Please enable JavaScript.

Coggle requires JavaScript to display documents.

Sistemi - Riassunti Argomenti, Differenza Intranet Extranet, IP SEC -…

- - - - Connessione TCP a Server (su porta 80), Client fa richiesta in formato Http
      - Client fa richiesta con URL a Server
      - Client attende risposta
      - Server produce e restituisce file
    - - HTTP/1.0 (non persistente)
        
        Client stabilisce connessione con scambio 3 segmenti tcp con Server
        
        Una volta stabilita, client può mandare richiesta http
        
        Server soddisfa e chiude connessione con scambio segmenti tcp
      - HTTP/1.1 (persistente)
        
        Server non chiude connessione
        
        Connessione Incanalata
        
        Client può fare richieste consecutive, server risponde Back-to-Back
        
        Server risponde in ordine di richiesta
        
        Client fa nuove richieste appena trova riferimento
        
        Connessione Non Incanalata
        
        Client può fare richiesta solo se la risposta precedente è stata ricevuta
    - - Request
        
        Riga richiesta
        
        Metodo
        
        GET
        
        Mostra dati inviati dal server in barra indirizzi browser
        
        Sola lettura, client può gestire dati ricevuti come vuole
        
        Può essere Assoluto (no specifiche extra), Condizionale(solo se criterio in header soddisfatto) e Parziale(solo parte di risorsa)
        
        Codifica URL: nome:valore, spazi=%20, nomi divisi da &
        
        POST
        
        Trasmissione info client-server
        
        Uso per dare dati in ingresso o aggiornare i dati, ma mandati nel body
        
        URI per spedire, risposta Http: dinamica
        
        Risposta con codice (200 ok, 201 created, 204 no content)
        
        PUT
        
        Client fornisce info al server
        
        Indicato oggetto in cui server deve mettere dati
        
        Esiste: 200 ok, entità in risorsa esistente
        
        Non esiste: 201 created, creata nuova risorsa
        
        altri
        
        URI (Identificativo risorsa richiesta)
        
        Versione HTTP
        
        Header
        
        Info necessarie per identificare il messaggio
        
        Body
        
        Contiene dati trasportati
      - Response (=richiesta, ma con riga stato al posto della riga di richiesta)
        
        Riga richiesta
        
        Versione
        
        Codice Stato
        
        Descrizione codice
        
        Header
        
        Formato da insiemi di nome:valore (es Accept:text/plain)
        
        Body
        
        Contiene pagina Html richiesta
    - - No memoria
      - Asimmetrico (solo client chiede)
      - Non sicuro: usa codifica
        
        Lettere tradotte in N° Ascii, N° Ascii tradotto in binario, Traduzione in nuove lettere dividendo il binario ogni 6 + uso tabelle
        
        Reversibile
  - - - Gerarchie dominio (da dx a sx)
        
        TLD 1° lv (generici o nazionali)
        
        Livelli successivi dopo punto (es www.sito.it it=TLD, sito= nome dom 2°lv, www=nome server)
        
        www=nome server
      - Albero domini distribuito in 1 o + distributori di nomi, programma con ruolo server a cui client manda richieste, zona tiene info in Record Risorse
        
        Campi Record Risorse
        
        Name (nome dato da DNS)
        
        Value (valore dato da DNS)
        
        Type (interpretazione value (es Record A))
        
        Class (classe appartenenza di record risorse)
        
        TTL (per quanto tempo struttura dati è valida
        
        Record memorizzati in specifico database distribuito, ogni dns controlla solo domini di sua competenza
        
        Seguiti tutti fino a ottenere IP
    - - Richiesta (query): mandato a server per avere risorse
      - Risposta: nomi+indirizzi+Info extra
  - - - x ogni client
        
        Coda mail ingresso e uscita
      - Riceve mail in uscita da tt client che controllano, riceve da altri mail server tt le mail per client
      - Parla con
        
        SMTP con altri server e client utente
        
        POP3/IMAP con client utente
    - - Invio
        
        SMTP (Simple Mail Transfer Protocol)
        
        Stabilisce connessione e trasferisce il mex
        
        Usa TCP su porta 25
        
        Mex in coda, smtp spre connessione su mail server destinatario
        
        Server invia codice conferma per stabilire connessione
        
        Smtp manda mex
        
        Chiusa connessione
        
        Formato mail: TO, FROM, SUBJECT + BODY (in Ascii)
        
        Per allegati: MIME (Multipurpose Internet Mail Extensions)
        
        Regole di codifica messaggio e struttura dei campi+ formato
        
        in Header
        
        3 more items...
      - Ricevere
        
        IMAP
        
        Mail rimane sul server una volta visualizzata
        
        POP3
        
        Uso di destinatario per lettura Mailbox
        
        Porta 110 TCP
        
        Apre, trasmette, chiude
        
        Serve Autenticazione per trasmettere
        
        Scaricata Mail, no + su server
  - - - Risposta: se pagina già presente, pagina statica (html), altrimenti pagina viene generata da script, dinamica (php)
- - - - Simmetrica
        
        Una sola chiave condivisa tra i 2 utenti, poco sicura
      - Asimmetrica
        
        Ogni utente ha 2 chiavi, una pubblica e una privata
        
        Chi inva critta con chiave pubblica destinatario, che poi decritta con pubblica
        
        Algoritmo RSA per generare le due chiavi
      - Ibrida
        
        Scambio di una chiave di sessione in modalità asimmetrica, da lì in poi si procede in modalità simmetrica
        
        Garantita autenticazione per possessione chiave
    - - Firma Digitale
        
        Testo in chiaro viene trasformato in digest (per segretezza) con algoritmi SHA, poi crittato (solo digest) con chiave PRIVATA mittente, e a questo viene aggiunto il messaggio in chiaro
        
        Destinatario decifra con chiave pubblica del mittente, e ricalcola il digest del messaggio in chiaro; se coincidono, garantita integrità
        
        Hash ha effetto valanga. la minima modifica al messaggio comporta un hash completamente diverso
      - Certificati digitali garantiscono che la chiave pubblica sia dell'utente giusto
        
        Mittente richiede certificato, ente certificante critta la chiave pubblica del mittente con la propria chiave privata
        
        Destinatario decritta la chiave pubblica con la chiave pubblica dell'ente, ottenendo la chiave pubblica del mittente
  - - - Server fa attivamente la connessione
    - - Server comunica su che porta client può stabilire la connessione
  - - - Hacker White Hat (assunti da aziende per trovare falle)
      - Black Hat (Accesso illegale)
    - - Generici
        
        Man in the Middle (Utente in mezzo a comunicazione)
        
        IP Spoofing (rubato ip per fingersi altra persona)
        
        Phishing (Inganno a utente, reindirizzato DNS)
        
        SQL Injection (uso query speciali per avere dati normalmente non reperibili)
      - Keylogger
        
        Lettura Input Tastiera
        
        Hardware
        
        Software
      - Malware
        
        Con necessità di file ospite (necessaria azione utente)
        
        Trojan (no replica, full controllo su PC in rete)
        
        Backdoor (full controllo su PC in rete, aperta porta per controllo)
        
        Virus (si replica)
        
        Autonomo (cerca falle sistema)
        
        Worm (si instaura, si duplica, agisce su dati)
        
        DOS (Denial Of Service) (Negato servizio per troppe richieste)
  - - - Architettura di rete di tipo peer to peer
- - - - Accesso Remoto
        
        Mittente deve avere client vpn attivo
        
        Tunnel crittato per scambio info, server VPN presenta a internet le info con il suo IP
        
        Uso per anonimato o uso per blocchi dovuti a motivi geografici
      - Site-to-Site
        
        Collegamento sicuro tra diverse LAN dislocate
        
        Non necessario client VPN, traffico inoltrato con gateway VPN
        
        Tunnel tra apparati di sedi remote per evitare intercettazione dati
        
        2 tipi
        
        Intranet
        
        Rete locale che usa protocolli internet (internet interno)
        
        Accessibile dall'esterno, usato VPN per sicurezza
        
        Extranet
        
        Intranet aperta a personale esterno, creata con VPN
        
        Fornisce accesso sicuro a chi agisce dall'esterno
    - - Trusted VPN
        
        Offerto da fornitore servizi, reti private noleggiate
        
        Usato MPLS(MultiProtocol Label Switching)
        
        Sedi si collegano a primo nodo
        
        Router LAN inoltra pacchetto a Router Fornitore
        
        Aggiunto MPLS per identificare il pacchetto (e dove deve arrivare)
        
        Pacchetto immesso in rete, dato che tutti i router con MPLS hanno la topologia del percorso il percorso non va calcolato
        
        1 more item...
        
        Unica LAN logica, sicurezza affidata al provider, ma Costi elevati e servizio rigido
      - Secure VPN
        
        Garantisce protezione con Tunnel Virtuale
        
        Fornitore fornisce rete pubblica solo per trasporto
        
        Client sovrappone propria topologia logica
        
        Dati ora in tunnel virtuale protetto, non imposto il percorso
        
        Sicurezza data da IPSec
      - Hybrid VPN
        
        Affiancate entrambe le soluzioni, scelta la più idonea in base alla situazione
    - - NFV (Network Function Virtualization)
        
        Astratte funzioni della rete, rese blocchi installabili via software
      - SDN(Software Defined Network)
        
        Gestione rete completamente softare
        
        Controllo centralizzato rete
        
        Visione globale rete
  - - - Implementa crittografia a livello rete
      - Supporto 2 protocolli
        
        AH(Authentication Header)
        
        No cifratura
        
        Garantisce autenticazione origine dati e identità Mittente
        
        ESP (Encapsulation Security Payload)
        
        Garantisce CIA solo al payload (usa crittografia)
      - 2 Modalità
        
        Transport Mode
        
        Sicurezza solo al payload
        
        Collegamenti sicuri tra 2 host con I pubblico
        
        Tolta intestazione originale e sostituita con IPsec Header
        
        mode
        
        con AH
        
        No crittografia, garantita integrità e autenticità a tutto il messaggio
        
        con ESP
        
        Sì crittografia, CIA ma solo Payload
        
        Tunnel Mode
        
        Sicurezza per intero pacchetto IP
        
        Uso per collegare VPN reti privare con router pubblici
        
        Pacchetti completamente cifrati e Incapsulati in diverso pacchetto
        
        Nell'intestazione, messi indirizzi mittente e destinatario del router a estremi tunnel
        
        mode
        
        con AH
        
        Intero pacchetto IP, incluso Header IP, è autenticato e protetto (tranne campi variabili nel nuovo IP Header)
        
        con ESP
        
        Crittati IP Header, TCP Header e dati, e ESP Trailer; questi vengono anche autenticati, insieme a ESP Header
        
        Autenticazione data da chiave condivisa in precedenza, Integrità data da funzione Hash messaggio
    - - SA(Security Association)
        
        Indica modi per avere una connessione sicura tra 2 dispositivi
        
        Indica protocollo (AH/ESP) e Indirizzo IP sorgente
      - SP(Security Policy)
        
        Regole per informare IPsec di quali flussi dati vanno usati da quale SA
      - IKE(Internet Key Exchange)
        
        Genera chiavi dinamiche di sessione, inviate usando f Hash per verificare la chiave
    - - Tra LV Trasporto e LV Applicazione, comunicazione a tt protocolli a LV Trasporto
      - 2 Fasi
        
        SSL HandShake
        
        Client avvia la comunicazione
        
        Server risponde, si certifica con propria Kpubblica (certificato digitale)
        
        Client verifica validità, se valido invia Ksessione cifrata con Kpubblica server (crittografia ibrida, da qui solo Ksessione) + "Change Cipher Spec"
        
        Server riceve, risponde con stesso messaggio e chiude Handshake (da qui, crittografia simmetrica)
        
        SSL Record Protocol
        
        Fornisce riservatezza e integrità
        
        Dati frammentati in blocchi, compressi e aggiunto MAC (=digest messaggio)
        
        Messaggio cifrato con Ksessione, aggiunta intestazione SSL
        
        Inserito in segmento TCP
        
        Ricevente decifra, verifica l'integrità, decomprime, riassembla e passa ad applicativo
      - HTTP+SSL=HTTPS
- - - - Permit: Fa entrare
      - Deny: rifiuta
    - - Standard
        
        Filtro Ip sorgente
        
        N 1-99, 1300-1909
      - Estesa
        
        Filtro su
        
        Ip sorgente e destinazione
        
        Porta sorgente o destinazione
        
        Flag
        
        Messaggi per ICMP (Internet Control Message Protocol)
  - - - Barriera LAN-Internet con regole
    - - Stateless
        
        Filtro su Indirizzi di rete (lv 3 rete, controllo indirizzo mittente o destinazione in intestazione) o porte (lv 4 trasporto, controlla porte in intestazione TCP)
        
        Non controlla stato connessione, soggetto a IP Spoofing
      - Stateful (solo lv4)
        
        Tiene stato, ricorda IP e N Porta
        
        Lascia entrare pacchetto se no connessione aperta+tutti campi TCP rispettano stato connessione, scarta se no
        
        Tenuto conto anche flag TCP
        
        Possibile SYN flood (SYN=Aperta connessione) con attacco DOS, se connessione aperta ma mai chiusa quando conferma avvenuta
        
        Vulnerabili a DOS perchè connessioni vanno gestite e approvate, troppe insieme creano troppo traffico
        
        Accetta combinazioni Ip e N porta per connessioni dall'interno della rete, rifiuta rete
        
        Accettati in ingresso solo pacchetti richiesti da host interni
      - NGFW (New Generation FireWall) - Firewall Applicativi
        
        Tecniche avanzate per controllo a 360°
        
        Blocca applicazioni
        
        Trova attività sospette e previene attacchi
        
        Non blocca solo Ip, riconosce dati stessi (pattern di comportomento)
  - - - Esposti servizi su Internet, Accesso a router comporta reindirizzamento verso zona rete isolata
    - - Accesso da esterno viene reindirizzato verso porta specifica e ip specifico in rete interna
        
        Da esterno prese risorse interne
  - - - Metodi
        
        Filtraggio MAC
        
        Controllo su Access Point se MAC è in lista o no
        
        Lista va messa prima, MAC è copiabile
        
        Autenticazione
        
        WPA2 (WiFI Protected Access)
        
        Crittografia simmetrica con chiave sessione a 256 bit, generata dinamicamente
        
        Uso AES (Advanced Encryption Standard), creati blocchi di 128 bit poi crittata con chiave simmetrica da 256 bit
        
        Modalità
        
        Personal
        
        Uso per reti domestiche
        
        1 more item...
        
        PSK (Pre Shared Key)
        
        1 more item...
        
        Enterprise
        
        Uso per reti con più di 10 nodi
        
        1 more item...
        
        Combina
        
        2 more items...
        
        Supplicant (software autenticazione client) + Server con dati autorizzazione + Access Point tra i due
        
        1 more item...
        
        WPA3
        
        Impediti attacchi deautenticazione grazie a PMF (Protected Management Frames)
        
        Password diverse per ogni dispositivo, Handshake non vulnerabile ad attacchi di forza bruta
- - - - Sensori
        
        Rilevano dati da esterno
      - Attuatori
        
        Meccanismi che trasformano segnali di controllo in un'azione fisica
      - No collegamento a Internet
    - - Gateway
        
        Autentica, garantisce Integrità dati
        
        Pre elabora dati e trasferisce a server verso Internet/Cloud
        
        Edge Computing
        
        Elaborazione dati su dispositivi o nodi vicini
        
        Fog computing
        
        Elaborazione su una rete di nodi (router/hub/server locali)
        
        Raccoglie da diversi Nodi
        
        Non sono Router
        
        Router gestisce traffico da diverse LAN con interfaccia Ip per accesso Internet
        
        Gateway gestisce traffico da dispositivi con interfacce diverse e aggrega i dati (pre elaborazione)
    - - Internet o Cloud
        
        Accesso a Internet
        
        Corto raggio (WPAN), reti domotiche (pochi metri, poco veloci)
        
        ZigBee
        
        Composto da
        
        Coordinatore connesso a internet (Gateway)
        
        Router
        
        1 more item...
        
        End Device
        
        2 more items...
        
        Uso frequenze radio non licenziate, sono gratis
        
        Dispositivi a basso consumo e costo
        
        Lavoro a livello fisico
        
        Medio raggio, collegamento a sistemi remoti in cloud a velocità elevate (decina km, velocità elevate)
        
        4G/5G
        
        Tecnologia basata su cellulare per trasferimento dati
        
        Reti di dati erogabili solo da operatori mobili, uso frequenze licenziate (evita interferenze di terzi)
        
        Lungo Raggio (+decine km, bassa velocità,LPWAN)
        
        LoRa
        
        Definisce caratteristiche LV Fisico e protocollo di LV Collegamento
        1° cosa necessaria per connessione wireless
        
        LoRaWAN
        
        Nodi finali rilevano dati
        
        1 more item...
        
        Include il protocollo di rete e permette di inviare le informazioni in cloud
        
        Usa frequenze senza licenza
        
        MQTT (Message Queuing Telemetry Transport)
        
        Protocollo di comunicazione open source
        
        Basato su modello Publish/Subscribe
        
        Publisher pubblicano dati relativi ad un argomento su nodo intermedio (broker)
        
        Subscriber possono sottoscriversi ad argomento per ricevere messaggi da broker
        
        Connessione a banda ridotta con quantità minima dati
        
        2 modi d'uso
        
        Uno dei due dispositivi ha Ip, fa da server e altro si connette quando vuole
        
        Disposto server cloud, uso da entrambi dispositivi per scambi