Switch, VLAN e Crittografia PDF - Sistemi di Reti

SISTEMI UwU ^o^ Switch e altri dispositivi I dispositivi hanno 4 memorie:  ROM = Boot Loader.  RAM = running-config (configurazione corrente).  Flash = sistema operativo, file vlan.dat.  NVram = startup-config (configurazione all’avvio). VLAN Virtual Local Area Network, sono sottoreti logiche isolate tra loro. Sono state create per:  Abbattere il traffico di broadcast.  Maggiore sicurezza.  Minore spreco di risorse hardware (vlan intraswitch).  Evitare di dover ricablare la rete. Negli switch esistono 5 vlan predefinite: 1, 1002, 1003, 1004, 1005. Ogni vlan è identificata da un nome ed un id. 1. > ena 2. # conf t 3. (config)# vlan [ID] 4. (config-vlan)# name [name] Alle porte è possibile dare il ruolo di porta access o porta trunk:  Access: gestisce il traffico di una sola vlan.  Trunk: gestisce il traffico di più vlan, altrimenti andrebbero creati tanti collegamenti quante sono le vlan. È possibile fare questo grazie al protocollo 802.IQ, nel quale viene un header di 4 byte: o I primi due byte identificano il protocollo 802.1 (Tag Protocol Identifier). o Gli altri due byte formano il Tag Control Information, formato a sua volta da:  3 bit di user priority = priorità messaggio. Traffico di gestione con priorità massima.  1 bit di CFI.  12 bit (4096) di Vlan ID. La 0 e la 4095 sono riservate. Dalla 1 fino a 1024 sono usate dall’utente, da 1025 fino a 4094 sono usate dai provider. 1. (config-if)# switchport mode access 2. (config-if)# switchport access vlan [ID] 3. (config-if)# switchport mode trunk 4. (config-if)# switchport trunk allowed vlan 10,20,30 ROUTER ON A STICK Per rendere le vlan instradabili e accessibili da un eventuale amministratore di rete posso usare o un router on a stick o uno switch layer 3. 1. (config)# interface gig0/1/1 2. (config-if)# no shutdown 3. (config-if)# exit 4. (config)# interface gig0/1/1.10 5. (config-subif)# encapsulation dot1q [VLAN ID] 6. (config-subif)# ip address [GW] [SB] VIRTUAL TRUNKING PROTOCOL Usato quando ci sono molti dispositivi intermedi per facilitare la configurazione e modifica/manutenzione della rete. È protocollo proprietario CISCO. Ci sono 3 versioni:  VTP 1  VTP 2 = introduce il transparent  VTP 3 = usato sul catOs e su dispositivi di grandi dimensioni. Uno switch può essere configurato come:  Switch client: riceve le informazioni relative alle vlan dagli switch server attraverso i vtp advertisements. Le informazioni sono salvate in ram.  Switch server: è la modalità di default e su di esso vengono create e gestite le vlan.  Switch transparent: ignora le configurazioni inviate dai server e si occupa solamente di inoltrare gli advertisements agli eventuali client connessi (forwarding). Gli switch si scambiano le informazioni sulle proprie vlan attraverso i vtp advertisements, messaggi inviati in genere ogni 5 minuti. Si dividono in:  Summary = inviati dal server prima dei subset e contengono informazioni generali come il domain name, il revision number.  Subset = contiene le modifiche alle vlan.  Requests = inviati dal client, quando si connette per esempio al server. Richiede la situazione aggiornata. Il vtp advertisement ha un campo che indica il revision number, ovvero un indice che indica l’ordine dei cambiamenti (più è alto più è recente). Il client controlla il revision number dell’advertisement ricevuto dal server vtp, e lo confronta con il suo revision number. Uno switch server gestisce un dominio al quale associamo anche una password. Il dominio è un insieme di dispositivi finali o utenti sottoposti ad un unico controllo amministrativo. 1. # vlan database 2. (vlan)# vtp domain [name] 3. (vlan)# vtp v2-mode 4. (vlan)# vtp password [pw] 5. (vlan)# vtp client/server/transparent SWITCH LAYER 3 o three o tre È uno switch che fa sia switching che routing. Per la comunicazione tra le vlan usiamo delle interfacce logiche. 1. (config) # interface vlan 10 2. (config) # ip address [gw] 3. (config) # no shutdown 4. (config) # ip routing Sull’interfaccia che devo instradare (tra switch layer 3 ed un altro router) devo scrivere: 1. (config-if)# no switchport 2. (config-if)# ip address [ip][sb] 1. delete flash:vlan.dat 2. erase startup-config TELNET 1. (config)# interface vlan [VLAN ID] 2. ip address [IP] [SB] 3. no shutdown 4. 5. (config)# line vty 0 15 6. password [PW] 7. login 8. 9. (config)# enable secret [PW] 10. CRITTOGRAFIA A CHIAVE SIMMETRICA Stessa chiave per cifrare e decifrare. DES (Data Encryption Standard) Chiave a 64 bit, di cui 56 utili e 8 di controllo. Il messaggio viene diviso in blocchi a 64 bit. Il messaggio viene sottoposto a 16 trasformazioni, basate sulla chiave e l’operatore XOR. 3DES Tre chiavi d 64 bit ciascuna, di cui 56 utili e 8 di controllo (168 bit utili in totale). Il messaggio viene diviso in blocchi a 64 bit. Il DES viene ripetuto tre volte. AES (Advanced Encryption Standard) Chiave che va da 128 bit, 192 bit o 256 bit, con messaggio diviso in blocchi di 128 bit. Ogni blocco vengono disposti in una matrice 4x4 byte. I passaggi sono:  Substitute bytes = tramite una tabella di riferimento e lo XOR si ottiene la matrice trasformata.  Shift Rows = traslazione delle righe, dalla seconda, di un valore incrementale di bytes (1,2,3).  Mix Columns = ogni colonna viene trasformata seguendo un’altra matrice di riferimento.  Add round key = ogni byte viene combinato in XOR con la chiave. CRITTOGRAFIA A CHIAVE ASIMMETRICA Una chiave pubblica e privata. Una chiave viene usata per cifrare e l’altra per decifrare. RSA Si basa sui numeri primi (first numbers). 1) Scegliamo due numeri primi a caso. Però più grandi sono migliori saranno le performance dell’algoritmo (migliaia di migliaia di cifre). I numeri sono p e q. 2) Moltiplichiamo P e Q  N = P*Q. 3) M = (P-1)(Q-1) 4) Scegliamo un numero E, in modo che sia coprimo (formato solo da fattori non comuni) rispetto ad M. Il coprimo è sicuro minore, quindi comunque la caratteristica aggiuntiva è che E deve essere minore di M. 5) Scelgo D in modo che D*E = 1%M (1 modulo M). 6) Abbiamo trovato la coppia [E,N] {pubblica} e [D,N] {privata}. Per CIFRARE  cifrato = messaggio^e mod n Per DECIFRARE  messaggio = cifrato^d mod n DIGITAL FIRM Il certificato contiene la firma digitale di se’ stesso. La firma digitale non sostituisce la firma digitale, dato che quella in calce attesta la volontà del firmatario di firmare il documento, mentre la firma digitale garantisce il non ripudio del documento e in genere ciò sta a significare un vantaggio per il firmatario. A differenza della crittografia, l’hash viene criptato con la chiave privata del mittente. La firma viene data attraverso hardware appositi, come chiavette USB. MINACCE  SPAM = annunci pubblicitari = spam.  ADWARE = software con pubblicità.  MAN-IN-THE-MIDDLE = un malintenzionato si inserisce in una comunicazione, fingendosi per ciascun utente l’altro interlocutore, sniffando il traffico nella comunicazione.  SQL INJECTION = immissione di query non autorizzate.  SPOOFING = falsificazione dell’identità. Un esempio è la copia di IP e MAC fingendosi un altro terminale/host.  ATTACCHI SOCIAL ENGENEERING = persone manipolate a condividere informazioni su siti o portali fasulli.  KEYLOGGER = lettura della tastiera.  SPYWARE = malware che raccoglie informazioni sull’attività online senza consenso.  VIRUS = script di sistema operativo. Eseguito dal sistema operativo e programmato per autoriprodursi.  BACKDOOR = è una porta di servizio usata per entrare dentro siti o computer. Legale di base, ma potrebbe essere usata per scopi malefici.  TROJAN HORSE = tramite camuffamenti, entrano software dentro il pc. ALGORITMI DI DERIVAZIONE DELLE CHIAVI Si possono ottenere delle sottochiavi a partire da una chiave principale o da una password. Alcuni algoritmi sono:  PBKDF2 = Password Based Key Derivation Function 2. Applica un hash sulla password, concatenata ad un salt (stringa casuale univoca generata per ogni password). A partire da una stessa password, così, si hanno hash sempre diversi. C’è una bassissima probabilità che diverse password possano generare lo stesso hash.  Scrypt = simile, ma più resistente agli attacchi paralleli. Occupa molta cpu e quindi è resistente ad attacchi ASIC (Application Specific Integrated Circuit).  Argon2 = il più recent. PROTOCOLLI Un protocollo è una stringa di testo strutturata, accordata tra i programmatori. HTTP Protocollo per la comunicazione client-server basato su messaggi di GET (in chiaro) o POST (nascosti). Il GET mostra l’indirizzo della pagina e i dati trasmessi, il POST li nasconde. URL E URI  URI: Universal Resource Identifier, contiene qualsiasi indirizzo locale o cloud;  URL: Universal Resource Locator, contiene solo indirizzi cloud. DNS Domain Name System. Basato su un software che associa l’indirizzo IP di un dominio ad un suo nome. Nel server o software DNS è presente una tabella che permette questa conversione. I nomi dei dominio sono organizzati in modo GERARCHICO: www.scuola.gov.it .it = Top Level Domain (.it,.com, ecc.) .gov = Second Level Domain .scuola = Third Level Domain  www = Fourth level Domain (usato per i servizi aperti al pubblico) SMTP Simple Mail Transfer Protocol. Protocollo per l’invio della posta elettronica. POP3/IMAP Post Office Protocol/Internet Message Acces Protocol. Protocolli per la ricezione di posta elettronica. L’IMAP ha più vantaggi del POP3:  Accesso Online e Offline;  Multiutenza;  Supporto all’accesso alle singole parti MIME (pagine web dentro le email);  Sincronizzazione;  Cartelle e sottocartelle;  Ricerca delle email. Il POP3 però permette di scaricare la posta in locale. DHCP Dynamic Host Configuration Protocol. Configura in automatico gli indirizzi IP. Si divide in 4 fasi:  DISCOVER: il client invia in broadcast un messaggio;  OFFER: se presente il server risponde;  REQUEST: il client accetta l’offer e manda la richiesta;  AKNOWLEDGE: il server risponde e manda l’indirizzo. FIREWALL Il firewall è un software o hardware che limita il passaggio dei pacchetti, secondo alcune regole. Solitamente in una rete sono presenti più firewall, sempre più filtranti man mano che ci si allontana dall’internet. Se il firewall si trova su una sola macchina è un PERSONAL FIREWALL, se agisce su una rete con più macchine è un NETWORK FIREWALL. I firewall sono classificabili in base al livello di rete che filtrano:  Packet-Filtering Router: Livello di Rete;  Circuit Gateway: Livello Trasporto;  Proxy Server: Livello Applicazione ACL Access Control List. Tabella che rappresenta le regole di un firewall. ROUTER 0 ROUTER 1 COMANDI

Switch, VLAN e Crittografia PDF - Sistemi di Reti

Document Details

Tags

Related

Summary

Full Transcript