DOMANDE DI RIEPILOGO VIDEOLEZIONE 1 Introduzione al corso e richiami sui fondamenti di funzionamento delle reti

DOMANDE DI RIEPILOGO VIDEOLEZIONE 1 Introduzione al corso e richiami sui fondamenti di funzionamento delle reti 1. Cosa significa MAC? A cosa serve? A che livello si colloca? Medium Access Control, definisce i protocolli di accesso al mezzo trasmissivo per la gestione della condivisione nelle reti locali, è un sottolivello del livello 2 (data-link). 2. Spiegare le principali differenze tra le tipologie di servizio orientato alla connessione e connectionless. In un servizio "connectionless" non viene attivata alcuna connessione logica tra gli utenti LLC. Esso permette di trasmettere e ricevere le unità dati di protocollo LLC o LLC-PDU senza alcuna forma di riscontro che ne assicuri la consegna e senza meccanismi di controllo di flusso e dell'errore. Questo servizio supporta indirizzamenti di tipo punto-punto, multicast o broadcast. Un servizio "orientato alla connessione" permette invece a due utenti LLC di comunicare tra loro stabilendo una connessione logica prima di attivare un trasferimento dati. Fornisce procedure attraverso le quali un utente LLC può richiedere o ricevere notifica dell'apertura o della chiusura di una connessione logica. Fornisce anche meccanismi di controllo di flusso, di corretta sequenza, e di recupero da situazioni di errore. Con questo servizio sono supportati solo indirizzamenti di tipo punto-punto. 3. Che cos è un datagram? Indicare un tipico esempio di datagram. Un messaggio di un servizio non connesso e senza riscontro. Esempio: un pacchetto IP. 4. Si consideri il seguente diagramma: Si tratta di un servizio: [ ] connesso affidabile [ x ] connesso non affidabile [ ] non connesso affidabile [ ] non connesso non affidabile Tutore: Sergio Porcu 1

5. Disegnare la struttura delle architetture di rete ISO/OSI e TCP/IP indicando la corrispondenza tra i livelli: 6. Indicare quali tra queste affermazioni sono false: [ x ] Un servizio datagram è connection-oriented e non è affidabile [ ] Un servizio connectionless non è in grado di garantire il controllo del flusso [ ] In un servizio connection-oriented l indirizzo di destinazione è stabilito al setup della connessione [ x ] In un servizio affidabile non c è riscontro dell avvenuta ricezione dei pacchetti [ x ] In un servizio connection-oriented non viene rispettato l ordine dei dati [ ] Il livello 3 di TCP/IP offre un servizio di tipo connectionless 7. Dovendo scrivere via rete l aggiornamento del saldo di un conto corrente bancario su un database remoto, quali tipi di servizio ritenete debba offrire il protocollo di comunicazione che scegliereste? Perché? Il protocollo di comunicazione dovrà essere orientato alla connessione, perché sia garantito l ordine dei dati spediti. Un protocollo orientato alla connessione permette anche ad entrambe le entità coinvolte di effettuare in modo corretto le procedure di apertura e chiusura della transazione e di essere sempre informate sullo stato del collegamento stesso, annullando l operazione in caso di impossibilità o perdita temporanea della connessione. Inoltre per garantire che i dati arrivino tutti dovrà essere di tipo affidabile, consentendo così al trasmettitore di ottenere sempre la notifica dell avvenuta ricezione (acknowledge) e provvedere all eventuale ritrasmissione dei pacchetti nella rete. 8. Quali differenze intercorrono fra un servizio di file transfer (ad esempio il servizio FTP di TCP/IP) e un servizio di file system distribuito? La principale differenza tra i due servizi consiste nel fatto che FTP permette semplicemente di copiare i file via rete (download e upload), mentre i file system distribuiti consentono di Tutore: Sergio Porcu 2

leggere, scrivere, creare e cancellare file su elaboratori remoti, virtualizzando così le risorse di memoria di massa. 9. Dovendo utilizzare la rete Internet per effettuare una videoconferenza, quali tipi di servizio ritenete debba offrire il protocollo di comunicazione che scegliereste? Perché? Il protocollo di comunicazione dovrà essere orientato alla connessione, perché sia garantito l ordine dei dati spediti. Un protocollo orientato alla connessione permette anche ad entrambe le entità coinvolte di effettuare in modo corretto le procedure di apertura e chiusura della conferenza e di essere sempre informate sullo stato del collegamento stesso, annullando l operazione in caso di impossibilità o perdita temporanea della connessione. Tuttavia in un flusso di tipo multimediale non è necessario garantire che i dati arrivino tutti, perciò il protocollo non dovrà essere di tipo affidabile. In tali casi infatti il trasmettitore non deve attendere il riscontro e provvedere all eventuale ritrasmissione dei pacchetti persi nella rete: in un flusso multimediale i dati hanno un significato strettamente legato all istante di ricezione e perciò il ricevitore non avrebbe più bisogno dell informazione ritrasmessa. 10. Spiegare le applicazioni e il funzionamento delle liste di discussione. Le liste di discussione permettono a più utenti di scambiarsi opinioni e informazioni in merito a determinati argomenti mediante la posta elettronica. Uno o più server (mail server) mantengono liste di indirizzi di posta elettronica per la distribuzione dei messaggi. Ogni utente si iscrive ad una lista inviando una richiesta al server. Per inviare un messaggio a tutti gli iscritti alla lista, è necessario inviare il messaggio al server il quale si occuperà della distribuzione del messaggio a tutti gli iscritti. Su Internet, il servizio News permette di organizzare a livello mondiale le liste di discussione e di gestire l archiviazione e il reperimento dei messaggi. Tutore: Sergio Porcu 3

DOMANDE DI RIEPILOGO VIDEOLEZIONE 2 Richiami sui fondamenti di funzionamento delle reti 1. Si supponga di sapere che, nella rete 130.186.0.0, la subnet mask è 255.255.224.0. Gli indirizzi IP 130.186.190.3 e 130.186.200.3 appartengono alla stessa subnet IP? Perché? Indicare il ragionamento e i calcoli effettuati. La rete 130.186.0.0 è una rete di classe B, che con subnet mask 255.255.224.0 viene suddivisa in 6 sottoreti (8 sottoreti se si applica l RFC 1878) da 8190 host ciascuna. Tali sottoreti sono: indirizzo di subnet range di indirizzi IP broadcast per la subnet subnet #0 130.186.0.0 130.186.0.1 130.186.31.254 130.186.31.255 subnet #1 130.186.32.0 130.186.32.1 130.186.63.254 130.186.63.255 subnet #2 130.186.64.0 130.186.64.1 130.186.95.254 130.186.95.255 subnet #3 130.186.96.0 130.186.96.1 130.186.127.254 130.186.127.255 subnet #4 130.186.128.0 130.186.128.1 130.186.159.254 130.186.159.255 subnet #5 130.186.160.0 130.186.160.1 130.186.191.254 130.186.191.255 subnet #6 130.186.192.0 130.186.192.1 130.186.223.254 130.186.223.255 subnet #7 130.186.224.0 130.186.224.1 130.186.255.254 130.186.255.255 Pertanto i due indirizzi in questione appartengono a due subnet diverse: 130.186.190.3 appartiene alla subnet 5, mentre 130.186.200.3 è un indirizzo della subnet 6. Tutore: Sergio Porcu 4

2. Si disegni un esempio di rete con le seguenti caratteristiche: 15 elaboratori 3 server la rete sia suddivisa in tre reti locali (1 server e 5 client ciascuna) collegate tramite router Si evidenzino i tipi di apparecchiature di rete utilizzate e i tipi di mezzi trasmissivi. Si assegnino tutti i necessari indirizzi IP assumendo di avere a disposizione la rete 130.186.0.0. 3. Si supponga di disporre delle seguenti apparecchiature: 21 personal computer con scheda di rete Ethernet a 10 Mb/s 3 server con scheda di rete Ethernet a 100 Mb/s 1 switch Ethernet con 8 porte a 10/100 Mb/s 1 router con una interfaccia ISDN e una interfaccia Ethernet a 100 Mb/s 3 hub Ethernet con 8 porte 10 Mb/s Si supponga inoltre che i server siano dedicati a gruppi di sette utenti ciascuno. Si illustri una possibile configurazione della rete, completa di collegamento a Internet tramite un Internet Service Provider, indicando il tipo di cavo utilizzato e la velocità trasmissiva di Tutore: Sergio Porcu 5

ciascun collegamento. Indicare inoltre lo schema di indirizzamento IP per la LAN utilizzando la rete di classe C 193.105.98.0. 4. Elencare e spiegare il significato dei parametri necessari per la configurazione di un calcolatore collegato a una rete TCP/IP. Indirizzo IP: è l indirizzo dell host; serve, tra l altro, per rispondere all ARP e per sapere se un destinatario appartiene alla stessa subnet oppure no Netmask: è la maschera di bit che consente di individuare la parte dell indirizzo che identifica rete e sottorete di appartenenza Default gateway: è l indirizzo IP della porta del router che deve essere utilizzato per inoltrare i pacchetti a destinatari esterni alla propria subnet Indirizzo IP del DNS server: è il server che, nel proprio dominio, fornisce il servizio di traduzione di indirizzi da testuali a numerici 5. Cos è un Autonomous System? È un insieme di sottoreti raggruppate secondo criteri topologici e organizzativi all interno del quale il routing e l indirizzamento sono strettamente coordinati. Tutore: Sergio Porcu 6

6. Cos è IPv6? Quali sono le sue principali caratteristiche? È l evoluzione dell attuale versione del protocollo IP (IPv4). Prevede indirizzi su 128 bit, introduzione di indirizzi anycast (il server più vicino in grado di erogare un certo servizio), unificazione di Internet e Intranet, gestione della sicurezza, controllo del traffico, meccanismi di priorità, supporto della mobilità e maggior efficienza nell utilizzo della rete fisica. 7. Cos è il flooding? [ ] Un protocollo di livello MAC [ ] Un algoritmo di routing dinamico [ x ] Un algoritmo di routing statico [ ] Un algoritmo per il funzionamento dei bridge su reti magliate [ ] Un algoritmo per l apprendimento da parte dei bridge della topologia della rete Tutore: Sergio Porcu 7

DOMANDE DI RIEPILOGO VIDEOLEZIONE 3 Richiami sui fondamenti di funzionamento delle reti e dei servizi 1. Il protocollo TCP fornisce al livello delle applicazioni: [ ] la possibilità di trasmettere e ricevere in modo affidabile singoli messaggi [ x ] la possibilità di trasmettere e ricevere in modo affidabile un flusso continuo di dati [ ] la possibilità di trasmettere e ricevere datagram IP a cui vengono aggiunte poche informazioni di controllo, tra cui la porta del mittente e la porta del destinatario 2. Il protocollo UDP fornisce al livello delle applicazioni: [ ] la possibilità di trasmettere e ricevere in modo affidabile singoli messaggi [ ] la possibilità di trasmettere e ricevere in modo affidabile un flusso continuo di dati [ x ] la possibilità di trasmettere e ricevere datagram IP a cui vengono aggiunte poche informazioni di controllo, tra cui la porta del mittente e la porta del destinatario 3. Come si chiama l interfaccia di programmazione del livello di trasporto di TCP/IP? Interfaccia socket (di Berkeley). 4. È possibile realizzare un applicazione basata su trasmissione multicast utilizzando il protocollo TCP? No, il protocollo TCP supporta soltanto connessioni uno-a-uno (cioè tra due soli host). Il multicast prevede un modello di comunicazione uno-a-molti. 5. Quale delle informazioni contenute nell header TCP è utilizzata per svolgere la funzionalità di multiplexing tra le applicazioni del livello di trasporto? Il campo destination port, che permette di selezionare il processo di livello applicativo a cui consegnare i dati. 6. Il protocollo TCP (Transmission Control Protocol) offre un servizio: [ ] connection-oriented, non affidabile [ x ] connection-oriented, affidabile [ ] connectionless, non affidabile [ ] connectionless, affidabile Tutore: Sergio Porcu 8

DOMANDE DI RIEPILOGO VIDEOLEZIONE 4 Modelli teorici di analisi delle reti e controllo di congestione in TCP 1. In una connessione TCP fra l host A e l host B, i segmenti che viaggiano da A a B abbiano numero di porta sorgente x e numero di porta destinazione y. Quali saranno i numeri di porta sorgente e di porta destinazione per i segmenti della stessa connessione che viaggiano dall host B all host A? Porta sorgente y e porta destinazione x. 2. Nella connessione di cui al punto precedente, A invia due segmenti TCP consecutivi a B. Il primo segmento ha numero di sequenza 90, il secondo ha numero di sequenza 130. Quanti dati contiene il primo segmento? 40 byte Supponendo che il primo segmento vada perso, mentre il secondo arrivi a B. Nel riscontro che B invia ad A, quale sarà il numero di riscontro? 90 3. Quali sono le componenti del ritardo di commutazione introdotto da un router nell inoltro di un pacchetto? Ritardo di elaborazione + Ritardo di coda + Ritardo di trasmissione + Ritardo di propagazione = Ritardo di commutazione A seconda del tipo di collegamento, alcune componenti possono essere trascurabili. 4. Quale delle componenti del ritardo di commutazione influisce maggiormente sulla perdita dei pacchetti? Il ritardo di coda, che è variabile da pacchetto a pacchetto, in quanto dipende dal numero di pacchetti che già stanno in attesa nella coda di trasmissione. Essendo la lunghezza dei buffer finita, è possibile che un pacchetto ricevuto correttamente venga scartato dal nodo di commutazione per effetto del riempimento della coda di trasmissione. 5. Come si misura il ritardo end-to-end tra due calcolatori A e B in una rete a commutazione di pacchetto? Se tra due calcolatori vi sono n nodi intermedi di commutazione, il ritardo end-to-end sarà in generale: Tutore: Sergio Porcu 9

n d end-to-end = (d tras + d prop ) A + (d elab + dcoda + dtras + dprop) i i= 1 dove i è l i-esimo nodo di commutazione lungo il percorso da A a B. Si noti che per il collegamento tra il calcolatore A e il primo router del percorso vengono considerate le sole componenti relative alla trasmissione e alla propagazione dei pacchetti originati da A. Nell ipotesi che: i collegamenti siano tutti non congestionati (La/R << 1), ossia il ritardo d coda i sia trascurabile i; i router abbiano tutti la stessa velocità di elaborazione d elab i = d elab j i, j; i link abbiano tutti la stessa velocità di trasmissione d tras i = d tras j i, j; i link abbiano tutti lo stesso ritardo di propagazione d prop i = d prop j i, j; allora il ritardo end-to-end sarà espresso dalla formula approssimata: d end-to-end = (n+1)(d elab + d tras + d prop ) Tutore: Sergio Porcu 10

DOMANDE DI RIEPILOGO VIDEOLEZIONE 5 Evoluzione del cablaggio strutturato 1. Quali sono gli standard nati nel corso dell evoluzione di Ethernet e le velocità trasmissive da essi raggiunte? Ethernet (IEEE 802.3): 10 Mb/s Fast Ethernet (IEEE 802.3u): 100 Mb/s Gigabit Ethernet (IEEE 802.3z, IEEE 802.3ab, IEEE 802.3x): 1 Gb/s 10 Gigabit Ethernet (IEEE 802.3ae): 10 Gb/s 2. Che cos è il delay skew? È il ritardo asimmetrico, ossia la variazione di ritardo, tra le coppie in uno stesso cavo. È principalmente causato dal passo di twistatura differente da coppia a coppia, nonché dal tipo di materiale isolante. 3. Che cosa sono il FEXT e il PSFEXT? Significa Far End Cross Talk ovvero telediafonia. In sostanza è simile al NEXT (Near End Cross- Talk o paradiafonia - diafonia tra le coppie di un doppino misurata dalla parte del trasmettitore) ma viene misurata al ricevitore anziché al trasmettitore. La PSFEXT è la sommatoria dei disturbi di tutte le coppie verso la coppia in esame, ed è un parametro critico nelle trasmissioni full duplex. 4. Che cosa sono l ELFEXT e il PSELFXT? Perché sono stati introdotti? ELFEXT significa Equal Level FEXT. È l ACR (Attenuation to Cross-talk Ratio - rapporto tra il segnale ricevuto e il rumore indotto per diafonia) calcolato utilizzando il valore di FEXT anziché di NEXT. PSELFEXT usa PSFEXT anziché FEXT. Le misure di tipo Equal Level sono state introdotte per normalizzare le grandezze rispetto alla lunghezza del cavo. In particolare, ELFEXT è una misura critica nel caso in cui due o più coppie trasportano segnali nella stessa direzione. A livello fisico 1000BaseT utilizza una tecnica di trasmissione bidirezionale su tutte e 4 le coppie di un cavo UTP di categoria 5E o superiore. Per questo motivo lo standard IEEE 802.3ab ha introdotto dei limiti sul valore di ELFEXT, a garanzia del corretto funzionamento di un link 1000BaseT. Tutore: Sergio Porcu 11

DOMANDE DI RIEPILOGO VIDEOLEZIONE 6 Reti LAN basate su switch 1. Quali sono i principali obiettivi della tecnologia 10 Gigabit Ethernet? Riutilizzare le infrastrutture fisiche in fibra ottica già esistenti, conservare la compatibilità con il formato della trama 802.3, utilizzare componenti hardware già realizzati per SONET/SDH (denominazioni nord-americana ed europea della gerarchia numerica sincrona), integrare il trasporto di trame 10 Gigabit Ethernet con SONET/SDH su reti MAN/WAN. Tutore: Sergio Porcu 12

DOMANDE DI RIEPILOGO VIDEOLEZIONE 7 Progettazione di reti locali basate su switch 1. Citare alcuni esempi di ridondanza utilizzabili per aumentare la tolleranza ai guasti di una rete locale. Ridondanza degli apparati Ridondanza dell alimentazione degli apparati Ridondanza di collegamenti 2. Elencare i passi fondamentali attraverso cui passa l esecuzione dello spannig tree protocol. 1. Elezione del root bridge 2. Selezione della root port 3. Selezione della designated port 3. Cosa determina quale bridge diviene root bridge? La priorità delle Configuration BPDU generate dal bridge. Tale priorità è costituita dall identificatore del bridge che la ha generata. Tale identificatore è ottenuto dalla concatenazione del parametro di configurazione root priority e dell indirizzo MAC di una delle interfacce del bridge. 4. Quale è il criterio di selezione della root port? Viene selezionata come root port la porta del bridge attraverso la quale vengono ricevute Configuration BPDU contenenti valore di root path cost minimo. Nel caso da più di una porta vengono ricevute Configuration BPDU con identico valore di root priority per scelta della root port ci si basa sui valori dell identificatore del bridge a monte e sull identificatore della porta a monte. 5. Tracciare un esempio di topologia a stella gerarchica con ridondanza normalmente utilizzata nella realizzazione di reti locali basate su commutatori. Tutore: Sergio Porcu 13

6. Con riferimento alla domanda precedente, qual è la topologia attiva determinata dal protocollo spanning in assenza di guasti? 7. Che cosa si intende per power budget di un canale ottico? Si tratta della massima attenuazione ammessa sul canale, cioè tra i due elementi attivi (trasmettitore e ricevitore) agli estremi del canale. Tutore: Sergio Porcu 14

DOMANDE DI RIEPILOGO VIDEOLEZIONE 8 SNMP E GESTIONE REMOTA DELLE APPLICAZIONI 1. Quali sono le principali funzionalità offerte dal protocollo SNMP? Il protocollo SNMP (Simple Network Management Protocol) è nato per permettere la gestione dei nodi della rete attraverso la rete stessa. Le principali funzionalità da esso offerte sono la configurazione remota delle apparecchiature, la collezione di statistiche sul traffico e la segnalazione dei guasti. 2. Quali sono gli elementi costitutivi dell architettura di gestione remota dei dispositivi di rete? Facendo riferimento alla figura, nell architettura di gestione remota dei dispositivi di rete si individuano: Nodi controllati: sono dispositivi che devono essere controllati Agenti SNMP: sono componenti software che, installati su un certo dispositivo, ne controllano il funzionamento, collezionano informazioni e statistiche in una base di dati (MIB: Management Information Base) dalla struttura definita e comunicano alla stazione di gestione la comparsa di eventi specifici (segnalazione asincrona mediante trap SNMP) Protocollo SNMP: è il protocollo di comunicazione utilizzato dalla stazione di gestione e dagli agenti SNMP Stazione di gestione: è una postazione centralizzata che comunica e visualizza lo stato di tutti gli agenti distribuiti sulla rete 3. Perché il protocollo SNMP prevede le due modalità di segnalazione request/response e trap? Quali sono le loro differenze? La modalità request/response supporta tutte le attività di interrogazione e controllo (ossia tutti gli interventi di tipo sollecitato) da parte della stazione di gestione nei confronti degli agenti distribuiti nella rete. Infatti permette alla stazione di gestione di leggere o modificare i valori degli oggetti collezionati nella MIB. Tutore: Sergio Porcu 15

La modalità trap riguarda invece le attività di tipo non sollecitato, e permette a un agente di segnalare un evento rilevante (ad esempio, un allarme di guasto) all entità di gestione senza che sia quest ultima ad interrogarlo. Tutore: Sergio Porcu 16

DOMANDE DI RIEPILOGO VIDEOLEZIONE 9 ROUTING STATICO IN IP 1. Quali sono i principali vantaggi delle tecniche di routine statico, o fixed directory routing? Il routing statico è adatto a reti di piccole dimensioni, nonché a reti in cui la ridondanza dei collegamenti è bassa o nulla. In tale caso le regole di instradamento possono essere definite a priori e in modo semplice dall amministratore della rete, e vengono impostate una tantum su ciascun router. Inoltre l instradamento così realizzato richiede un minimo impegno delle risorse di calcolo dei router. 2. Qual è il livello di conoscenza della topologia di rete da parte di un router nel caso del routing statico? La conoscenza della topologia di rete è limitata al solo stato dei link cui un router è direttamente connesso. 3. Quali sono i limiti nell applicazione delle tecniche di routing statico? Difficoltà di gestione al crescere del numero di router nella rete Scarsa tolleranza ai guasti, in quanto ogni variazione topologica richiede un intervento sulle tabelle di routing per determinare l instradamento su percorsi alternativi Necessità di utilizzare un metodo efficiente per definire l instradamento in fase di progetto delle tabelle, in modo da evitare percorsi ciclici (routing loop) 4. Provare ad applicare la tecnica degli alberi di inoltro delle destinazioni per la tabella di progetto relativa alla seguente rete: Tutore: Sergio Porcu 17

Esempio di soluzione: 5. In quale caso è più vantaggiosa la tecnica degli alberi di inoltro delle destinazioni rispetto alla tecnica degli alberi di inoltro dei router? La tecnica degli alberi di inoltro delle destinazioni è più vantaggiosa nel caso dell aggiunta di nuove sottoreti IP in una rete esistente. La tecnica degli alberi di inoltro dei router è invece più rapida nel caso di aggiunta di nuovi router. Tutore: Sergio Porcu 18

APPROFONDIMENTO VIDEOLEZIONE 9 CONFIGURAZIONI DEI ROUTER DELL ESERCITAZIONE DI LABORATORIO Schema della rete Tabella di progetto Tutore: Sergio Porcu 19

Script di configurazione del router A! Righe di commento! Router A configured for static routing! interface create ip lan1 address-netmask 192.168.1.254/24 port eth1 interface create ip lan7 address-netmask 192.168.7.254/24 port eth2 interface create ip lan9 address-netmask 192.168.9.254/24 port eth3! ip add route 192.168.2.0/24 gateway 192.168.7.253 ip add route 192.168.3.0/24 gateway 192.168.9.253 ip add route 192.168.6.0/24 gateway 192.168.7.253 ip add route 192.168.8.0/24 gateway 192.168.7.253 Script di configurazione del router B! Righe di commento! Router B configured for static routing! interface create ip lan2 address-netmask 192.168.2.254/24 port eth1 interface create ip lan7 address-netmask 192.168.7.253/24 port eth2 interface create ip lan6 address-netmask 192.168.6.254/24 port eth3! ip add route 192.168.1.0/24 gateway 192.168.7.254 ip add route 192.168.3.0/24 gateway 192.168.6.253 ip add route 192.168.8.0/24 gateway 192.168.7.252 ip add route 192.168.9.0/24 gateway 192.168.7.252 Script di configurazione del router C! Righe di commento! Router C configured for static routing! interface create ip lan7 address-netmask 192.168.7.252/24 port eth1 interface create ip lan8 address-netmask 192.168.8.254/24 port ser0! ip add route 192.168.1.0/24 gateway 192.168.7.254 ip add route 192.168.2.0/24 gateway 192.168.7.253 ip add route 192.168.3.0/24 gateway 192.168.8.253 ip add route 192.168.6.0/24 gateway 192.168.7.253 ip add route 192.168.9.0/24 gateway 192.168.8.253 Tutore: Sergio Porcu 20

Script di configurazione del router D! Righe di commento! Router D configured for static routing! interface create ip lan8 address-netmask 192.168.8.253/24 port ser0 interface create ip lan9 address-netmask 192.168.9.252/24 port eth1! ip add route 192.168.1.0/24 gateway 192.168.9.254 ip add route 192.168.2.0/24 gateway 192.168.9.253 ip add route 192.168.3.0/24 gateway 192.168.9.253 ip add route 192.168.6.0/24 gateway 192.168.9.253 ip add route 192.168.7.0/24 gateway 192.168.9.254 Script di configurazione del router E! Righe di commento! Router E configured for static routing! interface create ip lan3 address-netmask 192.168.3.254/24 port eth1 interface create ip lan6 address-netmask 192.168.6.253/24 port eth2 interface create ip lan9 address-netmask 192.168.9.253/24 port eth3! ip add route 192.168.1.0/24 gateway 192.168.9.254 ip add route 192.168.2.0/24 gateway 192.168.6.254 ip add route 192.168.7.0/24 gateway 192.168.6.254 ip add route 192.168.8.0/24 gateway 192.168.9.252 Tutore: Sergio Porcu 21

DOMANDE DI RIEPILOGO VIDEOLEZIONE 10 Routing dinamico e protocollo RIP 1. Qual è la metrica utilizzata dal protocollo RIP? Che cosa rappresenta? Quali sono i suoi limiti? La metrica in RIP (Routing Information Protocol) è il numero di hop. Essa rappresenta il numero di salti effettuati, cioè di nodi intermedi attraversati lungo il cammino verso la sottorete di destinazione. Il numero di hop è un intero compreso tra 1 e 15; la distanza 16 viene utilizzata per indicare che una rete non è raggiungibile. Ciò impone un diametro massimo della rete di 15 nodi; il protocollo RIP non può quindi essere applicato in reti locali in cui si debbano attraversare più di 15 router per raggiungere una o più destinazioni. 2. Che cosa contiene un messaggio RIP Update? Come vengono utilizzate tali informazioni da parte dei router? Ogni RIP Update contiene il distance vector del router mittente. I router memorizzano l ultimo distance vector ricevuto per ogni interfaccia di rete. Ciascun router modifica la propria tabella di routing se cade una linea attiva, oppure se riceve un distance vector da un nodo adiacente diverso dall ultimo memorizzato. Applicando l algoritmo di Bellman-Ford, il calcolo consiste nella fusione (merge) di tutti i distance vector delle linee attive. Se la tabella calcolata risulta diversa da quella precedente, il router invierà ai nodi adiacenti un nuovo distance vector. 3. Quali sono le principali differenze tra RIP versione 1 e RIP versione 2? La versione 1 del protocollo RIP (RFC 1058) presuppone un unica netmask per ciascuna rete IP (classful routing). In altri termini, RIPv1 assume che ogni destinazione venga individuata unicamente tramite il prefisso o netmask naturale, che è quello ricavato dalla classe dell indirizzo. RIPv2 (RFC 1723, 2453) supporta invece la classles routing, ossia l impiego di netmask diverse da quella naturale. Infatti nei messaggi RIP Update della versione 2 del protocollo viene annunciata anche la netmask delle sottoreti presenti nel distance vector. 4. Quali sono le tecniche di ottimizzazione del RIP? A cosa servono? La tecnica dello Split Horizon prevede che un router non annunci mai le route a ritroso, ovvero al neighbour da cui ne ha appreso la raggiungibilità. Con la tecnica dello Split Horizon With Poisoned Reverse, un router annuncia invece con metrica 16 le route a ritroso, ovvero al neighbour da cui ne ha appreso la raggiungibilità. Infine la tecnica del Triggered Update impone ai router che si accorgano di una variazione topologica l invio tempestivo di un RIP Update ridotto, che annuncia solo le destinazioni non più raggiungibili. Le tecniche di ottimizzazione servono per prevenire routing loop temporanei dovuti al fenomeno del count to infinity; inoltre riducono i tempi di convergenza dell algoritmo di Tutore: Sergio Porcu 22

Bellman-Ford nel caso di variazioni topologiche che portano all aggiornamento automatico delle entry nelle tabelle di routing di tutti i nodi. 5. Si consideri la rete geografica rappresentata in figura e composta da 5 router (indicati con le lettere A-E). Supponendo che venga impiegato un algoritmo di routing di tipo distance vector, scrivere i distance vector generati da ciascun router in una situazione a regime (si consideri come costo soltanto il numero di hop). A C D B E Soluzione: A 0 A 1 A 1 A 2 A 2 B 1 B 0 B 2 B 2 B 1 C 1 C 2 C 0 C 1 C 1 D 2 D 2 D 1 D 0 D 1 E 2 E 1 E 1 E 1 E 0 6. Se nella rete della domanda precedente si guasta il collegamento tra C e D, quali sono i primi distance vector che vengono aggiornati e inviati ai nodi adiacenti? Scriverne il contenuto. Soluzione: A 1 B 2 B 2 C 0 D 0 E 1 E 1 Tutore: Sergio Porcu 23

APPROFONDIMENTO VIDEOLEZIONE 10 CONFIGURAZIONI DEI ROUTER DELL ESERCITAZIONE DI LABORATORIO Schema della rete Script di configurazione del router A! Righe di commento! Router A configured for dynamic RIP routing! interface create ip lan1 address-netmask 192.168.1.254/24 port eth1 interface create ip lan7 address-netmask 192.168.7.254/24 port eth2 interface create ip lan9 address-netmask 192.168.9.254/24 port eth3! rip add interface lan1 rip add interface lan7 rip add interface lan9 rip start Tutore: Sergio Porcu 24

Script di configurazione del router B! Righe di commento! Router B configured for dynamic RIP routing! interface create ip lan2 address-netmask 192.168.2.254/24 port eth1 interface create ip lan7 address-netmask 192.168.7.254/24 port eth2 interface create ip lan6 address-netmask 192.168.6.254/24 port eth3! rip add interface lan2 rip add interface lan6 rip add interface lan7 rip start Script di configurazione del router C! Righe di commento! Router C configured for dynamic RIP routing! interface create ip lan7 address-netmask 192.168.7.254/24 port eth1 interface create ip lan8 address-netmask 192.168.8.254/24 port ser0! rip add interface lan7 rip add interface lan8 rip start Script di configurazione del router D! Righe di commento! Router D configured for dynamic RIP routing! interface create ip lan8 address-netmask 192.168.8.254/24 port ser0 interface create ip lan9 address-netmask 192.168.9.254/24 port eth1! rip add interface lan8 rip add interface lan9 rip start Tutore: Sergio Porcu 25

Script di configurazione del router E! Righe di commento! Router E configured for dynamic RIP routing! interface create ip lan3 address-netmask 192.168.3.254/24 port eth1 interface create ip lan6 address-netmask 192.168.6.254/24 port eth2 interface create ip lan9 address-netmask 192.168.9.254/24 port eth3! rip add interface lan3 rip add interface lan6 rip add interface lan9 rip start Tutore: Sergio Porcu 26

DOMANDE DI RIEPILOGO VIDEOLEZIONE 11 Routing dinamico: IGRP e OSPF 1. Quali sono le differenze fondamentali dell IGRP rispetto al RIP? I timer hanno valori di default più lunghi in modo da generare meno traffico di routing La metrica L IGRP (Interior Gateway Routing Protocol) utilizza una metrica più articolata (si tratta in realtà di 4 metriche distinte) che permette di scegliere percorsi diversi da quello più breve. I percorsi scelti possono tenere conto di vari aspetti dei collegamenti (banda, ritardo, affidabilità e carico) Si possono definire pesi relativi per le metriche in modo da dare più importanza all una rispetto alle altre nella determinazione del percorso migliore. Si possono definire vari insiemi di pesi da usarsi per calcolare il percorso per tipi di traffico differenti Multipath routing: se esistono percorsi alternativi per il raggiungimento di una destinazione il router li utilizza tutti in proporzione alla loro ottimalità 2. Quali sono le principali novità introdotte dall Enhanced IGRP e le loro conseguenze? Una differente modalità di impiego dell algoritmo distance vector. I distance vector non sono generati periodicamente, ma solo su richiesta di un vicino quando quest ultimo perde la raggiungibilità di una destinazione (a causa di un cambiamento topologico). Questo meccanismo, chiamato DUAL (Diffusion Update ALgorithm), risulta nella generazione di minor traffico di routing rispetto alle soluzioni tradizionali basate sull algoritmo distance vector I messaggi E-IGRP possono trasportare le netmask. Ciò consente una maggiore flessibilità nell uso delle netmask con le quali è possibile realizzare prefissi di lunghezza differente 3. Spiegare cosa si intende quando si dice che il protocollo OSPF realizza routing gerarchico. Il dominio di routing OSPF (Open Shortest Path First) viene diviso in aree. I router non scambiano informazioni con tutti gli altri e non hanno tutti la stessa visione della rete. I router di un area scambiano informazioni di routing con i router dell area stessa; ciò permette loro di conoscere i dettagli topologici dell area. Router che partecipano a scambi di informazioni in aree differenti mandano in un area informazioni riassuntive sull esterno dell area. Queste permettono ai router dell area di costruirsi una conoscenza, seppur generica, della rete all esterno della propria area. Tutore: Sergio Porcu 27

4. Cosa caratterizza una area border router? È parte di più aree nelle quali partecipa allo scambio di informazioni di routing. Una di queste aree è l area backbone. 5. Cosa è l autonomous system nella terminologia adottata nell ambito del protocollo OSPF? È il dominio di routing OSPF, cioè la zona della rete nella quale i router partecipano ad una istanza OSPF, cioè ad uno scambio di informazioni secondo i criteri dettati dal protocollo. 6. Cosa è un link state advertisement (LSA) e come viene propagato tra i router OSPF? Il LSA è la struttura dati usata per scambiare informazioni sullo stato della rete secondo le modalità previste dall algoritmo di routing link state. Per esempio una LSA consente ad un router di far sapere agli altri di quali collegamenti dispone, quale router si trova all altro capo di ogni collegamento e qual è la metrica associata al collegamento. Ogni LSA viene propagato agli altri router (all interno dell area in cui si trova il router che lo ha generato o nell interno del dominio di routing, a seconda dei casi) con un sofisticato meccanismo chiamato selective flooding che serve ad assicurare che una copia del LSA arrivi ad ogni router. 7. Che cosa si intende per aggregazione degli indirizzi (address summarization)? Si tratta della possibilità di usare un unico prefisso (più corto) per indicare una serie di prefissi (più lunghi). Grazie all aggregazione degli indirizzi, un solo LSA può essere utilizzato per descrivere la raggiungibilità di svariate destinazioni; questo permette di ridurre il traffico di routing generato in termini di numero di LSA trasmessi per descrivere le destinazioni della rete. L aggregazione degli indirizzi viene operata, quando possibile, dagli area border router. Tutore: Sergio Porcu 28

DOMANDE DI RIEPILOGO VIDEOLEZIONE 12 Routing dinamico: OSPF 1. Che cosa è e che funzione esplica l identificatore del router (router ID) OSPF? Nei protocolli di tipo link state è fondamentale che ogni router abbia un identificatore univoco tramite il quale tutti gli altri router del dominio di routing lo possano distinguere. Un router IP non ha di sua natura un tale identificatore, ma viene normalmente identificato da uno qualsiasi degli indirizzi che sono stati associati alle sue interfacce (almeno un indirizzo per ogni interfaccia). Un router OSPF sceglie uno dei propri indirizzi per usarlo come proprio identificatore; tale indirizzo è mantenuto come identificatore per tutto il tempo in cui il router è attivo. 2. Per quale ragione OSPF prevede la presenza di informazioni di autenticazione nei pacchetti? Per evitare che finti annunci di routing (che tramite il processo di flooding selettivo sono propagati a tutti i router) possano essere maliziosamente introdotti nella rete eventualmente provocando disservizio. 3. Che cosa è e a cosa serve il meccanismo del neighbour greeting? Si tratta di uno scambio periodico di messaggi che serve sostanzialmente per scoprire l esistenza ed identità dei router vicini. Questo scambio di messaggi consente anche di operare meccanismi elettivi come la selezione dei designated router e dei backup designated router sulle reti ad accesso multiplo. 4. Quali sono i compiti dei designated router? Il designated router ha due compiti: 1. Distribuire in modo affidabile i link state advertisement ai vari router collegati ad una rete ad accesso multiplo 2. Realizzare la funzionalità di pseudo nodo generando un link state advertisement di tipo 2 che rappresenta la rete ad accesso multiplo come un centro stella cui sono collegati in modalità punto-punto i vari router che si affacciano sulla rete ad accesso multiplo 5. Quando si realizza la sincronizzazione della basi di dati? Due router direttamente collegati sincronizzano le loro basi di dati ogni volta che scoprono (tramite il meccanismo di neighbour greeting) di essere collegati direttamente all altro, cui non erano collegati precedentemente. Questo si può verificare all atto dell accensione di un router o quando il collegamento tra due router, precedentemente interrotto, diviene attivo. La sincronizzazione delle basi di dati è fondamentale per assicurare che i due router dispongano in tempi brevi di tutti i link state advertisement circolati nella rete che non verranno propagati Tutore: Sergio Porcu 29

tramite selective flooding se non a seguito di cambiamenti topologici o allo scadere di lunghi tempi di validità. 6. Cosa è l intestazione di un link state advertisement? È l insieme di campi di un link state advertisement che permettono di distinguerlo dagli altri identificandolo univocamente. 7. Perché OSPF prevede link state advertisement di vario tipo? Perché ogni link state advertisement descrive un aspetto diverso della topologia della rete, quindi necessita di informazioni leggermente differenti rispetto agli altri. 8. Cosa è e a cosa serve un link virtuale? Un link virtuale è un adiacenza logica tra due backbone router. In altre parole a due area border router quindi backbone router che si affacciano sulla stessa area, ma non sono direttamente collegati all interno del backbone, viene indicato di comportarsi come vicino dell altro. In sostanza, i due router scambiano messaggi di neighbour greeting e messaggi di routing update attraverso l area comune come se fossero collegati direttamente. Il virtual link viene utilizzato per due scopi principali: 1. permettere ad un router a cavallo di due aree, ma non direttamente collegato a nessun router del backbone, di essere collegato al backbone, quindi di ricevere gli annunci che su esso circolano; 2. fornire un percorso alternativo ai collegamenti interni al backbone in caso di impossibilità, a causa di malfunzionamenti. Tutore: Sergio Porcu 30

DOMANDE DI RIEPILOGO VIDEOLEZIONE 13 Interdomain: Principi generali e BGP 1. Indicare che cosa si intende per Autonomous System (AS) e per quale ragione questa entità esiste. Un AS è una parte della rete amministrata da un unica entità e come tale ha un certo grado di indipendenza dagli altri AS. L AS ha un ruolo importante dal punto di vista amministrativo sebbene la rete Internet sia un unica rete in cui qualsiasi host può comunicare con qualsiasi altro, l AS rende possibile affidare un intera zona della rete al controllo di uno specifico ente (normalmente un ISP) sia dal punto di vista di scalabilità del routing. Infatti lo scambio di informazioni di routing tra l interno dell AS e l esterno avviene in modo molto controllato limitando la quantità di informazioni che filtrano in un senso e nell altro. In questo modo i router all esterno sono tenuti all oscuro dei dettagli sull interno e viceversa. 2. Cosa si intende per politiche di routing nell ambito del routing interdominio? I criteri per la scelta dei percorsi lungo cui inoltrare traffico che normalmente devono riflettere gli accordi tra i gestori degli AS. 3. Cosa si intende per peering privato? Un collegamento diretto per lo scambio di informazioni di routing e di dati tra due autonomous system. 4. Cosa è un Neutral Access Point (NAP) o Internet Exchange Point? Una rete locale, normalmente in tecnologia commutata e ad alte prestazioni, alla quale si affacciano router di AS differenti per scambiare informazioni di routing (normalmente tramite sessioni di peering BGP) e traffico tra loro. 5. Perché il border gateway protocol (BGP) e detto di tipo path vector? Perché per ogni destinazione annunciata si fornisce l elenco di AS da attraversare per raggiungere la destinazione. Si tratta di una variante dell algoritmo distance vector che permette ai router di accorgersi facilmente di essere in procinto di scegliere un percorso di inoltro chiuso (routing loop) situazione comune con algoritmi di tipo distance vector. 6. Descrivere i campi di utilizzo di External BGP (E-BGP) e Internal BGP (I-BGP). E-BGP viene utilizzato per scambiare informazioni di routing da parte di router appartenenti ad AS differenti. I-BGP viene utilizzato per scambiare informazioni di routing, normalmente destinazioni esterne all AS, da parte di router appartenenti allo stesso AS. Tutore: Sergio Porcu 31

DOMANDE DI RIEPILOGO VIDEOLEZIONE 14 Indirizzamento privato e Network Translation 1. Quali sono gli indirizzi IP per uso privato? A che cosa servono? Gli indirizzi IP per uso privato (RFC 1918) appartengono alle seguenti reti: rete 10 (classe A): da 10.0.0.0 a 10.255.255.255; parte della rete 172 (classe B): da 172.16.0.0 a 172.31.255.255; rete 192 (classe C): da 192.168.0.0 a 192.168.255.255. Pur essendo indirizzi IP validi, essi non hanno significato a livello globale e possono essere assegnati solamente agli host di una intranet. 2. Quali sono i principali problemi legati all internetworking di una rete privata con la rete Internet? Gli indirizzi delle reti private non possono essere annunciati dai router collegati a Internet, in quanto tali indirizzi non hanno validità globale e possono essere riutilizzati in qualunque rete privata del mondo. L accesso ad Internet per una rete intranet con indirizzi IP privati richiede quindi l uso di tecniche avanzate per la traduzione degli indirizzi di rete, quali NAT (Network Address Translation). 3. Dovendo realizzare una rete privata di classe B suddivisa in 6 subnet, quale rete e quale netmask utilizzereste? Una rete compresa nell intervallo tra 172.16.0.0 e 172.31.0.0, con subnet mask 255.255.248.0. 4. Quali sono i vantaggi del NAT? La tecnica del NAT limita il numero di indirizzi IP pubblici necessari per collegare una LAN a Internet. Da ciò deriva una riduzione dei costi di accesso a Internet per le reti aziendali. La sua flessibilità è elevata: infatti è possibile mantenere inalterati sia il funzionamento dei protocolli e delle applicazioni sia la configurazione degli hosts della LAN, che possono utilizzare indirizzi IP privati. Non da ultimo, il NAT garantisce una maggiore sicurezza per i calcolatori della rete locale. In particolare, nel caso dell IP masquerading ogni client della rete interna può connettersi a qualunque server della rete Internet, mentre la traduzione non può avere luogo se il flusso TCP o UDP ha origine dall esterno verso un nodo interno alla LAN. 5. In presenza di un router che applica il NAT in modalità IP masquerading, è possibile che un server Web della rete interna sia raggiungibile anche da client della rete Internet? Sì. Per rendere raggiungibile un server Web della rete interna si può forzare la traduzione: ciò si fa inserendo una entry statica nella NAT table del router (Static NAT). Tutore: Sergio Porcu 32

Tale regola permetterà la traduzione dei soli flussi http originati dall esterno e destinati alla porta TCP/80 dell indirizzo IP pubblico del router in flussi destinati alla porta TCP/80 dell indirizzo IP privato del server Web sulla rete interna. Tutore: Sergio Porcu 33

DOMANDE DI RIEPILOGO VIDEOLEZIONE 15 Il collegamento delle reti aziendali: DHCP, xdsl, PPP over Ethernet 1. Quali sono gli scopi del protocollo DHCP? Il protocollo DHCP (Dynamic Host Configuration Protocol; RFC 2131, 2132) serve per configurare gli host di una rete e permette l assegnazione automatica e dinamica degli indirizzi IP. 2. In che modo viene utilizzato il protocollo DHCP da parte degli Internet Service Provider? Il protocollo DHCP è usato dagli Internet Service Provider per i collegamenti di tipo dial-up, perché permette di acquistare e assegnare dinamicamente un numero di indirizzi IP pubblici inferiore al numero di clienti che hanno sottoscritto il servizio di accesso a Internet. 3. Quali sono i parametri di configurazione tipicamente assegnati ad un host dal server DHCP? I parametri indispensabili sono l indirizzo IP assegnato all host, la netmask, l indirizzo IP del default router e la durata del lease, che indica al client per quanto tempo potrà utilizzare l indirizzo IP assegnato. Esistono anche parametri opzionali, che dipendono dal sistema operativo e dalle applicazioni di rete: tra questi vi sono l indirizzo IP del server DNS, l hostname del client e il dominio DNS di appartenenza. 4. Come viene realizzata in DSL la coesistenza di traffico dati e fonia in contemporanea sullo stesso doppino? In alcune varianti della tecnologia DSL lo stesso mezzo trasmissivo usato per trasmettere dati è condiviso dai servizi di fonia tradizionali. La trasmissione della voce avviene in banda fonica (0.4 khz 3.4 khz), analogamente ad una normale telefonata su linea analogica commutata. La trasmissione dati avviene invece in banda traslata (20 khz 1000 khz), cercando di sfruttare al meglio la capacità del doppino telefonico. Poiché l attenuazione del doppino telefonico è elevata alle alte frequenze, DSL impiega tecniche di trasmissione avanzate, quali la CAP (Carrierless Amplitude and Phase modulation) e la più recente DMT (Discrete Multitone Transmission). La separazione dei segnali a livello fisico avviene mediante filtri passivi (splitter) in prossimità della terminazione telefonica presso l utente finale e nella centrale telefonica. Tutore: Sergio Porcu 34

5. Elencare le diverse varianti della tecnologia DLS. Soluzione: Variante Acronimo Tipo di trasmissione Velocità trasmissive Mezzo trasmissivo HDSL (Europe) High-bit-rate DSL Simmetrica 2,048 Mb/s 3 doppini telefonici max 5 km HDSL 2 (Europe) High-bit-rate DSL Simmetrica 2,048 Mb/s 1 doppino telefonico max 5 km SDSL Symmetric o Single-line DSL Simmetrica 768 kb/s 1 doppino telefonico max 3,3 km ADSL Asymmetric DSL Asimmetrica Da 1,5 a 8 Mb/s downstream, da 16 a 640 kb/s upstream 1 doppino telefonico max 6 km RADSL Rate-Adaptive DSL Asimmetrica, può adattare la velocità alle condizioni di rumore sulla linea Da 1,5 a 8 Mb/s downstream, da 16 a 640 kb/s upstream 1 doppino telefonico max 6 km VDSL Very-high speed DSL Asimmetrica, richiede trasporto ATM in modalità nativa a livello 2 Da 13 a 52 Mb/s downstream, da 1,5 a 6 Mb/s upstream Fibra ottica tra 350 m e 1,5 km Tutore: Sergio Porcu 35

DOMANDE DI RIEPILOGO VIDEOLEZIONE 16 Sicurezza ed elementi di crittografia 1. Quali requisiti di sicurezza sarebbero desiderabili per un messaggio trasmesso in rete? Segretezza (non accesso alle informazioni da parte di terzi non autorizzati), autenticazione (verifica dell identità del mittente e del destinatario), integrità del messaggio (certezza che il messaggio ricevuto non sia stato modificato durante la trasmissione nella rete). 2. Quali sono alcuni esempi di punti deboli della rete Internet dal punto di vista della sicurezza? Il contenuto dei pacchetti IP dei normali applicativi TCP/IP è normalmente in chiaro, e quindi leggibili da parte di chi sia in grado di intercettare un pacchetto in transito. La trasmissione nelle reti locali è spesso in broadcast, con la possibilità da parte di una stazione di intercettare tutto il traffico di una LAN, ponendo la propria scheda di rete in modalità di funzionamento promiscuo. Gli indirizzi IP non vengono autenticati, è quindi possibile falsificare la propria identità (IP spoofing). Molti protocolli sono vulnerabili ad attacchi Denial of Service (DoS) anche molto semplici. 3. Nell ottica di un applicazione sulla rete Internet, che difficoltà presentano gli algoritmi di cifratura a chiave simmetrica? Lo scambio delle chiavi attraverso un canale sicuro, che non può essere la rete stessa. Tutore: Sergio Porcu 36

DOMANDE DI RIEPILOGO VIDEOLEZIONE 17 Sicurezza ed elementi di crittografia 1. Cos è un attacco a replica? L intercettazione da parte di terzi di una password, in chiaro o crittografata, e il suo riutilizzo per autenticarsi in un sistema fingendo di essere il mittente originale della password. 2. Cos è una Certification Authority? Un ente che garantisce la corrispondenza tra l identità di una entità che opera sulla rete (persona, ente, sistema di pagamento elettronico, ecc.) e la sua chiave pubblica. Pubblica dei certificati in siti noti e protetti da possibili contraffazioni. 3. Qual è un limite dei sistemi di cifratura a chiave pubblica? Come si ovvia? La complessità degli algoritmi, che richiedono elevata potenza di calcolo e tempi di elaborazione non trascurabile. Pertanto, si adottano spesso sistemi misti in cui la cifratura a chiave pubblica viene utilizzata per lo scambio sicuro di chiavi simmetriche. Queste, i cui algoritmi di cifratura sono molto più efficienti, sono utilizzate per il successivo scambio di messaggi. Tutore: Sergio Porcu 37

DOMANDE DI RIEPILOGO VIDEOLEZIONE 18 Firewall, proxy e DMZ 1. Che cos è un firewall? Un firewall è una combinazione di hardware e software che isola la rete interna di un azienda dal resto di Internet. Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere, permettendo ad alcuni pacchetti di passare e bloccandone altri in base a specifiche regole di filtraggio imposte dall amministratore di sistema. Il principale obiettivo è infatti rendere sicuro il collegamento della rete aziendale a Internet, lasciando passare solo i flussi fidati, ossia strettamente necessari ai servizi aziendali. 2. Come funzionano i filtri? I filtri funzionano effettuando la lettura degli header IP, TCP e UDP di ogni pacchetto in transito attraverso il firewall e quindi applicando le regole di filtraggio, configurate come ACL (Access Control List). Queste ultime specificano se scartare o lasciar passare i pacchetti; sono tipicamente basate su indirizzi IP di sorgente o destinazione, porte sorgente o destinazione TCP o UDP, tipo di messaggio ICMP e informazioni riguardanti il three-way handshake delle connessioni TCP (flag SYN e ACK nell header TCP). Quest ultima regola è molto utile per lasciare che i client interni possano collegarsi a server esterni, ma evitare che client esterni si colleghino a server interni alla rete. 3. Quali sono le funzionalità di un application gateway? Un application gateway collega due segmenti di rete a livello applicazione. Di norma il controllo da esso operato riguarda il traffico uscente dalla rete protetta, in quanto fa da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni. I client della rete interna accedono ai servizi su Internet soltanto attraverso il gateway, che quindi nasconde al server esterno l origine reale delle connessioni (cioè il client della rete interna). Un application gateway può anche autorizzare o bloccare gli utenti in base a specifiche policy di accesso. 4. Quando è opportuno realizzare una DMZ? Quando l azienda deve rendere disponibili a utenti esterni (clienti, fornitori, utenti mobili ) alcuni servizi che risiedono su calcolatori della propria rete aziendale. Una DMZ (zona demilitarizzata) permette infatti di separare i server pubblicamente accessibili dai server e dai calcolatori che contengono informazioni di natura strettamente privata. In tale configurazione i server pubblici vengono collocati nella DMZ e sono detti bastion host, perché sono gli unici visibili (e attaccabili) dalla rete esterna. I servizi privati e gli host della rete interna sono invece protetti da due firewall. Tutore: Sergio Porcu 38