Una possibile soluzione di una delle tre tracce di simulazione dell’a.s. 2015/2016 per ITTL – INFORMATICA E TELECOMUNICAZIONI ARTICOLAZIONE TELECOMUNICAZIONI. Il tema è piuttosto ostico, unisce e concentra l’attenzione sul dimensionamento di rete, argomento spesso approfondito al quarto anno e poco digeribile agli alunni anche dell’articolazione Informatica nella materia Sistemi e Reti. Vediamo un approccio che possa essere utile ad entrambe le articolazioni Informatica e Telecomunicazioni.
I PARTE
Due edifici aziendali, distanti qualche km, ma facenti parte della stessa struttura produttiva, impiegano due reti indipendenti strutturate come di seguito definito.
Edificio 1.
Rete interna, collegata ad internet tramite un ISP (Internet Service Provider), costituita da due sottoreti distinte separate da un router, definite come:
– rete del settore commerciale, dedicata agli specifici operatori;
– rete contabile, dedicata agli specifici operatori, che dovrà farsi carico delle problematiche legate alla presenza di dati sensibili.
L’edificio 1 risulta già adeguatamente cablato in termini di rete e si dovrà eventualmente intervenire solo sugli aspetti relativi alla sicurezza.
Edificio 2.
Rete unica ad uso commerciale e contabile, definita in un unico spazio di indirizzamento e collegata ad internet tramite un ISP.
I seguenti schemi ne riassumono le caratteristiche:
***
Il candidato, formulata ogni ipotesi aggiuntiva che ritenga opportuna, predisponga quanto segue:
a. individui i punti di debolezza e le possibili soluzioni da adottare nell’edificio 1, in termini di sicurezza delle reti;
b. progetti la struttura di rete e di indirizzamento dell’edificio 2, che prevede un numero massimo di 7 host per la rete contabile e 15 host per quella commerciale;
c. descriva una soluzione tecnica per separare nell’edificio 2 la rete commerciale dalla rete contabile; gli utenti della rete commerciale non devono poter accedere alla rete contabile; entrambe le utenze devono poter accedere ad Internet aggiungendo, se necessario, anche nuovi apparati;
d. proponga una struttura di collegamento tra i settori commerciali dei due edifici, attraverso la rete Internet, che permetta agli operatori addetti alle postazioni commerciali di comunicare tra loro, con particolare attenzione alla sicurezza e riservatezza dei dati che vengono scambiati tra le due reti.
Indice dei contenuti
SOLUZIONE PROPOSTA
La prova è un classico esempio di dimensionamento, gestione della sicurezza ed ottimizzazione di una rete pre-esistente, argomento ampiamente trattato a lezione e simulato con Cisco Packet Tracer durante il percorso dell’ultimo anno di scuola di un Istituto Tecnico Tecnologico. Proviamo a semplificare la nostra trattazione partendo da schemi grafici.
Punto a) La rete costruita nella modalità esemplificata, presenta delle problematiche di riservatezza e sicurezza dei dati non indifferenti. Innanzi tutto ai bordi della rete collegata ad un ISP con il router1 non c’è nessun elemento di protezione perimetrale. Il sistemista dovrebbe immediatamente predisporre una serie di misure come firewall con packet filter e un proxy server per filtrare il traffico in ingresso o uscita, consentendo solo quello che lecito. Ad esempio consentire in uscita solo il traffico tcp/udp sulla porta 80 e 443 o i protocolli di posta elettronica SMTP, POP3, IMAP e le relative porte, avendo cura di filtrare con un proxy server siti web e allegati con parole illecite di scarso interesse aziendale, come parole che afferiscono a pornografia, giochi, scommesse, social ecc. In ingresso potrebbe essere bloccato tutto il traffico che non sia quello della posta elettronica in ingresso. Per fare questo può essere predisposto un piccolo firewall con sistema operativo linux basato su iptable o bsd basato su pf come pfSense. Il proxy web trasparente potrebbe essere implementato con Squid. Se il router in possesso all’azienda lo consente, potrebbe essere implementato allo stesso modo nativamente su di esso, ma occorrono dispositivi adeguati come quelli forniti da Cisco o Watchguard.
Il secondo problema dello schema logico è piuttosto evidente: la rete contabile, in modo non ben precisato a livello di collegamento, per avere accesso ad internet “deve passare” per la rete commerciale, i cui impiegati hanno sicuramente funzioni diverse ma entrambi hanno esigenze di riservatezza delle informazioni dei rispettivi uffici. In questo modo, invece, i dipendenti dell’uno e dell’altra, uscendo dallo stesso router1 della rete, devono gioco forza condividere risorse di rete che possono essere soggette a sniffing, spoofing e altri attacchi tipo man in the middle. In questo caso, se non è possibile suddividere la reti in modo anche fisico, occorre necessariamente predisporre un sistema di partizionamento con due VLAN, che permetta di creare delle reti isolate ma che sfruttino gli stessi apparati, avendo cura che però i dispositivi come i router e switch interni alla nuvola della rete commerciale siano compatibili con questa tecnologia 802.1Q, adottando switch di 3° livello. In figura sono segnate con le doppie linee le due VLAN identificate con 2 e 3 poiché la 1 è di default su tutte le porte dello switch 1 posto nella rete commerciale e che pilota il partizionamento effettivamente sulle bocche ethernet o gigabit ethernet sia interne della rete commerciale sia quella che proviene dal router intermedio della rete contabile. Non fa parte delle misura di sicurezza informatica, ma tale switch, fungendo da fulcro, potrebbe essere opportuno ridondarlo con un odi riserva similmente configurato.PRevedere anche su router di frontiera due opportune interfacce virtuali f 0/1.1 e f 0/1.2 per instradare correttamente il traffico verso le due VLAN.
Terzo problema è la presenza di dati sensibili nel settore contabile, probabilmente stoccati su un database o un sistema di storage tipo NAS. Il testo non è chiaro come e da chi possono essere raggiunti e consultati. Non essendoci comunicazione differente, è bene che questi siano raggiungibili solo da parte della rete contabile e che quindi ci sia un filtro attraverso il router2 sia logico sull’indirizzamento che sui pacchetti. In caso i dati debbano essere condivisi anche con l’altro ufficio, occorre ideare e progettare una zona DMZ che possa essere separata ulteriormente almeno logicamente dalle restanti sottoreti. In figura scegliamo per semplicità la prima soluzione con i dati accessibili solo all’ufficio contabile.
Punto b) Il secondo punto del testo ci chiede di progettare la struttura e l’indirizzamento della rete dell’Edificio 2. Dalla figura proposta, non c’è una reale suddivisione fisica tra i dispositivi riservati alla parte contabile e quella commerciale, ma dalla specifica si intende suddividere con un numero massimo di 7 host per la rete contabile e 15 host per quella commerciale sapendo che il gateway del router è 192.168.1.1/24 e la rete proposta come unico spazio di indirizzamento ha come rete 192.168.1.0/24. Operiamo un subnetting in modo da rispettare la specifica richiesta. Abbiamo a disposizione 8 bit dell’ottetto finale e dobbiamo considerare che per creare una sottorete e capire quanti bit possiamo rubare/bloccare dobbiamo sempre conteggiare il numero di host necessari + 1 indirizzo per la rete ed 1 per il broadcast.
- rete commerciale: 7 host + 1 rete + 1 broadcast = 9 ip totali necessari -> occorrono 4 bit (23 sono 8, troppo pochi mentre con 24 abbiamo 16 indirizzi che avanzano anche rispetto alla richiesta, di cui 14 utilizzabili per i dispositivi)
- rete contabile: 15 host + 1 rete + 1 broadcast = 17 ip totali necessari -> occorrono 5 bit (24 sono solo 16 ip, mentre con 5 bit abbiamo 25=32 ip che avanzano anche in questo caso ma soddisfano la richiesta, di cui 30 utilizzabili per i dispositivi)
Esprimendo in bit, la maschera degli host saranno
- rete commerciale 00000000.00000000.00000000.00001111
- rete contabile 00000000.00000000.00000000.00011111
Di conseguenza le nuove maschere di rete saranno
- subnet mask commerciale 11111111.11111111.11111111.11110000 ovvero 255.255.255.240 ovvero in forma compatta /28
- subnet mask contabile 11111111.11111111.11111111.11100000 ovvero 255.255.255.224 ovvero in forma compatta /27
Scegliamo due indirizzi di sottorete, cercando di omogeneizzare la nomenclatura tra la sottorete a 3 e quella a 4 bit e rendere gli indirizzi contigui tra le sottoreti, scegliendo due numeri usando solo i 3 bit più a sinistra della sottorete compreso quindi tra 000hhhhh e 111hhhhh
quindi scelgo per la rete commerciale 00100000 ovvero 192.168.1.32/28 e 01000000 ovvero 192.168.1.64/27 per quella contabile.
Se volessimo elencare gli indirizzi disponibili per la rete commerciale e contabile:
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0000 indirizzo di rete 192.168.1.32
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0001primo indirizzo host disponibile 192.168.1.33
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0010
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0011
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0100
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0101
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0110
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 0111
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1000
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1001
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1010
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1011
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1100
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1101
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1110 ultimo indirizzo host disponibile 192.168.46
xxxxxxxx.yyyyyyyy.zzzzzzzz.0010 1111 indirizzo broadcast 192.168.1.47
—————————————————————————-
per la rete contabile:
xxxxxxxx.yyyyyyyy.zzzzzzzz.010 00000 indirizzo di rete 192.168.1.64
xxxxxxxx.yyyyyyyy.zzzzzzzz.010 00001primo indirizzo host disponibile 192.168.1.65
…
xxxxxxxx.yyyyyyyy.zzzzzzzz.010 11110 ultimo indirizzo host disponibile 192.168.1.94
xxxxxxxx.yyyyyyyy.zzzzzzzz.010 11111 indirizzo broadcast 192.168.1.95
Punto c) Una soluzione tecnica per separare la rete commerciale e contabile potrebbe essere quella di aggiungere un router che renderebbe ancora più evidente dal punto di vista logico il subnetting operato sull’ultimo ottetto disponibile e semplice sia da implementare nella realtà che su un simulatore Cisco Packet Tracer con pochi passaggi tutti con l’uso dell’interfaccia grafica senza l’uso della shell di IOS, s.o. della Cisco. L’alternativa più economica è quella di usare uno switch di terzo livello con supporto al protocollo 802.1Q e creare, analogamente all’edificio 1, due reti virtuali VLAN, VLAN2 e VLAN 3 per includere i dispositivi della commerciale e contabile rispettivamente e disabilitando con Access List opportune la comunicazione tra le due reti virtuali e due interfacce virtuali f0/1.1 e f0/1.2 sul router di frontiera che arrivano attraverso unico collegamento fisico dallo switch. Quest’ultima configurazione su simulatore Cisco è fattibile solo via console del router. L’accesso alla rete internet può essere consentito configurando le funzionalità di NAT tra indirizzo pubblico assegnato al router di frontiera e le interfacce interne. rispettivamente f 0/0 e 0/1
Punto d) Per collegare le due reti commerciali attraverso gli edifici, può essere predisposta una opportuna VPN di tipo secure che prevede la crittografia dei pacchetti. Solitamente è possibile configurare una VPN in modo semplice su un pc verso un server o altro pc attraverso software come Open VPN o Cisco AnyConnect. In questo caso la VPN deve essere realizzata attraverso due router 1 e 2, perimetrali ai due edifici. La configurazione di tali VPN è piuttosto ostica da console di IOS ma può essere realizzata in modo più semplice con un software fornito agli amministratori di rete e dei router denominato Cisco Configuration Professional for Catalyst raggiungibile qui. La configurazione è comunque poco interessante ed esula le competenze acquisite dagli alunni sui banchi di scuola.
II PARTE
QUESITO N. 1
Con riferimento al punto D) della prima parte della prova, indicare le caratteristiche principali del protocollo che si è inteso utilizzare.
L’argomento della domanda è un classico argomento da manuale, ampiamente trattato e studiato in classe. Approfondire i concetti di VPN Secure, Trusted, Hybrid, il protocollo IPSec. Lo studente più pigro, trova una sintesi anche sul manuale Cremonini di Informatica & TLC se utilizzabile durante lo scritto della seconda prova.
QUESITO N. 2
Proporre una struttura di collegamento tra i settori contabili dei due edifici, attraverso la rete Internet, che permetta agli operatori addetti alle postazioni contabili di comunicare tra loro, con particolare attenzione alla sicurezza e riservatezza dei dati che vengono scambiati tra le due reti, anche prevedendo l’acquisizione di ulteriori indirizzi IP statici dall’ISP.
Il quesito fa riferimento ad un collegamento non dedicato tra due edifici attraverso una rete pubblica pre-esistente. In realtà il tema è molto generico e di quotidiana esigenza per le aziende con sedi distaccate anche svariati chilometri o che hanno dipendenti che devono accedere da remoto alle risorse aziendali, come dipendenti a lavoro da casa, commerciali in viaggio e simili. L’idea è quella di predisporre un router alla frontiera dell’edificio con interfaccia ADSL e assegnazione di almeno un indirizzo pubblico, statico o dinamico, e una configurazione del router per utilizzare la tecnologia NAT/PAT che permette a più dispositivi con indirizzo privato di “uscire” dalla rete privata verso quella pubblica. A questo punto, vista la componente hardware, per scambiare informazioni in modo sicuro è necessario utilizzare una VPN, Virtual Private Network, una tecnologia funzionante al livello 4 della pila ISO/OSI che fa uso di crittografia per rendere sicuri i pacchetti. Esempi di client VPN molto diffusi sono il Cisco AnyConnect o OpenVPN, che forniscono una comoda interfaccia di configurazione a livello applicativo anche per i meno esperti. La serie di protocolli usati alla base delle creazione di una VPN prende il nome di IPSec. Notiamo come la VPN e l’uso della crittografia risolve il problema della sicurezza e riservatezza dello scambio dati su rete pubblica
QUESITO N. 3
Descrivere le caratteristiche più importanti relative alle tecniche di crittografia a chiave simmetrica ed asimmetrica.
Il quesito è un classico esempio trattato nei manuali. Lasciamo al lettore lo sviluppo della risposta.
QUESITO N. 4
Nell’ipotesi di istituire un servizio di scambio di messaggi di testo, descrivere, eventualmente anche con un esempio utilizzando un linguaggio a scelta, un socket di comunicazione di tipo client/server adatto allo scopo e definire una possibile architettura hardware.
Il quesito potrebbe essere ostico poiché trattato solitamente nella parte finale del quarto anno in Sistemi e Reti o in quinto in Tecnologie e Progettazione di Sistemi informatici e di Telecomunicazione. L’argomento è già ampiamente descritto e spiegato in questo articolo del nostro sito con una soluzione in Python.
Ultima modifica 10 Novembre 2023
Articoli simili:
Soluzione Simulazione II Prova Istituti Tecnici Informatica – Parte Sistemi e Reti (28 febbraio 2019)
Soluzione simulazione II Prova Istituti Tecnici Informatica – Parte Sistemi e Reti (2 aprile 2019)
Soluzione Esame di Stato II Prova Istituti Tecnici Informatica (20 giugno 2019)
Soluzione Esame di Stato II Prova Istituti Tecnici Informatica – Parte Sistemi e Reti (20 settembre 2019 – Sessione straordinaria)