Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
WLAN è l'acronimo di Wireless Local Area Network, ovvero una rete locale senza fili. Una WLAN
è una rete di computer o dispositivi che si connettono tra loro senza l'uso di cavi fisici, ma
utilizzando onde radio per trasmettere i dati tra i dispositivi.
Le WLAN sono ampiamente utilizzate in ambienti domestici, uffici, scuole e aree pubbliche come
aeroporti, stazioni ferroviarie e centri commerciali, dove i dispositivi mobili come smartphone,
tablet e laptop necessitano di una connessione Internet wireless per accedere a risorse online.
La maggior parte delle reti Wi-Fi funziona in modalità infrastruttura. I dispositivi sulla
rete comunicano tutti attraverso un unico punto di accesso, che generalmente è il router
wireless. Ad esempio, supponiamo di avere due laptop seduti uno accanto all'altro, ciascuno
connesso alla stessa rete wireless. Anche se seduti uno accanto all'altro, non comunicano
direttamente. Invece, stanno comunicando indirettamente attraverso il punto di accesso
wireless. Mandano pacchetti al punto di accesso - probabilmente un router wireless - e
rimandano i pacchetti all'altro laptop. La modalità infrastruttura richiede un punto di accesso
centrale a cui tutti i dispositivi si connettono. La modalità Infrastruttura è l'ideale se stai
impostando una rete più permanente. I router wireless che funzionano come punti di accesso
generalmente dispongono di radio e antenne wireless ad alta potenza in modo che possano
coprire un'area più ampia.
La modalità ad-hoc è anche detta modalità "peer-to-peer". Le reti ad-hoc non richiedono
un punto di accesso centralizzato. Invece, i dispositivi sulla rete wireless si connettono
direttamente tra loro. Se si configurano i due laptop in modalità wireless ad hoc, si
collegano direttamente tra loro senza la necessità di un punto di accesso centralizzato. La
modalità ad-hoc può essere più semplice da configurare se si desidera semplicemente
collegare due dispositivi tra loro senza richiedere un punto di accesso centralizzato.
Richiede più risorse di sistema poiché il layout fisico della rete cambierà mentre i dispositivi
si spostano, mentre un punto di accesso in modalità infrastruttura rimane generalmente
stazionario. Se un dispositivo si trova fuori dalla portata di un altro dispositivo a cui
desidera connettersi, passerà i dati attraverso altri dispositivi lungo la strada.
Decidere quando utilizzare ogni tipo di rete è in realtà piuttosto semplice. Se stai
configurando un router wireless per funzionare come un punto di accesso, ti consigliamo di
lasciarlo in modalità infrastruttura. Se stai configurando una rete wireless temporanea tra
una manciata di dispositivi, probabilmente la modalità ad-hoc è buona. I router vengono
configurati per utilizzare la modalità infrastruttura per impostazione predefinita e la
modalità ad-hoc funzionerà per collegare rapidamente due laptop.
IEEE 802.11
in informatica e telecomunicazioni, definisce un insieme standard di trasmissione per reti
WLAN, specificando sia l'interfaccia tra client e access point sia le specifiche tra client
wireless. Questo termine viene usualmente utilizzato per definire la prima serie di
apparecchiature 802.11 sebbene in questo caso si debba preferire il termine "802.11 legacy".
Il simbolo Wi-Fi, termine con cui si identificano in genere i dispositivi 802.11 indica
l'appartenenza del dispositivo stesso alla Wi-fi Alliance.
Livello di applicazione
Livello di trasporto
Livello di rete
Livello di accesso alla rete
Alla conclusione della fase di raccolta dati, il partner IT dovrebbe avere tutti gli elementi
necessari per poter fare un vero e proprio Wireless Design. Quest’ultimo, produce in genere
un report personalizzato e un documento per il posizionamento degli Access Point (AP
Placement Map). Assicurati che questi documenti mostrino quanti Access Point (AP) sono
necessari, oltre ad indicare dove saranno posizionati (con tutti i dettagli di altezza ed
eventuale inclinazione delle antenne). Infine, è necessario un documento commerciale che
mostri il costo dell’hardware, del software e dei servizi professionali necessari. Se, dopo
aver valutato il report, si è soddisfatti, si passa alla fase successiva: l’implementazione. In
questa fase, è fondamentale rispettare quanto indicato nel Wireless Design (Configurazioni
degli AP e del controller, Posizione degli Access Point, Configurazione dei canali e delle
frequenze, etc.). Se così non fosse, si invaliderebbe tutto il lavoro svolto nella fase
precedente.
Se hai bisogno di una rete wireless che sia veloce, affidabile e sicura, ecco alcuni elementi
indispensabili che devono essere inseriti nel Wi-Fi della tua azienda:
● Punti di accesso 802.11ax: durante la fase di design sono stati selezionati gli AP che
supportano l’ultimo standard Wi-Fi 6?
● Sicurezza: la rete Wireless proposta è in grado di proteggere i dati e gli utenti dalle
minacce e dagli attacchi informatici costantemente in evoluzione?
● Ridondanza
● Roaming: la rete wireless proposta permette agli utenti di passare da AP ad un altro senza
interruzioni e in totale libertà (es. durante una call o una video conferenza)?
● Scalabilità: E’ in grado di espandere la sua copertura e capacità man mano che la tua
azienda cresce, senza dover rifare tutto da zero?
Oggetto dell'impianto da realizzare è pertanto tutto l’hardware necessario per creare una rete
di Istituto. Se quest'ultimo ha già una rete LAN/WLAN, il nuovo hardware sarà installato
predisponendo nuovi punti wired interconnessi all’attuale infrastruttura di rete cablata
dell'edificio.
Access Point
Le prestazioni degli Access Point in fornitura devono essere all’avanguardia sia dal punto di
vista radio che per quanto riguarda le funzionalità di gestione dei client e devono esser
conformi agli standard IEEE 802.112. A seconda della richiesta, gli Access Point in offerta
possono essere alimentati sia autonomamente mediante adattatore di corrente, sia in
modalità Power-over- Ethernet (PoE). La copertura delle zone richieste deve essere
completa.
Switch
In una rete più o meno estesa, che deve coprire un intero edificio, sarà necessario l'uso degli
switches, che dovranno essere in grado di gestire al meglio il traffico dati della rete
dell’istituto e per questo dovranno avere le seguenti caratteristiche:
Carrier Sense (CA): il pensiero alla base è che i partecipanti possono inviare dati
attraverso la rete solo se il mezzo trasmissivo è libero. Il riconoscimento dello stato
da parte della portante verifica perciò sempre ogni canale. Solo se è libero vengono
inviati i dati.
Collision Avoidance (CA): un processo complesso tenta di garantire che due o più
membri non comincino contemporaneamente una trasmissione per evitare collisioni.
Se tuttavia si dovessero verificare delle sovrapposizioni, verrà rilevato e si tenterà di
nuovo la trasmissione.
Se tutti parlano contemporaneamente nessuno riesce a capire cosa viene detto. Anche nelle
reti si possono sovrapporre gli input inviati, in questo caso sotto forma di pacchetti. Questo
processo prende il nome di collisione: i pacchetti si scontrano e presentano così in una
maniera diversa i loro contenuti. CSMA/CA tenta di diminuire la frequenza di queste
collisioni e propone allo stesso tempo un piano su come si debba procedere nel caso di una
collisione. Il protocollo è perciò importante perché nelle reti senza fili le trasmissioni non si
possono svolgere in modo ordinato, per via della tecnologia utilizzata, come succede,
invece, nelle reti cablate. In una rete decentralizzata è necessario che tutti i partecipanti
seguano una serie di regole e organizzino così la comunicazione tra di loro.
Le differenze tecniche tra le reti senza fili e quelle cablate portano anche al problema del
terminale nascosto. Le stazioni in una rete Wi-Fi hanno un’estensione limitata. Così può
succedere che i partecipanti di una rete non si riconoscano. Il protocollo CSMA/CA non può
risolvere da solo questo problema, perciò è stata creata un’estensione opzionale: RTS/CTS
(“Request to Send “e “Clear to Send “). Il problema del terminale nascosto, nelle
telecomunicazioni delle reti wireless, si verifica quando un nodo è visibile da un Access
Point wireless, ma non da altri nodi che possono vedere lo stesso AP. Questo comporta una
serie di difficoltà nel controllo di accesso al mezzo.
CSMA/CA vs CSMA/CD
CSMA/CD è stato il primo protocollo utilizzato nelle reti Ethernet. Con CSMA/CD, un dispositivo
che desidera inviare un pacchetto sulla rete ascolta per un breve periodo per verificare se la linea è
libera. Se la linea è libera, il dispositivo invia il pacchetto sulla rete. Tuttavia, se due dispositivi
inviano contemporaneamente pacchetti sulla rete, si verifica una collisione, che viene rilevata dai
dispositivi tramite l'ascolto della rete. Quando una collisione viene rilevata, entrambi i
dispositivi interrompono l'invio del pacchetto e attendono un periodo di tempo casuale prima
di riprovare ad inviare il pacchetto.
CSMA/CA, d'altra parte, evita le collisioni in modo più attivo. Con CSMA/CA, prima di
inviare un pacchetto sulla rete, il dispositivo ascolta la linea per un breve periodo per
verificare se la linea è libera. Se la linea è libera, il dispositivo invia il pacchetto sulla rete.
Tuttavia, prima di inviare il pacchetto, il dispositivo trasmette anche un segnale di richiesta di
trasmissione (RTS) alla rete, che informa gli altri dispositivi della sua intenzione di inviare un
pacchetto. Gli altri dispositivi rispondono con un segnale di conferma di trasmissione (CTS)
per indicare che la linea è libera e che il dispositivo può inviare il pacchetto. In questo modo,
CSMA/CA evita le collisioni perché i dispositivi coordinano le loro trasmissioni sulla rete.
La Distributed Coordination Function (DCF) regola l’intervallo che attende una stazione
prima che venga iniziata la trasmissione in un mezzo libero all’interno del protocollo
CSMA/CA. Anche per altre operazioni DCF assegna a ciascuno dei partecipanti della rete
un time slot preciso e crea così una divisione a tempo vincolante.
I frame Request to Send (RTS) e Clear to Send (CTS) sono parte dell’estensione opzionale
CSMA/CA RTS/CTS. Questo procedimento precede la vera e propria trasmissione dei
dati. Per questo motivo è necessario che la stazione di destinazione invii una conferma
(ACK), non appena il pacchetto sarà arrivato correttamente.
Se il frame ACK non arriva, il trasmittente dei dati presume che sia sopraggiunta una
complicazione e invia di nuovo il pacchetto. La stazione ha in questo caso il diritto di
priorità sull’utilizzo del mezzo, non deve quindi di nuovo aspettare finché il canale sarà
libero. I tre tipi di frame sono composti ciascuno da più campi.
Frame Control; Duration (tempo necessario al trasmittente per la trasmissione dei dati);
Receiver Address (indirizzo MAC del destinatario); Transmitter Address (indirizzo MAC
del mittente); Frame Check Sequence (per stabilire se il Data Frame è arrivato
correttamente, come pianificato, se così la trasmissione è andata a buon fine);
Con lo scambio RTS/CTS viene risolto il problema del terminale nascosto, ma l’estensione
è responsabile di un’altra difficoltà: il problema della stazione esposta. La situazione è la
stessa del problema del terminale nascosto: una stazione si trova in mezzo ad altre due
stazioni che non si possono raggiungere. Uno dei due dispositivi vorrebbe inviare i dati alla
stazione nel mezzo. Ciò permette di superare il problema del terminale nascosto, ma ne crea
uno nuovo.
Prima che un dispositivo nella rete cominci con una trasmissione, invia prima di tutto
un’informazione a tutti gli altri partecipanti. Ogni altro dispositivo inserisce questa
informazione nel suo personale Network Allocation Vector. Questo viene gestito
internamente e indica quando è di nuovo possibile un tentativo di invio. Il Network
Allocation Vector (NAV) conta progressivamente e viene aggiunto di nuovo dalle altre
stazioni solo in presenza di nuove informazioni. Un NAV può aumentare il timer fino a un
massimo di 33 ms (32.767 µs). Questa è la durata massima per la quale un mittente può
bloccare il mezzo. I dispositivi nella rete sono inattivi, mentre il Network Allocation Vector
non è ancora scaduto, sprecando così meno energia. Solo quando il contatore è su 0, il
partecipante è di nuovo attivo e verifica la rete.
Se i partecipanti in una rete senza fili seguono le direttive del Carrier Sense Multiple Access
with Collision Avoidance devono rispettare dei precisi passaggi: prima di tutto le stazioni
controllano il mezzo trasmissivo. Ciò significa nel caso del Wi-Fi che il Carrier Sense
controlla il canale radio e verifica così se gli altri partecipanti della rete (per quanto
visibile per il rispettivo dispositivo) stanno inviando dei dati.
Se la rete dovesse essere libera, la stazione avvia la modalità DCF: prima di tutto viene
verificato nuovamente il canale per la durata del DIFS. Nel caso in cui dovesse rimanere
libero per questo intervallo di tempo, inizia un backoff casuale e solo dopo comincia lo
scambio RTS/CTS, qualora venga utilizzato questo meccanismo aggiuntivo. Se la Request
to Send è arrivata correttamente al destinatario e quindi non si verifica nessuna collisione, il
mittente riceve tramite il frame CTS l’autorizzazione a riservare il mezzo trasmissivo.
Contemporaneamente tutti gli altri partecipanti vengono informati che la rete è occupata. In
questo modo fissano di nuovo i loro Network Allocation Vector e aspettano fino a quando la
verifica non segnalerà che il canale è di nuovo libero. Ora la stazione comincia la
trasmissione. Una volta terminata, il destinatario aspetta per la durata di un SIFS e risponde
poi con un frame ACK per confermare al mittente la ricezione completa e impostare il
Network Allocation Vector su 0; la rete è quindi libera per una nuova trasmissione.
Vantaggi Svantaggi
Protegge efficacemente dalle collisioni di
Fissa dei tempi di attesa
dati
Grazie a verifiche i dati non vengono
Provoca un traffico dati aggiuntivo
persi senza accorgersene
Evita con l’estensione RTS/CTS un Risolve il problema del terminale nascosto solo
traffico dati inutile tramite l’estensione RTS/CTS
Crea il problema della stazione esposta tramite
RTS/CTS
Perciò l’Access Point mette a disposizione due intervalli di tempo: da una parte c’è il
Contention Free Period (CFP), in cui il PCF garantisce l’accesso multiplo in modo
coordinato, e dall’altra il Contention Period (CP), in cui è in uso la DCF, che evita le
collisioni tramite CSMA/CA, come descritto sopra.
L’altro procedimento con gli accessi multipli in modo coordinato, l’HCF Controlled
Channel Access. Al posto di un sistema alternato, HCCA stabilisce la possibilità che
l’Access Point possa essere sempre convertito da CP a CFP, che nell’HCCA si chiama però
Controlled Access Phase (CAP). In questo periodo l’Hybrid Coordinator coordina (anche
qui l’Access Point), chi può inviare i dati e quando, in base alla priorità. Il coordinatore lo
comunica tramite Traffic Classes (TC), che indicano pure le stazioni. Così a diverse classi
possono essere assegnate diverse priorità.
Polling
Polling, in informatica, indica la verifica ciclica di tutte le unità o periferiche di input/output
da parte del sistema operativo di un personal computer tramite test dei bit di bus associati ad
ogni periferica, seguita da un'eventuale interazione (scrittura o lettura). Questa attività
impegna molto del tempo di funzionamento del processore (CPU), rallentando di
conseguenza l'intero sistema.
Nella gestione del wireless le password sono un aspetto fondamentale ma non risolutivo per
garantire la sicurezza informatica: ecco perché entrano quindi in gioco le chiavi WEP
(Wired Equivalent Privacy) e WPA (Wi-Fi Protected Access).
WPA (Wi-Fi Protected Access) significa accesso protetto Wi-Fi ossia si tratta di un
protocollo creato per generare reti wireless Wi-Fi sicure grazie alla crittografia dei dati.
Rispetto al protocollo WEP, gestisce meglio le chiavi di sicurezza e la modalità di
autorizzazione degli utenti. La chiave WPA è la password utilizzata per connettersi alla rete
wireless Wi-Fi. La password WPA si ottiene dal gestore della rete, mentre quella predefinita
si trova di solito stampata sul router wireless quando viene consegnato dal gestore stesso.
Le differenze tra chiavi di crittografia WPA e WPE wireless. La maggior parte degli access
point sono programmati per gestire tre tipologie di standard crittografici: Wired Equivalent
Privacy (WEP), Wi-Fi Protected Access (WPA) o Wi-Fi Protected Access2. WPA è più
sicuro di WEP mentre WPA2 è più sicuro di WPA. WPA2 richiede l’uso di una
crittografia wireless più forte rispetto a WPA e di conseguenza migliora la sicurezza delle
connessioni Wi-Fi.
Nello specifico, WPA2 non utilizza l’algoritmo chiamato Temporal Key Integrity Protocol
(TKIP), noto per creare danni alla sicurezza. WPA2, che richiede test e certificazione da
parte della Wi-Fi Alliance, implementa gli elementi obbligatori di IEEE 802.11. In
particolare, include il supporto obbligatorio per CCMP, una modalità di crittografia basata
su AES con una forte sicurezza.
Ecco due esempi di debolezza della WPA3 rispetto alla sicurezza wireless:
Firewall
La sicurezza informatica o cyber security ci permette di difendere e proteggere i nostri
dati e i nostri sistemi informatici dagli attacchi informatici esterni. Quello che spesso ci
dimentichiamo è che, ogni volta che comunichiamo con un server esterno, permettiamo
allo stesso server di comunicare a sua volta con noi. Per aprire una connessione con
l’esterno è sufficiente aprire un sito web, scaricare le email, cliccare su un link, leggere le
news, partecipare ad un webinar etc etc. Come potete vedere sono tutte attività che fanno
parte della nostra vita quotidiane e della nostra normalità. Per proteggersi dalle minacce che
arrivano dall’esterno è necessario dotarsi di un firewall perimetrale. Il Firewall
perimetrale, a differenza del personal firewall che è installato sulle singole macchine,
viene posizionato come una vera e propria sentinella tra la nostra rete e la rete internet.
Essendo il solo punto di transito per tutti i pacchetti, da e verso internet, ha la piena visibiltà
di tutto il traffico dati in ingresso e in uscita.
I primi firewall erano semplici filtri, usati spesso all'interno dei router e degli switch,
potevano essere aggirati utilizzando l'IP spoofing e non riuscivano a rilevare le vulnerabilità
nei livelli del modello OSI superiori al terzo.
Firewall di filtraggio dei pacchetti, utilizzata per filtrare gli accessi alla rete, monitorando
i pacchetti in ingresso e in uscita. Una funzione che alcuni firewall prevedono è la
possibilità di filtrare ciò che arriva da Internet sulla base di diversi tipi di criteri non relativi
alla sicurezza informatica, ma volti a limitare gli utilizzi della rete sulla base di decisioni
politiche, in particolare vietando la connessione su determinate porte o, per quanto riguarda
il web, a determinate categorie di siti:
Contenuti non adatti ai minori (ad esempio in una rete domestica con postazioni
libere non protette individualmente);
Contenuti ritenuti non pertinenti con l'attività lavorativa (in una rete aziendale);
Contenuti esclusi in base alle informazioni veicolate, su base politica, religiosa o per
limitare la diffusione della conoscenza (in questi casi il firewall è uno strumento di
censura)
Stateful firewall, Filtro dinamico dei pacchetti, tecnica di seconda generazione, rende i
firewall più intelligenti e sicuri dei precedenti. Permette di ricordare i pacchetti visualizzati
in precedenza. In generale, rispetto ai packet filter firewall, offrono una maggiore sicurezza,
un logging migliore e un controllo migliore sui protocolli applicativi che scelgono
casualmente la porta di comunicazione (come FTP) ma sono più pesanti dal punto di vista
delle performance. Inoltre gli stateful firewall non rilevano gli attacchi nei livelli OSI
superiori al quarto e sono sensibili agli attacchi DoS che ne saturano la tabella dello stato.
La crescita di Internet portò alla diffusione degli attacchi inseriti all'interno del traffico web
ai quali i stateful firewall non erano in grado di far fronte.
I WAF, viene posto dopo il firewall. Un web application firewall (WAF) è una specifica
forma di firewall software che filtra, monitora e blocca traffico HTTP in entrata e uscita da
un servizio web. Ispezionando il traffico HTTP, una soluzione WAF può prevenire attacchi
provenienti da minacce veicolate attraverso il web.
In particolare un firewall filtra il traffico sulla base di un insieme di regole, solitamente dette
policy, che vengono applicate secondo due possibili criteri generali:
Criterio default-deny: viene permesso solo ciò che viene dichiarato esplicitamente e il
resto viene vietato;
Criterio default-allow: viene vietato solo ciò che è esplicitamente proibito e il resto
viene permesso.
I firewall utilizzano normalmente il criterio default-deny, poiché garantisce una maggiore
sicurezza e una maggiore precisione nella definizione delle regole rispetto al criterio
default-allow, anche se quest'ultimo consente una configurazione più semplice.
Sicurezza Perimetrale
La sicurezza perimetrale è come un muro che rende la vostra rete invalicabile dall’esterno,
permettendo quindi di evitare ingressi non autorizzati con possibilità di virus che possono
rovinare il vostro lavoro e non permettere nello stesso tempo fuoriuscite di dati dai vostri
server.
Mentre un proxy di inoltro agisce come intermediario o ponte come dir si voglia, il suo
contrario, il reverse proxy agisce permettendo ai suoi client di contattare qualsiasi server ad
esso associati per essere contattati da qualsiasi client. Molto spesso, i web server più comuni
inglobano le funzionalità di un reverse proxy al fine di proteggere i framework.
In pratica il reverse proxy interpreta le richieste dall’esterno e le invia all’interno del vostro
server dopo averle filtrate attraverso il firewall, l’antivirus e i sistemi di sicurezza sopra
descritti.
Così facendo impedisce a qualsiasi tipo di contaminazione esterna di poter raggiungere i
vostri server. Alcuni proxy server, possono essere utilizzati come reverse proxy. Servono
sempre alla stessa cosa: mascherare alla rete esterna uno o più server della rete interna,
aggiungendo delle funzioni o migliorando le prestazioni, ad esempio possono implementare
la capacità di una cache locale. Oppure un firewall con un reverse proxy può agire per
mappare più server sullo stesso -url- indirzzo web, o anche per inoltrare il traffico a più
server smaltendo il peso dei dati evitando in uesto modo il DDos e garantendo che arrivino
all’unità corretta che può gestirli.
Poi vi è la soluzione a zona cuscinetto che prevede l’utilizzo di due firewall. Sistema più
sicuro ma più complicato e più costosa.
https://www.youtube.com/watch?v=pLrgk8lyTYY