Riassunto sistemi e reti

Corso sistemi e reti a.s. 2019-2020

Pila iso/osi tcp/ip:

ISR= integrated service router= dispositivi domestici che permettono di
collegarci ad internet:

1. Modem;
2. Switch;
3. Router.
Header/oh Payload

PDU= protocol data unit.

Dati
7

Oh
6

oh
5

Oh
4

Oh
3

Oh
2

Oh
Pila Iso/Osi: Tcp/ip:

Applicazione Messaggio Applicazione

Presentazione
Sessione Trasporto
Trasporto
Segmento
Internet
Rete

Datalink Network
Pacchetto o datagram
fisico access
Frame o trama

Funzioni del livello di rete:

 Indirizzamento;
 Inoltro/forwording;
 Instradamento/routing;
Indirizzamento:

indirizzamento Ipv4 o Ipv6

indirizzo IP: identifica in maniera univoca un host all’interno di una rete.

Parametri di configurazione di un host in rete:

ip address: ipv432 bit 2^32 possibili indirizzi ip network Host

id id

Subnet mask: ci permette di capire in quale rete si trova il mio host e

distingue la notte di network id e la parte di host id, è composta da una
sequenza di 0 e 1:

 Gli 0 identificano la parte di network id,

 Gli 1 identificano la parte di host id.

Gw: router che ci permette di andare verso una rete esterna.

Dns: associa l’indirizzo ip al nome simbolico di un sito.

 Indirizzamento ip
Classfull addressing:

gli indirizzi ipv4 sono costituiti da 32 bit ed hanno uno spazio di indirizzamento pari a 2^32
possibili indirizzi ip.

Prevede una struttura con 2 livelli: network Host

id id

Il classfull addressing è costituito da 5 classi:

Classe A:

ha uno spazio di indirizzamento costituito da 128 reti/8, ciascuna con 2^24-2

host; il primo bit è fisso a 0.

Classe B:

ha uno spazio di indirizzamento costituito da 2^14 reti/16, ciascuna con 2^16-

2 host; il primi 2 bit è fisso a 10.

Classe C:

ha uno spazio di indirizzamento costituito da 2^21 reti/24, ciascuna con 2^8-2

host; il primi 3 bit è fisso a 110.

Con questa suddivisione è stato possibile assegnare un numero più ristretto

di reti rispetto alle attuali dimensioni di internet.

Subnetting:

per risolvere questo problema è stato introdotto il subnetting.

Il subnetting introduce una struttura a 3 livelli per un indirizzo ip:

Network id Subnet Host id

number
L’insieme di network id e subnet number prende il nome di extended network
prefix.

La tecnica del Subnetting vista fino ad ora permette di avere sottoreti tutte
della stessa dimensione. Avere Subnet mask di lunghezza variabile invece
comporta i seguenti vantaggi:

 uso più efficiente dello spazio di indirizzamento

 riduzione delle tabelle di routing

Nel 1987 venne introdotta la tecnica del Subnetting a maschera variabile

(VLSM)

La tecnica VLSM consiste nei seguenti passi:

 suddivisione di una rete in sottoreti

 suddivisione di alcune sottoreti create precedentemente in ulteriori
sottoreti
 applicazione ricorsiva dei due step precedenti.

Ip privati e il pubblici

La differenza tra indirizzi IP pubblici e privati consiste nel fatto che per i primi
è ammissibile vederli nella rete Internet, mentre i secondi verrebbero scartati
dai router della rete pubblica.

CIDR

L’indirizzamento CIDR venne sviluppato negli anni ‘90

CIDR elimina il concetto di indirizzi di classe A, B, C e i router che supportano

tale indirizzamento non si limitano ad esaminare i primi 3 bit di un indirizzo IP,
ma esaminano la maschera di rete

CIDR presenta una efficiente allocazione dello spazio di indirizzamento. In un

ambiente Classful un ISP può allocare reti /8, /16 e /24. In un ambiente CIDR
un ISP può ritagliare uno spazio di indirizzamento che si adatta alle esigenze
del cliente

Inoltro e instradamento
L’inoltro dei pacchetti può essere:

 Diretto: la destinazione è nella stessa rete ip della sorgente

  Indiretto: la destinazione non è nella stessa rete ip della sorgente

La trasmissione dei pacchetti nelle reti locali si basa sugli indirizzi MAC
(livello 2) dei dispositivi. (Mac table= tabella presente negli switch contenente
gli indirizzi MAC dei dispositivi della rete).

Inoltro nei router

I router sono dispositivi di internetworking con interfacce ad uscite multiple.

Anche i router seguono tecniche di inoltro diretto e indiretto

 Diretto: ce più di un’interfaccia su cui effettuare l’inoltro.

 Indiretto: si basa su tabelle di routing su cui è definita la rotta di
instradamento.

Caratteristiche dell’inoltro:

 Destination based: l’inoltro ip è basato sul solo indirizzo di destinazione,

 Next hope routing: nelle tabelle di routing è indicato il prossimo router
( next hope).

L’inoltro tra router avviene attraverso le reti ip (arp table= tabelle all’interno
dei router dove sono salvati gli indirizzi ip della rete).

Per l’inoltro dei pacchetti i router si basano sulla parte di Netid.

Gli host presenti nella rete di destinazione vengono identificati nelle tabelle di
routing da una singola entry (prefisso di rete).

Routing unicast

è l’instradamento da un punto verso un’unica destinazione.

l’instradamento consente la comunicazione tra 2 nodi non direttamente

collegati tra loro con mediate la collaborazione con altri nodi.

Tabelle di routing
Le entità di livello 3 effettuano la comunicazione verso il SAP (service access
point) d’uscita sulla base di un indirizzo posto sul pacchetto.

La corrispondenza tra indirizzo e SAP è mantenuta dal nodo nella tabella di

routing.

Router di default (default route o default gateway) = 0.0.0.0

Nella tabella di routing devono essere sempre presenti i seguiwnti campi:

 Netmask,
 Destination,
 Next hope (prossimo indirizzo ip).

Troviamo anche altri campi come:

 Flag,
 Matric,
 Use,
 Interface.

Requisiti CDIR

Nella tabella di routing deve essere sempre indicata la lunghezza del Netid.

I protocolli di routing devono supportare l’invio dell’informazione do netmask

insieme agli indirizzi di rete nei messaggi di route advertisement.

Aggregazione di indirizzi

Per far si di ridurre la dimensione della tabella di routing possiamo aggregare

gli indirizzi ip, che appartengono alla stessa rete, ed hanno lo stesso
nexthope, scrivendo una sola riga con l’indirizzo di rete ed il nexthope.

Algoritmi di routing
Algoritmi di routing

Definisce i criteri e le regole per riempire le tabelle di routing.

Protocolli di routing

Identifica le informazioni le informazioni che i nodo si scambiano utilizzandole

per riempire le rispettive tabelle di routing.
O percorsi di instradamento assumono la forma di un grafo.

Ci sono due tipo di routing:

 Routing statico: la configurazione della tabella di routing viene effettuata

dall’amministratore di rete

Vantaggi:

o Non c’è bisogno di scambio di informazioni,

o Non è richiesto uno sforzo computazionale da parte del router

Svantaggi:

o Bisogna modificare le tabelle di routing ogni volta che si cambia la

tipologia di rete,
o Tecnica onerosa per un numero elevato di segmenti LAN

 Routing dinamico: la tabella viene costruita dal router in base alle

informazioni che riceve dagli altri dispositivi

Vantaggi:

o Minor controllo da parte dell’amministratore,

o Miglior adattamento ai cambi della tipologia di rete

Svantaggi:

o Richiesta maggior banda per lo scambio di informazioni tra i

router

Costo di una route (metrica)

Viene determinato da:

 Hop count,
 Ampiezza di banda,
 Valutazione del traffico.

Distance vector routing

La tabella di routing contiene le colonne

 Distanza,
 Interfaccia
Funzionamento:

 Il router invia un pacchetto ECHO ai router adiacenti per conoscere la

distanza tra loro,
 I router adiacenti fanno la stessa cosa,
 I router adiacenti si scambiano il vettore delle distanze,
 Ogni router riceve il vettore delle distanze ed aggiorna la propria
tabella di routing

Problematiche

Ci sono delle problematiche in questa tecnica:

 Routing loop: se un pacchetto viene inoltrato su un percorso circolare

questo non arriverà mai a destinazione,
 Count to infinity: il costo per raggiungere una destinazione viene
continuamente incrementato.

Soluzioni:

queste problematiche possono essere risolte con:

 Numero max hop count: imposta un numero massimo di passaggi,

 Split orizon: previene un loop tra due nodi adiacenti,
 Poison reverse: vengono bloccate le root che aumentano di costo,
 Hold down: limita il count to infinity,
 Triggered update: invia aggiornamenti non appena c’è un
cambiamento.

link state routing

ogni router ha una descrizione della tipologia di rete

 LSP= pacchetto che viene inviato a tutti i router presenti nella rete,
 Trasmissione in flooding =il pacchetto viene inoltrato su tutte le linee tra
su quella da cui è arrivato,
 LSP viene inviato quando c’è un cambiamento nella topologia di rete.

Funzionamento

Ogni LSP contiene, per ogni mittente l’elenco delle distanze da ogni vicino

Ogni router esamina il suo numero di sequenza (ns) del pacchetto in arrivo:
se ns <= ns del database = pacchetto scartato,

se ns>= ns

se ns > ns del database= pacchetto ritrasmesso in flooding.

Ogni router costruisce un database con le informazioni sull’intera rete e

costruisce un grafo pesato.

Algoritmo di ricerca del percorso minimo (algoritmo di Dijkstra).

Caratteristiche

Dispone della mappa della rete,

le informazioni si propagano velocemente,

difficilmente genera loop,

tutti i nodi hanno base di dati identica,

è facilmente scalabile.

VPN
VPN (virtual private network)

Connessione tra intranet remote

Una volta create le intranet nasce il problema di collegarle tra loro

 Possibile soluzione: uso di canali dedicati,

 problemi: costo elevato.
 Uso do internet
 Problemi:
o Uso indirizzi provati,
o Sicurezza,
o Prestazioni.

Ip tunneling

 Si costruisce incapsulando trame ip in altre trame ip,

 Il payload può essere criptato,
 Gli indirizzi possono essere privati.

Tunneling e encapsulation
i tunnel sono uno strumento più generale dell’ip tunneling

un tunnel è costituito da:

 Protocollo passeggero,
 Protocollo trasportatore,
 Protocollo incapsulamento.

Il protocollo di incapsulamento svolge funzioni principalmente di sicurezza.

Passeggeri

 I casi più comuni sono:

o Ip,
o Ethernet
 Nel caso di tunnel di livello 2 (Ethernet), il tunnel si comporta come un
collegamento tra 2 switch ethernet e la rete diventa un unico dominio
broadcast.

Trasportatori

 Il protocollo può essere ip, ma in alcuni casi anche un protocollo di

livello 4 come UDP o TCP.

Encapsulation

 Il protocollo di incapsulamento fornisce principalmente servizi di

sicurezza e di gestione del tunnel.
 Tra i principali:
o IPSec,
o L2TP,
o PPTP,
o GTP.

Livello di trasporto
Il livello di trasporto è il quarto livello della pila ISO/OSI.

Protocollo process-to-process e consente il collegamento tra due processi

applicativi.

Il suo compito è di fornire un servizio di trasporto dati tra i processi applicativi

di un host sorgente e un host destinatario.
Può funzionare in modalità:

 Connectionless,
 Connection-oriented.

Protocolli TCP/IP:

 TCP,
 UDP

Multiplexing/demultiplexing

Più processi applicativi possono essere in esecuzione su uno stesso host ed

aver bisogno di comunicare attraverso lo stato di trasporto.

Il alivello di trasporto svolge funzioni:

 Raccoglie dati da applicazioni diverse e lì trasmette attraverso un unico

strato di rete (multiplexing),
 Raccoglie dati da un unico strato di rete e lì indirizza verso le diverse
applicazioni (demultiplexing).

Indirizzamento processi applicativi

Un processo applicativo viene identificato da:

Indirizzo ip + n_porta = socket;

Le socket sono delle porte di comunicazione:

 Il processo trasmette il messaggio fuori della porta,

 La rete trasporta il messaggio fino al destinatario.

Socket

Una socket è un’interfaccia che consentendo indirizzare in maniera univoca il

processo applicativo in esecuzione su una certa macchina.

Una socket è un API (set di funzioni).

Port addressing

Le porte sono indirizzi lunghi 16 bit

Numeri noti: applicativi lato server(http, FTP, DNS, ecc..),

Numeri dinamici: assegnati dinamicamente ai processi applicativi lato client,

Numeri registrati: assefgnati a specifiche applicazioni.

Servizi di buffering

 I protocolli di trasporto sono implementati nei più diffusi sistemi

operativi,
 Quando un processo viene assegnato ad una porta, viene associato dal
sistema operativo a due cose, una in ingresso ed una in uscita,
 Funzionalità di buffering dei dati

Servizio di trasporto

 Il servizio di rete non è affidabile

 Il tipo di trasporto può essere:
o Trasporto affidabile,
o Trasporto non affidabile,
o Orientato alla connessione,
o Senza connessione.
 Nella suite ip abbiamo:
o TCP,
o UDP.

UDP
UDP (user datagram protocol)

È il modo più semplice di utilizzare le funzionalità ip,

 È un protocollo datagram,
 Non garantisce la consegna,
 Non esercita nessun controllo.

Perché UDP e non TCP?

 Non occorre stabilire una connessione,

 Non occorre tenere traccia dello stato della connessione,
 Poche regole da implementare,
 Header UDP minore TCP.
 TCP
TCP (trasfer control protocol)

 Il TCP è un protocollo di trasporto affidabile

o In sequenza,
o Senza errori/perdite,
 È possibile costruire applicazioni che si basano su trasferimento di file
senza errori,
 Effettua un controllo end-to-end.

TCP connection oriented

Il protocollo è orientato alla connesso

 Prima di inviare il flusso dei dati bisogna instaurare una connessione,

 Le connessioni TCP si appoggiano su una rete connectionless,
 Le connessione TCP sono di tipo full-duplex.

Livello applicativo
È il settimo livello della pila iso/osi.

Implementa i seguiti protocolli:

 FTP,
 HTTP,
 DNS,
 Telnet.

Architetture delle applicazioni di rete

Client-server,

Peer-to-peer,

Architetture ibride.

Client-server

Il server è attivo e attende che gli client si connettano

 Il server ha un ip statico sempre attivo,

 Il client ha un ip dinamico , comunica con il server,
  Congestione: più visto si connettono contemporaneamente al server.

Architettura peer-to-peer

È un insieme di entità autonome che si scambiano risorse distribuite

all’interno della stessa rete. Quest’architettura può essere:

 Decentralizzata: un peer ha funzionalità sia client che server. Ogni peer

ha un indirizzo ip statico,
 Centralizzata: c’è un server centrale che risponde alle richieste dei
peer, i peer memorizzano i dati e informazioni, i peer informano sul
contenuto dei file da condividere,
 Ibrida: è un P2P parzialmente centralizzato dove sono presente:
supernodi che hanno la funzione di indicizzare, leaf peer.

Servizi offerti dal livello di trasporto

 Trasferimento dati affidabile,

 Ampiezza di banda,
 Temporizzazione,
 Sicurezza.

Servizio di web browsing (http)

http ( hyper text trasfer protocol) protocollo del livello applicativo.

Le pagine web sono fatte da oggetti che possono essere file html, foto, video,
audio generalmente le pagine web hanno un file html o php di base. Ogni
oggetto è indentificato da un URL (uniforme resource locator).

Comunicazione http

 Architettura client-server
1. Client: browser che effettua richieste http, riceve le risposte e
mostra i risultati all’utente,
2. Server: invia oggetti tramite risposte http.
 Nessuna memoria sulle richieste viene mantenuta nel server
 http utilizza il protocollo TCP del livello di trasporto
1. Il client http inizia una connessione TCP con il server,
2. Il server http accetta richieste TCP da client http,
3. Client e server http si scambiano informazioni,
4. La connessione tra client e server viene chiusa.
Modalità connessione tra client e server http

 Connessione non persistente:

o Una connessione TCP per una sola sessione richiesta-risposta,
o La procedura viene ripetuta per tutti i file collegato al documento,
o Le connessioni TCP per più oggetti possono essere aperte in
parallelo.
 Connessione persistente:
o La connessione TCP può rimanere aperta e utilizzata per
trasferire più oggetti
 Widthout pipelining: richieste http inviate in serie,
 Width pipelining: richieste http inviate in parallelo.

Richieste http

I messaggi http sono codificati in ASCII

Le richieste sono composte da:

o Metodo: i più comuni sono GET, POST, HEAD

o Header: i principali sono host, user-agent, cookies,
o Riga vuota,
o Body,

Un esempio di richiesta http:

GET/index.html http/1.1

Host:iismerlonimiliani

[](Riga vuota)

Risposte http

Le risposte http sono composte da:

o Riga di stato: codice di tre cifre che indica l’esito della richiesta (es.
200 OK, 404 not found),
o Header: i più importanti sono content-type e content-lenght,
o Riga vuota
o Body

Esempio di risposta http:

http/1.1 200OK

Content-type: text/HTML

Content-lenght:2652

[](Riga vuota)

Body

Conditional get

 Obiettivo: non inviare un oggetto richiesto se è già presente nel client,

 Si inserisce nella richiesta http la data dell’oggetto presente in cache
locale,
 Nella risposta http non sarà presente l’oggetto richiesto se la copia
presente nel client è già aggiornata.

Analisi del traffico

Molti browser mettono a disposizione strumenti per visualizzare le prestazioni

di traffico http.

Mantenere lo stato in http: cookie

 Ingredienti dei cookie:

o Header cookie nelle risposte http,
o Header cookie nella successiva richieste http,
o Lista cookie mantenuta sull’host,
o Un database di cookie mantenuto dal sito web

Proxy http: cache di rete

 Obiettivo: rispondere alle richieste http senza coinvolgere il server http,

o Il client invia tutte le richieste http al proxy http
 Se l’oggetto è disponibile nella cache del proxy allora
risponde con l’oggetto,
 Altrimenti il proxy recupera l’oggetto dal server d’origine e lo
inca al client.
 I proxy sono degli applicativi gateway, instradato di messaggio di livello
applicativo,
 Devono essere sia client che server,
 Il server vede arrivare tutte le richieste dal proxy.
 DNS
DNS(domani name system)

Dato che gli indirizzi ip sono poco adatti ad essere utilizzati dagli utenti, ci
serviamo di nomi simbolici, occorre quindi una mappatura tra indirizzi ip e
nomi simbolici.

 Ingredienti:
o Database costituito da molti name servers,
o Protocollo applicativo basato su UDP tra name server e host,
 Servizi aggiuntivi:
o Host aliasing,
o Mail server aliasing,
o Load distribution.

Database gerarchico e distribuito

Ogni livello ha una diversa profondità di informazione

Tipi di NS

 Local name servers,

 Authoritative name servers.

Come ottenere un mappaggio

 Ogni host ha configurato l’indirizzo del LNS,

 Le applicazioni che richiedono un mappaggio usano le funzioni del
DNS,
 Il server reperisce l’informazione costruisce la risposta.

Caching

 Un server dopo aver reperito l’informazione può memorizzarla

temporaneamente se non è authoritative,
 All’arrivo di una nuova richiesta può fornire l’informazione senza risalire
al server authoritative,
 TTL è un indice che stabilisce quanto sia stabile nel tempo
l’informazione relativa, viene stabilito dal server authoritative,
 I TLD server sono generalmente memorizzati nei local name server,
 I server non authoritative utilizzano un TTL per decidere il time-out.
Informazioni memorizzate

 Type:
o A: name è il nome di un host value è l’indirizzo io,
o NS: name è domaim value è il nome di un server che può
ottenere le informazioni relative,
o Canale: name è un nome alternativo (alias) per un host in cui il
vero nome è in value.
o MX: name è e il dominio di mail o alias di mail, values è il mial
server.

Formato dei messaggi DNS

o Identification: identificativo coppia richiesta/risposta,

o Flag: richiesta/risposta, iterative/recursive,
o Number of: n. Campi nella sezione successiva
o Questions: nome e tipo richiesto ,
o Answer: resource e record forniti in risposta,
o Authority: contiene altri record forniti da altri server,
o Additional infor: informazione addizionale.

Come aggiungere un dominio alla rete DNS

 I-like-networking registra il dominio presso uno dei DNS registrars:

o I-like-networking deve fornire al DNS registrars i nomi simbolici ed i
relativi indirizzi ip,
o Il DNS register inserisce due RR nel TLD server.com
o Il DNS register inserisce un record di tipo MX.

CDNs

CDNs Content distribition networks

Problema

Come distribuire in maniera efficiente molti contenuti a molti utenti lontani

contemporaneamente.

Soluzione

 Creare una rete di server geograficamente distribuita che contengano i

contenuti richiesti,
 La rete di server può essere di proprietà di chi offerte il servizio o di terze
parti.

Scelta del mio server

 Più vicino: scegli il server più vicino al client,

 Percorso più corto: percorso più breve per arrivare al client,
 Scelta dell’utente: viene data all’utente la lista dei server utilizzabili e lui
sceglie il migliore (Netflix)

Multimedia networking application

Esistono tre tipologie di applicazioni di rete multimediali:
1. streaming stored audio/video
2. conversational voice/video
3. streaming live audio/video

Streaming stored audio/video

Video preregistrati sono memorizzati sui server.

Caratteristiche:
 streaming: riproduzione di un file audio/video prima di averlo scaricato
 interactivity: play, pause, stop
 continuous playout: i dati devono essere ricevuti dal client in tempo utile
per la riproduzione

Throughput medio >= bit rate del video per avere una riproduzione continua

Video memorizzato su:

 CDN
 reti P2P

Sistemi:
 UDP streaming
 HTTP streaming
 adaptive HTTP streaming

Tutti e tre i sistemi utilizzano la tecnica buffering client per mitigare:

 l’effetto del ritardo end-to-end
  la variabilità della banda disponibile tra client e server.

Streaming UDP:
Il server, prima di passare i blocchi video a UDP, li incapsula in pacchetti di
trasporto progettati per audio e video, usando il protocollo di trasporto.

RTSP: protocollo per il controllo della connessione

Svantaggi:
 lo streaming UDP a tasso costante non può riuscire a fornire una
riproduzione continua
 richiesta di un server di controllo RTSP
 traffico bloccato da firewall

Streaming HTTP
Nello streaming HTTP il video viene memorizzato in un server HTTP come un
file ordinario con un URL specifico. Quando un utente vuole vedere un video,
il client stabilisce una connessione TCP con il server e invia una richiesta
GET HTTP per il suo URL. Il server invia il file video, all'interno di un
messaggio di risposta HTTP, più velocemente possibile.
I problemi che potrebbero derivare dall’utilizzo di TCP per lo streaming video,
ovvero:
 controllo di congestione del traffico
 trasferimento affidabile dei dati (che potrebbero dar luogo a
ritrasmissioni)
si utilizzano tecniche di buffering e prefetching del video che rendono il TCP
idoneo a questo servizio.
Inoltre TCP permette:
 facilità di attraversamento dei firewall
 di non avere un server di controllo RTSP

Streaming HTTP adattativo

Lo streaming HTTP, utilizzato in aziende del settore, presenta uno
svantaggio: i client ricevono la stessa versione codificata del video,
nonostante una larghezza di banda che può varia da un caso all'altro e nel
tempo. Per superare il problema è stato sviluppato un nuovo tipo di streaming
basato su HTTP, chiamato streaming dinamico adattativo su http. In DASH, i
video vengono codificati in diverse versioni, ognuna avente un bit rate
differente. Il client richiede pezzi di segmenti video lunghi alcuni secondi da
versioni differenti in modo dinamico. Quando la banda disponibile è elevata, il
client seleziona automaticamente i blocchi da una versione con alto bit rate,
mentre quando la banda disponibile è poca, seleziona una versione a basso
bit rate. Il client seleziona un blocco alla volta con un messaggio di richiesta
GET HTTP.

Wireless LAN

Le tecnologie wireless hanno diversi vantaggi. Fra cui la mobilità.

Altri vantaggi sono:
 facilità d’uso, di configurazione e manutenzione;
 costi inferiori rispetto a tecnologie cablate.
Ci sono però anche le seguenti problematiche:
 possibilità di interferenze;
 problemi di copertura;
 Sicurezza.

Tipologie di reti wireless

Le reti wireless sono suddivise in:
 WPAN (Wireless Personal Area Network)
 WLAN (Wireless Local Area Network)
 WWAN (Wireless Wide Area Network)

Le reti WPAN comprendono quelle tecnologie che permettono la

comunicazione senza fili nell’intorno di una persona.
Un esempio di WPAN è rappresentato dal protocollo Bluetooth IEEE 802.15.
Ha le seguenti caratteristiche:
 accoppiamento diretto tra una coppia di dispositivi fino a 10 m;
 bassi consumi energetici;
 velocità trasmissiva → 24 Mb/s

Una rete WLAN integra la comunicazione wireless in una data LAN. Questa
tecnologia viene anche chiamata Wi-Fi (IEEE 802.11)
Presenta le seguenti caratteristiche:
 velocità trasmissiva da 11 Mb/s fino a 1,5 Gb/s dell’ultima revisione;
 la distanza di copertura dipende dalla antenne:
o 10 m - 100 m con antenne omnidirezionali
o in campo aperto si può arrivare fino a 300 m.

Una rete WWAN dà la possibilità di effettuare comunicazioni wireless a lunga

distanza, dell’ordine dei km. Il suo utilizzo principale è quello di fornire
l’accesso alla rete Internet nelle zone difficilmente raggiungibili da reti
cablate.
Esempi di WWAN sono:
 Wireless Internet Service Provider
 Reti cellulari con connessione dati: le reti cellulari, fornendo l’accesso
alla rete Internet, con diverse velocità (2G, 3G, 4G),
 WiMAX: copertura fino a 50 km con velocità dell’ordine del Gb/s;
 Satellite: utilizzata sia in fase di ricezione sia in trasmissione.

Frequenze

Frequenza: f → [f] = Hz
Lunghezza d’onda: λ → [λ] = m
Frequenza e lunghezza d’onda sono inversamente proporzionali.
Le comunicazioni wireless avvengono nella porzione di spettro
elettromagnetico delle microonde.

 le onde radio a bassa frequenza e quindi con elevata lunghezza d’onda

penetrano meglio gli oggetti come gli edifici e lo spazio libero in
generale;
 le onde radio ad elevata frequenza e quindi con piccola lunghezza
d’onda hanno bisogno di visibilità diretta tra punto trasmittente e
ricevente,

Le bande di frequenza vengono gestite da un organismo internazionale che si

chiama ITU.

Il range di frequenze utilizzate dallo standard IEEE 802.11 viene

ulteriormente suddiviso in sottobande chiamate canali.

Il protocollo IEEE 802.11 lavora a livello:

 1 - Fisico: descrivendo le tecniche di modulazione adottate
 2 - Data Link: definendo il formato del relativo frame

LAN vs WLAN

 le onde radio non possono essere confinate in uno spazio prestabilito

come avviene in una rete cablata, generando interferenze,
 le onde radio nel propagarsi si attenuano, mentre i cavi sono ottimizzati
per mantenere una certa ampiezza di segnale su una distanza
specificata;
  i dispositivi wireless si connettono ad una WLAN attraverso un AP.

Wireless equipment

Gli apparati wireless si dividono in:

 end device (detto anche station STA es. smartphone, notebook)
 infrastructure device: AP, Powerline
Ciascun end device ha una Wireless NIC.

Antenne

Le antenne utilizzate nelle comunicazioni wireless possono essere di diverse

tipologie. Esse sono principalmente caratterizzate dai seguenti parametri:
 Guadagno
 Diagramma di radiazione
 Larghezza del fascio.

Ad-hoc wireless tipology

In una topologia wireless ad-hoc ciascun dispositivo si connette direttamente

con l’altro, senza il bisogno che ci sia un AP.

Ci deve essere almeno un elemento che a catena si connette con gli altri.

Non ci sono ruoli di AP e Client, ma tutti i device sono nodi peer.

Ciascun dispositivo deve avere un driver specifico per abilitare la modalità

ad-hoc abilitata,

Un dispositivo deve essere almeno nel raggio d’azione di un altro dispositivo

che partecipa alla topologia ad-hoc.

IBSS (Independent Basic Service Set): rappresenta l’area di copertura,

insieme di dispositivi che appartengono ad una topologia ad-hoc;

Infrasructure wireless tipology

2 tipologie di apparati:
 AP Access Point
 STA Station (end device)
ogni comunicazione passa per l’AP.
BBS

BBS (Basic Service Set)

La più semplice topologia Infrastructure.

Composto da singolo AP a cui sono connesse le STA.

L’area di copertura di una BSS viene detta BSA (Basic Service Area).

Ogni BSS è identificata dal MAC Address dell’AP, detto anche BSSID (Basic
Service Set Identifier).

ESS

ESS (Extended Service Set)

Cabla reti LAN con reti Wireless.

più BSS interconnesse tra loro attraverso un Distribution System creano una
ESA (Extended Service Area).
Un Distribution System può essere:
 uno switch
 un Wireless Extended Range
 Powerline Communication
Un dispositivo connesso ad una BSS può passare ad un’altra BSS
appartenente allo stesso ESS riconnettendosi automaticamente. Questo è
possibile perché l’ESS è identificato dal suo SSID (Service Set Identifier). il
nome della rete wireless.

802.11 Process
Il protocollo IEEE 802.11 lavora in base ai seguenti step:
 discovering WLAN
 authentication with the AP
 association with AP

I parametri di una rete WLAN sono:

 SSID: nome delle rete costituito da una stringa da 2 fino a 32 caratteri;
può essere condiviso tra più AP appartenenti ad una ESS;
 Password: chiave di sicurezza per la procedura di autenticazione;
 Security: tipo di autenticazione e meccanismo di cifratura;
 Network Mode: ad esempio Mixed mode per supportare standard
diversi;
Channel: banda di frequenza utilizzata; c’è una procedura che permette ad
un AP di selezionare in modo automatico il canale con minor interferenza.

WLAN Discovery
Può avvenire secondo due modalità:
 passive mode: l’AP periodicamente invia un Beacon (frame
management) per avvertire dei dispositivi all’interno della sua area di
copertura della sua presenza, segnalando SSID e altri parametri;
 active mode: ogni STA invia iterativamente su ciascun canale delle
Probe request (Frame management) finché non scopre quello corretto;
una Probe request viene inviata in modalità unicast se l’SSID è noto, in
broadcast negli altri casi;

Un AP può essere configurato in modo da rendere nascosto l’SSID,

disabilitando la trasmissione periodica dei Beacon.
Una STA può ugualmente connettersi all’AP se conosce comunque l’SSID
della rete nascosta. Tale SSID può comunque essere scoperto mettendosi in
modalità monitor e captando le Probe response che l’AP invia alle altre STA.

WLAN Authentication
Quando la rete wireless è aperta, ovvero non richiede un meccanismo di
autenticazione, il processo si riduce ad una semplice Request e Response.
Il metodo di autenticazione del protocollo IEEE 802.11, quando esso è
implementato, si basa su una chiave condivisa preconfigurata sia lato STA
sia lato AP:
 STA invia una frame di autenticazione all’AP;
 l’AP risponde con un challenge text;
 STA cripta il challenge text con la sua chiave ed invia il testo cifrato
all’AP;
 l’AP decripta il testo cifrato ricevuto dalla STA con la sua chiave;
 se il testo così decifrato corrisponde con il challenge text iniziale allora
la fase di autenticazione ha avuto successo.

WLAN Association
La procedura di associazione tra STA e AP avviene nel seguente modo:
 STA invia un messaggio (contenente il proprio MAC Address) di
Association request all’AP;
 l’AP invia alla STA un messaggio di Association response contenente:
o il proprio BSSID (MAC Address dell’AP)
o AID da assegnare alla STA.
Frequency/Channel management
Uno degli obiettivi di una tecnica di modulazione è quello di trasmettere il
maggior numero di bit possibile nello stesso range di frequenze.
Le tecniche di modulazione utilizzate dai vari standard IEEE 802.11 sono:
DSSS, FHSS e OFDM.
Channel selection
La banda di frequenza 2.4 GHz è suddivisa in diversi canali
Questi canali hanno una frequenza centrale distanziata dalle altre di 5 MHz e
con una larghezza di banda di 20/22 MHz questi canali si sovrapporranno tra
di loro producendo interferenze.

WLAN Deployment
Le performance e l’area di copertura di una WLAN dipendono da diversi
fattori:
 caratteristiche dell’edificio,
 fattori ambientali,
 numero di utenti,
 standard supportati e data rate,
 antenne,
 potenza trasmissiva.

WLAN Security
In una WLAN non è possibile evitare che qualcuno faccia sniffing.

Una prima tipologia di attacco è un DoS (Denial of Service): la connettività

wireless può essere negata attraverso una interferenza intenzionale o
accidentale su quella specifica frequenza. Da un simile attacco ci si può
difendere monitorando continuamente lo spettro di frequenza.

In alternativa si può effettuare un attacco al protocollo. Infatti DoS attacks

possono essere condotti manipolando i frame di management e di controllo
perché sono quelli che gestiscono la comunicazione.

802.11 Authentication methods

Per lo standard IEEE 802.11 sono disponibili 3 metodi di crittografia:
 WEP (Wireless Equivalent Privacy): usa una chiave fissa,
 WPA (WiFi Protected Access): chiavi diverse per ogni frame (TKIP),
  WPA2: si basa sull’algoritmo crittografico AES (Advanced Encryption
Standard) utilizzato anche per proteggere le carte di credito.

Enterprise WLAN Security

In una rete WLAN con chiave di sicurezze precondivisa si ha che le
credenziali di accesso sono le stesse per ciascun utente.

Firewall
Un firewall è un dispositivo collocato tra due o più reti attraverso cui passa
tutto il traffico; controllando il traffico e lasciando passare solo ciò che
soddisfa determinati criteri, impostando dei filtri.

I firewall possono essere:

 a filtro di pacchetti: analizzano il traffico a livello di rete e di trasporto

realizzate dai router,
 a livello di applicazione: esaminano le informazioni a livello di
applicazione dai proxy server.

Il firewall può essere un dispositivo hardware separato o un computer dotato

di due o più interfacce di rete che esegue un programma apposito.

Di solito viene utilizzato un dispositivo hardware per maggiore sicurezza.

Si possono definire regole sia per il traffico in entrata che in uscita. Ci sono
due tipi di strategie:

1. permettere sempre il traffico a meno che sia esplicitamente vietato;

2. vietare tutto il traffico a meno che non sia esplicitamente consentito.

Un firewall dispone anche di funzioni di registrazione degli eventi e di allarme.

Firewall a filtro di pacchetti

Sono basati su tabelle che elencano:

 le sorgenti e le destinazioni permesse e quelle vietate; si possono

specificare gli indirizzi IP permessi o negati;
 le porte a cui si riferiscono i permessi;

In un firewall a filtro di pacchetti il filtro può essere definito per i pacchetti:

 Un filtro di input viene applicato ai pacchetti diretti al firewall stesso.

 Un filtro di forward viene applicato ai pacchetti che attraversano il
firewall,
  I filtri di output non sono molto utilizzati.

Quando su una interfaccia arriva un pacchetto, viene controllata la tabella di

routing per stabilire se il pacchetto è diretto al firewall o se deve essere
instradato su un’altra interfaccia:

 diretto al firewall viene applicato il filtro di input,

 se deve attraversare il firewall ed essere instradato su un’altra
interfaccia viene applicato il filtro di forward.

Il filtro può fare in modo che il pacchetto:

 sia lasciato passare,

 venga bloccato,
 venga bloccato inviando all’origine un messaggio di rifiuto con il
protocollo ICMP.

Ogni regola di un firewall a filtro di pacchetti può specificare:

 posizione del filtro: in ingresso, in uscita, in transito;

 azione del filtro: accettazione, blocco o rifiuto;
 protocollo: TCP, UDP, ICMP;
 indirizzi IP di origine;
 porte TCP o UDP di origine;
 indirizzi IP di destinazione;
 porte TCP o UDP di destinazione;
 messaggio ICMP, indicando il tipo e il codice eventuale;
 interfaccia di rete coinvolta;
 altre caratteristiche

Firewall a livello di applicazione

Permettono di stabilire se il traffico relativo a un’applicazione può passare o
meno e di impostare regole relative ai comandi delle applicazioni.

Personal firewall

Un personal firewall è un programma che protegge un singolo computer della

rete, analizzando il traffico in ingresso e uscita dalla stazione.

Un firewall personale viene eseguito sul computer che cerca di proteggere.

Non è del tutto sicuro perché un attacco al computer cercherà di disattivare il
firewall o di riconfigurarlo per il futuro.
Proxy HTTP

Quando effettua una richiesta il server proxy memorizza le risorse ricevute in

una cache per future richieste dello stesso o di altri client; questo permette di
ridurre il traffico verso l’esterno migliorando le prestazioni.

L’uso del server proxy permette anche di controllare le richieste che possono
essere effettuate, si comporta quindi come firewall a livello di applicazione, e
di tenere traccia delle operazioni effettuate, per esempio di tutte le pagine
Web visitate.

Il proxy HTTP può essere usato per:

 connettività: permette a una rete privata di accedere all’esterno, o

meglio a un client e un server che appartengono a due reti diverse di
stabilire una connessione anche quando non è disponibile un
instradamento diretto (routing) tra le reti;

 caching: memorizza i risultati delle richieste in modo da migliorare le

prestazioni; offre due vantaggi principali:
o l’accesso rapido alle risorse già accumulate nella cache,
o la riduzione del traffico nella rete che precede il proxy stesso;

 controllo: può applicare regole per determinare quali richieste inoltrare o

rifiutare e limitare l’ampiezza di banda usata dai client;

 monitoraggio: permette di tenere traccia delle operazioni effettuate da

una stazione, identificata dal suo indirizzo IP, o da un utente,
identificato dall’account con cui si è autenticato,
 sicurezza: nasconde lo schema di indirizzi della rete interna e quindi
rende più difficoltoso l’accesso agli intrusi;
 privacy: maschera gli indirizzi IP del client;

Quando il proxy viene usato principalmente per migliorare le prestazioni di

un segmento di rete con l’uso della cache il proxy può essere installato su
qualsiasi computer, basta che sia accessibile dal segmento di rete che lo
deve utilizzare e che a sua volta sia in grado di accedere all’esterno.

Se il proxy viene usato per offrire connettività, deve essere installato su un

computer con almeno due interfacce, una connessa alla rete locale con
indirizzi privati e una connessa alla rete esterna.
Il proxy può ricoprire anche un ruolo di filtro e inoltro di pacchetti tra la rete
privata e la rete esterna.
Proxy a livello di circuito

Un proxy a livello di circuito (per esempio proxy Socks) è completamente

indipendente dal protocollo da veicolare.

Viene usato soprattutto per offrire connettività a Internet da una rete locale.

Server web accessibile dall’esterno della rete locale

Se la rete locale è collegata a Internet e nella rete è presente un server Web

che deve essere accessibile anche da Internet, il server Web deve avere un
indirizzo IP univoco oppure deve essere configurato sul router il NAT/PAT
che renda accessibile il server

 Per poter accedere al server con un nome di dominio, il server Web

deve avere un nome di dominio registrato,
 Se l’indirizzo IP è dinamico bisogna utilizzare un servizio DDNS (DNS
dinamico); con il DDNS l’indirizzo IP usato di volta in volta dal dominio
viene comunicato al server DNS, che lo può comunicare in risposta alle
interrogazioni relative al dominio.

Bisogna anche che il collegamento a Internet sia costante e abbia sufficiente

ampiezza di banda.

DMZ

Una DMZ (demilitarized zone, o zona demilitarizzata) è un segmento della

rete locale in cui si trovano computer a cui si deve accedere da reti con livelli
di sicurezza diversi.

I computer sulla DMZ non possono accedere al resto della rete locale; in
questo modo i server sulla DMZ possono fornire servizi anche all’esterno
senza compromettere la sicurezza della rete interna in caso di attacco.

Se i server pubblici fossero all’interno della rete locale invece che nella DMZ,
la loro compromissione consentirebbe l’accesso agli altri computer della LAN.

Una DMZ può essere creata con un firewall a tre connessioni a cui sono
collegate la rete locale, il router Internet e la DMZ.