Corso base sulle reti - Dipartimento di Agraria

MANUALE – CORSO PER LA PROGRESSIONE VERTICALE Da Categoria B a Categoria C
La topologia delle reti
Negli anni le reti locali hanno sviluppato diverse tipologie fisiche.
Inizialmente una topologia molto utilizzata era quella ad anello, usata dal Token
Ring. Con l’avvento di Ethernet diventa molto popolare la tipologia a BUS, tipica
delle reti ethernet su cavo coassiale. Oggi sono più diffuse le tipologie a stella,
con un concentratore in mezzo (repeater o hub), o a stella estesa, con più stelle
collegate tra di loro. Altri tipi di topologia sono quella gerarchica o full mesh,
che collega ogni calcolatore o apparato con tutti gli altri.
I componenti
I componenti fondamentali delle reti sono gli host, ovvero computer, stampanti,
server. Gli host hanno normalmente una scheda di rete (NIC) per il collegamento
alla rete ma dato che sono gli applicativi a girare sui calcolatori, possiamo
collocare gli host al livello 7 della pila OSI.
Come dicevamo gli host si collegano alla rete tramite un NIC (Network Interface
Card). Nel caso delle reti ethernet si tratta ad esempio di quella che normalmente
viene chiamata scheda di rete, dotata di un connettore verso il media fisico (ad
esempio RJ45 per le reti basate su cavo UTP). La scheda ha inoltre su di essa
l’indirizzo fisico di livello 2 e per questo motivo normalmente le NIC vengono
posizionate al livello 2 della pila OSI.
Componente fondamentale di una rete è poi il mezzo fisico, ovvero i cavi o mezzi
alternativi sui quali viaggiano i bit di dati. Il mezzo fisico viene collocato al
livello 1 della pila OSI.
Altro componente tipicamente utilizzato su di una rete (oggi meno a dire la verità)
è il cosiddetto repeater (ripetitore). Un repeater si occupa di rigenereare il
segnale fisico sul media per permettere di estendere la rete oltre la lunghezza
massima consentita dagli standard. Per questo motivo il repeater si colloca al
livello 1 della pila OSI. Un repeater dotato di più di due porte (multiport
repeater) è detto anche HUB e permette di realizzare la classica topologia a
stella. Anche l’HUB, lavorando come un repeater, si colloca al livello 1 della pila
OSI.
Il bridge è un apparato che si occupa connettere due segmenti di rete. In pratica
rigenera il segnale come un repeater ma inoltre si occupa di filtrare il traffico
tra i due segmenti non propagando sul segmento opposto quello che non è destinato a
host che si trovano su quel segmento. Per fare questo il bridge tiene traccia degli
indirizzi MAC e del segmento a cui appartiene ognuno degli indirizzi. Il bridge
quindi interpreta informazioni di livello 2 e per questo motivo viene collocato a
questo livello della pila OSI.
Un bridge con più di due porte viene detto switch. Lo switch è diventato ormai uno
degli elementi fondamentali delle reti locali moderne basate su Ethernet. Questo
perchè lo switch lavora normalmente in hardware e rende molto veloce il processo di
commutazione delle trame, permettendo così di realizzare le massime performance. Lo
switch permette di realizzare la classica topologia a stella (o stella estesa)
delle reti Ethernet. Lo switch come il bridge si avvale di informazioni di livello
2 e per questo motivo viene collocato a questo livello della pila OSI.
Infine il router che si colloca al livello 3 della pila OSI (livello di rete).
Scopo del router è quello di inoltrare i dati basandosi sugli indirizzi logici (di
rete) del livello 3. Per poter operare il router si deve ovviamente connettere con
diversi apparati e tecnologie di livello 2 permettendo così a diverse tecnologie di
livello 2 di comunicare tra loro realizzando così le internetwork.
Molto importante infine è la definizione di segmento. Normalmente per segmento si
indica un tratto di mezzo fisico al livello uno che è anche in comune per la
trasmissione dei dati su di una LAN. Ogni qualvolta si inserisce un apparato per
prolungare la rete (repeater, router, switch, ecc.) si crea un nuovo segmento.
Cisco definisce a volte un segmento come dominio di collisione.
L’evoluzione delle reti
Inizialmente i primi computer, apparati elettromeccanici nati negli anni 40, non
realizzavano alcuno tipo di comunicazione tra loro, anche perchè erano pochi e
giganteschi. Negli anni 70 e 80 il dipartimento della difesa americano cominciò a
sviluppare le prime reti locali e poi le prime reti geografiche. Nacquero così i
primi ripetitori e i primi concentratori, alla base delle prime reti. Durante la
metà degli anni 80 furono sviluppati i primi calcolatori adibiti a far comunicare
tra loro le reti locali. Furono chiamati gateway e in seguito router. La sfida del
nuovo millennio è la convergenza dati, video e voce, ovvero il far comunicare tutti
i dati su di un unico mezzo fisico.
Il flusso dei dati in una LAN
Per realizzare il flusso dei dati, i dati stessi devono essere divisi e inseriti
in opportuni contenitori in grado di trasportarli. Questo procedimento si chiama
encapsulazione. Quando un dato parte da un calcolatore viene diviso in segmenti dal
livello del trasporto. Il livello di rete inserisce il segmento in un pacchetto e
assegna gli indirizzi logici di sorgente e destinazione. Il livello di data link si
occupa di encapsulare ancora il pacchetto in opportune trame aggiungendo gli
indirizzi di livello 2 (MAC). La trama viene poi trasmessa sotto forma di bit sul
mezzo fisico, arriva al calcolatore destinatario che effettua la procedura inversa,
ovvero deencapsula i dati ricostruendoli e passandoli al livello applicativo.
Il transito dei dati attraverso gli apparati di livello 1 (repeaters, hub) avviene
semplicemente sotto forma di bits, bit per bit, e il segnale viene rigenerato.
Il transito dei dati attraverso gli apparati di livello 2 (switch e bridge) avviene
sotto forma di trame. Gli apparati si occupano di ricostruire ogni trama prima di
emetterla sulle porte di destinazione (anche se in realtà esistono alcuni metodi
per abbreviare il tempo di commutazione). Lo switch esamina in ogni trama
l’indirizzo di destinazione (indirizzo di livello 2) e in base ad esso emette la
trama solo sulla porta dove si trova l’indirizzo MAC destinatario della trama.
Il flusso dei dati attraverso gli apparati di livello 3 (router) avviene invece
sotto forma di pacchetti. Il router ricostruisce i pacchetti di livello 3 in base
all’indirizzo logico di destinazione del pacchetto (ad esempio indirizzo IP) emette
il pacchetto su una delle sue interfacce. Ovviamente per farlo deve encapsulare
nuovamente al livello 2 il pacchetto in una trama (che varia a seconda della
tecnologia dell’interfaccia) ed emettere poi la trama bit per bit sul mezzo fisico.
Negli host, infine, i dati percorrono tutti e sette i livelli della pila OSI per
arrivare al livello applicativo.
Il termine rete è soggetto a molte definizioni, spesso anche contrastanti.
Di fatto siamo abituati ad intendere una rete come sistema di collegamento tra due
o più calcolatori.
Partendo da questo semplice concetto dobbiamo subito chiarire lo scopo di una rete
che, sostanzialmente, è quello di permettere la condivisione di risorse e la
cooperazione fra diverse entità, attraverso i servizi offerti dalla rete stessa.
Elementi essenziali, e minimali, di una rete sono:
•
almeno due calcolatori
•
•
•
un interfaccia di rete per ogni calcolatore (NIC)
un media di collegamento (mezzo di collegamento)
il software operativo di rete
Associando a questi elementi minimali altri dispositivi HW e Sw, i clienti della
rete possono condividere archivi, unità periferiche e altri molteplici servizi.
Le reti possono avere dimensioni differenti ed è possibile ospitarle in sedi
singole, in edifici attigui fra loro (campus) oppure dislocarle in ambito globale
(dal singolo quartiere a tutto il pianeta).
In una rete, di solito, si trovano uno o più calcolatori con potenza maggiore.
La presenza di uno o più di questi calcolatori determina la distinzione fra i
sistemi "centralizzati" e quelli "distribuiti".
Sistema centralizzato: laddove la potenza di calcolo e di elaborazione è garantita
da un unico elaboratore.
Sistema distribuito: laddove la potenza di calcolo viene distribuita fra più
elaboratori in rete fra loro.
Nei sistemi centralizzati tutti i calcolatori (terminali) sono direttamente
connessi al calcolatore centrale. I dati debbono assolutamente passare attraverso
il calcolatore centrale per essere smistati fra i vari terminali.
Nei sistemi distribuiti i vari elaboratori possono dialogare fra di loro senza
nessun intermediario. La distribuzione della potenza di calcolo si spalma fra
diverse unità più o meno potenti. In senso metaforico e molto lato, è' come se
tante CPU si dividessero fra di loro il carico di una unica CPU.
Al giorno d'oggi la potenza di calcolo di un sistema distribuito è di gran lunga
maggiore di quella di un sistema centralizzato.
Fra le diverse tecnologie di rete le più diffuse, attualmente, sono Ethernet e Fast
Ethernet. Le tecnologie Ethernet e Fast Ethernet sono abbastanza simili e la
differenza maggiore è rappresentata dalla velocità con cui trasferiscono le
informazioni. Ethernet funziona a 10 Megabit per secondo (Mbps) e Fast Ethernet a
100 Megabit per secondo.
GLI HUB
Gli hub sono dei dispositivi di connessione che garantiscono a due computer di
poter comunicare e "vedersi" reciprocamente in una tipologia di rete. Queste
operazioni vengono compiute usando una metodologia a medium condiviso: una sorta di
conferenza telefonica dove tutti i partecipanti possono ascoltare gli altri sulla
linea. Dal punto di vista della sicurezza, qualsiasi computer host sull'hub può
vedere i dati che appartengono a un altro host sul medesimo hub. Se la sicurezza
tra i singoli host sulla rete costituisce una preoccupazione primaria, si dovrebbe
prendere in considerazione fin da subito questo problema. Il tipo più piccolo di
hub supporta da due a otto connessioni, mentre quello più grande, che spesso è
configurabile a stack, offre centinaia di porte, ognuna delle quali può gestire un
singolo computer che trasferisce i dati a 10 Mbps. Attenzione però! L'intero hub
può trasmettere i dati alla velocità massima di 10 Mbps in aggregato; in
conseguenza, se due computer stanno cercando di trasferire 10 Mbps ciascuno, non
sarà possibile ottenere questa velocità.
GLI SWITCH
Gli switch permettono di segmentare il traffico. Ciò significa che il Computer A
non può accedere ai dati che vengono trasferiti tra il Computer B e il Computer C.
La cosa equivale a una normale chiamata telefonica: il mittente e il destinatario
della chiamata sono gli unici partecipanti. Questa soluzione è quindi più sicura
rispetto all'uso di un hub. Gli switch di fascia bassa offrono 24 porte, mentre i
sistemi di fascia alta sono dotati di centinaia di porte. Ciascuna porta può
gestire un singolo computer su una connessione da 10 o 100 Mbps.
LE LAN WIRELESS
Rispetto a switch e hub, le LAN wireless costituiscono un elemento relativamente
nuovo. Invece di collegare i computer con cavi fisici, le LAN wireless usano
antenne per trasmettere i dati attraverso un insieme specifico di frequenze radio.
Mentre i computer si possono spostare, il ricevitore e le antenne per la LAN devono
spesso essere stazionarie e si devono trovare entro una certa distanza dai
computer. Il fatto di non usare cavi e di essere liberi di spostarsi ha molte
implicazioni. Dal momento che non ci sono cavi che collegano ciascun ufficio, non
occorre creare un impianto di cablaggio e la scalabilità risulta molto più
economica. Durante gli spostamenti, ci sono meno dispositivi da acquistare e da
mantenere.
SCEGLIERE UNA TECNOLOGIA
Ovviamente, ciascuna tecnologia ha un proprio costo associato. Fortunatamente,
tutte le tecnologie stanno diventando sempre più economiche con l'andare del tempo.
La connettività di rete si sta trasformando in un bene di massa per tutte le
aziende; i produttori di dispositivi di rete la forniscono in molti casi senza
ulteriori aumenti di prezzo.
Una parte dell'equazione dei costi è costituita dall'infrastruttura fisica
indispensabile per usare una qualsiasi di queste tecnologie; si ricordi che in due
soluzioni su tre bisogna creare una struttura di cavi nel quadro
dell'implementazione.
Il cablaggio di un ufficio con una ventina di postazioni può costare più di una
decina di milioni. Uno degli aspetti che è opportuno prendere in considerazione è
costituito dal tipo di cablaggio che viene già utilizzato dall'azienda. Il sistema
"Category" è uno standard per il tipo di cavi di rame che vengono utilizzati. In
generale, il numero di Category indica quanto strettamente il cavo è intrecciato e
quindi anche la velocità dei dati che può trasportare.
Il Category 3 è lo standard di cablaggio minimo indispensabile per ottenere
connessioni da 10 Mbps. I cavi Category 5 possono raggiungere velocità di 100 Mbps;
prima di dedicarsi al ri-cablaggio dell'ufficio, è tuttavia opportuno tenere
presente che i cavi Category 5 possono costare il doppio di quelli Category 3.
Quando arriva il momento di decidere tra switch, hub e reti wireless, la soluzione
più economica consiste in un hub. Quest'ultimo è caratterizzato da un modesto
ingombro fisico e dalla presenza sul mercato di molti importanti produttori quali
3Com, Cabletron e Lucent. Gli hub tuttavia possono causare una degradazione delle
prestazioni di rete e problemi di sicurezza. Con il crescere dell'utilizzo, a causa
del maggior numero di host oppure di programmi "a utilizzo elevato" come i
visualizzatori multimediali, le prestazioni possono diminuire in modo notevole. Per
esempio, un file da 10 Mbyte trasferito da una porta hub a 10 Mbps verso un'altra
porta hub da 10 Mbps verrà in media trasferito alla velocità di circa 1 Mbps
(portando a ottenere un tempo totale di trasferimento di 10 secondi). Se si
desidera avere una rete più veloce, la scelta migliore potrebbe essere quella di
usare switch in grado di gestire dei trasferimenti a 100 Mbps. Su uno switch fullduplex da 100 Mbps, lo stesso file da 10 Mbyte citato nell'esempio dell'hub
potrebbe essere trasferito a più di 10 Mbps; il trasferimento del file
richiederebbe quindi meno di un secondo. Si tratta di un sostanziale incremento
delle prestazioni, anche per un file relativamente piccolo. Si immagini come in
questa situazione verrebbe trasferito più velocemente un filmato da 1 Gbyte, oppure
un pacchetto software da 400 Mbyte.
Gli switch sono inoltre scalabili, dal momento che possono avere molte porte e
permettono di inserire con facilità nuovo hardware nello stack.
Se si decide di fare completamente a meno di una struttura di cavi, è possibile
utilizzare i dispositivi wireless. In questo caso non è richiesta alcuna struttura
di cavi ed è consentito il computing mobile in tutto l'ufficio. Naturalmente,
questo schema risulta incredibilmente utile negli uffici che non hanno o non
possono avere una struttura di cavi.
HALF E FULL DUPLEX
Una volta scelta la tecnologia di rete, la fase successiva nell'implementazione
della rete aziendale consiste nel decidere (ovviamente, nel caso in cui si abbia
una soluzione in grado di funzionare a diverse velocità) a quale velocità le rete
dovrà operare. Creare fin dall'inizio di un sistema in grado di gestire
trasferimenti a 100 Mbps è una cosa utile per la pianificazione a lungo termine; se
invece si prevede di implementare immediatamente il sistema, sarà necessario
acquistare e installare delle interfacce di rete compatibili con questa velocità.
Le impostazioni duplex sulla rete sono un'altra questione da prendere
considerazione. Il duplex indica se i dati che vengono trasmessi e ricevuti sono
inviati attraverso gli stessi cavi oppure no. Analogamente a una strada senso
unico, lo schema half-duplex permette ai dati di fluire soltanto in una direzione.
Se arriva del traffico nella direzione opposta, ci sarà una collisione. Il fullduplex è invece come una strada a due sensi, con una doppia linea bianca centrale.
Il traffico scorre in entrambe le direzioni e non attraversa le corsie, portando ad
avere un numero minore di collisioni. In termini di cavi, lo schema half-duplex
invia tutto il traffico lungo una coppia di cavi. Entrambi questi cavi vengono
usati per trasmettere o ricevere. Quando un pacchetto di dati da un host viene
inviato su un cavo che contiene già un pacchetto in arrivo, si verifica una
collisione ed entrambi i pacchetti vengono scartati. I nuovi pacchetti vengono
inviati secondo intervalli ritardati a caso (con ritardi di microsecondi), in modo
da minimizzare la probabilità che avvenga nuovamente una collisione.
Le trasmissioni full-duplex mettono i dati su ciascun lato di coppie di cavi
separate. Questo schema richiede che entrambe le estremità siano in grado di
gestire la trasmissione full-duplex e il fatto di avere due coppie (quattro cavi)
tra queste estremità. Lo schema full-duplex aumenta la possibilità che le velocità
della linea (10 Mbps o 100 Mbps) si avvicini al massimo teorico.
GIGABIT ETHERNET
Esiste un'opzione che consente di superare la barriera dei 100 Mbps: lo schema
Gigabit Ethernet. Se gli switch sono connessi da cavi Category 5 e da interfacce di
rete multiple, si può ottenere una velocità a livello di Gbps. Gli switch e le
interfacce di rete devono in questo caso essere compatibili con la tecnologia
Gigabit Ethernet. L'idea è quella di usare tutte le porte di scheda Ethernet a
quattro porte e aggregare simultaneamente il traffico su di esse; in questo modo,
un computer può teoricamente trasferire i dati con una velocità prossima a 1 Gbps.
DAGLI HUB AGLI SWITCH
Gli hub di rete possono essere collegati soltanto a cascata due a due: se si
dispone di un hub a 24 porte, si può collegare un altro hub a una di queste porte.
Ciò porta il totale complessivo a 576 porte. Non è possibile aggiungere un
ulteriore insieme di hub in modo da aumentare ancora di più il numero di porte, dal
momento che il signaling fisico della rete non lo consente. In questo caso, la
conseguenza è che gli hub hanno una inerente limitazione nella capacità di
crescita. Ciò ne limita sostanzialmente la scalabilità.
Gli switch di rete, d'altra parte, possono essere concentrati. Inserendo
nell'ambiente degli switch ad alta densità e interconnessioni in fibra ottica, il
numero di switch fisici che si vedono reciprocamente è limitato soltanto dalla
quantità di fibra ottica disponibile. In breve, gli switch hanno un'elevata densità
di porte (più porte per slot e per dimensioni di altezza) e possono essere
collegati attraverso un anello in fibra ottica, che garantisce la possibilità di
connettere reciprocamente centinaia di switch.
In una fase di transizione, è ragionevole prendere in considerazione una
configurazione mista con switch e hub. Per implementare questa configurazione ed
essere ancora "legali" dal punto di vista delle limitazioni di signaling inerenti
agli switch di rete (come specificato dalla IEEE), è necessario inserire uno switch
multiporta (24 porte, 48 porte, o altro) e collegare a catena gli hub da
quest'ultimo. Ciò garantisce la sicurezza di ogni hub, dal momento che tutto il
traffico ad esso diretto passerà attraverso una porta sicura sullo switch. La
segmentazione aiuta inoltre a ridurre le contese e la congestione della rete.
Quello della congestione è uno dei fattori che più comunemente contribuiscono al
raggiungimento di scarse prestazioni.
I sistemi operativi NT e Unix sono in grado di sondare la congestione della rete
vista da ciascun host. Se il livello di collisioni risulta maggiore del cinque per
cento dei pacchetti totali in transito nell'interfaccia di quella macchina,
esistono dei problemi di congestione.
ROUTER
Il router è il tipico apparato di internetworking che assolve allo smistamento
dei pacchetti di dati fra reti diverse. Il router opera a livello 3 della pila OSI
e ha la capacità di prendere le decisioni intelligenti per quanto riguarda il
percorso migliore per la distribuzione dei dati sulla rete.
Ci sono due livelli di indirizzamento a livello di internetworking:
a) Indirizzamento fisico (basato sul Mac address) di livello 2
b) Indirizzamento logico (basato sul protocollo di trasmissione) di livello 3
Il router è l'apparato fondamentale per l'indirizzamrento di tipo logico. Il router
è in grado di prendere decisioni intelligenti sul percorso migliore a cui affidare
la distribuzione dei pacchetti di dati.
I routers usano il protocollo IP (con gli indirizzi logici) in alternativa agli
indirizzi MAC tipici del livello Data Link. Poiché gli indirizzi IP sono gestiti a
livello software, essi si riferiscono alla rete su cui un dispositivo è situato.
Ecco perchè si dice che l'indirizzamento IP è un indirizzamente di rete.
La differenza sostanziale sta comunque nel fatto che l'indirizzo fisico (Mac)
viene attribuito dal costruttore e inserito all'interno della scheda di rete,
mentre l'indirizzzo logico (IP) viene attribuito dall'amministratore di rete e può
essere cambiato a seconda delle esigenze.
Laddove switch e bridge vengono utilizzati per collegare i segmenti d'una rete LAN
(fisicamente connessi). I routers sono utilizzati per collegare fra di loro le reti
che sono fisicamente separate, nonchè per accedere alla rete mondiale Internet.
I router, quindi, connettono due o più reti fisicamente separate. La separazione è
comunque basata su indirizzi di rete che devono ASSOLUTAMENTE essere diversi e
univoci. Questo processo avviene attraverso l'assegnazione dell'ID di rete
(all'interno del numero di IP) che viene assegnato a tutti gli apparati connessi
alla rete.
Per un approfondimento sulla numerazione IP si consiglia:
L' Indirizzamento IP
Per spiegare meglio il concetto diamo alla rete l'indirizzo A e agli host
l'indirizzo di rete (A) più l'indirizzo dell'host (1, 2, 3, 4 ecc....)
Ecco un tipico esempio di indirizzo logico:
Host
A2
Host
A3
Host
A4
Host
A5
Rete A
Il router che gestirà questa rete dovrà avere un interfaccia sulla rete A con
numerazione corrispondente. Per esempio A1.
Analogamente, due reti fisicamente separate trovano la possibilità di
interconnettersi attraverso un router se rispettano i presupposti di cui sopra. In
questo caso due indirizzi di rete diversi, indirizzi host diversi e le due
interfaccie del router direttamente collegate alle due reti e configurate con
indirizzo logico corrispondente alla rete servita.
H
ost
A2
H
ost
A3
H
ost
A4
H
ost
A5
Rete A
H
ost
B2
H
ost
B3
H
ost
B4
H
ost
B5
Rete B
Assumiamo una situazione di questo tipo:
Vogliamo trasmettere dati dalla rete A alla rete B; Il router è connesso alle
reti A, B, C, e D. Quando i dati (frames di livello 2), provenienti dalla rete A,
raggiungono il router, lo stesso effettua le seguenti azioni:
•
Scarta l'header del data link presente nella frame. (L'header del data link
contiene il MAC addresses dell'host sorgente e quello dell'host di destinnazione).
In questo modo siamo in grado di assumere che le informazioni relative agli
indirizzi fisici di livello 2 non interessano ai router. Essi operano solo a
livello 3 e quindi a livello di indirizzo logico di rete.
•
Esamina l'indirizzo di rete per determinare la rete di destinazione.
•
Esamina la tabella di routing per determinare quale delle sue interfaccie
(A,B,C e D) deve utilizzare per smistare i dati e raggiungere la rete di
destinazione.
•
Incapsula i dati in una frame di livello 2 e li spedisce i verso
l'interfaccia di uscita.
Il concetto di interfaccia riferito al router può essere espresso anche come
"porta". Ovviamente ogni interfaccia del router deve avere un numero di Ip (o
comunque un indirizzo logico) univoco. Ma e poi mai due interfaccie possono avere
lo stesso numero di IP.
Firewall
Schema semplificato di una rete con firewall collegata a una rete esterna
In Informatica, nell'ambito delle reti di computer, un firewall (termine inglese
dal significato originario di parete refrattaria, muro tagliafuoco; in italiano
anche parafuoco o parafiamma) è un componente passivo di difesa perimetrale
(hardware o software) che può anche svolgere funzioni di collegamento tra due o più
tronconi di rete. Usualmente la rete viene divisa in due sottoreti: una, detta
esterna, comprende l'intera Internet mentre l'altra interna, detta LAN (Local Area
Network), comprende una sezione più o meno grande di un insieme di computer locali.
In alcuni casi è possibile che si crei l'esigenza di creare una terza sottorete
detta DMZ (o zona demilitarizzata) atta a contenere quei sistemi che devono essere
isolati dalla rete interna ma devono comunque essere protetti dal firewall.
Grazie alla sua posizione strategica, il firewall risulta il posto migliore ove
imporre delle logiche di traffico per i pacchetti in transito e/o eseguire un
monitoraggio di tali pacchetti. La sua funzionalità principale in sostanza è quella
di creare un filtro sulle connessioni entranti ed uscenti, in questo modo il
dispositivo innalza il livello di sicurezza della rete e permette sia agli utenti
interni che a quelli esterni di operare nel massimo della sicurezza.
Principi di funzionamento
Una prima definizione chiusa di firewall è la seguente:
Apparato di rete hardware o software che filtra tutti i pacchetti entranti ed
uscenti, da e verso una rete o un computer, applicando regole che contribuiscono
alla sicurezza della stessa.
In realtà un firewall può essere realizzato con un normale computer (con almeno
due schede di rete e software apposito), può essere una funzione inclusa in un
router o può essere un apparato specializzato. Esistono inoltre i cosiddetti
"firewall personali", che sono programmi installati sui normali calcolatori, che
filtrano solamente i pacchetti che entrano ed escono da quel calcolatore; in tal
caso viene utilizzata una sola scheda di rete.
La funzionalità principale in sostanza è quella di creare un filtro sulle
connessioni entranti ed uscenti, in questo modo il dispositivo innalza il livello
di sicurezza della rete e permette sia agli utenti interni che a quelli esterni di
operare nel massimo della sicurezza. Il firewall agisce sui pacchetti in transito
da e per la zona interna potendo eseguire su di essi operazioni di:
•
•
•
controllo
modifica
monitoraggio
Questo grazie alla sua capacità di "aprire" il pacchetto IP per leggere le
informazioni presenti sul suo header, e in alcuni casi anche di effettuare
verifiche sul contenuto del pacchetto.
Personal Firewall o Firewall Software
Oltre al firewall a protezione perimetrale ne esiste un secondo tipo, definito
"Personal Firewall", che si installa direttamente sui sistemi da proteggere (per
questo motivo è chiamato anche Firewall Software). In tal caso, un buon firewall
effettua anche un controllo di tutti i programmi che tentano di accedere ad
Internet presenti sul computer nel quale è installato, consentendo all'utente di
impostare delle regole che possano concedere o negare l'accesso ad Internet da
parte dei programmi stessi, questo per prevenire la possibilità che un programma
malevolo possa connettere il computer all'esterno pregiudicandone la sicurezza.
Il principio di funzionamento differisce rispetto a quello del firewall
perimetrale in quanto, in quest'ultimo, le regole che definiscono i flussi di
traffico permessi vengono impostate in base all'indirizzo IP sorgente, quello di
destinazione e la porta attraverso la quale viene erogato il servizio, mentre nel
personal firewall all'utente è sufficiente esprimere il consenso affinché una
determinata applicazione possa interagire con il mondo esterno attraverso il
protocollo IP.
Da sottolineare che l'aggiornamento di un firewall è importante ma non è così
vitale come invece lo è l'aggiornamento di un antivirus, in quanto le operazioni
che il firewall deve compiere sono sostanzialmente sempre le stesse. È invece
importante creare delle regole che siano corrette per decidere quali programmi
devono poter accedere alla rete esterna e quali invece non devono.
Vantaggi e Svantaggi
Rispetto ad un firewall perimetrale, il personal firewall è eseguito sullo
stesso sistema operativo che dovrebbe proteggere, ed è quindi soggetto al rischio
di venir disabilitato da un malware che prenda il controllo del calcolatore con
diritti sufficienti. Inoltre, la sua configurazione è spesso lasciata a utenti
finali poco esperti.
A suo favore, il personal firewall ha accesso ad un dato che un firewall
perimetrale non può conoscere, ovvero può sapere quale applicazione ha generato un
pacchetto o è in ascolto su una determinata porta, e può basare le sue decisioni
anche su questo, ad esempio bloccando una connessione SMTP generata da un virus e
facendo passare quella generata da un client di posta elettronica autorizzato.
Inoltre, può essere installato rapidamente e indipendentemente dagli
amministratori di rete.
Altre funzioni
Un'altra funzione che alcuni firewall prevedono è la possibilità di filtrare ciò
che arriva da internet, consentendo per esempio di vietare la visualizzazione di
alcuni siti internet contenenti pagine con un contenuto non adatto ai minori, nella
maggior parte dei casi però l'attivazione di questa funzionalità è demandata a
software aggiuntivi appartenenti alla categoria dell'URL filtering.
Il firewall è solo uno dei componenti di una strategia di sicurezza informatica,
e non può in generale essere considerato sufficiente:
•
la sua configurazione è un compromesso tra usabilità della rete, sicurezza
e risorse disponibili per la manutenzione della configurazione stessa (le esigenze
di una rete cambiano rapidamente)
•
una quota rilevante delle minacce alla sicurezza informatica proviene dalla
rete interna (portatili, virus, connessioni abusive alla rete, dipendenti, accessi
VPN, reti wireless non adeguatamente protette)
Tipologie
Tipologie di firewall, in ordine crescente di complessità:
•
Il più semplice è il packet filter, che si limita a valutare gli header di
ciascun pacchetto, decidendo quali far passare e quali no sulla base delle regole
configurate. Ciascun pacchetto viene valutato solamente sulla base delle regole
configurate, e per questo un firewall di questo tipo è detto anche stateless.
Alcuni packet filter, analizzando i flags dell'header TCP, sono in grado di
discriminare un pacchetto appartenente ad una "connessione TCP stabilita
(established)" rispetto a quelli che iniziano una nuova connessione. Molti router
posseggono una funzione di packet filter.
•
Un firewall di tipo stateful inspection, tiene traccia di alcune relazioni
tra i pacchetti che lo attraversano, ad esempio ricostruisce lo stato delle
connessioni TCP, e analizza i protocolli che aprono più connessioni (ad esempio
FTP). Questo permette ad esempio di riconoscere pacchetti TCP malevoli che non
fanno parte di alcuna connessione, o di permettere il funzionamento di protocolli
complessi.
•
Esiste una generazione di firewall che effettua controlli fino al livello 7
della pila ISO/OSI, ovvero valutano anche il contenuto applicativo dei pacchetti,
ad esempio riconoscendo e bloccando i dati appartenenti a virus o worm noti in una
sessione HTTP o SMTP.
•
I cosiddetti Application Layer Firewall sono apparati che intercettano le
connessioni a livello applicativo. A questa categoria appartengono i proxy. In tali
casi, la configurazione della rete privata non consente connessioni dirette verso
l'esterno, ma il proxy è connesso sia alla rete privata che alla rete pubblica, e
permette alcune connessioni in modo selettivo, e solo per i protocolli che
supporta.
La sintassi della configurazione di un firewall in molti casi è basata su un
meccanismo di lista di controllo degli accessi (ACL), che possono essere statiche
(quindi modificabili solo tramite configurazione esplicita) o dinamiche (cioè che
possono variare in base allo stato interno del sistema, come ad esempio nel Port
knocking).
Una funzione spesso associata al firewall è quella di NAT (traduzione degli
indirizzi di rete), che può contribuire a rendere inaccessibili i calcolatori sulla
rete interna.
Molti firewall possono registrare tutte le operazioni fatte (logging),
effettuare registrazioni più o meno selettive (ad esempio, registrare solo i
pacchetti che violano una certa regola, non registrare più di N pacchetti al
secondo), e tenere statistiche di quali regole sono state più violate.
La registrazione integrale dell'attività di un firewall può facilmente assumere
dimensioni ingestibili, per cui spesso si usa il logging solo temporaneamente per
diagnosticare problemi, o comunque in modo selettivo (logging dei soli pacchetti
rifiutati o solo di alcune regole). Tuttavia, l'analisi dei log di un firewall (o
anche dei contatori delle varie regole) può permettere di individuare in tempo
reale tentativi di intrusione.
Talvolta ad un firewall è associata anche la funzione rilevamento delle
intrusioni (IDS), un sistema basato su euristiche che analizza il traffico e tenta
di riconoscere possibili attacchi alla sicurezza della rete, e può anche scatenare
reazioni automatiche da parte del firewall (Intrusion prevention system).
Vulnerabilità
Una delle vulnerabilità più conosciute di un firewall di fascia media è l'HTTP
tunneling, che consente di bypassare le restrizioni Internet utilizzando
comunicazioni HTTP solitamente concesse dai firewall. Altra tipica vulnerabilità è
la dll injection, ovvero una tecnica utilizzata da molti trojan, che sovrascrive il
codice maligno all'interno di librerie di sistema utilizzate da programmi
considerati sicuri. L'informazione riesce ad uscire dal computer in quanto il
firewall, che di solito controlla i processi e non le librerie, crede che l'invio
ad Internet lo stia eseguendo un programma da lui ritenuto sicuro, ma che di fatto
utilizza la libreria contaminata. Alcuni firewall hanno anche il controllo sulla
variazione delle librerie in memoria ma è difficile capire quando le variazioni
sono state fatte da virus.