hanno scoperto
diverse vulnerabilità ad attacchi di tipo side-channel che sfruttano cache e timing ad
esempio. A dispetto del livello superiore, la chiave WPA3 non è così sicura. Gli attaccanti
possono decifrare la password per l’accesso alle reti Wi-Fi e intercettare il traffico cifrato
scambiato tra i dispositivi connessi. Agendo da remoto il cybercrime può così rubare
informazioni sensibili trasmesse sulle reti wireless come numeri di carte di credito,
password, messaggi di chat, e-mail e così via. Le vulnerabilità WPA3 chiamate, in gergo,
Dragonblood si devono ad alcuni errori di programmazione e di implementazione.

Ecco due esempi di debolezza della WPA3 rispetto alla sicurezza wireless:

 Simulando un attacco man-in-the-middle e creando un access point ad hoc, un

attaccante può forzare il dispositivo wireless ad effettuare un downgrade di
tecnologia. Inoltre lo può collegare all’AP utilizzando il vecchio protocollo di
sicurezza WPA2.
 Scatenando un attacco side channel leaks l’attaccante sfrutta un’implementazione
non corretta di alcune operazioni crittografiche per compromettere i dispositivi che
presentano Dragonblood. Sfruttando un attacco di password partitioning recuperare
la password diventa così molto facile per il cybercrime.

Lista di controllo degli accessi

Una lista di controllo degli accessi (in lingua inglese di access control list, abbreviato in
ACL), in informatica, è un meccanismo usato per esprimere e/o definire delle condizioni
che determinano l'accesso o meno ad alcune risorse di un sistema informatico da parte dei
suoi utenti utilizzatori. Una ACL è una lista ordinata di regole associata alle risorse di un
sistema informatico che stabilisce delle regole, dette permessi, in base alle quali gli utenti o
processi possono accedervi e compiere le operazioni specificate. Le risorse possono anche
essere informazioni (dati). Ciascuna regola, detta access control entry (ACE), esprime una o
più condizioni o proprietà dell'oggetto da valutare (ad es. l'indirizzo sorgente di un
pacchetto IP), e se queste proprietà sono verificate indica quale decisione prendere (ad es.
lasciar passare il pacchetto oppure scartarlo). Le ACL sono utilizzate anche per la
determinazione dei permessi riguardanti file e cartelle memorizzati sui dischi. Tra le sue
applicazioni principali si ha la configurazione di firewall e router e dei diritti di accesso a
file e directory da parte del sistema operativo sui propri utenti.

Firewall
La sicurezza informatica o cyber security ci permette di difendere e proteggere i nostri
dati e i nostri sistemi informatici dagli attacchi informatici esterni. Quello che spesso ci
dimentichiamo è che, ogni volta che comunichiamo con un server esterno, permettiamo
allo stesso server di comunicare a sua volta con noi. Per aprire una connessione con
l’esterno è sufficiente aprire un sito web, scaricare le email, cliccare su un link, leggere le
news, partecipare ad un webinar etc etc. Come potete vedere sono tutte attività che fanno
parte della nostra vita quotidiane e della nostra normalità. Per proteggersi dalle minacce che
arrivano dall’esterno è necessario dotarsi di un firewall perimetrale. Il Firewall
perimetrale, a differenza del personal firewall che è installato sulle singole macchine,
viene posizionato come una vera e propria sentinella tra la nostra rete e la rete internet.
Essendo il solo punto di transito per tutti i pacchetti, da e verso internet, ha la piena visibiltà
di tutto il traffico dati in ingresso e in uscita.

Nell'informatica, nell'ambito delle reti di computer, un firewall (muro di fuoco), è un

componente hardware e/o software di difesa perimetrale di una rete, originariamente
passivo, che fornisce dunque una protezione in termini di sicurezza informatica della rete
stessa e proteggendo il computer da malware o altri pericoli di internet (attacchi hacker). Per
cercare di contrastare le intrusioni, alla fine degli anni 1980 vennero introdotti i primi
firewall. Esso esamina ogni pacchetto di dati che entra o esce dalla rete e ne controlla le
caratteristiche come la sorgente, la destinazione, il tipo di protocollo e la porta di
comunicazione. In base alle regole configurate, il firewall può consentire o bloccare il
traffico in entrata o uscita. Ad esempio, se si desidera impedire l'accesso a un determinato
sito web, si può configurare il firewall per bloccare il traffico in uscita verso l'indirizzo IP
del sito.

I primi firewall erano semplici filtri, usati spesso all'interno dei router e degli switch,
potevano essere aggirati utilizzando l'IP spoofing e non riuscivano a rilevare le vulnerabilità
nei livelli del modello OSI superiori al terzo.

Esistono firewall software e firewall hardware. Il firewall software è un programma

installato su un normale hardware oppure un hypervisior. Invece un firewall hardware è un
componente che viene installato e messo in rete.

Firewall di filtraggio dei pacchetti, utilizzata per filtrare gli accessi alla rete, monitorando
i pacchetti in ingresso e in uscita. Una funzione che alcuni firewall prevedono è la
possibilità di filtrare ciò che arriva da Internet sulla base di diversi tipi di criteri non relativi
alla sicurezza informatica, ma volti a limitare gli utilizzi della rete sulla base di decisioni
politiche, in particolare vietando la connessione su determinate porte o, per quanto riguarda
il web, a determinate categorie di siti:

 Contenuti non adatti ai minori (ad esempio in una rete domestica con postazioni
libere non protette individualmente);
 Contenuti ritenuti non pertinenti con l'attività lavorativa (in una rete aziendale);
 Contenuti esclusi in base alle informazioni veicolate, su base politica, religiosa o per
limitare la diffusione della conoscenza (in questi casi il firewall è uno strumento di
censura)

Stateful firewall, Filtro dinamico dei pacchetti, tecnica di seconda generazione, rende i
firewall più intelligenti e sicuri dei precedenti. Permette di ricordare i pacchetti visualizzati
in precedenza. In generale, rispetto ai packet filter firewall, offrono una maggiore sicurezza,
un logging migliore e un controllo migliore sui protocolli applicativi che scelgono
casualmente la porta di comunicazione (come FTP) ma sono più pesanti dal punto di vista
delle performance. Inoltre gli stateful firewall non rilevano gli attacchi nei livelli OSI
superiori al quarto e sono sensibili agli attacchi DoS che ne saturano la tabella dello stato.
La crescita di Internet portò alla diffusione degli attacchi inseriti all'interno del traffico web
ai quali i stateful firewall non erano in grado di far fronte.

Application firewall o proxy firewall o application gateway, i problemi precedenti

portarono allo sviluppo dell’apllication firewall, opera fino al livello 7 del modello OSI
filtrando tutto il traffico di una singola applicazione sulla base della conoscenza del suo
protocollo. Questo tipo di firewall analizza i pacchetti nella sua interezza considerando
anche il loro contenuto (payload) ed è quindi in grado di distinguere il traffico di
un'applicazione indipendentemente dalla porta di comunicazione che questa utilizza. Questo
tipo di firewall è in grado di rilevare i tentativi di intrusione attraverso lo sfruttamento di un
protocollo e di realizzare le funzionalità di logging e reporting in modo migliore rispetto ai
firewall precedentemente descritti

I next-generation firewall, che si iniziarono a usare negli anni 2000, di seconda

generazione, riunivano vecchie e nuove tecnologie di sicurezza in un'unica soluzione,
evitando il degrado delle prestazioni e migliorandone la configurazione e la gestione,
semplifica e migliora.

I WAF, viene posto dopo il firewall. Un web application firewall (WAF) è una specifica
forma di firewall software che filtra, monitora e blocca traffico HTTP in entrata e uscita da
un servizio web. Ispezionando il traffico HTTP, una soluzione WAF può prevenire attacchi
provenienti da minacce veicolate attraverso il web.

In particolare un firewall filtra il traffico sulla base di un insieme di regole, solitamente dette
policy, che vengono applicate secondo due possibili criteri generali:

 Criterio default-deny: viene permesso solo ciò che viene dichiarato esplicitamente e il
resto viene vietato;
 Criterio default-allow: viene vietato solo ciò che è esplicitamente proibito e il resto
viene permesso.
I firewall utilizzano normalmente il criterio default-deny, poiché garantisce una maggiore
sicurezza e una maggiore precisione nella definizione delle regole rispetto al criterio
default-allow, anche se quest'ultimo consente una configurazione più semplice.

Il firewall perimetrale, pur essendo uno strumento indispensabile a garantire la sicurezza

contro gli attacchi informatici, si limita a proteggere, come si deduce dal suo nome, il
perimetro esterno della nostra rete locale LAN. Le statistiche rilevano che la maggior parte
delle minacce, concretizzate poi in un danno informatico, derivano da attacchi partiti
dall’interno della rete.

Dipendenti scontenti o tecnicamente superficiali e/o impreparati, periferiche usb infette,

sistemi operativi non aggiornati o non aggiornabili, accesso alle informazioni con apparati
di proprietà dell’utente come smartphone o tablet (BYOD), sono solo alcune delle situazioni
che si possono incontrare in ogni azienda. Oltre alla formazione degli operatori, diventa
quindi indispensabile adottare un valido sistema antivirus.

Nessuna strategia di sicurezza informatica può prescindere da una valida soluzione di

backup. Il backup è la nostra ultima spiaggia e l’unica vera garanzia che i nostri dati
siano sempre disponibili e recuperabili in caso di problemi di natura sia fisica che logica,
come guasti hardware, cancellazioni involontarie o maliziose, intrusioni, infezioni da virus
etc.

Sicurezza Perimetrale

La sicurezza perimetrale è come un muro che rende la vostra rete invalicabile dall’esterno,
permettendo quindi di evitare ingressi non autorizzati con possibilità di virus che possono
rovinare il vostro lavoro e non permettere nello stesso tempo fuoriuscite di dati dai vostri
server.

Anti DDos, di cosa si tratta?

DDos è l’abbreviazione di –denial of service– (in italiano letteralmente negazione del

servizio) e in questo caso, parlando di sicurezza informatica
descrive un errore dato da un attacco informatico in cui si fà sì che le risorse di un server si
esauriscano e quindi non sia più in grado di fornire un servizio ai clienti del sito web.
Il DDos può essere causato, come detto sopra, da un hacker che tenti di -mandare down- il
vostro sistema e quindi renderlo inaccessibile oppure ad un azione accidentale data ad
esempio da una configurazione composta in modo errato.
Ci sono due tipi principali di attacco:
-diretto o di primo livello dove l’attaccante si muove direttamente contro la vittima.
-indiretto dove si sfruttano utenti inconsapevoli che fanno da tramite per l’azione di DDos a
causa di un virus e quindi la vittima si dice di secondo livello.
Un programma Anti DDos evita che tutto ciò accada rendendo sempre il vostro sito
accessibile agli utenti.

Proxy e Controllo della navigazione, come usarli?

Un proxy è semplicemente un che fà da ponte tra l’utente e il server principale della vostra
azienda, questo permette di evitare attacchi diretti e limita le probabilità di DDos
intermediario aumentando la sicurezza perimetrale e il funzionamento del frirewall.
I proxy possono essere in serie o singoli, a seconda della grandezza della vostra azienda e
delle vostre esigenze.
Ad oggi i proxy vengono usati in vari modi nella rete informatica, gli usi più frequenti sono:
– filtro tra la rete principale dell’azienda e l’utente
– garanzia di anonimato, rimbalzando il segnale delle richieste
– memorizzazione di una copia del client per non utilizzare troppa memoria
E’ sempre consigliato usarli dove necessario per evitare pericoli e problematiche.

Reverse Proxy, cosa sono?

Mentre un proxy di inoltro agisce come intermediario o ponte come dir si voglia, il suo
contrario, il reverse proxy agisce permettendo ai suoi client di contattare qualsiasi server ad
esso associati per essere contattati da qualsiasi client. Molto spesso, i web server più comuni
inglobano le funzionalità di un reverse proxy al fine di proteggere i framework.
In pratica il reverse proxy interpreta le richieste dall’esterno e le invia all’interno del vostro
server dopo averle filtrate attraverso il firewall, l’antivirus e i sistemi di sicurezza sopra
descritti.
Così facendo impedisce a qualsiasi tipo di contaminazione esterna di poter raggiungere i
vostri server. Alcuni proxy server, possono essere utilizzati come reverse proxy. Servono
sempre alla stessa cosa: mascherare alla rete esterna uno o più server della rete interna,
aggiungendo delle funzioni o migliorando le prestazioni, ad esempio possono implementare
la capacità di una cache locale. Oppure un firewall con un reverse proxy può agire per
mappare più server sullo stesso -url- indirzzo web, o anche per inoltrare il traffico a più
server smaltendo il peso dei dati evitando in uesto modo il DDos e garantendo che arrivino
all’unità corretta che può gestirli.

DMZ (Demilitarized zone)

Nell’ambito delle reti informatiche e della sicurezza informatica, una demilitarized zone o
DMZ (in italiano zona demilitarizzata). Dove l’intervento militare non è ammesso. Parte di
rete all’interno della quale dobbiamo inserire servizi web a rischio di essere attaccati.
Esempio rete non sicura con un'unica rete:
Nella nostra azienda abbiamo il router. Noi possiamo anche avere un firewall, ma non
possiamo permetterci che venga compromesso il database (collegato allo switch), che
possiede le informazioni essenziali e personali dell’azienda. Se decidiamo di inserire
l’accesso ad esempio al sito web dell’azienda senza creare un servizio esterno, dobbiamo
permettere a chiunque di entrare alla nostra rete e potenzialmente può infettare il web
server, perché all’interno della stessa rete ho anche il database. Quindi posso staccare i
servizi server pubblici, web server, in una nuova rete esterna.

Poi vi è la soluzione a zona cuscinetto che prevede l’utilizzo di due firewall. Sistema più
sicuro ma più complicato e più costosa.

Alcuni router domestici si riferiscono impropriamente alla configurazione di un host

esposto come "DMZ". Questi router consentono di specificare l'indirizzo IP di un computer
della rete interna a cui vengono inoltrati tutti i pacchetti ricevuti da Internet, per i quali non
sia esplicitamente assegnato a un altro destinatario tramite la tabella NAT. Ciò rende l'host
(anche per potenziali aggressori) accessibile da Internet.
Lo scopo di una DMZ, quindi, è di proteggere la rete LAN di un'organizzazione. Ciò
consente all'organizzazione di fornire servizi pubblici senza esporre la rete interna a
minacce esterne.

https://www.youtube.com/watch?v=pLrgk8lyTYY