Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


sicurezza informatica appunti completi, Appunti di Sicurezza Dei Sistemi Informativi

appunti completi del corso di sicurezza informatica tenuto da paolo dal checco

Tipologia: Appunti

2024/2025

In vendita dal 30/11/2025

f-leone
f-leone 🇮🇹

4.3

(4)

18 documenti

1 / 30

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Triade CIA/RID
Nella Sicurezza Informatica uno dei riferimenti principali è la triade CIA, che riassume i tre
obiettivi fondamentali di qualunque sistema sicuro.
La Confidentiality (Riservatezza) riguarda la protezione dei dati: solo chi è autorizzato deve
poterli leggere. È l’idea alla base di controlli di accesso, crittografia e gestione delle credenziali.
L’Integrity (Integrità) assicura che i dati rimangano corretti e non vengano modificati da mani
non autorizzate. L’integrità include anche l’autenticazione dell’origine, cioè la certezza che chi
invia un’informazione sia davvero chi dice di essere, e che i sistemi non siano compromessi.
La Availability (Disponibilità) si riferisce alla possibilità di accedere ai dati e ai servizi quando
servono. Un sistema può essere riservato e integro, ma se non è disponibile diventa inutile.
Spesso si aggiunge anche il concetto di Non ripudio, che permette di impedire che un
soggetto neghi di aver inviato o ricevuto un determinato messaggio o di aver compiuto
un’azione informatica.
Ambiti della “Sicurezza Informatica”
Quando si parla di sicurezza informatica, ci si riferisce a più livelli diversi, tutti importanti.
C’è la sicurezza dei dati, che riguarda lettura, scrittura e cancellazione, e che tiene conto non
solo degli attacchi ma anche degli eventi accidentali.
C’è la sicurezza dei sistemi, che mira a impedire che dispositivi come PC, server, webcam o
stampanti vengano utilizzati da terzi, anche per fini illeciti.
Un altro fronte è la sicurezza dei software, che si concentra nel prevenire vulnerabilità che
potrebbero danneggiare un sistema o un sito web.
La sicurezza delle comunicazioni mira invece a prevenire intercettazioni, falsificazioni o
interruzioni durante la trasmissione dei dati.
Infine, la sicurezza delle transazioni è cruciale per operazioni economiche, pagamenti online
e ambiti come le criptovalute.
Esempi recenti di problemi di sicurezza
Le slide mostrano esempi tratti dalle notizie per far capire quanto la Sicurezza Informatica sia
un tema quotidiano.
Un account ufficiale della SEC è stato compromesso e ha pubblicato un post non autorizzato
su questioni finanziarie.
Altri casi raccontano di procedimenti giudiziari legati ad attività di cyberspionaggio,
dell’attenzione delle autorità verso piattaforme come Telegram, e perfino di dispositivi come
cercapersone che sono stati fatti esplodere da remoto grazie a compromissioni informatiche.
Si parla anche di attacchi alle infrastrutture pubbliche, come pannelli informativi delle stazioni
ferroviarie, e di fenomeni come le SIM Farms, grandi gruppi di SIM utilizzate per spam, truffe o
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e

Anteprima parziale del testo

Scarica sicurezza informatica appunti completi e più Appunti in PDF di Sicurezza Dei Sistemi Informativi solo su Docsity!

Triade CIA/RID

Nella Sicurezza Informatica uno dei riferimenti principali è la triade CIA , che riassume i tre obiettivi fondamentali di qualunque sistema sicuro. La Confidentiality (Riservatezza) riguarda la protezione dei dati: solo chi è autorizzato deve poterli leggere. È l’idea alla base di controlli di accesso, crittografia e gestione delle credenziali. L’ Integrity (Integrità) assicura che i dati rimangano corretti e non vengano modificati da mani non autorizzate. L’integrità include anche l’autenticazione dell’origine, cioè la certezza che chi invia un’informazione sia davvero chi dice di essere, e che i sistemi non siano compromessi. La Availability (Disponibilità) si riferisce alla possibilità di accedere ai dati e ai servizi quando servono. Un sistema può essere riservato e integro, ma se non è disponibile diventa inutile. Spesso si aggiunge anche il concetto di Non ripudio , che permette di impedire che un soggetto neghi di aver inviato o ricevuto un determinato messaggio o di aver compiuto un’azione informatica.

Ambiti della “Sicurezza Informatica”

Quando si parla di sicurezza informatica, ci si riferisce a più livelli diversi, tutti importanti. C’è la sicurezza dei dati , che riguarda lettura, scrittura e cancellazione, e che tiene conto non solo degli attacchi ma anche degli eventi accidentali. C’è la sicurezza dei sistemi , che mira a impedire che dispositivi come PC, server, webcam o stampanti vengano utilizzati da terzi, anche per fini illeciti. Un altro fronte è la sicurezza dei software , che si concentra nel prevenire vulnerabilità che potrebbero danneggiare un sistema o un sito web. La sicurezza delle comunicazioni mira invece a prevenire intercettazioni, falsificazioni o interruzioni durante la trasmissione dei dati. Infine, la sicurezza delle transazioni è cruciale per operazioni economiche, pagamenti online e ambiti come le criptovalute.

Esempi recenti di problemi di sicurezza

Le slide mostrano esempi tratti dalle notizie per far capire quanto la Sicurezza Informatica sia un tema quotidiano. Un account ufficiale della SEC è stato compromesso e ha pubblicato un post non autorizzato su questioni finanziarie. Altri casi raccontano di procedimenti giudiziari legati ad attività di cyberspionaggio , dell’attenzione delle autorità verso piattaforme come Telegram , e perfino di dispositivi come cercapersone che sono stati fatti esplodere da remoto grazie a compromissioni informatiche. Si parla anche di attacchi alle infrastrutture pubbliche, come pannelli informativi delle stazioni ferroviarie, e di fenomeni come le SIM Farms , grandi gruppi di SIM utilizzate per spam, truffe o

attività cybercriminali. Tutti esempi che mostrano quanto siano differenti e imprevedibili le minacce odierne.

Sicurezza Informatica nella normativa (GDPR e D.Lgs

La Sicurezza Informatica non è solo un insieme di buone pratiche, ma anche un obbligo previsto da varie normative. Il GDPR richiede che il trattamento dei dati personali sia sicuro, proporzionato e adeguato alle finalità. Prevede principi come minimizzazione dei dati, limitazione della conservazione e adozione di misure tecniche e organizzative adeguate per proteggerli. Il D.Lgs 231/2001 estende la responsabilità alle aziende, che devono dimostrare di avere adottato modelli organizzativi idonei a prevenire reati. Questo significa vigilare sul funzionamento dei sistemi, adottare controlli efficaci e ridurre i rischi legati a violazioni informatiche.

Sicurezza: processo vs. prodotto

Spesso si pensa che installare un firewall o un antivirus significhi “avere la sicurezza”, ma questi sono solo strumenti. La sicurezza è soprattutto un processo , composto da pianificazione, analisi dei rischi, gestione quotidiana dei sistemi e formazione del personale. La logica è ciclica: si pianifica, si attua, si verifica e poi si migliora. Senza conoscenza e consapevolezza, anche i migliori prodotti non possono garantire vera protezione.

Analisi dei rischi

Prima di definire misure di protezione, è necessario capire a cosa si è esposti. L’analisi dei rischi valuta la probabilità che un incidente si verifichi e il danno che potrebbe causare. I danni possono essere economici, come furti di dati o denaro, oppure legali, ad esempio violazioni di normative che portano a sanzioni. Esistono anche danni d’immagine, che colpiscono la reputation e possono trasformarsi in perdite economiche più grandi di quelle tecniche.

Dalle reti alla sicurezza

La percezione dei problemi di rete è cambiata nel tempo. In passato la priorità era trasmettere bit in modo efficiente; poi pacchetti; poi servizi. Oggi la domanda principale è: come posso mettere in sicurezza i miei servizi?

Introduzione a Ethernet

Prima di entrare nei dettagli delle tecnologie di rete, è utile ricordare un concetto fondamentale: Internet non è una singola rete fisica, ma un metodo per far comunicare reti fisicamente diverse tra loro. È un insieme di convenzioni e regole che permettono di utilizzare infrastrutture eterogenee come se facessero parte di un’unica rete globale.

L’hardware, cioè il livello fisico, è tecnicamente separato da questo meccanismo: chi usa Internet non deve sapere come funzionano i cavi o i dispositivi sottostanti, perché i protocolli come TCP/IP sono progettati per essere indipendenti dall’hardware.

Nonostante ciò, per orientarsi nel mondo della sicurezza informatica è utile capire almeno una tecnologia di rete reale. La più diffusa — e quella usata praticamente ovunque — è Ethernet , che rappresenta il modello base per capire come funzionano le comunicazioni locali.

Commutazione di circuito e commutazione di pacchetto

Quando si parla di comunicazioni di rete, esistono due grandi approcci. Il primo è la commutazione di circuito , cioè un sistema orientato alla connessione. Funziona stabilendo un percorso dedicato tra i due interlocutori, come accadeva nel tradizionale sistema telefonico. Una volta stabilita la linea, una certa quantità di banda è riservata per tutta la durata della comunicazione. Questo garantisce la ricezione dei dati, ma è costoso e inefficiente, perché la banda viene occupata anche quando non si trasmette nulla.

L’altro approccio, molto più usato nelle reti di computer, è la commutazione di pacchetto. Qui i dati vengono divisi in pacchetti indipendenti, che viaggiano lungo la rete sfruttando linee condivise e vengono ricomposti a destinazione. È un metodo più economico, permette di gestire molte comunicazioni contemporaneamente e riduce il rischio che la rete sia “occupata”. L’unico limite è che, aumentando le comunicazioni, può diminuire la capacità effettiva della rete.

Tipologie di reti: WAN, MAN, LAN, PAN, CAN

Le reti non sono tutte uguali: si distinguono per estensione, velocità e scopo. Le WAN , ad esempio, coprono grandi distanze ma hanno velocità inferiori e maggior ritardo; le MAN si estendono a livello metropolitano. Le LAN , invece, sono le più veloci e servono a collegare dispositivi all’interno di edifici o piccoli complessi. Le PAN si occupano di collegamenti personali e brevi distanze, spesso wireless, come Bluetooth. Esistono poi reti specializzate come le CAN , cioè quelle interne a un veicolo per far comunicare sensori e centraline.

Ethernet come tecnologia di rete

Ethernet è la tecnologia più comune nelle LAN. Si basa sulla commutazione di pacchetto ed è stata sviluppata negli anni ’70 da Xerox PARC, diventando standard nel 1978. Nel tempo è cambiata molto, soprattutto negli aspetti hardware, ma i principi di base sono rimasti.

Una Ethernet tradizionale può essere vista come una rete bus broadcast , con velocità da 10 a 1000 Mbps e consegna best effort , cioè senza conferma della ricezione. Il controllo dell’accesso è distribuito: nessun dispositivo decide chi deve trasmettere. Per evitare collisioni, Ethernet utilizza il metodo CSMA/CD (Carrier Sense Multiple Access with Collision Detection) : prima di trasmettere, un dispositivo ascolta la linea e trasmette solo se è libera; se avviene una collisione, le trasmissioni vengono interrotte e ritentate dopo un intervallo minimo.

Indirizzamento Ethernet e MAC Address

In una rete a bus tradizionale ogni dispositivo riceve tutti i pacchetti che transitano. Per capire quali pacchetti gli appartengono, ogni host possiede un indirizzo Ethernet a 48 bit , noto come indirizzo fisico , indirizzo hardware o più comunemente MAC address.

Questo indirizzo, inciso nel chip della scheda di rete, è unico a livello mondiale. Lo si rappresenta con sei coppie di cifre esadecimali, come 0a:4c:e6:8f:37:bb.

La scheda di rete riceve tutto ciò che passa sul canale, ma consegna ai livelli superiori solo i pacchetti che corrispondono a uno degli indirizzi che riconosce: unicast, broadcast o eventuamente multicast. I protocolli di livello superiore si occupano di dire alla scheda quali indirizzi multicast deve ascoltare.

Dalla topologia a bus alla topologia a stella

Con l’evoluzione dell’hardware, la classica topologia a bus è stata abbandonata a favore della topologia a stella , come mostrato nell’immagine a pagina 9 del file. In questa configurazione tutti i dispositivi si collegano a un elemento centrale.

All’inizio questo elemento era l’ HUB , un dispositivo passivo che si limitava a “simulare” la rete a bus: ogni frame che riceveva veniva inoltrato a tutte le porte, tranne a quella da cui era arrivato. Questo però propagava rumore, errori e collisioni.

Gli hub potevano essere concatenati per collegare più dispositivi, ma la capacità totale della rete restava la stessa: 10/100/1000 Mbps complessivi, indipendentemente dal numero di dispositivi collegati.

Il ruolo degli SWITCH

● le reti locali sono geograficamente limitate; ● gli utenti richiedono una comunicazione globale.

L’interconnessione di sottoreti diverse permette di mettere insieme reti locali, reti geografiche e tecnologie non uniformi in un sistema unico che, visto dall’alto, si comporta come una sola grande rete.

Creare una “internet” a partire da molte reti

Per far cooperare una moltitudine di reti fisiche, ognuna mantiene le sue primitive di comunicazione interne (come Ethernet o FDDI), mentre i collegamenti tra reti diverse possono usare tecnologie differenti (come ATM o X.25).

Il risultato è una internet , cioè un insieme di sottoreti che, una volta collegate, appaiono come un’unica rete logica. La singola rete fisica continua a funzionare a modo suo, ma ciò che conta è che, tramite una serie di regole condivise, queste reti possano parlarsi.

Router e architettura di una internet

Per collegare due sottoreti non basta un computer che “tocca” fisicamente entrambe. Serve un dispositivo in grado di ricevere i pacchetti da una rete e inoltrarli correttamente sull’altra. Questo dispositivo è il router (o internet gateway).

Il router deve:

● conoscere gli indirizzi presenti su entrambe le sottoreti; ● saper ricevere i pacchetti e ritrasmetterli nella direzione corretta; ● essere riconosciuto dalle macchine delle reti come nodo verso cui inoltrare i pacchetti destinati a indirizzi non locali.

Quando due reti vengono collegate da un router, esso diventa il punto in cui i pacchetti possono “saltare” da una rete all’altra.

Instradamento tramite gateway IP

In un sistema TCP/IP , l’intero compito di collegare le sottoreti fisiche viene svolto dai router. Con la crescita della rete globale, anche la responsabilità dei router aumenta: devono sapere in che direzione inoltrare i pacchetti, anche verso reti a cui non sono direttamente collegati.

Ad esempio, un router collegato solo a Net1 e Net2 può comunque essere in grado di inoltrare pacchetti verso Net3, anche se non è fisicamente attaccato a quest’ultima. Per farlo deve conoscere (o imparare tramite protocolli di routing) la topologia dell’internet.

Per ridurre la complessità, i router non memorizzano gli indirizzi di ogni singola macchina, ma solo le informazioni sulle sottoreti. Questo permette tabelle più piccole ed efficienti.

Come vede il mondo l’utente

Una delle caratteristiche più potenti di Internet è che tutta questa complessità viene nascosta. L’utente non deve capire su quale sottorete si trovi la macchina a cui vuole connettersi: vede Internet come un’unica grande rete a cui tutte le macchine sono collegate.

Router, sottoreti e software di accesso non fanno parte dello scenario percepito dall’utente. Anche i dettagli del software di comunicazione sono invisibili, perché integrati nel sistema operativo. Questo permette di ampliare la rete, aggiungere router o migliorare le connessioni senza dover modificare le applicazioni.

La complessità reale dell’infrastruttura

Se si guarda invece “dietro le quinte”, la rete è composta da molte sottoreti fisiche, ciascuna con le proprie caratteristiche, collegate tramite router che appartengono contemporaneamente a più reti.

Le linee nei diagrammi non rappresentano collegamenti elettrici, ma interfacce di rete , cioè i punti in cui le macchine si affacciano sulle sottoreti. La struttura è complessa, ma proprio questa flessibilità permette a Internet di funzionare in modo così universale.

Tutte le reti sono uguali (dal punto di vista IP)

Dal punto di vista delle tecnologie fisiche, le reti sono molto diverse: possono variare per velocità, dimensione dei pacchetti, estensione geografica, qualità del collegamento.

Ma per IP , il protocollo che tiene insieme Internet, sono tutte uguali : qualsiasi rete che sia in grado di trasportare pacchetti diventa semplicemente una sottorete nel grande sistema Internet.

Questa è una delle ragioni della straordinaria potenza di Internet: TCP/IP fornisce un’astrazione che nasconde i dettagli fisici e permette a qualunque rete, di qualunque tipo, di partecipare a un’unica infrastruttura globale.

Questa rappresentazione serve a rendere leggibile qualcosa che, altrimenti, sarebbe solo una lunga sequenza di zeri e uno.

Come si passa dal binario al decimale

La rappresentazione decimale non è altro che la traduzione di ciascun ottetto dal binario.

Ogni bit rappresenta una potenza di 2: 128, 64, 32, 16, 8, 4, 2, 1. Sommandole quando il bit è 1, otteniamo il numero corrispondente. Questo è il meccanismo che permette agli ottetti dell’indirizzo IP di avere valori compresi tra 0 e

Gli indirizzi IP e le connessioni di rete

Un aspetto importante è che una macchina può avere più di un indirizzo IP. I router, ad esempio, sono host multi-homed : hanno più interfacce di rete, una per ogni sottorete a cui sono collegati.

Questo porta a una considerazione fondamentale: un indirizzo IP non identifica una macchina in senso assoluto, ma una connessione di rete. È anche possibile assegnare più indirizzi alla stessa interfaccia, sia:

● appartenenti alla stessa rete logica, ● sia appartenenti a reti logiche diverse.

Per questo motivo una macchina può “apparire” in più reti diverse allo stesso tempo.

Nel diagramma si vede bene come un singolo computer possa far parte di più reti, ognuna con il proprio network ID e i propri host ID.

Un esempio di rete con più indirizzi e più sottoreti

Un esempio più esteso mostra come, in una rete articolata, gli indirizzi IP riflettano la struttura logica della rete stessa.

L’immagine evidenzia:

● host appartenenti a reti diverse, ● un router che collega tre sottoreti, ● indirizzi IP organizzati per netid e hostid ,

● più indirizzi validi anche su una singola interfaccia.

Questo schema è utile per capire come i router decidano dove instradare i pacchetti: il netid è ciò che guida tutto il processo.

Come si ottiene un indirizzo IP

Ci sono vari modi per assegnare un indirizzo IP a un host.

Uno è tramite configurazione manuale dell’amministratore, salvata in un file del sistema. L’altro, molto più comune oggi, è tramite DHCP (Dynamic Host Configuration Protocol) , che assegna automaticamente l’indirizzo: questo permette il cosiddetto plug-and-play , cioè collegare un dispositivo e vederlo configurato automaticamente.

Esistono anche indirizzi di uso speciale , definiti dall’RFC 3330, come:

● il blocco 10.0.0.0/8 , ● il blocco 172.16.0.0/12 , ● il blocco 192.168.0.0/16 , ● e il blocco 169.254.0.0/16 (link-local, usato quando DHCP non risponde).

Questi intervalli non sono instradabili su Internet: servono per reti interne.

L’indirizzo di loopback

Infine, c’è un intervallo molto particolare: 127.0.0.0/.

Questo range è riservato al loopback , cioè all’indirizzamento verso sé stessi. Il più famoso indirizzo di questo blocco è 127.0.0.1 , spesso chiamato localhost.

Usarlo non manda davvero un pacchetto sulla rete: tutto avviene internamente alla macchina, ed è utile per:

● testare gli strati superiori del protocollo, ● far comunicare applicazioni tra loro come se fossero host distinti.

È una soluzione elegante che permette di simulare una comunicazione di rete senza aver bisogno di alcuna connessione fisica.

Come funziona ARP: ARP request

Quando A vuole comunicare con B, e conosce solo l’ indirizzo IP di B (IB) ma non il suo indirizzo fisico (PB) , invia un messaggio speciale in broadcast chiamato ARP request. Il pacchetto contiene:

● l’IP di A ( IA ) ● il MAC di A ( PA ) ● l’IP di B ( IB ) ● il campo MAC di B vuoto (da riempire nella risposta)

Tutti gli host ricevono la richiesta, ma solo il destinatario B risponde.

La risposta: ARP reply

Quando B riceve l’ARP request contenente il suo indirizzo IP, risponde con un messaggio unicast diretto ad A: l’ ARP reply. In questo pacchetto B inserisce il proprio MAC address (PB) nel campo lasciato vuoto.

A questo punto A conosce il MAC di B e può inviare il frame Ethernet corretto.

La ARP cache

Inviare continuamente broadcast sarebbe inefficiente, quindi l’associazione IP↔MAC viene memorizzata nella ARP cache , una tabella locale presente su ogni host.

Funziona così:

● quando A riceve l’ARP reply da B, salva la coppia (IB, PB) nella cache; ● se in futuro A deve parlare ancora con B, controllerà prima nella ARP cache; ● se trova la corrispondenza, non invierà un nuovo broadcast.

Questo meccanismo riduce drasticamente il traffico ARP.

Aggiornamenti “opportunistici” della ARP cache

Un dettaglio importante è che:

● quando B risponde ad A, anche B salva A nella propria cache;

● tutti gli altri host che hanno ricevuto il broadcast di A possono approfittarne per salvare anch’essi le informazioni di A.

In questo modo la rete diventa più efficiente, ma si apre anche la porta ad attacchi, come vedremo più avanti.

Soft state e timeout

Le voci della ARP cache non durano per sempre. Questo accade perché:

● una macchina può spegnersi improvvisamente; ● può tornare con una nuova scheda di rete (nuovo MAC); ● può ottenere un nuovo indirizzo IP; ● una voce vecchia potrebbe diventare obsoleta senza che la rete ne venga informata.

Per questo motivo la ARP cache usa un meccanismo soft state : i dati sono validi solo per un tempo limitato (tipicamente ~20 minuti), dopo il quale vengono rimossi.

Vantaggi del soft state:

● non serve hardware totalmente affidabile; ● non si dipende da notifiche esterne.

Svantaggio:

● per un po’ si possono usare informazioni errate.

Gestione dei pacchetti ARP in arrivo

Quando un host riceve un pacchetto ARP:

● aggiorna la sua ARP cache con le informazioni del mittente; ● se è un’ARP request e il destinatario è lui, risponde con un ARP reply ; ● se non è il destinatario, scarta la richiesta; ● se riceve un'ARP reply , deve inviare i pacchetti IP che erano in attesa di risoluzione MAC.

Cloning

L’attaccante può:

● mettere fuori uso la vittima (ad esempio con un DoS), ● assumere il suo indirizzo MAC e IP, ● ricevere tutto il traffico a lei destinato.

È possibile perché il MAC può essere modificato via software.

Sniffing

Gli switch normalmente limitano lo sniffing perché inoltrano i frame solo alla porta corretta. Ma l’ARP spoofing può “ingannare” lo switch, facendogli credere che il MAC dell’attaccante sia quello della vittima.

Così il traffico finisce all’attaccante.

Strumenti usati negli attacchi ARP

Esempi di tool citati:

DsniffARPoisonEttercapParasiteArp-skArp-mim

Sono programmi pensati per test, auditing o, purtroppo, attacchi veri e propri.

Come difendersi

Le tecniche principali sono:

MAC binding statico sugli switch : ogni porta può accettare solo un MAC autorizzato; ● Static ARP : inserire manualmente coppie IP↔MAC (utile solo in piccole LAN); ● Detection : analizzare il traffico ARP alla ricerca di anomalie; ● Arpwatch : software che monitora la rete e segnala via email modifiche sospette; ● RARP per rilevare cloning : se lo stesso MAC risponde più volte, è probabile che sia clonato.

Internet Protocol (IP)

Cos’è IP e perché è centrale nel funzionamento di Internet

L’Internet Protocol è il meccanismo che permette alle diverse sottoreti fisiche di collaborare tra loro. È il cuore della comunicazione tra host: qualunque pacchetto debba essere consegnato, da un punto all’altro del mondo, passa per IP.

Non si tratta di un protocollo che crea una connessione stabile tra due macchine, né garantisce che il pacchetto arrivi davvero. È semplicemente il livello che assicura che un pacchetto possa essere instradato, passo dopo passo, attraverso tutti i router necessari fino alla sua destinazione.

È grazie a questa astrazione che l’utente percepisce Internet come una rete unica , ignorando completamente le differenze tra le reti fisiche attraversate.

Il servizio IP: come avviene la consegna dei pacchetti

Il modo in cui IP tratta i pacchetti è molto particolare. Ha tre caratteristiche fondamentali che definiscono il tipo di servizio offerto:

IP è inaffidabile

Non garantisce che un pacchetto arrivi. Può essere perso, duplicato, arrivare in ritardo o fuori ordine, e nessuno—né chi invia né chi riceve—viene avvisato.

La logica è questa: IP si occupa solo di portare avanti i pacchetti. Se serve affidabilità, la forniscono protocolli superiori (come TCP).

IP è best effort

Nonostante sia inaffidabile, IP fa tutto il possibile per consegnare i pacchetti e non li scarta se non è proprio necessario. Se un pacchetto non arriva, significa che c’era davvero un problema:

● una congestione nei buffer del router, ● un guasto,

Il TTL non rappresenta un tempo reale misurato in secondi di rete: ogni router che tratta il pacchetto lo decrementa almeno di 1 , a prescindere da quanto tempo ci abbia messo per inoltrarlo.

Quando il TTL arriva a zero, il pacchetto viene scartato e il mittente viene avvisato tramite un messaggio ICMP (“time exceeded”).

Questo meccanismo:

● protegge la rete dai pacchetti “zombie” che girano all’infinito; ● permette a strumenti come traceroute di funzionare.

L’idea chiave: IP rende Internet una rete virtuale unica

In conclusione, il ruolo di IP è quello di fornire una visione unificata dell’intera Internet. Non importa quanti router si attraversano, quali tecnologie fisiche si incontrano o quanto sia grande la distanza: IP permette a ogni pacchetto di essere trattato nello stesso modo.

Il livello IP:

● non crea connessioni; ● non controlla gli errori; ● non ordina i pacchetti; ● non verifica la consegna.

Si occupa solo di una cosa: mettere il pacchetto sulla strada giusta , router dopo router, fino alla destinazione.

Ed è proprio questa filosofia semplice, minimale e indipendente dall’hardware che ha reso possibile la crescita di Internet nelle dimensioni che conosciamo oggi.

Subnetting e Supernetting

Perché nasce il subnetting

Fino a questo punto avevamo dato per scontato un collegamento diretto tra rete fisica e rete IP : se più host si trovano sullo stesso segmento fisico, condividono un unico netid. Questo però diventa rapidamente un limite.

Le reti reali, infatti, non hanno tutte la stessa dimensione. Alcune hanno pochissimi host, altre ne hanno moltissimi. In IPv4 si era tentato di risolvere la cosa definendo tre classi di rete (A, B e C), ognuna pensata per una grandezza diversa. Ma questo approccio non basta: era troppo rigido e portava a sprechi enormi di indirizzi.

Per questo nasce il subnetting , cioè la possibilità di suddividere internamente una rete in più sottoreti, senza che questa suddivisione sia visibile all’esterno.

L’idea di “sito” e l’indipendenza interna

Per gestire meglio gli indirizzi, si introduce il concetto di sito : un’organizzazione può organizzare le sue sottoreti interne come preferisce, con un proprio schema di instradamento e indirizzamento, purché all’esterno appaia come un’unica rete coerente.

In pratica:

● all’interno del sito si possono creare più sottoreti fisiche; ● tutti i router e host del sito devono seguire lo stesso schema di subnetting; ● verso l’esterno, tutto continua a essere visto come una sola rete (netid, hostid).

Questo permette flessibilità interna senza confusione globale.

Subnetting: da dove si parte

Per creare sottoreti, si suddivide la parte hostid dell’indirizzo IP in due parti:

● una dedicata alla sottorete ; ● una al singolo host.

Serve quindi un modo standard di indicare quanti bit, all’interno dei 32 complessivi, appartengono alla parte di rete e quanti alla parte host. Questo strumento è la subnet mask.

La subnet mask

La mask è un numero di 32 bit in cui i bit a 1 indicano la parte di network (netid + subnet) e quelli a 0 indicano la parte host.

Esempio classico: Una rete di classe C ha come mask: