Agli albori le reti sono nate in modo caotico, ogni azienda aveva un
suo standard non compatibile con standard di altre aziende. Non c'era un vero e proprio standard. ISO decise allora nel 1984 di crearne uno ed invento' il modello OSI. Tale modello non prese mai piede in esercizio poichè man mano si diffuse il modello TCP/IP.
OSI continua ad usarsi in quanto scompone la comunicazione nei suoi
elementi fondamentali, cioè rende più semplice lo studio del networking e il troubleshooting, facilita i vari vendor a costruire device che siano compatibili tra loro, consentendo anche ad un dato vendors di specializzarsi su determinati tipi di apparati.
Il modello OSI è costituito da 7 livelli:
7 APPLICATION- quello più vicino all'uomo sono le applicazioni che
usano la rete, si pensi ad
outlook, ad un browser, al prompt dei comandi quando sono in modalità
terminale remoto o console.
6- PRESENTATION - si occupa del formato del dato se deve essere
compresso o criptato. File jpg nzichè giff, midi anzichè wav
5- SESSION apre, termine e gestisce la sessione con host in comunicazione
4- TRANSPORT - si occupa di come avviene la comunicazione, del
controllo del flusso del rilevamento dell'errore e dell'EVENTUALE CORREZIONE dell'errore
3- NETWORK - si occupa dell'indirizzamento logico, della selezione e
determinzione del percorso
2- DATA LINK - si occupa delle topologia logica della rete LAN o WAN
1- FISICO - standard di cablaggio, connettori, codifica del segnale ...
In ogniuno dei vari livelli si identifica una Logical Protocol Data Unit LPDU questo perchè in ogni ivello il dato che deve fluire dalla sorgente alla destinazione cambia forma in quanto ogni livello sottostante aggiunge delle informazioni chiamate INTESTAZIONE Header, solo il DATA LINK aggiunge anche una CODA TRAILER. Questo processo dal 7 al 1 detto INCAPSULAMENTO, il processo opposto che avviene presso host di destinazione è detto DECAPSULAMENTO.
Dal livello Application al livello Session il dato si chiama DATA mail DATA dell'application è diverso dal DATA del SESSION o del PRESENTATION. Al livello TRASPORTLPDU è detta segmento al livello NETWORK si parla di PACCHETTO al DATA-LINK diFRAME al FISICO di parla di BITS.
MODELLO TCP /IP
Il modello TCP/IP è costuito da 4 livelli
Application che ingloba i livelli 7,6,5 del OSI
Trasport che coincide con il Trasport del OSI
Internet coincide con il NETWORK del OSI
NETWORK ACCESS ingloba il livello 2,1 del OSI.
E' importante ricordare per ciascun livello le seguenti cose Application i protocollo che operano a tale livello le loro porte e quale protocollo di livello TRASPORT supportano. ftp(20 per il controllo,21) telent(23), ssh(22), http(80), https(443) SMTP (25), POP3(110) questi reggono tutti il TCP. tftp(69), SNMP(161) reggono UDP. Da ricordarsi il DNS (53) che usa UDP per le query e TCP per lo zone trasfer (sincronizzazione tra server DNS).
Al livello TRASPORT distinguiamo due protocolli
TCP- orientato alla connessione (esempio raccomandata con ricwevuta di ritorna)
UDP- connection-less (esempio della cartolina)
In comune hanno solo l'uso di porte sorgente e destinazione che
consentono di individuare la sessione. Queste esprimono il concetto di multiplexing.
Il TCP è più pesante del UDP in quanto è considerato un protocollo affidabile.
Prima di avviare connessione usa una sequenza detta 3 WAY HANDSHAKE.
SYN/SYN-ACK/ACK. (Posso parlare, si puoi parlare, OK adesso inizio a parlare) analogamente non chiude la connessione brutalmente.
Sequenzia i vari segmenti in modo da facilitare il loro riordinamento
presso la destinazione se arrivati in un ordine diverso da come sono stati spediti e attende un conferma (ACK) dell'avvenuta ricezione. ACKNOWLEDGMENT e il sequenziamento dei pacchetti consentono la correzione dell'errore in caso di perdita dei pacchetti. Il destinatario se non si vede arrivare il pacchetto numero 2 della sequenza 123 prima di chiedere di inviare il 4 chiederà di inviare di nuovo il 2.
Il controllo del flusso è realizzato tramite il meccanismo delle sliding windows, i due host negoziano continuamente quanti segmenti di volta in volta debbono essere inviati in base al loro livello di occupazione/saturazione.
Al livello Internet troviamo il protollo IP e i suoi costituenti ICMP - utilizzato per lo scambio di messaggi sullo stato della comunicazione (echo request/echo replay).
Comandi usati spesso che poggiano sul ICMP sono il ping e il traceroute
ARP - Consente di ottenere il MAC del destinatario dato il suo IP
RARP - consente ad un PC non fornito di indirizzo IP di richiedere un indirizzo.
E' alla base del BOOTP e del DHCP.
NETWORK ACCESS - considera il tipo di tecnologia e i tipi di cavi. Se
stiamo su una rete LAN (ETHERNET, TOKEN RING O FDDI) o WAN (point-to-point, frame relay, ATM,..)
------------------------------------
Lezione 3 Seconda Parte.
Prima della metà degli anni 1990 la comunicazione di video o audio viaggiavano su reti separate. Nei giorni nostri molte compagnie sono migrate al telefono su IP, il quale trasferisce il traffico voce su rete dati incapsulandolo in pacchetti IP usando protocolli riferiti come VoIP (voice over IP). Affinchè il VoIP funzioni correttamente è necessario garantire una certa qualità del servizio in quantità di banda, basso ritardo (low delay) tra il chiamante ed il chiamato, basso livello di variazione del segnale (low jitter), bassa perdità di pacchetti in quanto non c’è controllo dell’errore. Il Video ha le stesse performance del VoIP richiede solo più banda. Entrambe incapsulano il protocollo di livello 7-Application nel UDP a livello Trasport-4 e nel caso del VOIP non è implementato alcun meccanismo di correzione del errore, è l'uomo che esegue la correzione dell'errore quando chiede di ripetere perchè non ha capito.
Abbiamo poi parlato della classificazione degli attacchi che una rete può subire per mostrare che una rete non deve proteggersi solo dall'esterno come dovrebbero fare tutte le reti ed in particolare le reti WIFI ma anche dall'interno - lavoratori scontenti o con portatili che presentano VIRUS.
Abbiamo distinto gli attacchi in attacchi di RICOGNIZIONE - port
scan per determinare quali servizi ascoltano su un determinato HOST. Individuati i servizi in ascolto (porte aperte) si può eseguire un ATTACCO DOS o DDOS, che serve a saturare le risorse della macchina bombardando il servizio fino a farlo crashare, o un'ATTACCO DI PENETRAZIONE/ACCESSO che sfruttando le debolezze
del servizio consente di accedere alla macchina e prenderne possesso.
Le forme per diffondere virus possono passare tramite MAIL o pennette USB o condivisioni. Nella terminologia dei virus che sono programmi che si trasferiscono sul computer all'insaputa dell'utente si distinguono:
Worm - programmi che saturano la macchina replicando se stessi key logger - registrano i comandi da tastiera, serve per individuare le password
Malware: una classe di virus maliziosi che include anche gli spyware
che registrano le abitudini dell'utente nella navigazione.
Trojan - aprono una porta per la connessione remota nota all'attaccante
Per proteggere la rete da questi attacchi esistono vari prodotti FIREWALL - filtra il traffico in entrata ed in uscita Esempi sono PIX e CISCO ASA. CISCO NAC - consentono di intercettare la richiesta di accesso di un host alla rete e di verificare se tale host rispetta gli standard aziendali per l'accesso alla rete (livello di patching del sistema operativo, pattern dell'antivirus, etc..). Se lo standard è rispettato l'utente va in rete aziendale altrimente non riesce a navigare nella rete aziendale e finisce eventualmente in una rete POZZO/Guest.
IDD ed IPS - sistemi di intrusion detection e di intrusion prevection sono delle sonde che analizzano il traffico e che inviano messaggi su un server di gestione (SOCK). La differenza tra gli IDS e gli IPS è che in caso di traffico anomalo gli IPS sono in grado di reagire bloccando tale traffico, questo comporta anche che gli IPS constano di
più degli IDS, a parità di mole di traffico da analizzare.
Per terminare abbiamo parlato di un terzo modello che è quello CISCO he si compone di 3 livello.
ACCESS - il livello a cui gli utenti si connettono alla rete.
I deviceche lo compongono sono SWITCH
DISTRIBUTION - i device sono ROUTER è il livello che raccorda gli
switch, prende decisione su come routare il traffico e su quale
traffico far passare (ACL) e sulla qualità del servizio (QoS).
CORE - in questo livello si eseguono solo funzioni di switching molto
veloce - rappresenta la rete di connessione tra le varie filiali
normalemente svolta dal PROVIDER di servizi di
connessione.
Questi tre livelli dal punto di vista logico sono sempre presenti.
Nelle reti di piccole dimensioni tali livelli possono essere
collassati tra loro (ACCESS e DISTRIBUTION o DISTRIBUTIONe CORE), in
reti di grosse dimensioni il numero di livelli logici è sempre questo
ma si possono presentare dei sotto livelli di intercomunicazione.
ARGOMENTO DELLA CERTIFICAZIONE CCNP.
Per terminare abbiamo osservato le utility e alcuni protocolli che
operano al livello 3 del OSI.
- PING e TRACEROUTE che si appoggiano al ICMP
- ARP che consente di ottenere il MAC di un host destinazione.
Ilcomando arp -a mostra la tabella arp su un PC (ip_address e mac da
usarsi) mentre arp -d cancella le entry di tale tabella.
- NETSTAT che illustra le connessioni TCP e UDP stabilite ed in
ascolto mostrando Tipo di connessione (TCP/UDP)
IP_sorgente:porta_sorgente IP_destinazione:porta destinazione e stato
connessione.
- NSLOOKUP che consente di vedere e cambiare il DNS che esegue la
risoluzioneNOME_SITO/INDIRIZZO e la risoluzione DNS per il nome
