Suite di protocolli Internet
annuncio pubblicitario
Indice Voci Suite di protocolli Internet 1 Livello applicazioni 3 HTTPS 4 Hypertext Transfer Protocol 5 Simple Mail Transfer Protocol 10 Post Office Protocol 12 Internet Message Access Protocol 14 Dynamic Host Configuration Protocol 15 Simple Network Management Protocol 18 File Transfer Protocol 21 Domain Name System 26 Telnet 34 rsync 36 Real-time Transport Protocol 39 Livello di trasporto 40 Transmission Control Protocol 42 User Datagram Protocol 50 Livello di rete 52 IPv4 53 IPsec 58 Livello datalink 65 Secure shell 70 Note Fonti e autori delle voci 74 Fonti, licenze e autori delle immagini 75 Licenze della voce Licenza 76 Suite di protocolli Internet Suite di protocolli Internet In informatica e telecomunicazioni la suite di protocolli Internet è un insieme di protocolli di rete su cui si basa il funzionamento della rete Internet. A volte, per sineddoche, è chiamata suite di protocolli TCP/IP, in funzione dei due più importanti protocolli in essa definiti: il Transmission Control Protocol (TCP) e l'Internet Protocol (IP). Storia del TCP/IP Nei primi anni settanta, la Defence Advanced Research Project Agency (DARPA) finanziò l'Università di Stanford e la BBN (Bolt, Beranek and Newman) per lo sviluppo di un insieme di protocolli di comunicazione da utilizzarsi per lo sviluppo di reti a commutazione di pacchetto, per l'interconnessione di calcolatori eterogenei. Fu così che nacque lInternet Protocol Suite i cui due protocolli più noti sono il TCP (Transmission Control Protocol) e l'IP (Internet P'rotocol). Si fa riferimento a questa architettura di rete con la sigla TCP/IP o IP/TCP (quest'ultima non è quasi mai usata). I creatori di tali protocolli di trasmissione, tuttora utilizzati nel web, sono nello specifico Robert Kahn e Vinton Cerf, a cui l'ex Presidente degli Stati Uniti George W. Bush ha consegnato la Presidential Medal of Freedom, ovvero la più alta tra le onorificenze civili a stelle e strisce, il 9 novembre 2005. I due studiosi non sono nuovi a questo genere di premiazioni: all'inizio del 2005 è stato assegnato loro il prestigioso 2004 A.M. Turing Award, equivalente del Premio Nobel nel settore dell'Information Technology. Cerf e Kahn hanno sviluppato lo standard per la trasmissione di pacchetti via rete nel lontano 1973, mentre lavoravano a un progetto di sviluppo dei sistemi di comunicazione voluto dalla DARPA (Defense Advanced Research Projects Agency). Attualmente Vint Cerf, collabora con Google alla creazione degli standard per le future applicazioni e nel frattempo si dedica allo sviluppo di nuovi protocolli di comunicazione interplanetaria per il Jet Propulsion Lab della Nasa. Robert Kahn, invece, dopo 13 anni di servizio presso la DARPA è diventato presidente della Corporation for National Research Initiatives (CNRI). Questi protocolli, utilizzabili gratuitamente da tutti perché di pubblico dominio fin dall'inizio, ottennero un elevato successo (utilizzati da un gruppo di ricercatori per ARPAnet). Questo genera alcune ambiguità dovute al fatto che il nome più corretto sarebbe Internet Protocol Suite. Per esempio succede di sentir parlare di servizi basati su TCP/IP anche quando in realtà, invece di TCP, viene usato un protocollo alternativo, UDP, anch'esso appartenente all'Internet Protocol Suite. In genere il TCP viene utilizzato per quelle applicazioni che richiedono un servizio orientato alla connessione, come ad esempio la posta elettronica e il file sharing, mentre l'UDP prende sempre più piede per le applicazioni in tempo reale come l'on-line gaming o lo streaming audio e video; la differenza fra i due protocolli risiede nella maggiore affidabilità nel trasporto dei dati di TCP, che offre una serie di servizi appositamente pensati (gestione del flusso, della congestione...), mentre UDP punta molto sulla velocità di trasmissione a scapito della affidabilità. Si tenga quindi sempre presente che la sigla TCP/IP è di utilizzo talmente comune da essere utilizzata, talvolta, anche quando esistono termini alternativi più corretti. TCP/IP è l'architettura adottata dalla rete internet. Negli anni novanta, nonostante la sua età, è stata (più o meno paradossalmente) l'unica architettura che ha interessato il mercato, al punto che gli enti di standardizzazione, di fronte al fatto compiuto della sua massiccia diffusione hanno dovuto darle la stessa dignità di ISO/OSI. Caratteristiche Tale suite può essere descritta per analogia con il modello OSI, che descrive i livelli della pila di protocolli. In una pila di protocolli ogni livello risolve una serie di problemi che riguardano la trasmissione di dati e fornisce un ben definito servizio ai livelli più alti. I livelli più alti sono logicamente più vicini all'utente e funzionano con dati più astratti lasciando ai livelli più bassi il compito di tradurre i dati in forme mediante le quali possono essere fisicamente manipolati e trasmessi infine sul canale di comunicazione. 1 Suite di protocolli Internet Il modello Internet è stato prodotto come una soluzione ad un problema ingegneristico pratico in quanto si è trattato di aggiungere via via strati protocollari all'architettura di rete delle reti locali per ottenere un'interconnessione efficiente ed affidabile. Il modello OSI, in un altro senso, invece è stato l'approccio più teorico-deduttivo ed è stato anche prodotto nel più vecchio modello di rete. Un esempio di funzionamento della suite TCP/IP Per comprendere la struttura della suite TCP/IP, si utilizza una schematizzazione a livelli. Ogni livello esegue una specifica serie di operazioni; ad ogni livello, ci si avvicina sempre più dall'interfaccia utente (quella con cui interagiamo) all'interfaccia di rete. Il messaggio trasmesso è modificato di conseguenza. Il primo livello è quello dell'applicazione: esso rappresenta l'interfaccia con l'utente ed abilita, ad esempio, la consultazione di pagine web, stabilendo e gestendo le sessioni di lavoro dei processi client del nostro browser ed un server web. Il protocollo di trasporto TCP mette in coda i messaggi generati da client e server e li trasmette sotto forma di pacchetti su di una connessione full-duplex; il buon fine della spedizione è attestato da una ricevuta di ritorno. Anche questo è un collegamento virtuale tra le due applicazioni, i cui dettagli sono demandati al successivo livello, detto di rete. Quindi, il livello di trasporto offre un servizio al livello delle applicazioni avvalendosi dei servizi del sottostante livello di rete (ed in particolare del protocollo IP). Per gestire molteplici processi attivi nel trasferimento dati sul medesimo nodo (o computer) il livello di trasporto (TCP o UDP) utilizza più numeri di porta. TCP nell'invio dei pacchetti usa il meccanismo dello Sliding Window (o finestra scorrevole). Una serie di pacchetti viene inviata da TCP seguendo delle regole ben precise: • • • • Ad ogni finestra di pacchetti spedita il trasmettitore fa partire un timeOut. Il Ricevitore invia per ogni pacchetto ricevuto un ACK indicando il successivo pacchetto atteso. Il trasmettitore considera quindi spediti tutti i pacchetti precedenti. Se il timeout scade oppure sono ricevuti 3 ACK duplicati, TCP assume si sia verificata la perdita di uno o più pacchetti e provvede ad implementare opportune strategie di ritrasmissione dei dati e di controllo della congestione. Questa è una tecnica molto importante perché fornisce un canale di comunicazione affidabile. Inoltre TCP contiene meccanismi per gestire la congestione ed il controllo di flusso. Internet Protocol (IP) è il protocollo di InternetWorking del modello DOD/DARPA (secondo il modello OSI è classificato nel livello rete). Esso si occupa di gestire l'indirizzamento dei nodi e l'instradamento. A ciascun nodo viene infatti assegnato un indirizzo IP che lo identificherà in modo non ambiguo in rete. Le funzionalità di instradamento, invece, consentono di selezionare il percorso migliore per veicolare un messaggio verso un dato nodo destinatario, noto che sia il suo indirizzo IP. Al livello di collegamento si decide come fare il trasferimento del messaggio per ogni singolo tratto del percorso: dal computer del browser al primo router, dal primo router al secondo, dal secondo al terzo e dal terzo al computer del server. Questo è un collegamento virtuale tra due computer (o router) adiacenti. Anche in questo caso le interfacce di comunicazione dei nodi adiacenti saranno individuate per mezzo di un indirizzo univoco, usualmente denominato indirizzo MAC. Il livello fisico, che è l'ultimo, trasmette il messaggio sul canale di comunicazione usualmente sotto forma di onde elettromagnetiche, sebbene sia anche possibile utilizzare onde acustiche (come ad esempio nelle reti di sensori sottomarine). 2 Suite di protocolli Internet Collegamenti esterni • Introduzione al TCP/IP [1] Note [1] http:/ / www. oscene. net/ it/ sysadmin/ networking/ lo-stack-tcpip-introduzione Livello applicazioni In telecomunicazioni il livello applicazioni è il settimo ed ultimo livello del modello OSI per reti di calcolatori. La sua funzione è quella di interfacciare e fornire servizi per i processi delle applicazioni; inoltra quindi le richieste al sottostante livello di presentazione. Un programma applicativo interagisce con uno dei protocolli di livello di trasporto per ricevere dati o inviarli passandoli nella forma richiesta.[1][2] Tra i servizi più comuni offerti dal livello applicazioni ci sono le conversioni semantiche tra processi applicativi associati. Nota: esempi di servizi usuali sono i file virtuali ed il virtual terminal. Esempi • • • • • • • • • • • • • • • • • • • • DNS HTTP SMTP SNMP POP3 FTP Network Time Protocol (NTP) Telnet Secure shell (SSH) IRC Lightweight Directory Access Protocol (LDAP) XMPP FTAM Advanced Program to Program Communications (APPC) X.400 X.500 AFP SIP ITMS AIM 3 Livello applicazioni Note [1] (EN) Application Layer Definition (http:/ / www. linfo. org/ application_layer. html). linfo.org, 16-11-2005. URL consultato il 14-5-2012. [2] (EN) Bradley Mitchell. Visual Networking Overview - The OSI Model - Application Layer (http:/ / compnetworking. about. com/ od/ basicnetworkingconcepts/ l/ blbasics_osi7. htm). about.com. URL consultato il 14-5-2012. Altri progetti • Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/ Category:Application layer protocols HTTPS In telecomunicazioni e informatica HyperText Transfer Protocol over Secure Socket Layer (HTTPS) è il risultato dell'applicazione di un protocollo di crittografia asimmetrica al protocollo di trasferimento di ipertesti HTTP. Viene utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti che potrebbero essere effettuati tramite la tecnica di attacco del man in the middle. Descrizione Nei browser web, la URI (Uniform Resource Identifier) che si riferisce a tale tecnologia ha nome di schema https ed è in tutto e per tutto analoga alle URI http. Tuttavia, la porta di default impiegata non è la 80 come in HTTP, ma la 443, mentre (trasparentemente all'utente) tra il protocollo TCP e HTTP si interpone un livello di crittografia/autenticazione come il Secure Sockets Layer (SSL) o il Transport Layer Security (TLS). In pratica viene creato un canale di comunicazione criptato tra il client e il server attraverso uno scambio di certificati; una volta stabilito questo canale al suo interno viene utilizzato il protocollo HTTP per la comunicazione. Questo tipo di comunicazione garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione. Questo sistema fu progettato dalla Netscape Communications Corporation che si occupa delle autenticazioni e delle comunicazioni crittografate ed è largamente usato nel World Wide Web per situazioni che richiedono particolari esigenze in ambito di sicurezza come per esempio il pagamento di transazioni online. In questo caso SSL garantisce la cifratura dei dati trasmessi e ricevuti su internet. Funzionamento HTTPS è un protocollo che integra l'interazione del protocollo HTTP attraverso un meccanismo di crittografia di tipo Transport Layer Security (SSL/TLS). Questa tecnica aumenta il livello di protezione contro attacchi del tipo man in the middle. La porta di default per un accesso di tipo https:// è la porta 443 (mentre per il protocollo http:// si utilizza di default la porta 80). Per impostare un web server in modo che accetti connessioni di tipo https, l'amministratore di rete deve creare un certificato digitale ovvero un documento elettronico che associa l'identità di una persona ad una chiave pubblica. Questi certificati possono essere creati dai server basati su UNIX con l'ausilio di tools come ssl-ca di OpenSSL oppure usando gensslcert di SuSE (tinyca2, CA.pl script perl, ). Questi certificati devono essere rilasciati da un certificate authority o comunque da un sistema che accerta la validità dello stesso in modo da definire la vera identità del possessore (i browser web sono creati in modo da poter verificare la loro validità tramite una lista preimpostata). In particolari situazioni (come per esempio nel caso di aziende con una rete intranet privata) è possibile avere un proprio certificato digitale che si può rilasciare ai propri utenti. 4 HTTPS 5 Questa tecnologia quindi può essere usata anche per permettere un accesso limitato ad un web server. L'amministratore spesso crea dei certificati per ogni utente che vengono caricati nei loro browser contenenti informazioni come il relativo nome e indirizzo e-mail in modo tale da permettere al server di riconoscere l'utente nel momento in cui quest'ultimo tenti di riconnettersi senza immettere nome utente e/o password. Voci correlate • Hyper Text Transfer Protocol • Strict Transport Security Collegamenti esterni • • • • RFC 2818: HTTP Over TLS [1] SSL 3.0 Specification [2] (IETF) HTTPS Everywhere [3] creato da Electronic Frontier Foundation Wikipedia con protocollo HTTPS [4] Note [1] [2] [3] [4] http:/ / tools. ietf. org/ html/ rfc2818 http:/ / tools. ietf. org/ html/ draft-ietf-tls-ssl-version3-00 https:/ / www. eff. org/ https-everywhere/ https:/ / www. wikipedia. org/ Hypertext Transfer Protocol L'HyperText Transfer Protocol (HTTP) (protocollo di trasferimento di un ipertesto) è usato come principale sistema per la trasmissione d'informazioni sul web. Le specifiche del protocollo sono gestite dal World Wide Web Consortium (W3C). Un Server HTTP generalmente resta in ascolto sulla porta 80 usando il protocollo TCP. Storia La prima versione dell'HTTP, la 0.9, risale alla fine degli anni ottanta e costituiva, insieme con il linguaggio HTML e gli URL, il nucleo base della World Wide Web (WWW) global information initiative portata avanti da Tim Berners-Lee al CERN di Ginevra per la condivisione delle informazioni tra la comunità dei fisici delle alte energie. La prima versione effettivamente disponibile del protocollo, la HTTP/1.0, venne implementata dallo stesso Berners-Lee nel 1991 e proposta come RFC 1945 [1] all'ente normatore IETF nel 1996. Con la diffusione di NCSA Mosaic, un browser grafico di facile uso, il WWW conobbe un successo crescente e divennero evidenti alcuni limiti della versione 1.0 del protocollo, in particolare: • l'impossibilità di ospitare più siti www sullo stesso server (virtual host) • il mancato riuso delle connessioni disponibili • l'insufficienza dei meccanismi di sicurezza Il protocollo venne quindi esteso nella versione HTTP/1.1, presentato come RFC 2068 nel 1997 e successivamente aggiornato nel 1999 come descritto dal RFC 2616 [2] Hypertext Transfer Protocol Funzionamento L'HTTP funziona su un meccanismo richiesta/risposta (client/server): il client esegue una richiesta e il server restituisce la risposta. Nell'uso comune il client corrisponde al browser ed il server al sito web. Vi sono quindi due tipi di messaggi HTTP: messaggi richiesta e messaggi risposta. HTTP differisce da altri protocolli di livello 7 come FTP, per il fatto che le connessioni vengono generalmente chiuse una volta che una particolare richiesta (o una serie di richieste correlate) è stata soddisfatta. Questo comportamento rende il protocollo HTTP ideale per il World Wide Web, in cui le pagine molto spesso contengono dei collegamenti (link) a pagine ospitate da altri server diminuendo così il numero di connessioni attive limitandole a quelle effettivamente necessarie con aumento quindi di efficienza (minor carico e occupazione) sia sul client che sul server. Talvolta però pone problemi agli sviluppatori di contenuti web, perché la natura senza stato (stateless) della sessione di navigazione costringe ad utilizzare dei metodi alternativi per conservare lo stato dell'utente, tipicamente basati sui cookie. Messaggio di richiesta Il messaggio di richiesta è composto di tre parti: • Riga di richiesta (request line) • Sezione header (informazioni aggiuntive) • Body (corpo del messaggio) Riga di richiesta La riga di richiesta è composta da metodo, URI e versione del protocollo. Il metodo di richiesta, per la versione 1.1, può essere uno dei seguenti: • • • • • • • • GET POST HEAD PUT DELETE TRACE OPTIONS CONNECT l'URI sta per Uniform Resource Identifier ed indica l'oggetto della richiesta (ad esempio la pagina web che si intende ottenere). I metodi HTTP più comuni sono GET, HEAD e POST. Il metodo GET è usato per ottenere il contenuto della risorsa indicata come URI (come può essere il contenuto di una pagina HTML). HEAD è analogo a GET, ma restituisce solo i campi dell'header, ad esempio per verificare la data di modifica del file. Una richiesta con metodo HEAD non prevede l'uso del body. Il metodo POST è usato di norma per inviare informazioni al server (ad esempio i dati di un form). In questo caso l'URI indica che cosa si sta inviando e il body ne indica il contenuto. 6 Hypertext Transfer Protocol Gli header della richiesta Gli header di richiesta più comuni sono: Host: Nome del server a cui si riferisce l'URI. È obbligatorio nelle richieste conformi HTTP/1.1 perché permette l'uso dei virtual host basati sui nomi. User-Agent: Identificazione del tipo di client: tipo browser, produttore, versione... Messaggio di risposta Il messaggio di risposta è di tipo testuale ed è composto da tre parti: • Riga di stato (status-line) • Sezione header • Body (contenuto della risposta) Riga di stato La riga di stato riporta un codice a tre cifre catalogato nel seguente modo: • 1xx: Informational (messaggi informativi) • 2xx: Successfull (la richiesta è stata soddisfatta) • 3xx: Redirection (non c'è risposta immediata, ma la richiesta è sensata e viene detto come ottenere la risposta) • 4xx: Client error (la richiesta non può essere soddisfatta perché sbagliata) • 5xx: Server error (la richiesta non può essere soddisfatta per un problema interno del server) I codici di risposta più comuni sono: • 200 OK. Il server ha fornito correttamente il contenuto nella sezione body. • 301 Moved Permanently. La risorsa che abbiamo richiesto non è raggiungibile perché è stata spostata in modo permanente. • 302 Found. La risorsa è raggiungibile con un altro URI indicato nel header Location. Di norma i browser eseguono la richiesta all'URI indicato in modo automatico senza interazione dell'utente. • 400 Bad Request. La risorsa richiesta non è comprensibile al server. • 404 Not Found. La risorsa richiesta non è stata trovata e non se ne conosce l'ubicazione. Di solito avviene quando l'URI è stato indicato in modo incorretto, oppure è stato rimosso il contenuto dal server. • 500 Internal Server Error. Il server non è in grado di rispondere alla richiesta per un suo problema interno. • 505 HTTP Version Not Supported. La versione di http non è supportata. Gli header della risposta Gli header della risposta più comuni sono: • Server. Indica il tipo e la versione del server. Può essere visto come l'equivalente dell'header di richiesta User-Agent • Content-Type. Indica il tipo di contenuto restituito. La codifica di tali tipi (detti Media type) è registrata presso lo IANA (Internet Assigned Number Authority ); essi sono detti tipi MIME (Multimedia Internet Message Extensions), la cui codifica è descritta nel documento RFC 1521. Alcuni tipi usuali di tipi MIME incontrati in una risposta HTML sono: • • • • text/html Documento HTML text/plain Documento di testo non formattato text/xml Documento XML image/jpeg Immagine di formato JPEG 7 Hypertext Transfer Protocol Esempi di messaggi HTTP Richiesta: GET /wiki/Pagina_principale HTTP/1.1 Connection: Keep-Alive User-Agent: Mozilla/5.0 (compatible; Konqueror/3.2; Linux) (KHTML, like Gecko) Accept: text/html, image/jpeg, image/png, text/*, image/*, */* Accept-Encoding: x-gzip, x-deflate, gzip, deflate, identity Accept-Charset: iso-8859-1, utf-8;q=0.5, *;q=0.5 Accept-Language: en Host: it.wikipedia.org (la richiesta deve terminare con una riga vuota, cioè con due "a capo" consecutivi) Risposta: HTTP/1.0 200 OK Date: Mon, 28 Jun 2004 10:47:31 GMT Server: Apache/1.3.29 (Unix) PHP/4.3.4 X-Powered-By: PHP/4.3.4 Vary: Accept-Encoding,Cookie Cache-Control: private, s-maxage=0, max-age=0, must-revalidate Content-Language: it Content-Type: text/html; charset=utf-8 Age: 7673 X-Cache: HIT from wikipedia.org Connection: close seguita dai dati richiesti. Versioni sicure Dal momento che tutto il traffico HTTP è anonimo e in chiaro, sono state sviluppate diverse alternative per garantire differenti livelli di sicurezza, in termini di • • • • cifratura del traffico; verifica di integrità del traffico; autenticazione del server; autenticazione dell'utente. La prima proposta venne direttamente da NCSA, con le versioni server 1.1 e client 2.2 che supportavano un meccanismo di autenticazione utente e cifratura dati basati su messaggi formato PEM e chiavi PGP. In seguito, sono state standardizzate due versioni sicure del protocollo HTTP chiamate SHTTP e HTTPS. La prima, modellata sulla posta cifrata S/MIME, è ormai caduta in disuso e prevede meccanismi crittografici a livello di payload: le richieste e gli header vengono scambiati in chiaro mentre il contenuto della pagina viene cifrato come una struttura MIME multipart. Il meccanismo HTTPS, inventato da Netscape, usa invece il sottostante canale cifrato a livello di trasporto mediante SSL o TLS per impedire l'intercettazione di qualsiasi parte della transazione. Entrambi i protocolli possono garantire l'identità del mittente, ma solo SHTTP è in grado di garantire anche l'integrità del contenuto dopo averlo, ad esempio, memorizzato su un disco. 8 Hypertext Transfer Protocol Streaming HTTP La fruizione nelle pagine WEB di materiale multimediale, quale audio o video viene gestito in modo del tutto analogo al download dei file, tramite un caricamento progressivo o distribuzione progressiva, dove il file viene scaricato in modo progressivo dall'inizio alla fine (tramite i protocolli Real Time Streaming Protocol e Real-time Transport Protocol) e nel caso il bit-rate sia eccessivo per la rete che lo trasporta può verificarsi un continuo ricaricamento del buffer Per evitare questi inconvenienti esistono altri sistemi alternativi, che permettono l'adattamento del file alla rete dell'utente finale, questi sistemi sono caratterizzati dai protocolli: • • • • Smooth Streaming, ideato da Microsoft[3][4] HTTP Dynamic Streaming soluzione ideata da Adobe HTTP Live Streaming soluzione ideata da Apple Octoshape è una piattaforma proprietaria di streaming multimediale, che utilizza la tecnologia per offrire un throughput migliore e rompere la congestione nell'ultimo miglio. Ha la possibilità di utilizzare una suite di tecnologie multicast per ridurre al minimo la larghezza di banda per qualsiasi CDN, ISP, emittente o del fornitore dell'ultimo miglio. Per contro queste soluzioni sono notevolmente più complesse rispetto alle tradizionali tecnologie di streaming. Alcune delle considerazioni documentate riguardano lo stoccaggio, i costi aggiuntivi per la codifica e la difficoltà nel mantenimento della qualità globale. Ci sono state anche alcune dinamiche interessanti trovate intorno alle interazioni complesse fra logica adattiva bit rate in competizione con complessa logica di controllo del flusso TCP.[5][6] Bibliografia • RFC 1945 (Specifiche HTTP 1.0) • RFC 2616 (Specifiche HTTP 1.1) Voci correlate • • • • HTTP tunneling SPDY HTTP Live Streaming Do not track header Note [1] http:/ / tools. ietf. org/ html/ rfc1945 [2] http:/ / tools. ietf. org/ html/ rfc2616 [3] IIS Smooth Streaming Technical (http:/ / download. microsoft. com/ download/ 4/ 2/ 4/ 4247C3AA-7105-4764-A8F9-321CB6C765EB/ IIS_Smooth_Streaming_Technical_Overview. pdf) [4] Smooth Streaming (http:/ / www. iis. net/ download/ smoothstreaming) [5] An Experimental Evaluation of Rate-Adaptation Algorithms in Adaptive Streaming over HTTP (http:/ / www. cc. gatech. edu/ ~sakhshab/ Saamer_MMSys11. pdf) [6] Is adaptive bit rate the yellow brick road, or fool's gold for HD streaming? (http:/ / www. fierceonlinevideo. com/ story/ adaptive-bit-rate-yellow-brick-road-or-fools-gold-hd-streaming/ 2011-01-28) 9 Hypertext Transfer Protocol Altri progetti • Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:HTTP Simple Mail Transfer Protocol Simple Mail Transfer Protocol (SMTP) è il protocollo standard per la trasmissione via internet di e-mail. In italiano si potrebbe tradurre come "Protocollo elementare di trasferimento postale". I protocolli utilizzati per ricevere posta sono invece il protocollo POP e l'IMAP. Descrizione È un protocollo relativamente semplice, testuale, nel quale vengono specificati uno o più destinatari di un messaggio, verificata la loro esistenza e il messaggio viene trasferito. È abbastanza facile verificare come funziona un server SMTP mediante un client telnet. Il protocollo SMTP utilizza come protocollo di livello transport TCP. Il client apre una sessione TCP verso il server sulla porta 25 (recentemente modificata in 587 da molti Provider per limitare lo spam). Per associare il server SMTP a un dato nome di dominio (DNS) si usa un Resource Record di tipo MX (Mail eXchange) (Tipi di record DNS). Poiché SMTP è un protocollo testuale basato sulla codifica ASCII ( in particolare ASCII NVT), non è permesso trasmettere direttamente testo composto con un diverso set di caratteri e tantomeno file binari. Lo standard MIME permette di estendere il formato dei messaggi mantenendo la compatibilità col software esistente. Per esempio, al giorno d'oggi molti server SMTP supportano l'estensione 8BITMIME, la quale permette un trasferimento di un testo che contiene caratteri accentati (non-ASCII) senza bisogno di trascodificarlo. Altri limiti di SMTP, quale la lunghezza massima di una riga, impediscono la spedizione di file binari senza trascodifica. (Nota che per i file binari inviati con HTTP si utilizza il formato MIME senza bisogno di una trascodifica.) SMTP è un protocollo che permette soltanto di inviare messaggi di posta, ma non di richiederli ad un server: per fare questo il client di posta deve usare altri protocolli, quali il POP3 (Post Office Protocol) e l'IMAP (Internet Message Access Protocol). Storia SMTP iniziò a diffondersi nei primi anni '80. A quel tempo era un'alternativa a UUCP, che era più adatto a gestire il trasferimento di e-mail fra computer la cui connessione era intermittente. L'SMTP, d'altra parte, funziona meglio se i computer sono sempre collegati alla rete. Sendmail fu uno dei primi (se non proprio il primo) mail transfer agent ad implementare il protocollo SMTP. Fino al 2001 sono stati scritti almeno 50 programmi che implementano il protocollo SMTP come client (mittente dei messaggi) o server (destinatario del messaggio). Server molto diffusi sono Exim di Philip Hazel, Postfix di Wietse Venema, qmail di D. J. Bernstein, Courier di Sam Varshavchik e Microsoft Exchange Server. 10 Simple Mail Transfer Protocol Esempio di comunicazione SMTP Quella che segue è una transazione SMTP valida. Le righe inviate dal client sono precedute da "C:", mentre quelle inviate dal server da "S:". Su molti computer si può stabilire una connessione mediante il comando telnet: telnet www.example.com 25 Questo comando apre una connessione a www.example.com sulla porta 25 di TCP. S: C: S: C: S: C: S: C: S: C: C: C: C: C: C: C: S: C: S: 220 www.example.com ESMTP Postfix HELO mydomain.com 250 Hello mydomain.com, pleased to meet you MAIL FROM: <[email protected]> 250 [email protected] ... Sender ok RCPT TO: <[email protected]> 250 [email protected] ... Recipient Ok DATA 354 End data with "." on a line by itself Subject: messaggio di prova From: [email protected] To: [email protected] Ciao, questa è una prova. . 250 Ok: queued as 12345 QUIT 221 Bye Sebbene non sia obbligatorio, quasi tutti i client richiedono al server quali estensioni del protocollo SMTP il server supporta usando il saluto EHLO. Questi client usano HELO soltanto nel caso in cui il server non risponda ad EHLO. La sicurezza del protocollo SMTP Una delle limitazioni del protocollo SMTP originario è che non gestisce l'autenticazione dei mittenti. Oltre al rischio di spam, esiste la possibilità di inviare e-mail facendo apparire come mittente l'indirizzo corrispondente ad un altro account. Senza accedere all'account di terzi, è possibile stabilire una connessione al mail-server e scrivere un messaggio in codice SMTP contenente i comandi relativi a mittente e destinatario, dare i relativi parametri e il corpo della e-mail. Per ovviare a questi problemi è stata sviluppata un'estensione chiamata SMTP-AUTH. Nonostante questo, lo spam rimane ancor oggi un grave problema dello posta eletronica. Tuttavia, non si ritiene praticabile una revisione radicale del protocollo SMTP, per via del gran numero di implementazioni del protocollo attuale (ad esempio, è stato proposto Internet Mail 2000 come protocollo alternativo). Per questo motivo sono stati proposti diversi protocolli ausiliari per assistere le transazioni SMTP. L'Anti-Spam Research Group dell'IRTF sta lavorando su varie proposte di autenticazione e-mail centrate sulla flessibilità, leggerezza e scalabilità. 11 Simple Mail Transfer Protocol Gli standard RFC (in lingua originale) • • • • • • • • RFC 821, pubblicato nel 1982 RFC 1123 pubblicato nel 1989. Correzioni all'RFC 821 RFC 1425 pubblicato nel 1993. Introduce il comando EHLO RFC 1651 pubblicato nel 1994. Rimpiazza l'RFC 1425 RFC 1869 pubblicato nel 1995. Rimpiazza l'RFC 1651 RFC 1891 pubblicato nel 1996. Corregge l'RFC 1869 RFC 2821 pubblicato nel 2001. Rimpiazza gli RFC 821, RFC 1123, RFC 1869 RFC 2822 pubblicato nel 2001. (tradotti in italiano) • RFC 1869 - Estensioni del servizio SMTP (tradotta) [1] Voci correlate • On-Demand Mail Relay • Multipurpose Internet Mail Extensions (MIME) • Mail server Note [1] http:/ / www. rfc. altervista. org/ rfctradotte. html Post Office Protocol Il Post Office Protocol (detto anche POP) è un protocollo di livello applicativo di tipo client-server che ha il compito di permettere, mediante autenticazione, l'accesso da parte del client ad un account di posta elettronica presente su di un host server e scaricare le e-mail dell'account stesso. Il protocollo per inviare posta è invece il protocollo SMTP. Descrizione Il POP (nella versione 3) rimane in attesa sulla porta 110 dell'host (di default, ma può anche essere diversa) per una connessione TCP da parte di un client. I messaggi di posta elettronica, per essere letti, devono essere scaricati sul computer (questa è una notevole differenza rispetto all'IMAP), anche se è possibile lasciarne una copia sull'host. Il protocollo POP3 non prevede alcun tipo di cifratura, quindi anche le password utilizzate per l'autenticazione fra server e client passano in chiaro. Per risolvere questo possibile problema è stata sviluppata l'estensione APOP che utilizza MD5. 12 Post Office Protocol Esempio di comunicazione POP3 Dopo aver stabilito una connessione tra il mittente (il client) e il destinatario (il server), ciò che accade è l'apertura di una sessione POP3. Nella successiva conversazione, qualsiasi cosa inviata dal client è preceduta con "C:", mentre qualsiasi cosa inviata dal server è preceduta da "S:". Su molti computer si può stabilire una connessione mediante il comando telnet: telnet www.example.com 110 Questo comando apre un collegamento POP3 verso l'host www.example.com. S:+OK <[email protected]> C:USER pippo S:+OK C:PASS pluto S:+OK C:LIST S:+OK 1 817 2 124 . C:RETR 1 S:+OK Return-Path: <[email protected]> Delivered-To: [email protected] Date: Sat, 22 Oct 2005 13:24:54 +0200 From: Mario Rossi <[email protected]> Subject: xxxx Content-Type: text/plain; charset=ISO-8859-1 testo messaggio . C:DELE 1 S:+OK C:QUIT S:+OK Voci correlate • IMAP Collegamenti esterni • • • • • RFC 937 POP versione 2 RFC 1939 POP versione 3 (traduzione in italiano [1]) RFC 1734 Il comando POP3 AUTH (traduzione in italiano [2]) RFC 1957 Osservazioni aggiuntive sull'implementazione di POP3 (traduzione in italiano [3]) RFC 3206 I codici di risposta POP SYS e AUTH (traduzione in italiano [4]) 13 Post Office Protocol Note [1] [2] [3] [4] http:/ / www. rfc. altervista. org/ rfctradotte/ rfc1939_tradotta. txt http:/ / www. rfc. altervista. org/ rfctradotte/ rfc1734_tradotta. txt http:/ / www. rfc. altervista. org/ rfctradotte/ rfc1957_tradotta. txt http:/ / www. rfc. altervista. org/ rfctradotte/ rfc3206_tradotta. txt Internet Message Access Protocol L'Internet Message Access Protocol (IMAP), a volte anche chiamato Interactive Mail Access Protocol, è un protocollo di comunicazione per la ricezione di e-mail. Il significato "Interactive Mail Access Protocol" è stato valido fino alla versione 3, dalla quarta in poi è cambiato in "Internet Message Access Protocol". L'attuale versione è la "4 revision 1". Il protocollo è stato inventato da Mark Crispin nel 1986 come alternativa più moderna all'utilizzatissimo POP. La porta predefinita del demone IMAP sull'host è la 143. Se si utilizza una connessione sicura tramite SSL, allora la porta è la 993. Differenze tra IMAP e POP Entrambi i protocolli permettono ad un client di accedere, leggere e cancellare le e-mail da un server, ma con alcune differenze. Con entrambi i protocolli, il client scarica la posta direttamente sul PC, eventualmente cancellandola dal server, ma è altresì possibile conservare copia delle proprie e-mail sul server, e scaricarle in un secondo momento da altri computer. Ecco un elenco delle caratteristiche dell'IMAP ma non del POP: • Accesso alla posta sia online che off-line Mentre si utilizza il POP3, il client si connette per scaricare i nuovi messaggi e poi si disconnette. Con l'IMAP il client rimane connesso e risponde alle richieste che l'utente fa attraverso l'interfaccia; questo permette di risparmiare tempo se ci sono messaggi di grandi dimensioni. • Più utenti possono utilizzare la stessa casella di posta Il protocollo POP assume che un solo client (utente) sia connesso ad una determinata mailbox (casella di posta), quella che gli è stata assegnata. Al contrario l'IMAP4 permette connessioni simultanee alla stessa mailbox, fornendo meccanismi per controllare i cambiamenti apportati da ogni utente. • Supporto all'accesso a singole parti MIME di un messaggio La maggior parte delle e-mail sono trasmesse nel formato MIME, che permette una struttura ad albero del messaggio, dove ogni ramo è un contenuto diverso (intestazioni, allegati o parti di esso, messaggio in un dato formato, eccetera). Il protocollo IMAP4 permette di scaricare una singola parte MIME o addirittura sezioni delle parti, per avere un'anteprima del messaggio o per scaricare una mail senza i file allegati. • Supporto per attributi dei messaggi tenuti dal server. Attraverso l'uso di attributi, tenuti sul server, definiti nel protocollo IMAP4, ogni singolo client può tenere traccia di ogni messaggio, per esempio per sapere se è già stato letto o se ha avuto una risposta. • Accesso a molteplici caselle di posta sul server Alcuni utenti, con il protocollo IMAP4, possono creare, modificare o cancellare mailbox (di solito associate a cartelle) sul server. Inoltre, questa gestione delle mailbox, permette di avere cartelle condivise tra utenti diversi. • Possibilità di fare ricerche sul server 14 Internet Message Access Protocol L'IMAP4 permette al client di chiedere al server quali messaggi soddisfano un certo criterio, per fare, per esempio, delle ricerche sui messaggi senza doverli scaricare tutti. • Supporto di un meccanismo per la definizione di estensioni Nelle specifiche dell'IMAP è descritto come un server può far sapere agli utenti se ha delle funzionalità extra. Molte estensioni dell'IMAP sono molto diffuse, ad esempio l'IMAP Idle [1]. L'IMAP è principalmente utilizzato nelle grandi network come università o aziende, dove un utente cambia postazione spesso: con il POP3, sarebbe necessario scaricare i messaggi ogni volta che si cambia pc, mentre con l'IMAP si possono scaricare solo i nuovi messaggi o accedere ad un messaggio specifico senza dover scaricare gli altri. Collegamenti esterni • Internet Message Access Protocol - version 4rev1 [2] • Interactive Mail Access Protocol - version 3 [3] • Interactive Mail Access Protocol - version 2 [4] Note [1] [2] [3] [4] http:/ / www. isode. com/ whitepapers/ imap-idle. html http:/ / www. rfc-editor. org/ rfc/ rfc3501. txt http:/ / www. rfc-editor. org/ rfc/ rfc1203. txt http:/ / www. rfc-editor. org/ rfc/ rfc1176. txt Dynamic Host Configuration Protocol In telecomunicazioni e informatica il Dynamic Host Configuration Protocol (DHCP) (protocollo di configurazione IP dinamica) è un protocollo di rete di livello applicativo che permette ai dispositivi o terminali di una certa rete locale di ricevere dinamicamente ad ogni richiesta di accesso ad una rete IP (quale ad esempio Internet) la configurazione IP necessaria per stabilire una connessione ed operare su una rete più ampia basata su Internet Protocol cioè interoperare con tutte le altre sottoreti scambiandosi dati, purché anch'esse integrate allo stesso modo con il protocollo IP. Generalità In una rete basata sul protocollo IP, ogni calcolatore ha bisogno di un indirizzo IP, scelto in modo tale che appartenga all'insieme di indirizzi possibili assegnati all'intera sottorete (cioè al Net_ID) a cui è collegato e che sia univoco, cioè non ci siano altri calcolatori che stiano già utilizzando quell'indirizzo. Il compito di assegnare manualmente gli indirizzi IP ai calcolatori comporta infatti un rilevante onere per gli amministratori di rete, soprattutto in reti di grandi dimensioni o in caso di numerosi computer che si connettono a rotazione solo a ore o giorni determinati. Inoltre gli indirizzi IPv4 (attualmente usati nella quasi totalità delle reti al mondo) con l'aumentare dei computer connessi a Internet hanno cominciato a scarseggiare, diminuendo la disponibilità di IP fissi per eventuali configurazioni statiche. DHCP supporta questo compito automaticamente ed in maniera dinamica cioè solo quando richiesto dall'host. Viene utilizzato soprattutto in reti locali, in particolare su Ethernet. In altri contesti, funzioni simili sono svolte all'interno di PPP. Una volta ricevuta la configurazione di rete la stazione o computer della rete locale diventa a tutti gli effetti un host (ospite) della rete Internet e può intraprendere sessioni di navigazione Web e tutti gli altri servizi offerti dalla Rete stessa. 15 Dynamic Host Configuration Protocol Parametri gestiti da DHCP Il protocollo DHCP viene usato anche per assegnare al computer diversi parametri necessari per il suo corretto funzionamento sulla rete a cui è collegato. Tra i più comuni, oltre all'assegnazione dinamica dell'indirizzo IP, si possono citare: • • • • • • • Maschera di sottorete Default Gateway Indirizzi dei server DNS Nome di dominio DNS di default Indirizzi dei server WINS Indirizzi dei server NTP Indirizzo di un server tftp e nome di un file da caricare per calcolatori che caricano dalla rete l'immagine del sistema operativo (si veda Preboot Execution Environment). • Parametri di configurazione del proxy WPAD Nel protocollo c'è comunque il supporto per assegnare tramite DHCP molti altri parametri, definiti nell'RFC 2132. Componenti del protocollo Il Client DHCP è un calcolatore che ha bisogno di ottenere un indirizzo IP valido per la sottorete a cui è collegato, e anche il programma che si occupa di richiedere l'indirizzo IP e configurarlo. Il Server DHCP è il calcolatore che assegna gli indirizzi IP, e anche il processo che svolge questa funzione. Talvolta questa funzione è incorporata in un router. Il DHCP relay è il calcolatore (o più spesso una funzione implementata in un router) che si occupa di inoltrare le richieste DHCP ad un server, qualora questo non sia sulla stessa sottorete. Questo componente è necessario solo se un server DHCP deve servire molteplici sottoreti. Deve esistere almeno un DHCP relay per ciascuna sottorete servita. Ogni relay deve essere esplicitamente configurato per inoltrare le richieste a uno o più server. Richiesta e attribuzione dell'indirizzo DHCP utilizza il protocollo UDP, le porte registrate sono la 67 per il server e la 68 per il client. Quando un calcolatore vuole ottenere un indirizzo tramite DHCP, attiva il processo DHCP client. In questo momento, il calcolatore non ha un indirizzo IP valido, quindi non può usare tutte le funzionalità della rete. La procedura descritta dal protocollo consta di diversi handshake tra client e server ovvero scambio di pacchetti ovviamente tutti incapsulati in frame di livello datalink come ad esempio Ethernet: • In primis il client invia un pacchetto chiamato DHCPDISCOVER in broadcast, con indirizzo IP sorgente messo convenzionalmente a 0.0.0.0, e destinazione 255.255.255.255 (indirizzo di broadcast). • Il pacchetto viene ricevuto da tutto il dominio di broadcast ed in particolare da tutti i server DHCP presenti, i quali possono rispondere (o meno) ciascuno con un pacchetto di DHCPOFFER in cui propongono un indirizzo IP e gli altri parametri di configurazione al client. Questo pacchetto di ritorno è indirizzato direttamente all'indirizzo di livello datalink del client (che non ha ancora un indirizzo IP) cioè in unicast, per cui può essere inviato solo da un server che si trovi sullo stesso dominio di broadcast. Se nel dominio di broadcast ci sono anche uno o più DHCP relay, questi inoltrano il pacchetto al loro server di riferimento, che può rispondere al client sempre attraverso il relay. Il relay agent comunica al server il proprio indirizzo IP sulla sottorete da cui ha ricevuto il pacchetto di DHCPDISCOVER, permettendo al server di capire da quale sottorete è arrivata la richiesta, e quindi offrire un indirizzo per la sottorete giusta. Un server DHCP che debba servire diverse sottoreti IP deve essere configurato per conoscere i parametri di ciascuna (indirizzo della rete, maschera di sottorete, indirizzo di broadcast, indirizzo del gateway). 16 Dynamic Host Configuration Protocol • Il client aspetta per un certo tempo di ricevere una o più offerte, dopodiché ne seleziona una, ed invia un pacchetto di DHCPREQUEST in broadcast, indicando all'interno del pacchetto, con il campo "server identifier", quale server ha selezionato. Anche questo pacchetto raggiunge tutti i server DHCP presenti sulla rete (direttamente o tramite un relay). • Il server che è stato selezionato conferma l'assegnazione dell'indirizzo con un pacchetto di DHCPACK (nuovamente indirizzato in unicast all'indirizzo di livello datalink del client, possibilmente attraverso un relay); gli altri server vengono automaticamente informati che la loro offerta non è stata scelta dal client, e che sulla sottorete è presente un altro server DHCP. Scadenza e rinnovo degli indirizzi A questo punto, il client è autorizzato ad usare l'indirizzo ricevuto per un tempo limitato, detto tempo di lease. Prima della scadenza, dovrà tentare di rinnovarlo inviando un nuovo pacchetto DHCPREQUEST al server, che gli risponderà con un DHCPACK se vuole prolungare l'assegnazione dell'indirizzo. Questi sono normali pacchetti IP unicast scambiati tra due calcolatori che hanno indirizzi validi. Se il client non riesce a rinnovare l'indirizzo, tornerà allo stato iniziale cercando di farsene attribuire un altro. Identificazione ed autenticazione dei client Il client si identifica verso il server attraverso un campo client-id dei pacchetti DHCP. Questo campo ha normalmente come valore il mac address della scheda di rete per cui si richiede l'indirizzo, ma può anche essere configurato manualmente. Questa è l'unica forma di autenticazione disponibile per DHCP, ed è piuttosto debole, in quanto utilizza un dato che viene inviato in broadcast sulla rete locale, e quindi può essere facilmente sniffato da qualunque altro calcolatore connesso alla stessa rete. Per controllare l'accesso ad una rete esistono metodi più solidi, che però richiedono un supporto da parte degli switch a cui sono collegati gli utenti, come IEEE 802.1x. Un server dovrebbe cercare di assegnare allo stesso client sempre lo stesso indirizzo IP su ciascuna sottorete, ma non ci sono garanzie che questo sia possibile, a meno che un indirizzo non sia associato esclusivamente ad un client. Il server può utilizzare il campo client-id per decidere quale indirizzo assegnare al client, o quali altri parametri passargli, o anche di non rispondere per nulla alla richiesta del client. Identificazione del server, sicurezza Il server si identifica verso il client con il proprio indirizzo IP. Un client potrebbe quindi decidere di accettare indirizzi solo da un server già noto. Qualunque calcolatore collegato ad una sottorete potrebbe fare da server DHCP per i calcolatori di quella sottorete, o da relay verso un server DHCP arbitrario. È quindi possibile che un calcolatore configurato male o deliberatamente per fini illeciti offra abusivamente indirizzi IP, creando malfunzionamenti alla rete e/o gravi problemi di sicurezza. Un calcolatore che abbia ricevuto l'indirizzo IP da un server DHCP mal configurato non sarà in grado di utilizzare la rete. Se invece il server DHCP abusivo è configurato per scopi illeciti, le conseguenze possono essere anche peggiori: esso infatti può offrire indirizzi che sa essere inutilizzati, oppure su una sottorete IP diversa da quella ufficiale, evitando così di generare conflitti con il server ufficiale, ed indicare sé stesso come default gateway. Dovrà poi ridirigere le connessioni effettuate dai client verso il gateway ufficiale utilizzando IP masquerading. A questo punto, potrà intercettare e sniffare tutto il traffico generato dai client, che potrebbero non accorgersi facilmente della differenza. Per prevenire questi rischi, alcuni switch offrono una funzionalità detta "DHCP snooping", per cui analizzano tutti i pacchetti DHCP che li attraversano, fermando quelli che non sono originati da server autorizzati. 17 Dynamic Host Configuration Protocol Visualizzare la configurazione IP I sistemi Windows offrono un comando da digitare direttamente su shell, detto ipconfig , che permette di conoscere la configurazione IP del proprio computer. I comandi sono: • ipconfig oppure • ipconfig /all L'uscita di quest'ultimo comando fornisce configurazione IP per ogni interfaccia di rete. Voci correlate • Bootstrap Protocol (BOOTP) • NAT Collegamenti esterni • RFC 2131 - Dynamic Host Configuration Protocol • RFC 1534 - Interoperation Between DHCP and BOOTP • RFC 2132 - DHCP Options and BOOTP Vendor Extensions • Sito [1] del server DHCP prodotto dall'Internet Software Consortium Note [1] http:/ / www. isc. org/ sw/ dhcp Simple Network Management Protocol In informatica e telecomunicazioni Simple Network Management Protocol (SNMP) è un protocollo di rete che appartiene alla suite di protocolli Internet definito dalla IETF (Internet Engineering Task Force). Il protocollo opera al livello 7 del modello OSI e consente la configurazione, la gestione e la supervisione (monitoring) di apparati collegati in una rete (siano essi nodi interni di commutazione come i dispositivi di rete e nodi terminali di utenza), riguardo a tutti quegli aspetti che richiedono azioni di tipo amministrativo (management). Architettura I tre componenti logici fondamentali del framework SNMP per il suo funzionamento sono: 1. sistema gestito (managed object); 2. agente di gestione (management agent o master agent) e vari subagent (su sistema gestito); 3. sistema di gestione (manager) da remoto; Ogni sistema gestito (per esempio un semplice nodo, un router, una stampante o qualsiasi altro dispositivo che fornisca un'interfaccia di gestione SNMP) ospita un agente di gestione (master agent) e solitamente un certo numero di subagent. Il master agent ha almeno il ruolo di intermediario fra il manager (che è l'applicazione remota che prende le decisioni di gestione, per esempio sotto il controllo diretto dell'operatore umano) e i subagent (che sono gli esecutori di tali decisioni). Ciascun subagent è incaricato di attuare le decisioni di gestione da parte del manager nel contesto di un particolare sottosistema o relativamente a un particolare aspetto del sistema gestito. In sistemi che forniscono meccanismi di gestione particolarmente semplici, master agent e subagent possono confluire in un unico componente software capace sia di dialogare con il manager che di attuarne le decisioni; in questo caso si parlerà semplicemente di agent. 18 Simple Network Management Protocol SNMP utilizza quindi una chiara separazione fra il protocollo di gestione e la struttura dell'oggetto gestito. Nell'architettura SNMP, per ogni sottosistema è definita una base di dati detta MIB (Management Information Base), gestita dal corrispondente subagent, la quale rappresenta lo stato del sottosistema gestito, o meglio, una proiezione di tale stato limitata agli aspetti di cui si vuole consentire la gestione. Si tratta di una base dati che si potrebbe definire, mutuando un termine dalla riflessione, "causalmente connessa": in altre parole, ogni modifica alla MIB causa un corrispondente mutamento nello stato del sottosistema rappresentato, e viceversa. Garantire questa proprietà della MIB è la funzione principale del subagent che la gestisce. L'accesso alla MIB (in lettura e scrittura) rappresenta l'interfaccia fornita al manager per gestire il sistema. Ogni MIB, pur variando nei contenuti specifici, ha la medesima struttura generale e i medesimi meccanismi generali di accesso da parte del manager (lettura e scrittura dei dati). Grazie alla connessione causale della MIB, è quindi possibile al manager agire sullo stato del sottosistema in un modo che è largamente indipendente dalle procedure concrete che devono poi essere messe in atto (dal subagent) per estrarre le informazioni di stato rappresentate nella MIB, o attuare le modifiche di stato a seguito di cambiamenti dei contenuti della MIB. Così, per esempio, si potrebbe avere un dato di MIB che rappresenta l'indirizzo IP del sistema gestito; per modificare tale indirizzo, al manager è sufficiente accedere alla MIB sovrascrivendo il dato corrispondente, prescindendo dei dettagli di come una tale modifica venga poi concretamente "attuata" sul sistema gestito attraverso l'agent o il subagent. Funzionamento Più in dettaglio, il manager dialoga con i sistemi gestiti essenzialmente in due modi: invia richieste SNMP e riceve notifiche SNMP. Porte utilizzate Viene utilizzata la porta UDP 161 per le interrogazioni e le risposte, e la porta UDP 162 come destinazione dei messaggi trap SNMP generate dagli agent SNMP. Richieste Alcuni esempi di richieste sono: 1. 2. 3. 4. GET, usata per leggere uno o più dati di MIB; GETNEXT, usata per leggere iterativamente una sequenza di dati di MIB; GETBULK, usata per leggere con una sola richiesta grandi porzioni di MIB; SET, usata per scrivere (modificare) uno o più dati di MIB. Notifiche Le notifiche sono messaggi asincroni inviati dall'agent per segnalare eventi occorsi nel sistema gestito (p.es. allarmi in caso di guasti). Le notifiche SNMP senza acknowledgement vengono comunemente chiamate trap, anche se la terminologia esatta varia a seconda della versione di SNMP in questione. Le notifiche SNMP con acknowledgment vengono invece chiamate inform. Autenticazione ed autorizzazione Per motivi di sicurezza, i sistemi facenti parte di una rete SNMP vengono raggruppati in una cosiddetta comunità. La comunità è identificata da una stringa di 32 byte e ciascun sistema può appartenere a più di una di queste comunità. L'agent SNMP accetta richieste solo da un manager della stessa comunità che si identifica e autentica con la suddetta stringa ottenendo l'autorizzazione o meno a procedere nel controllo remoto di gestione. L'autorizzazione dei membri di una comunità ad operare su un oggetto può essere di tre tipi: 19 Simple Network Management Protocol • read: il manager può interrogare l'agent solo per conoscere lo stato del sistema (solo GET o modalità di sola lettura); • write: dove il manager può anche variarne l'impostazione (GET e SET, o modalità lettura/scrittura); • trap: l'agent può inviare trap al manager. Trasporto Tipicamente, SNMP utilizza le porte UDP 161 per l'agent e 162 per il manager. Voci correlate • Amministratore di sistema • Amministratore di rete Collegamenti esterni • SimpleWeb [1] • http://www.henrys.de/daniel/download/SNMP.HTM • SNMP FAQ part 1 [2] • SNMP FAQ part 2 [3] • RFC: • • • • RFC 1157 - A Simple Network Management Protocol (SNMP) RFC 1441 - Introduction to version 2 of the Internet-standard Network Management Framework RFC 3410 - Introduction and Applicability Statements for Internet Standard Management Framework RFC 3411 - Standard 62 - An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks • RFC 3412 - Standard 62 - Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) • RFC 3413 - Standard 62 - Simple Network Management Protocol (SNMP) Application • RFC 3414 - Standard 62 - User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) • RFC 3415 - Standard 62 - View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) • RFC 3416 - Standard 62 - Version 2 of the Protocol Operations for the Simple Network Management Protocol (SNMP) • RFC 3417 - Standard 62 - Transport Mappings for the Simple Network Management Protocol (SNMP) • RFC 3418 - Standard 62 - Management Information Base (MIB) for the Simple Network Management Protocol (SNMP) • RFC 3584 - Coexistence between Version 1, Version 2, and Version 3 of the Internet-standard Network Management Framework • RFC 3512 - Configuring Networks and Devices with Simple Network Management Protocol (SNMP) • Implementazioni: • Net-SNMP: Open source SNMP implementation [4] • Netsnmpj: Open source SNMP for Java [5] • OpenSNMP: multi-threaded SNMPv3 engine [6] • Cisco: • Configuring SNMP Support [7] • Cisco SNMP command reference [8] 20 Simple Network Management Protocol • Cisco IOS MIB Tools [9] Note [1] [2] [3] [4] [5] [6] [7] [8] [9] http:/ / www. simpleweb. org http:/ / www. snmp. com/ FAQs/ snmp-faq-part1. txt http:/ / www. snmp. com/ FAQs/ snmp-faq-part2. txt http:/ / www. net-snmp. org/ http:/ / netsnmpj. sourceforge. net/ http:/ / sourceforge. net/ projects/ opensnmp/ http:/ / www. cisco. com/ univercd/ cc/ td/ doc/ product/ software/ ios122/ 122cgcr/ ffun_c/ fcfprt3/ fcf014. htm http:/ / www. cisco. com/ univercd/ cc/ td/ doc/ product/ software/ ios123/ 123cgcr/ fun_r/ cfr_1g11. pdf http:/ / www. cisco. com/ go/ mibs File Transfer Protocol Il File Transfer Protocol (FTP) (protocollo di trasferimento file), è un protocollo per la trasmissione di dati tra host basato su TCP. FTP è uno dei primi protocolli definiti ed ha subito una lunga evoluzione negli anni. La prima specifica, sviluppata presso il MIT, risale al 1971 (RFC-114 [1]). L'attuale specifica fa riferimento all'RFC-959 [2]. Gli obiettivi principali di FTP descritti nella sua RFC ufficiale sono: • • • • Promuovere la condivisione di file (programmi o dati) Incoraggiare l'uso indiretto o implicito di computer remoti. Risolvere in maniera trasparente incompatibilità tra differenti sistemi di stoccaggio file tra host. Trasferire dati in maniera affidabile ed efficiente. Altro protocollo usato per il trasporto dati in Internet è il protocollo HTTP. 21 File Transfer Protocol Il modello Dove: • PI (protocol interpreter) è l'interprete del protocollo, utilizzato da client (User-PI) e server (Server-PI) per lo scambio di comandi e risposte. In gergo comune ci si riferisce ad esso come "canale comandi". • DTP (data transfer process) è il processo di trasferimento dati, utilizzato da client (User-DTP) e server (Server-DTP) per lo scambio di dati. In gergo comune ci si riferisce ad esso come "canale dati". Funzionamento generale FTP, a differenza di altri protocolli come ad esempio HTTP, utilizza due connessioni separate per gestire comandi e dati. Un server FTP rimane tipicamente in ascolto sulla porta 21 TCP a cui si connette il client. La connessione da parte del client determinerà l'inizializzazione del canale comandi attraverso il quale client e server si scambieranno comandi e risposte. Lo scambio effettivo di dati (come ad esempio file) richiederà l'apertura del canale dati il quale può essere di due tipi. In un canale dati di tipo attivo il client apre una porta tipicamente random, tramite il canale comandi rende noto il numero di tale porta al server e attende che esso si connetta. Una volta che il server ha attivato la connessione dati al client FTP, quest'ultimo effettua il binding della porta sorgente alla porta 20 del server FTP. A tale scopo possono venire impiegati i comandi PORT o EPRT, a seconda del protocollo di rete utilizzato (tipicamente IPv4 o IPv6). In un canale dati di tipo passivo il server apre una porta tipicamente random (> 1023), tramite il canale comandi rende noto il numero di tale porta al client e attende che esso si connetta. A tale scopo possono venire impiegati i comandi PASV o EPSV, a seconda del protocollo di rete utilizzato (tipicamente IPv4 o IPv6). Sia il canale comandi sia il canale dati sono delle connessioni TCP; FTP crea un nuovo canale dati per ogni file trasferito all'interno della sessione utente, mentre il canale comandi rimane aperto per l'intera durata della sessione utente, in altre parole il canale comandi è persistente mentre il canale dati è non persistente. 22 File Transfer Protocol 23 Un server FTP offre svariate funzioni che permettono al client di interagire con il suo filesystem e i file che lo popolano, tra cui: • • • • • Download/upload di file. Resume di trasferimenti interrotti. Rimozione e rinomina di file. Creazione di directory. Navigazione tra directory. FTP fornisce inoltre un sistema di autenticazione (N.B. in chiaro) degli accessi. Il client che si connette potrebbe dover fornire delle credenziali a seconda delle quali gli saranno assegnati determinati privilegi per poter operare sul filesystem. L'autenticazione cosiddetta "anonima" prevede che il client non specifichi nessuna password di accesso e che lo stesso abbia privilegi che sono tipicamente di "sola lettura". Comandi Lista dei comandi definiti nella RFC-959 [2]. Comandi Nome Comando Parametri Descrizione Abort ABOR Interrompe trasferimento dati. Account ACCT <account-information> Informazioni account (raramente usato). Allocate ALLO <decimal-integer> Alloca spazio sufficiente per ricevere un file (raramente usato). Append (with create) APPE <pathname> Appende dati ad un file esistente. Change to parent directory CDUP Change working directory CWD <pathname> Cambia directory corrente. Delete DELE <pathname> Cancella file. Help HELP <command> Ritorna la lista dei comandi accettati dal server. Con argomento fornisce spiegazioni riguardo al comando specificato. List LIST <pathname> Lista il contenuto di una directory o le proprietà di un singolo file. Trasfer mode MODE <mode-type> Imposta la modalità di trasferimento (S=stream, B=block, C=compressed). Make directory MKD <pathname> Crea directory. Name list NLST <pathname> Ritorna il nome dei file della directory specificata. Noop NOOP Password PASS Passive PASV Data port PORT Print working directory PWD Ritorna nome della directory corrente. Logout QUIT Disconnette. Se un trasferimento è ancora in corso attende che termini prima di chiudere la sessione. Reinitialize REIN Effettua il log-off dell'utente loggato. Va alla parent directory. Non fa nulla (usato prevalentemente per prevenire disconnessioni per inattività prolungata). <password> Specifica la password dell'utente. Inizializza connessione dati passiva. <host-port> Inizializza connessione dati attiva. File Transfer Protocol 24 Restart REST <marker> Riprende il trasferimento dall'offset indicato. Retrieve RETR <pathname> Preleva file (da server a client). Remove directory RMD <pathname> Rimuove directory. Rename from RNFR <pathname> Rinomina (sorgente). Rename to RNTO <pathname> Rinomina (destinazione). Site parameters SITE <command> Manda comando specifico per il server (non standardizzato; varia tra implementazioni). Structure mount SMNT <pathname> Monta struttura (raramente usato). Status STAT <pathname> Ritorna statistiche riguardo al server. Con argomento lista il contenuto di una directory utilizzando il canale comandi. Store STOR <pathname> Spedisce un file (da client a server). Store unique STOU <pathname> Spedisce un file (da client a server) utilizzando un nome univoco. File structure STRU <structure-code> Imposta la struttura dati (F=file, R=record, P=page). Praticamente inutilizzato. Il valore di default è F. System SYST Representation type TYPE <type> Imposta la modalità di trasferimento (A=ASCII, E=EBCDIC, I=Binary, L=Local). Il valore di default è A. EBCDIC e Local sono raramente usati (esempio: unicamente su sistemi mainframe). User Name USER <username> Specifica nome utente. Ritorna tipo di sistema operativo. Codici di risposta • 1xx: Risposta positiva preliminare. L'azione richiesta è iniziata ma ci sarà un'altra risposta ad indicare che essa è effettivamente completata. • 2xx: Risposta positiva definitiva. L'azione richiesta è completata. Il client può ora mandare altri comandi. • 3xx: Risposta positiva intermedia. Il comando è stato accettato ma è necessario mandarne un secondo affinché la richiesta sia completata definitivamente. • 4xx: Risposta negativa temporanea. Il comando non è andato a buon fine ma potrebbe funzionare in un secondo momento. • 5xx: Risposta negativa definitiva. Il comando non è andato a buon fine e il client non dovrebbe più ripeterlo. • x0x: Errore di sintassi. • x1x: Risposta ad una richiesta informativa. • x2x: Risposta relativa alla connessione. • x3x: Risposta relativa all'account e/o ai permessi. • x4x: Non meglio specificato. • x5x: Risposta relativa al file-system. File Transfer Protocol Problemi relativi alla sicurezza La specifica originale di FTP non prevede alcuna cifratura per i dati scambiati tra client e server. Questo comprende nomi utenti, password, comandi, codici di risposta e file trasferiti i quali possono essere "sniffati" o visionati da malintenzionati in determinate situazioni (esempio: ambienti intranet). Il problema è comune a diversi altri protocolli utilizzati prima della diffusione di SSL quali HTTP, TELNET e SMTP. Per ovviare al problema è stata definita una nuova specifica che aggiunge al protocollo FTP originale un layer di cifratura SSL/TLS più una nuova serie di comandi e codici di risposta. Il protocollo prende il nome di FTPS ed è definito nella RFC-4217 [3]. Da non confondersi con SFTP che è comunque una valida alternativa per ovviare al problema descritto. Applicazioni che svolgono il ruolo di trasferimento dati per il tramite di FTP FileZilla, Fire Downloader, JDownloader sono alcuni dei tanti gestori di download che permettono di trasferire i dati mediante connessione FTP. Tuttavia nei sistemi operativi, in genere, si può effettuare l'accesso anche tramite riga di comando. Collegamenti esterni • • • • (EN) RFC 959 FTP (traduzione in italiano [4]) (EN) RFC 2228 FTP Security Extensions (EN) RFC 2640 Internationalization of FTP (EN) RFC 4217 Securing FTP with TLS Note [1] [2] [3] [4] http:/ / www. networksorcery. com/ enp/ protocol/ ftp. htm http:/ / www. faqs. org/ rfcs/ rfc959. html http:/ / www. faqs. org/ rfcs/ rfc4217. html http:/ / www. rfc. altervista. org/ rfctradotte/ rfc959_tradotta. txt 25 Domain Name System Domain Name System Il sistema dei nomi a dominio, in inglese Domain Name System (spesso indicato con l'acronimo DNS), è un sistema utilizzato per la risoluzione di nomi dei nodi della rete (in inglese host) in indirizzi IP e viceversa. Il servizio è realizzato tramite un database distribuito, costituito dai server DNS. Descrizione Il nome DNS denota anche il protocollo che regola il funzionamento del servizio, i programmi che lo implementano, i server su cui questi girano, l'insieme di questi server che cooperano per fornire il servizio. I nomi DNS, o "nomi di dominio", sono una delle caratteristiche più visibili di Internet. C'è confusione in merito alla definizione dell'acronimo: la S spesso viene interpretata come service, ma la definizione corretta è system. L'operazione di convertire un nome in un indirizzo è detta risoluzione DNS, convertire un indirizzo IP in nome è detto risoluzione inversa. Motivazioni ed utilizzi • La possibilità di attribuire un nome testuale facile da memorizzare a un server (ad esempio un sito world wide web) migliora di molto l'uso del servizio, in quanto noi esseri umani troviamo più facile ricordare nomi testuali (mentre gli host e i router sono raggiungibili utilizzando gli indirizzi IP numerici). Per questo, il DNS è fondamentale per l'ampia diffusione di internet anche tra utenti non tecnici, ed è una delle sue caratteristiche più visibili. • È possibile attribuire più nomi allo stesso indirizzo IP (o viceversa) per rappresentare diversi servizi o funzioni forniti da uno stesso host (o più host che erogano lo stesso servizio). Questa flessibilità risulta utile in molti casi: • Nel caso in cui si debba sostituire il server che ospita un servizio, o si debba modificare il suo indirizzo IP, è sufficiente modificare il record DNS, senza dover intervenire sui client. • Un utilizzo molto popolare di questa possibilità è il cosiddetto virtual hosting basato sui nomi, una tecnica per cui un web server dotato di una singola interfaccia di rete e di singolo indirizzo IP può ospitare più siti web, usando l'indirizzo alfanumerico trasmesso nell'header HTTP per identificare il sito per cui viene fatta la richiesta. • Utilizzando nomi diversi per riferirsi ai diversi servizi erogati da un host, è possibile spostare una parte dei servizi su un altro host, e spostare i client su questo nuovo host modificando il suo record nel DNS. • Facendo corrispondere più indirizzi IP a un nome, il carico dei client viene distribuito su diversi server, ottenendo un aumento delle prestazioni complessive del servizio e una tolleranza ai guasti (ma è necessario assicurarsi che i diversi server siano sempre allineati, ovvero offrano esattamente lo stesso servizio ai client). • La risoluzione inversa è utile per identificare l'identità di un host, o per leggere il risultato di un traceroute. • Il DNS viene usato da numerose tecnologie in modo poco visibile agli utenti, per organizzare le informazioni necessarie al funzionamento del servizio. 26 Domain Name System Storia Il DNS fu ideato il 23 giugno 1983 da Paul Mockapetris, Jon Postel e Craig Partrige; le specifiche originali sono descritte nello standard RFC 882. Nel 1987 vennero pubblicati commenti allo standard RFC del DNS, con i nomi RFC 1034 e RFC 1035 rendendo obsolete le specifiche precedenti. Nomi DNS Un nome di dominio è costituito da una serie di stringhe separate da punti, ad esempio it.wikipedia.org. A differenza degli indirizzi IP, dove la parte più importante del numero è la prima partendo da sinistra, in un nome DNS la parte più importante è la prima partendo da destra. Questa è detta dominio di primo livello (o TLD, Top Level Domain), per esempio .org o .it. Un dominio di secondo livello consiste in due parti, per esempio wikipedia.org, e così via. Ogni ulteriore elemento specifica un'ulteriore suddivisione. Quando un dominio di secondo livello viene registrato all'assegnatario, questo è autorizzato a usare i nomi di dominio relativi ai successivi livelli come it.wikipedia.org (dominio di terzo livello) e altri come some.other.stuff.wikipedia.org (dominio di quinto livello) e così via. Record DNS Tipi di record Ad un nome DNS possono corrispondere diversi tipi di informazioni. Per questo motivo, esistono diversi tipi di record DNS. Ogni voce del database DNS deve essere caratterizzata da un tipo. I principali tipi sono: • Record A - Indica la corrispondenza tra un nome ed uno (o più) indirizzi IP (per la precisione indirizzi IPv4, ovvero la versione attualmente in uso). • Record MX - (Mail eXchange) indica a quali server debba essere inviata la posta elettronica per un certo dominio. • Record CNAME - Sono usati per creare un alias, ovvero per fare in modo che lo stesso host sia noto con più nomi. Uno degli utilizzi di questo tipo di record consiste nell'attribuire ad un host che offre più servizi un nome per ciascun servizio. In questo modo, i servizi possono poi essere spostati su altri host senza dover riconfigurare i client, ma modificando solo il DNS. • Record PTR - Il DNS viene utilizzato anche per realizzare la risoluzione inversa, ovvero per far corrispondere ad un indirizzo IP il corrispondente nome di dominio. Per questo si usano i record di tipo "PTR" (e una apposita zona dello spazio dei nomi in-addr.arpa). • Record AAAA - È come il Record A ma lavora con l'IPv6 e restituisce un indirizzo IPv6. • Record SRV - Identificano il server per un determinato servizio all'interno di un dominio. Possono essere considerati una generalizzazione dei record MX. • Record TXT - Associano campi di testo arbitrari ad un dominio. Questi campi possono contenere una descrizione informativa oppure essere utilizzati per realizzare servizi. Vi sono anche tipi di record "di servizio", necessari al funzionamento del database distribuito: • Record NS - Utilizzato per indicare quali siano i server DNS autorevoli per un certo dominio, ovvero per delegarne la gestione. • Record SOA - (Start of Authority) usato per la gestione delle zone DNS. 27 Domain Name System Nel DNS possono essere immessi altri tipi di record, alcuni folcloristici, come "LOC", usato (poco) per riportare le coordinate geografiche di un sito, altri aggiungono funzioni di sicurezza per evitare manomissioni. Per avere riferimenti su tutti questi record vedi Tipi di record DNS. Record multipli Ad uno stesso nome di dominio, possono essere associati contemporaneamente record di tipo diverso, o più record dello stesso tipo. Questo generalmente viene fatto per suddividere il carico di un server molto frequentato su più computer che offrono lo stesso servizio. Time to live I record associati ad un nome di dominio possono cambiare nel tempo, permettendo ad esempio di assegnare un nuovo indirizzo IP ad un server, facendo in modo che questo continui a rispondere al nome già noto agli utenti. A ciascun record DNS è associato un parametro detto "time to live" o TTL (tempo di vita), che indica per quanto tempo questo record può venire memorizzato in un sistema di cache DNS prima che venga considerato scaduto. Quando un server risponde ad una richiesta con un record preso dalla propria cache, assegna alla risposta il time to live residuo del record. Quindi se il record originariamente ha un TTL di 12 ore, e un server risponde ad una richiesta con un dato che ha ottenuto due ore prima, nella risposta metterà un TTL di 10 ore. Utilizzo dei nomi DNS Un nome di dominio, come per esempio it.wikipedia.org, può essere parte di un URL, come http://it.wikipedia.org/wiki/Treno, o di un indirizzo e-mail, come per esempio [email protected]. Questi sono gli strumenti più utilizzati per identificare una risorsa su Internet, il che spiega la pervasività dei nomi di dominio. Molti nomi di dominio utilizzati per server web hanno nella parte sinistra la stringa di caratteri "www", ma non è sempre necessario averla. In molti casi, ma non sempre, il nome privato del prefisso "www." porta comunque alla stessa pagina, come per esempio "ns.nl" e "www.ns.nl". Realizzazione I DNS implementano uno spazio gerarchico dei nomi, per permettere che parti di uno spazio dei nomi, conosciute come "zone", possano essere delegate da un name server ad un altro name server che si trova più in basso nella gerarchia. I nomi di dominio sono soggetti a determinate restrizioni: per esempio ogni parte del nome (quella cioè limitata dai punti nel nome) non può superare i 63 caratteri e il nome complessivo non può superare i 255 caratteri. I nomi di dominio sono anche limitati ad un sottoinsieme di caratteri ASCII; in questo modo si impedisce di scrivere nomi e parole con caratteri che non tutti hanno sulla propria tastiera. Per superare questa limitazione, il sistema di IDNA e basato sul modello Punycode, rileva stringhe Unicode in un insieme di caratteri DNS validi, venne approvato dall'ICANN e adottato da alcuni registri. 28 Domain Name System Zone, deleghe e repliche Una zona DNS è una parte dello spazio dei nomi, costituita da un dominio e i suoi sottodomini che non sono a loro volta delegati, che è sotto una stessa gestione amministrativa e quindi è gestita da uno o più server. La gestione di una zona è delegata dalla zona superiore tramite dei record di tipo NS. Ad esempio, nella zona .org ci sarà una delega per la zona wikipedia.org ai server DNS che la gestiscono. Per ragioni di ridondanza, ciascuna zona è replicata su più server, e di conseguenza la delega è costituita da più record NS, che indicano che ciascuno dei server indicati contiene le informazioni per quella zona (ovvero è autoritativo per la zona). All'interno di una zona possono essere delegate delle zone di livello inferiore, ad esempio in wikipedia.org potrebbero esistere deleghe per devel.wikipedia.org o per accounting.admin.wikipedia.org. I diversi server che sono delegati per una zona dovrebbero contenere le stesse informazioni, in modo che uno qualsiasi di questi possa rispondere ad una query per un record della zona. Lo schema di replica tipicamente prevede che ci sia un server master (primario), che è quello sul quale vengono aggiornate le informazioni, e uno o più server slave (secondari), che copiano le informazioni dal master quando necessario. Per tener traccia delle diverse "versioni" di una zona che possono esserci in circolazione, ed in particolare per permettere ad un secondario di decidere se deve trasferire la zona dal primario, ogni zona ha un numero di serie, che deve essere aumentato ogni volta che vengono fatte modifiche sul primario. Per ottenere il numero di serie di una zona presente su un server, si effettua una interrogazione di tipo SOA. Il secondario confronta il proprio numero di serie con quello del primario, e se quello del primario è superiore trasferisce la zona. L'operazione di copia di tutti i record di una zona dal master ad uno slave è detta zone transfer, e può essere completo (tutto il contenuto della zona viene copiato) o incrementale (vengono copiati solo i record modificati rispetto alla versione già presente). Alcune implementazioni di DNS permettono di modificare le zone da qualsiasi server autorevole, propagando le modifiche sugli altri server. La radice (root) dell'albero dei nomi DNS è la zona . (punto), che è gestita da un insieme di server chiamati appunto root servers. 29 Domain Name System Ricorsione In generale, per ottenere la risoluzione di un nome è necessario partire dalla radice, interrogare uno dei root server nel dominio di primo livello, ottenere il server che lo gestisce, interrogarlo nel dominio di secondo livello, fino a raggiungere il server autorevole per il nome desiderato. Questa tecnica è detta "ricorsione". Caching Alcuni server si prestano ad effettuare query ricorsive per conto di alcuni client. Una volta che hanno ottenuto una risposta, memorizzano in una cache tutte le informazioni che hanno imparato, fino alla loro scadenza. Alcune implementazioni del servizio DNS permettono di realizzare i cosiddetti servers caching only, ovvero privi di database proprio, ma utili per reindirizzare ad un server autorevole le query di risoluzione. Tale caratteristica è utile soprattutto quando la risoluzione deve essere effettuata attraverso collegamenti lenti (con velocità inferiore a 500 kbps) o firewall. Funzioni dei server Un server DNS può essere configurato per assolvere ad una o più delle seguenti funzioni: • server autorevole per una o più zone, ovvero il server su cui sono configurati i dati di una zona, e che è delegato a gestirla tramite record NS inseriti nella zona superiore. Normalmente sono presenti più server autorevoli per una zona. Molte implementazioni permettono di modificare i dati di una zona solo su un server: • primario - server autorevole su cui vengono modificati i dati di una zona • secondario - server autorevole che copia i dati di zona da un primario • server ricorsivo - il server che viene configurato in una popolazione di client, che si occupa di risolvere le query che riceve interrogando i server originali, e mantenendo una cache delle risposte ricevute • query forwarder - un server che viene configurato in una popolazione di client, che risolve le loro query non direttamente ma interrogando un server ricorsivo Origine dei dati I dati contenuti in una zona possono essere configurati da uno o più operatori, oppure possono essere alimentati da meccanismi automatici: • nelle implementazioni più semplici, i dati di zona sono memorizzati in uno o più file sul server primario • implementazioni più raffinate immagazzinano i dati in un database. In alcuni casi, questo è accessibile non solo agli operatori del servizio ma anche direttamente ai clienti (è il caso dei servizi DNS commerciali) DNS dinamico Il termine DNS dinamico, o DDNS, indica un insieme di tecnologie che permettono di inserire automaticamente in una zona DNS gli indirizzi di calcolatori che ottengono un indirizzo non predefinito, tipicamente attraverso il protocollo DHCP o PPP. A questo scopo, sono definite query DNS di "UPDATE". In una rete locale, questa funzionalità può essere utilizzata direttamente dai client, è presente nei servizi Active Directory di windows, o può essere configurata usando BIND e il server DHCP di Internet Systems Consortium (ISC). Il DDNS viene inoltre utilizzato da servizi commerciali per permettere agli utenti dial-up (modem, ADSL) di registrare un nome corrispondente all'indirizzo che viene loro assegnato di volta in volta dal loro provider. In questo modo, un host con indirizzo IP dinamico è sempre raggiungibile. Esistono client DDNS sia sotto forma di applicazioni che all'interno di router destinati al mercato domestico. 30 Domain Name System Utilizzo Per utilizzare il servizio, è necessario configurare su ciascun client uno o più server DNS di riferimento. Questi sono predisposti a effettuare query ricorsive e che effettuano servizi di caching. Quando un sistema ha la necessità di comunicare con un altro sistema, chiede al server DNS di riferimento di effettuare il processo detto di "risoluzione" del nome in un indirizzo IP. Il server effettua una ricerca all'interno del suo database per ottenere l'indirizzo IP corrispondente al sistema ricercato. Se il server interrogato possiede l'informazione richiesta, il processo di ricerca termina con l'invio dell'indirizzo IP al richiedente. Se la ricerca ha esito negativo il server effettua una richiesta "ricorsiva". Implementazione Il protocollo DNS è implementato da diversi software. Di seguito alcuni dei più diffusi: • • • • • BIND (Berkeley Internet Name Domain), il nome del più comune demone DNS usato sui sistemi Unix. DJBDNS (Dan J Bernstein's DNS implementation) Unbound, un server DNS progettato modularmente e con un riguardo particolare verso DNSSEC. MaraDNS NSD (Name Server Daemon) • PowerDNS • DDNS (Dynamic Domain Name System) Il servizio DNS alla base dei servizi di directory Microsoft incluso nelle versioni server da Windows 2000 in poi. Il DNS utilizza il protocollo di trasporto UDP e la porta 53 per soddisfare le richieste di risoluzione provenienti dagli host. I server DNS effettuano gli zone transfer usando il protocollo di trasporto TCP e la porta 53. Questa porta viene usata anche quando una query ha una risposta molto lunga. Il lato client del servizio DNS è normalmente implementato tramite librerie di sistema, che spesso lo integrano con altri servizi di risoluzione, come ad esempio WINS, NIS, o con la consultazione di file locali, in modo che un utente possa utilizzare un nome simbolico in un'applicazione ed ottenere la sua risoluzione in un indirizzo IP senza preoccuparsi di quale strumento è stato utilizzato per ottenere la risoluzione. Il sistema DNS in Internet Qualsiasi rete IP può usare il DNS per implementare un suo sistema di nomi privato. Tuttavia, il termine "nome di dominio" è più comunemente utilizzato quando esso si riferisce al sistema pubblico dei DNS su Internet. Questo è basato su 13 "root server" universali, i cui indirizzi IP sono distribuiti indipendentemente dal DNS tramite un file detto "root hints" (letteralmente: indizi per la radice). Da questi server principali, il DNS viene poi delegato ad altri server DNS che si occupano dei nomi all'interno di parti specifiche dello spazio dei nomi DNS. Dieci dei tredici root server sono, almeno nominalmente, situati negli USA. Tuttavia, dato l'accesso a molti di essi è realizzato tramite indirizzamento anycast, che permette di assegnare a più computer lo stesso indirizzo IP per fornire un servizio uniforme su vaste aree geografiche, la maggior parte dei server sono in effetti localizzati al di fuori degli Stati Uniti. Il proprietario di un nome di dominio è rintracciabile in un database chiamato Whois: per molti domini di primo livello un Whois base è gestito dalla IANA, con il Whois dettagliato mantenuto dall'autorità di registrazione che controlla quel dominio. Per i più di 240 domini nazionali l'autorità di registrazione gestisce in esclusiva il Whois per il dominio di competenza. 31 Domain Name System Politica Allocazione delle zone di primo livello L'attuale modalità di controllo del sistema DNS offre spesso alcune criticità. Alcuni root servers appartengono a società private (esempio Verisign) anche se la maggior parte sono controllati da università o altri enti (ad esempio la NASA)[1]. Non è possibile aggiungere altri root servers, o almeno, non in maniera fisica: a causa di un problema di compatibilità con il protocollo UDP devono essere visibili solo 13 zone di root servers, ma ogni zona può avere più server[2]. Utilizzi impropri Nel 2009, Paul Vixie, presidente dell'Internet Systems Consortium, ha pubblicato sul sito della Association for Computing Machinery un articolo riguardante pratiche che derivano da interpretazioni sbagliate del concetto di DNS o lo violano deliberatamente.[3] Manipolazione delle risposte Quando un client inoltra una query DNS ad un server ricorsivo, si aspetta di ottenere la risposta "corretta", ovvero il valore del record DNS richiesto oppure un messaggio di errore se il nome richiesto non esiste. Questo messaggio è noto come "NXDOMAIN" o anche come "RCODE=3". Tuttavia, alcuni gestori di server ricorsivi manipolano le risposte fornite ai propri clienti, eliminandone alcune selettivamente, oppure restituendo un indirizzo IP diverso da quello corretto. Questa tecnica può essere usata con diversi scopi: • protezione da abusi: il server DNS può filtrare le query relative a siti pericolosi per gli utenti, ad esempio a causa della distribuzione di malware, o perché usati per operazioni di phishing; • censura: vengono filtrate le query relative a siti che si vogliono rendere inaccessibili per decisione politica (del gestore della rete o di una autorità pubblica). In caso la visita o il tentativo di visita a siti "proibiti" venga qualificata come indizio di reato, la redirezione del traffico su un server diverso da quello richiesto dall'utente può permettere la raccolta degli indirizzi IP dei client, o anche in alcuni casi il furto di credenziali; • man-in-the-middle: le query vengono modificate in modo da reindirizzare tutto o parte del traffico verso un server che agisce da proxy trasparente, intercettando il traffico degli utenti. Questo permette il monitoraggio del traffico degli utenti, e quindi anche il furto di informazioni sensibili e/o credenziali; • redirezione degli errori: alle query per nomi inesistenti viene risposto con l'indirizzo IP di un server, che tipicamente ospita un motore di ricerca e tenta di aiutare gli utenti a trovare il sito cercato.[3] Queste tecniche possono essere adottate anche dai gestori di rete, redirigendo le query DNS dirette verso l'esterno su propri server mediante meccanismi di destination NAT (Network address translation). Il DNS non è stato progettato per questi utilizzi, pertanto le implicazioni sulla sicurezza degli utenti possono essere negative, in quanto le informazioni personali condivise tra un utente ed il sito che sta visitando vengono scambiate anche con siti di terzi, non autorizzati.[3] 32 Domain Name System Note [1] Sito ufficiale dei root servers - http:/ / www. root-servers. org/ [2] There are not 13 root servers (http:/ / blog. icann. org/ 2007/ 11/ there-are-not-13-root-servers/ ) [3] Paul Vixie. What DNS is Not. DNS is many things to many people - perhaps too many things to too many people (http:/ / dl. acm. org/ citation. cfm?id=1647302). novembre 2009 Articolo disponibile anche sul sito (http:/ / queue. acm. org/ detail. cfm?id=1647302) della ACM. Voci correlate • • • • • • • • Risoluzione DNS inversa Record DNS Dynamic DNS DNSSEC ICANN Nslookup Cybersquatting Nome di dominio internazionalizzato Collegamenti esterni • • • • • • • • • • • • • • • • • • • • • • • • • • DNS Security Extensions (DNSSEC) (http://www.dnssec.net/) root-servers.org (http://www.root-servers.org/) (EN) RFC 882, Domain Names - Concepts and Facilities (resa obsoleta da RFC 1034) (EN) RFC 883, Domain Names - Implementation and Specification (resa obsoleta da RFC 1035) (EN) RFC 920, Domain Requirements - Specified original top-level domains (EN) RFC 1032, Domain Administrators Guide (EN) RFC 1033, Domain Administrators Operations Guide (EN) RFC 1034, Domain Names - Concepts and Facilities (EN) RFC 1035, Domain Names - Implementation and Specification (EN) RFC 1101, DNS Encodings of Network Names and Other Types (EN) RFC 1123, Requirements for Internet Hosts—Application and Support (EN) RFC 1178, Choosing a Name for Your Computer (FYI 5) (EN) RFC 1183, New DNS RR Definitions (EN) RFC 1591, Domain Name System Structure and Delegation (Informational) (EN) RFC 1912, Common DNS Operational and Configuration Errors (EN) RFC 1995, Incremental Zone Transfer in DNS (EN) RFC 1996, A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) (EN) RFC 2100, The Naming of Hosts (Informational) (EN) RFC 2136, Dynamic Updates in the domain name system (DNS UPDATE) (EN) RFC 2181, Clarifications to the DNS Specification (EN) RFC 2182, Selection and Operation of Secondary DNS Servers (EN) RFC 2308, Negative Caching of DNS Queries (DNS NCACHE) (EN) RFC 2317, Classless IN-ADDR.ARPA delegation (BCP 20) (EN) RFC 2671, Extension Mechanisms for DNS (EDNS0) (EN) RFC 2672, Non-Terminal DNS Name Redirection (EN) RFC 2845, Secret Key Transaction Authentication for DNS (TSIG) • (EN) RFC 3225, Indicating Resolver Support of DNSSEC • (EN) RFC 3226, DNSSEC and IPv6 A6 aware server/resolver message size requirements • (EN) RFC 3597, Handling of Unknown DNS Resource Record (RR) Types 33 Domain Name System • • • • • • • • • • • • • • • • • (EN) RFC 3696, Application Techniques for Checking and Transformation of Names (Informational) (EN) RFC 4033, DNS Security Introduction and Requirements (EN) RFC 4034, Resource Records for the DNS Security Extensions (EN) RFC 4035, Protocol Modifications for the DNS Security Extensions (EN) RFC 4343, Domain Name System (DNS) Case Insensitivity Clarification (EN) RFC 4470, Minimally Covering NSEC Records and DNSSEC On-line Signing (EN) RFC 4509, Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (EN) RFC 4592, The Role of Wildcards in the Domain Name System (EN) RFC 4635, HMAC SHA TSIG Algorithm Identifiers (EN) RFC 4892, Requirements for a Mechanism Identifying a Name Server Instance (Informational) (EN) RFC 5001, DNS Name Server Identifier (NSID) Option (EN) RFC 5011, Automated Updates of DNS Security (DNSSEC) Trust Anchors (EN) RFC 5155, DNS Security (DNSSEC) Hashed Authenticated Denial of Existence (EN) RFC 5395, Domain Name System (DNS) IANA Considerations (BCP 42) (EN) RFC 5452, Measures for Making DNS More Resilient against Forged Answers' (EN) RFC 5625, DNS Proxy Implementation Guidelines (BCP 152) (EN) RFC 5702, Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource Records for DNSSEC • Accesso alle funzioni DNS in .NET (http://www.giuseppesicari.it/articoli/framework-dot-net/ domain-name-system) Telnet In informatica e telecomunicazioni Telnet è un protocollo di rete utilizzato su Internet. I documenti IETF STD 8 (RFC 854 [1] e RFC 855 [2]) dicono: L'obiettivo del protocollo TELNET è fornire un supporto per le comunicazioni sufficientemente generalizzato, bidirezionale ed orientato ai byte (otto bit). È solitamente utilizzato per fornire all'utente sessioni di login remoto di tipo riga di comando tra host su internet. Per estensione, telnet è anche il nome di un programma che un utente può usare per avviare una sessione Telnet ad un host remoto; il programma telnet implementa la parte client del protocollo. I client Telnet sono stati disponibili sulla maggior parte dei sistemi Unix per parecchi anni e sono disponibili per qualsiasi tipo di computer. In inglese to telnet è usato come verbo e significa stabilire una connessione Telnet. Caratteristiche Telnet è un protocollo client-server basato su TCP; i client solitamente si connettono alla porta 23 sul server (nonostante la porta possa essere differente, come per parecchi protocolli internet). In parte a causa della progettazione del protocollo e in parte per la flessibilità tipicamente fornita dai programmi Telnet, è possibile utilizzare un programma Telnet per stabilire una connessione interattiva ad un qualche altro servizio su un server internet. Un utilizzo classico è collegarsi col Telnet alla porta 25 (sulla quale tipicamente si trova un server SMTP) per effettuare il debugging di un server di posta. Il protocollo Telnet può essere diviso in una parte principale ed in un set di estensioni. La parte principale è descritta dalle RFC 854 e RFC 855 dell'IETF, che sono anche unite nell'STD 8, e definiscono le caratteristiche base del protocollo ed il modo di implementare le estensioni. Tra le tante estensioni, alcune sono state adottate come Standard Internet. I documenti STD dal 27 al 32 definiscono varie estensioni di Telnet, la maggior parte delle quali sono molto diffuse. Tra le estensioni rimanenti, le più importanti sono quelle proposte dall'IETF come standard; ulteriori dettagli possono esser trovati nella STD 1. 34 Telnet Come spiegato più avanti, Telnet non è sicuro e dovrebbe esser generalmente evitato. Il suo uso sulle reti pubbliche comporta seri rischi di sicurezza. Usi I client Telnet sono ancora usati occasionalmente per "parlare" ad altri servizi. Telnet è usato ogni tanto nel debug di servizi di networking come i server SMTP e HTTP, in quanto rappresenta un modo semplice per mandare comandi al server ed esaminare le risposte. Telnet può anche essere usato come un rudimentale client IRC se si possiede una conoscenza adeguata. Telnet è molto usato per i giochi Multi User Dungeon giocati in rete. Nel campo della posta elettronica Telnet ha molti validi usi, per esempio è possibile leggere la corrispondenza sulla propria mailbox, cancellarla oppure spedire missive elettroniche [3]. Visto che normalmente l'accesso alla propria casella di posta elettronica viene fatto in modo non sicuro oppure a volte da un computer pubblico, i problemi di sicurezza di Telnet non sono di ostacolo. A volte con le webmail si hanno problemi di accesso alla propria mailbox che con Telnet si possono risolvere, per esempio nel caso di superamento della memoria concessa alcune caselle si bloccano e Telnet permette di risolvere il problema. Altro particolare interessante di Telnet e la posta elettronica è la possibilità di invio di email anonime oppure email false (fake email). Se non vengono utilizzati proxy la magistratura tramite la polizia postale è in grado di individuare il mittente tramite il suo indirizzo IP. Telnet può essere utilizzato da un comune browser web, in presenza di una connessione (generalmente HTTP) già attiva ad un Internet Service Provider: Telnet è un protocollo di livello più alto di quelli del livello di trasporto dei dati, e richiede che una sessione sia già iniziata. Sicurezza Ci sono tre problemi principali legati a Telnet, che lo rendono una cattiva scelta per sistemi moderni dal punto di vista della sicurezza informatica: • Nei daemon Telnet comunemente usati sono state trovate nel corso degli anni molte vulnerabilità, e probabilmente altre esistono tuttora. • Telnet manca di uno schema di autenticazione che renda sicura le comunicazione tra due host e non intercettabile. • Telnet non cripta i dati inviati tramite la connessione (nemmeno le password) ed è quindi banale catturare i dati scambiati ed usare la password per scopi malevoli. In ambienti dove la sicurezza è importante, come la rete pubblica Internet, Telnet non dovrebbe esser usato in quanto le sessioni telnet non sono criptate. Ciò significa che chiunque abbia accesso ad un router, uno switch o un gateway posizionato sulla rete tra i due host che stanno comunicando tramite Telnet, può intercettare i pacchetti che lo attraversano e facilmente ottenere qualsiasi cosa venga scambiata (compresi nomi utente e password) con programmi di sniffing come tcpdump e Wireshark (precedentemente chiamato Ethereal). Queste falle han fatto sì che l'uso del protocollo Telnet cadesse rapidamente a favore del più sicuro protocollo SSH, rilasciato nel 1998. SSH offre tutte le funzioni di Telnet più una sicura criptazione, che previene l'intercettazione dei dati scambiati, ed un'autenticazione a chiave pubblica, che assicura l'identità del server remoto. Gli esperti di sicurezza informatica, come l'Istituto SANS ed i membri del newsgroup di comp.os.linux.security, consigliano di interrompere l'uso di Telnet per login remoti in circostanze normali. Quando Telnet è stato sviluppato all'inizio degli anni ottanta, secondo alcune fonti [4] addirittura nel 1969, la maggior parte degli utenti delle reti appartenevano a dipartimenti di istituti accademici o a centri di ricerca privati o governativi. In quest'ambiente, la sicurezza non era così importante quanto lo è oggi, con l'espansione della banda 35 Telnet 36 larga e la rete globale. Con la crescita esponenziale del numero di persone che accedono ad Internet, e quindi del numero di coloro che vogliono entrare in sistemi altrui con intenzioni malevoli, Telnet non dovrebbe essere usato in reti Internet. Note [1] [2] [3] [4] http:/ / www. ietf. org/ rfc/ rfc854. txt http:/ / www. ietf. org/ rfc/ rfc855. txt Spedire o ricevere posta con Telnet (http:/ / www. kensan. it/ articoli/ Telnet. php) http:/ / philip. greenspun. com/ ancient-history/ history-of-computer-science rsync rsync Sviluppatore Wayne Davison Ultima versione 3.0.9 (23 settembre 2011) S.O. Multipiattaforma Genere Strumenti di sistema Licenza GPL (Licenza libera) Sito web http:/ / rsync. samba. org [1] rsync è un software per Unix che sincronizza file e cartelle da una posizione all'altra minimizzando il trasferimento di dati utilizzando quando possibile la codifica delta. Un'importante caratteristica di rsync che non trova riscontri in programmi/protocolli simili è che il mirroring avviene attraverso una sola trasmissione di dati per ogni direzione di comunicazione. rsync può copiare o visualizzare il contenuto delle directory e copiare i file, utilizzando opzionalmente la compressione dei dati e la ricorsione. Per default, rsync effettua la copia attraverso una connessione TCP sulla porta 873. Algoritmo L'algoritmo usato da rsync per la trasmissione efficiente di dati (tipicamente, i contenuti di un file) a un altro computer che dispone di una versione precedente degli stessi dati è stato inventato dal programmatore Australiano Andrew Tridgell, ed è descritto brevemente nel seguito. Il ricevente spezza la sua copia del file in blocchi contigui di dimensione fissata , e per ciascuno dei blocchi calcola due checksum: la funzione hash MD4 e un checksum ciclico (meno preciso della MD4). Entrambi i valori vengono inviati al mittente. Il mittente calcola invece il checksum per tutti i possibili blocchi di lunghezza della sua versione del file, anche sovrapposti. Il calcolo può essere svolto efficientemente grazie a una proprietà del checksum ciclico: sia checksum ciclico del blocco che va dal byte valore dei byte alle posizioni e al byte , allora dipende solo da , senza che sia necessario riesaminare i byte da il e dal a . Per grandi, il risparmio è notevole. A questo punto il mittente compara i suoi checksum ciclici con quelli inviati dal ricevente, per verificare se ci sono delle corrispondenze. Se ci sono, viene calcolato e controllato anche il corrispondente hash MD4 (più costoso) per rsync verificare se i blocchi sono effettivamente identici. A questo punto, il mittente invia al ricevente solo le parti del file per cui non sono stati trovati blocchi corrispondenti, insieme a istruzioni su come ricomporre i blocchi già presenti e le parti nuove in modo da ottenere una copia esatta del file originale. Se le due versioni del file hanno molte sezioni in comune, com'è spesso il caso quando si tratta di versioni diverse dello stesso file, rsync può effettuare la sincronizzazione trasmettendo molti meno dati rispetto alla dimensione dell'intero file. Altre caratteristiche L'algoritmo descritto sopra costituisce la base del funzionamento di rsync, ma l'applicazione fornisce varie altre funzioni utili per ottimizzare il trasferimento e semplificare la creazione di copie di backup. Fra le altre, possiamo citare l'uso di algoritmi di compressione per ridurre ulteriormente la dimensione dei dati trasferiti, e il supporto al protocollo ssh per realizzare trasferimenti crittografati e quindi sicuri. In combinazione con utility UNIX standard quali cron, rsync può essere usato per implementare facilmente backup centralizzati dei dati degli utenti su un server centrale, oppure un sistema di mirroring di grandi quantità di dati. Varianti rdiff e rdiff-backup Esiste un programma di utilità chiamato rdiff che usa l'algoritmo di rsync per generare un file delta contenente la differenza fra due file A e B, nel formato usato da rsync. Il file delta può poi essere applicato in un secondo tempo al file A, trasformandolo nel file B. L'operazione svolta è analoga a quella dei comandi UNIX diff e patch, ma utilizzando un formato più efficiente per memorizzare le differenze. A differenza di diff, la creazione del file delta richiede due fasi: dapprima viene generato un piccolo file firma da A, quindi il file firma e B vengono usati per generare il file delta. Inoltre, rdiff funziona egregiamente con file binari, per cui invece non è possibile usare diff. Appoggiandosi a rdiff, un altro programma di utilità chiamato rdiff-backup mantiene un backup di un file o directory su un server remoto, memorizzando i file delta per ogni versione dei dati archiviati. Usando i delta memorizzati, si può poi ricostruire lo stato esatto dei dati in un qualunque momento fissato. rsyncX e rsyncXCD Una versione speciale di rsync per il file system del Mac OS X, rsyncX, trasferisce anche le cosiddette resource fork (dati addizionali contenuti nei file del Mac), che non sono supportate da rsync (né da altri programmi UNIX). Con Mac OS 10.4, la Apple ha inserito delle modifiche nella propria versione di rsync per fornire funzionalità analoghe. rsyncXCD è una versione di rsyncX che consente di creare partizioni di boot. Interfaccia grafica rsync non possiede una propria interfaccia grafica, ma solo quella testuale. Esiste tuttavia il programma Grsync, rilasciato sotto licenza GPL, che implementa una interfaccia grafica per rsync. Degno di nota è inoltre il progetto FlyBack che si prefigge il compito di portare il programma di backup Time Machine di Apple MacOS X 10.5 Leopard in ambiente GNU/Linux proprio utilizzando rsync come applicazione di copia dati e gli hard link in un singolo file system. 37 rsync 38 Windows Come per altre utilità UNIX, per eseguire rsync su Microsoft Windows è necessario avere installato il pacchetto Cygwin, che fornisce ai programmi una emulazione di ambiente UNIX su Windows. Sono disponibili alcuni pacchetti che includono rsync, cygwin e un programma di installazione, rendendo rsync accessibile agli utenti Windows. Fra gli altri: • • • • cwRsync [2] (Licenza MIT) NasBackup [3] (GNU General Public License), che fornisce anche un'interfaccia grafica DeltaCopy [4] (GNU General Public License), che include un'interfaccia grafica e dei servizi di programmazione. Unison file Synchronzer [5] (GNU General Public License), che fornisce anche un'interfaccia grafica Tuttavia, va notato che si possono verificare dei piccoli problemi usando rsync fra macchine con diversi sistemi operativi, in particolare per quanto riguarda le date di modifica dei file, l'accuratezza con cui vengono trasmesse alcune informazioni ausiliarie sui file (proprietario, diritti, ecc.) e le possibili ambiguità fra nomi di file in maiuscolo e minuscolo su Windows. Collegamenti esterni • (EN) La home page di rsync [6] • • • • • • • • (EN) Tutorial: Using rsync [7] Usare rsync+SSH per il backup [8] Usare rsync per il backup [9] (EN) L'algoritmo di rsync [10] (EN) La versione di rsync per [[Mac OS X [11]]] (EN) Unison, un altro tool di sincronizzazione bidirezionale [5] (EN) Grsync, interfaccia grafica per rsync basata su GTK [12] (EN) flyback, programma grafico che usa hard link ed rsync per il backup di propri file [13] Note [1] http:/ / rsync. samba. org/ [2] http:/ / itefix. no/ cwrsync [3] http:/ / sourceforge. net/ projects/ nasbackup/ [4] http:/ / www. aboutmyip. com/ AboutMyXApp/ DeltaCopy. jsp [5] http:/ / www. cis. upenn. edu/ ~bcpierce/ unison/ [6] http:/ / rsync. samba. org [7] http:/ / everythinglinux. org/ rsync/ [8] http:/ / www. unixware. it/ wiki/ ssh-rsync [9] http:/ / openskills. info/ infobox. php?ID=193 [10] http:/ / rsync. samba. org/ tech_report/ node2. html [11] http:/ / archive. macosxlabs. org/ rsyncx/ rsyncx. html [12] http:/ / www. opbyte. it/ grsync/ [13] http:/ / code. google. com/ p/ flyback/ Real-time Transport Protocol 39 Real-time Transport Protocol In telecomunicazioni l' RTP o Real-time Transport Protocol è un protocollo del livello applicazioni utilizzato per servizi di comunicazione in tempo reale su Internet. Descrizione È stato sviluppato da un gruppo di ricerca noto come Audio-Video Transport Working Group, facente capo alla IETF (Internet Engineering Task Force). Il corrispondente RFC è stato pubblicato nel 1996. RTP doveva inizialmente essere un protocollo multicast, ma viene più spesso impiegato in applicazioni unicast. È basato sul protocollo UDP e viene usato in congiunzione con RTCP (RTP Control Protocol) che monitora la qualità del servizio e trasporta le informazioni riguardo ai partecipanti ad una sessione. RTCP è sufficiente per sessioni “loosely controlled”, in cui cioè non c’è un reale controllo dei partecipanti e set-up della sessione, e non è necessario che tutti i requisiti di controllo siano soddisfatti. Per questo RTP può essere coadiuvato da un protocollo apposito per la gestione delle sessioni (come SIP o H.323). Rappresenta una delle tecnologie fondamentali nell'industria della telefonia su IP. Questo protocollo permette distribuzione di servizi che necessitano di trasferimento in tempo reale, come l'interattività audio e video. Fra questi servizi si trovano anche: • • • • l'identificazione del payload type la numerazione sequenziale la marcazione temporale (timestamp) la monitorazione. Solitamente le applicazioni pongono l'RTP sopra l'UDP per le operazioni di multiplexing e checksum, anche se può essere usato con altri protocolli di rete e trasporto sottostanti. I numeri di sequenza (sequence numbers) che troviamo nel protocollo RTP permettono all'utente che riceve i dati di ricostruire la sequenza dei pacchetti del mittente. Le conferenze multicast multimediali non sono però la sua unica capacità, anche se è stato implementato inizialmente per tale scopo. Ad esempio, trovano posto in questo protocollo la memorizzazione di un flusso dati continuo, le simulazioni interattive distribuite, le misurazioni e i controlli. Header bit offset 0-1 2 3 4-7 8 9-15 0 Ver. P X CC M PT 16-31 Sequence Number 32 Timestamp 64 SSRC identifier 96 CSRC identifiers (optional) ... I pacchetti RTP sono formati da un header di minimo 12 byte seguiti da un payload che dipende dalla specifica applicazione. L’header RTP è formato da: • • • • • Ver. (Version): (2bit) indica la versione del protocollo. La versione corrente è la numero 2. P (Padding): (1 bit) indica se è presente un byte di padding alla fine del pacchetto. X (Extension): (1 bit) indica la presenza di un Extension header tra l’header standard e il payload. CC (CSRC Count): (4 bit) contiene il numero di CSRC identifiers (definiti sotto) che seguono l’header minimo. M (Marker): (1 bit) Usato dal livello applicativo e quindi definito dal profilo specifico. Se è settato, significa che il pacchetto ha una qualche speciale rilevanza per il livello applicativo. Real-time Transport Protocol • PT (Payload Type): (7 bit) indica il formato del payload e determina la sua interpretazione dall’applicazione. Questo è specifico per ogni profilo RTP. • Sequence Number: (16 bit) il sequence number viene incrementato di uno per ogni pacchetto RTP inviato e permette al ricevente di identificare perdite di pacchetti e ripristinare l’ordine corretto. Il protocollo RTP non prende provvedimenti quanto un pacchetto viene perduto, ma lascia campo libero all’applicazione. In accordo con l’RFC 3550, il valore iniziale deve essere casuale per rendere attacchi di tipo known-plaintext più difficili. • Timestamp: (32 bit) utilizzato per permettere al ricevente di riprodurre il media ricevuto all’intervallo appropriato. La granularità dipende dall’applicazione ed è definita dallo specifico profilo RTP. • SSRC: (32 bit) il synchronization source identifier identifica in modo univoco la fonte dello stream all’interno della sessione RTP. • CSRC: (da 0 a 15, 32 bit ciascuno) gli identificatori contributing source enumerano le fonti di uno stream generato da più fonti. Il numero di identificatori CSRC è dato dal valore del campo CC. Collegamenti esterni • RFC 3550 Real-time Transport Protocol • RFC 1889 Livello di trasporto In telecomunicazioni e informatica nell'ambito delle reti di calcolatori, il livello di trasporto è il quarto dei livelli nel modello OSI. Il suo compito è di fornire servizi al soprastante livello 5 (livello sessione) e per raggiungere tale scopo sfrutta i servizi offerti dal sottostante livello 3 (livello rete). Lo scopo del livello di trasporto è fornire un canale logico-affidabile di comunicazione end-to-end per pacchetti. Funzionalità Di seguito vengono riportati i servizi che vengono, in genere, offerti dal livello di trasporto; è bene ricordare che nessuno di tali servizi è obbligatorio. Di conseguenza, per ciascuna applicazione è possibile scegliere il protocollo più adatto allo scopo. • Servizio orientato alla connessione. In genere il livello rete non stabilisce una connessione persistente verso l'host di destinazione. Il livello di trasporto si incarica, quindi, di realizzare una connessione persistente che viene poi chiusa quando non è più necessaria. • Corretto ordine di consegna. Poiché i pacchetti possono seguire percorsi diversi all'interno della rete, non c'è alcuna garanzia che i dati vengano recapitati nello stesso ordine in cui sono stati inviati. Il livello di trasporto verifica che i pacchetti vengano riordinati nella giusta sequenza in ricezione prima di passarli al livello superiore. • Trasferimento affidabile. Il protocollo si occupa di garantire che tutti i dati inviati vengano ricevuti; nel caso il servizio di rete utilizzato perda pacchetti, il protocollo di trasporto si occupa di ritrasmetterli. • Controllo di flusso. Se gli host coinvolti nella comunicazione hanno prestazioni molto differenti può capitare che un pc più veloce "inondi" di dati uno più lento portando alla perdita di pacchetti. Mediante il controllo di flusso, un host in "difficoltà" può chiedere di abbassare il tasso di trasmissione in modo da poter gestire le informazioni in ingresso. • Controllo di Congestione: il protocollo riconosce uno stato di congestione della rete e adatta di conseguenza la velocità di trasmissione. • Orientamento al Byte. Invece che gestire i dati in base ai pacchetti, viene fornita la possibilità di vedere la comunicazione come uno stream di byte, in modo da semplificarne l'utilizzo. 40 Livello di trasporto • Multiplazione. Il protocollo permette di stabilire diverse connessioni contemporanee tra gli stessi due host, tipicamente utilizzando l'astrazione delle porte. Nell'uso comune diversi servizi utilizzano porte logiche di comunicazione diverse. Il nome trasporto per tale livello può quindi trarre in inganno in quanto non implementa alcun meccanismo di trasferimento logico e fisico dei dati sul canale (multiplazione/accesso multiplo, indirizzamento e commutazione) cui ovviano i livelli architetturali inferiori attraverso i meccanismi propri del particolare modo di trasferimento adottato, bensì al contrario si occupa di supplire alle mancanze delle funzionalità del trasferimento in termini di affidabilità implementando le suddette funzioni come garanzie sul trasporto stesso cioè chiudendo il cerchio su tutto ciò che il trasporto in toto dovrebbe fare e garantire. Livello di trasporto in Internet Nello stack protocollare Internet, i protocolli di trasporto più utilizzati sono TCP e UDP. TCP è il più complicato fra i due e fornisce un servizio end-to-end orientato alla connessione e al byte, con verifica del corretto ordine di consegna, controllo di errore e di flusso. Il nome è un acronimo per Transmission Control Protocol. UDP, invece, è un protocollo più snello e fornisce un servizio a datagrammi, senza connessione, con un meccanismo di riduzione degli errori e con porte multiple. Il nome è un acronimo per User Datagram Protocol. Esempi Di seguito sono elencati alcuni protocolli di trasporto. In genere questi protocolli si basano su IP. • • • • • • • • • • • • AEP, AppleTalk Echo Protocol AMTP [1] ATP, AppleTalk Transaction Protocol NBP, Name Binding Protocol NetBEUI, NetBIOS Extended User Interface RSVP, Resource Reservation Protocol RTMP, Routing Table Maintenance Protocol SMB, Server Message Block SPX, Sequenced Packet Exchange SCTP, Stream Control Transmission Protocol TCP, Transmission Control Protocol UDP, User Datagram Protocol Note [1] http:/ / amtp. bw. org 41 Transmission Control Protocol Transmission Control Protocol In telecomunicazioni e informatica il Transmission Control Protocol (TCP), anche chiamato Transfer Control Protocol, è un protocollo di rete a pacchetto di livello di trasporto, appartenente alla suite di protocolli Internet, che si occupa di controllo di trasmissione. È definito nella RFC 793 e su di esso si appoggiano gran parte delle applicazioni della rete Internet. È presente solo sui terminali di rete (host) e non sui nodi interni di commutazione della rete di trasporto, implementato all'interno del rispettivo sistema operativo e vi si accede automaticamente dal browser attraverso l'uso di opportune chiamate di sistema definite nelle API di sistema. Descrizione Il TCP può essere classificato al livello trasporto (OSI level 4) del modello di riferimento OSI, e di solito è usato in combinazione con il protocollo di livello rete (OSI level 3) IP. La corrispondenza con il modello OSI non è perfetta, in quanto il TCP e l'IP nascono prima del suddetto modello. La loro combinazione è indicata come TCP/IP e, alle volte, è erroneamente considerata un unico protocollo. Da qui, la difficoltà di una classificazione univoca per un protocollo che comprende, a pieno titolo, due livelli dello stack OSI (o pila ISO/OSI in italiano). In linea con i dettami del livello di trasporto stabiliti dal modello ISO-OSI e con l'intento di superare il problema della mancanza di affidabilità e controllo della comunicazione sorto con l'interconessione su vasta scala di reti locali in un'unica grande rete geografica, TCP è stato progettato e realizzato per utilizzare i servizi offerti dai protocolli di rete di livello inferiore (IP e protocolli di livello fisico e livello datalink) che definiscono efficacemente il modo di trasferimento sul canale di comunicazione, ma che non offrono alcuna garanzia di affidabilità sulla consegna in termini di ritardo, perdita ed errore dei pacchetti informativi trasmessi, sul controllo di flusso tra terminali e sul controllo della congestione di rete, supplendo quindi ai problemi di cui sopra e costruendo così un canale di comunicazione affidabile tra due processi applicativi di rete. Il canale di comunicazione così costruito è costituito da un flusso bidirezionale di byte a seguito dell'instaurazione di una connessione agli estremi tra i due terminali in comunicazione. Inoltre alcune funzionalità di TCP sono vitali per il buon funzionamento complessivo di una rete IP. Sotto questo punto di vista TCP può essere considerato come un elemento di rete che si occupa di garantire una qualità di servizio minima su una rete IP sotto che è di tipo best-effort. Il TCP nacque nel 1970 come frutto del lavoro di un gruppo di ricerca del dipartimento di difesa statunitense. I suoi punti di forza sono l'alta affidabilità e robustezza. La sua popolarità si deve anche grazie ad una sua implementazione diffusa dalla Università di Berkeley, rilasciata in California sotto forma di sorgenti (TCP Berkeley). Molte tuttavia sono le implementazioni e sviluppi che si sono succedute nel tempo come evoluzioni e miglioramenti (es. TCP Tahoe, TCP Reno, TCP New Reno). Caratteristiche principali • TCP è un protocollo orientato alla connessione, ovvero prima di poter trasmettere dati deve stabilire la comunicazione, negoziando una connessione tra mittente e destinatario, che viene esplicitamente chiusa quando non più necessaria. Esso quindi possiede le funzionalità per creare, mantenere e chiudere/abbattere una connessione. • Il servizio offerto da TCP è il trasporto di un flusso di byte bidirezionale tra due applicazioni in esecuzione su host differenti. Il protocollo permette alle due applicazioni di trasmettere contemporaneamente nelle due direzioni, quindi il servizio può essere considerato "Full-Duplex" anche se non tutti i protocolli applicativi basati su TCP utilizzano questa possibilità. • Il flusso di byte viene frazionato in blocchi per la trasmissione dall'applicazione a TCP (che normalmente è implementato all'interno del sistema operativo), per la trasmissione all'interno di segmenti TCP, per la consegna all'applicazione che lo riceve, ma questa divisione in blocchi non è necessariamente la stessa nei diversi passaggi. 42 Transmission Control Protocol 43 • TCP garantisce che i dati trasmessi, se giungono a destinazione, lo facciano in ordine e una volta sola ("at most once"). Più formalmente, il protocollo fornisce ai livelli superiori un servizio equivalente ad una connessione fisica diretta che trasporta un flusso di byte. Questo è realizzato attraverso vari meccanismi di acknowledgment e di ritrasmissione su timeout. • TCP offre funzionalità di controllo di errore sui pacchetti pervenuti grazie al campo checksum contenuto nella sua PDU. • TCP possiede funzionalità di controllo di flusso tra terminali in comunicazione e controllo della congestione sulla connessione, attraverso il meccanismo della finestra scorrevole. Questo permette di ottimizzare l'utilizzo della rete anche in caso di congestione, e di condividere equamente la capacità disponibile tra diverse sessioni TCP attive su un collegamento. • TCP fornisce un servizio di multiplazione delle connessioni su un host, attraverso il meccanismo delle porte. Confronto con UDP Le principali differenze tra TCP e UDP (User Datagram Protocol), l'altro principale protocollo di trasporto della suite di protocolli Internet, sono: • mentre TCP è un protocollo orientato alla connessione, pertanto per stabilire, mantenere e chiudere una connessione, è necessario inviare pacchetti di servizio i quali aumentano l'overhead di comunicazione. Al contrario, UDP invece è senza connessione ed invia solo i datagrammi richiesti dal livello applicativo; • UDP non offre nessuna garanzia sull'affidabilità della comunicazione ovvero sull'effettivo arrivo dei datagrammi, sul loro ordine in sequenza in arrivo, al contrario il TCP tramite i meccanismi di acknowledgement e di ritrasmissione su timeout riesce a garantire la consegna dei dati, anche se al costo di un maggiore overhead (raffrontabile visivamente confrontando la dimensione delle intestazioni dei due protocolli); • l'oggetto della comunicazione di TCP è il flusso di byte mentre quello di UDP è il singolo datagramma. L'utilizzo del protocollo TCP rispetto a UDP è, in generale, preferito quando è necessario avere garanzie sulla consegna dei dati o sull'ordine di arrivo dei vari segmenti (come per esempio nel caso di trasferimenti di file). Al contrario UDP viene principalmente usato quando l'interazione tra i due host è idempotente o nel caso si abbiano forti vincoli sulla velocità e l'economia di risorse della rete (es. instant messaging). Segmento TCP La PDU di TCP è detta segmento. Ciascun segmento viene normalmente imbustato in un pacchetto IP, ed è costituito dall'intestazione (header) TCP e da un carico utile (in inglese payload), ovvero dati di livello applicativo. I dati contenuti nell'intestazione costituiscono un canale di comunicazione tra le due entità TCP, che viene utilizzato per realizzare le funzionalità dello strato di trasporto e non è accessibile agli strati dei livelli superiori. Un segmento TCP è così strutturato: TCP Header Bit offset 0 Bits 0–3 4–7 8–15 Source port 16–31 Destination port 32 Sequence number 64 Acknowledgment number 96 Data offset Reserved CWR ECE URG ACK PSH RST SYN FIN Window Size 128 Checksum Urgent pointer 160 Options (optional) 160/192+ Data Transmission Control Protocol • Source port [16 bit] - Identifica il numero di porta sull'host mittente associato alla connessione TCP. • Destination port [16 bit] - Identifica il numero di porta sull'host destinatario associato alla connessione TCP. • Sequence number [32 bit] - Numero di sequenza, indica lo scostamento (espresso in byte) dell'inizio del segmento TCP all'interno del flusso completo, a partire dall' Initial Sequence Number (ISN), negoziato all'apertura della connessione. • Acknowledgment number [32 bit] - Numero di riscontro, ha significato solo se il flag ACK è impostato a 1, e conferma la ricezione di una parte del flusso di dati nella direzione opposta, indicando il valore del prossimo Sequence number che l'host mittente del segmento TCP si aspetta di ricevere. • Data offset [4 bit] - Indica la lunghezza (in word da 32 bit) dell'header del segmento TCP; tale lunghezza può variare da 5 word (20 byte) a 15 word (60 byte) a seconda della presenza e della lunghezza del campo facoltativo Options. • Reserved [4 bit] - Bit non utilizzati e predisposti per sviluppi futuri del protocollo; dovrebbero essere settati a zero. • Flags [8 bit] - Bit utilizzati per il controllo del protocollo: • CWR (Congestion Window Reduced) - se settato a 1 indica che l'host sorgente ha ricevuto un segmento TCP con il flag ECE settato a 1 (aggiunto all'header in RFC 3168). • • • • • • ECE (ECN-Echo) - se settato a 1 indica che l'host supporta ECN (Explicit Congestion Notification) durante il 3-way handshake (aggiunto all'header in RFC 3168). • URG - se settato a 1 indica che nel flusso sono presenti dati urgenti alla posizione (offset) indicata dal campo Urgent pointer. Urgent Pointer punta alla fine dei dati urgenti; • ACK - se settato a 1 indica che il campo Acknowledgment number è valido; • PSH - se settato a 1 indica che i dati in arrivo non devono essere bufferizzati ma passati subito ai livelli superiori dell'applicazione; • RST - se settato a 1 indica che la connessione non è valida; viene utilizzato in caso di grave errore; a volte utilizzato insieme al flag ACK per la chiusura di una connessione. • SYN - se settato a 1 indica che l'host mittente del segmento vuole aprire una connessione TCP con l'host destinatario e specifica nel campo Sequence number il valore dell' Initial Sequence Number (ISN); ha lo scopo di sincronizzare i numeri di sequenza dei due host. L'host che ha inviato il SYN deve attendere dall'host remoto un pacchetto SYN/ACK. • FIN - se settato a 1 indica che l'host mittente del segmento vuole chiudere la connessione TCP aperta con l'host destinatario. Il mittente attende la conferma dal ricevente (con un FIN-ACK). A questo punto la connessione è ritenuta chiusa per metà: l'host che ha inviato FIN non potrà più inviare dati, mentre l'altro host ha il canale di comunicazione ancora disponibile. Quando anche l'altro host invierà il pacchetto con FIN impostato la connessione, dopo il relativo FIN-ACK, sarà considerata completamente chiusa. Advertise Window [16 bit] - Indica la dimensione della finestra di ricezione dell'host mittente, cioè il numero di byte che il mittente è in grado di accettare a partire da quello specificato dall'acknowledgment number. Checksum [16 bit] - Campo di controllo utilizzato per la verifica della validità del segmento. È ottenuto facendo il complemento a 1 della somma complemento a uno a 16 bit dell'intero header TCP (con il campo checksum messo a zero),dell'intero payload, con l'aggiunta di uno pseudo header composto da: indirizzo IP sorgente(32bit),indirizzo IP destinazione(32bit), un byte di zeri, un byte che indica il protocollo e due byte che indicano la lunghezza del pacchetto TCP (header + dati). Urgent pointer [16 bit] - Puntatore a dato urgente, ha significato solo se il flag URG è settato a 1 ed indica lo scostamento in byte a partire dal Sequence number del byte di dati urgenti all'interno del flusso. Options - Opzioni (facoltative) per usi del protocollo avanzati. Data - rappresenta il carico utile o payload da trasmettere cioè la PDU proveniente dal livello superiore. 44 Transmission Control Protocol Connessione Prima ancora del trasferimento dei dati su canale di comunicazione e delle operazioni di controllo di trasmissione sul flusso dei dati in ricezione, in trasmissione TCP si occupa di instaurare la connessione agli estremi tra i processi applicativi dei terminali in comunicazione attraverso la definizione del socket ovvero coppia indirizzo IP, porta sia del mittente che del destinatario. Si ricorda invece che la commutazione interna nei nodi della rete di trasporto dati segue invece tipicamente la commutazione di pacchetto ovvero senza circuito o connessione fissa dedicata tipica invece della commutazione di circuito. Il fine della connessione TCP è in ogni caso il riservamento di risorse tra processi applicativi che si scambiano informazioni o servizi tra loro (es. server e client). Al termine della connessione, TCP attua la fase dell'abbattimento della connessione. Le due procedure sono distinte e descritte a seguito. L'implementazione di applicazioni di connessione di rete a pacchetto ricade nell'ambito della cosiddetta programmazione socket. Apertura di una connessione - Three-way handshake La procedura utilizzata per instaurare in modo affidabile una connessione TCP tra due host è chiamata three-way handshake (stretta di mano in 3 passaggi), indicando la necessità di scambiare 3 messaggi tra host mittente e host ricevente affinché la connessione sia instaurata correttamente. Consideriamo ad esempio che l'host A intenda aprire una connessione TCP con l'host B; i passi da seguire quindi sono: 1. A invia un segmento SYN a B - il flag SYN è impostato a 1 e il campo Sequence number contiene il valore x che specifica l' Initial Sequence Number di A; 2. B invia un segmento SYN/ACK ad A i flag SYN e ACK sono impostati a 1, il campo Sequence number contiene il valore y che specifica l' Initial Sequence Number di B e il campo Acknowledgment number contiene il valore x+1 confermando la ricezione del ISN di A; 3. A invia un segmento ACK a B - il campo Acknowledgment number contiene il valore y+1 confermando la ricezione del ISN di B. Il terzo segmento non sarebbe, idealmente, necessario per l'apertura della connessione in quanto già dopo la ricezione da parte di A del secondo segmento, entrambi gli host hanno espresso la loro disponibilità all'apertura della connessione. Tuttavia esso risulta necessario al fine di permettere anche all'host B una stima del timeout iniziale, come tempo intercorso tra l'invio di un segmento e la ricezione del corrispondente ACK. Il flag SYN risulta utile nell'implementazione pratica del protocollo, e nella sua analisi da parte dei firewall: nel traffico TCP i segmenti SYN stabiliscono nuove connessioni, mentre quelli con il flag non attivo appartengono a connessioni già instaurate. I segmenti utilizzati durante l'handshake sono solitamente 'solo header', ossia hanno il campo Data vuoto essendo questa una fase di sincronizzazione tra i due host e non di scambio di dati. 45 Transmission Control Protocol Chiusura di una connessione - Four-way handshake Dopo che è stata stabilita, una connessione TCP non è considerata una singola connessione bidirezionale, ma piuttosto come l'affasciamento di due connessioni monodirezionali. Pertanto, ognuna delle parti deve terminare la sua connessione, e possono esistere anche connessioni aperte a metà, in cui solo uno dei due terminali ha chiuso la connessione e non può più trasmettere, ma può (e deve) ricevere i dati dall'altro terminale. Di conseguenza, la chiusura della connessione si può effettuare in due modi: con un handshake a tre vie, in cui le due parti chiudono contemporaneamente le rispettive connessioni, o con uno a quattro vie, in cui le due connessioni vengono chiuse in tempi diversi. L'handshake a 3 vie è omologo a quello usato per l'apertura della connessione, con la differenza che il flag utilizzato è il FIN invece del SYN. Un terminale invia un pacchetto con la richiesta FIN, l'altro risponde con un FIN + ACK, ed infine il primo manda l'ultimo ACK, e l'intera connessione viene terminata. L'handshake a 4 vie invece viene utilizzato quando la disconnessione non è contemporanea tra i due terminali in comunicazione. In questo caso uno dei due terminali invia la richiesta di FIN, e attende l'ACK. L'altro terminale farà poi altrettanto, generando quindi un totale di 4 pacchetti. Multiplazione e porte Ciascuna connessione TCP attiva è associata a un socket aperto da un processo (il socket è lo strumento offerto dal sistema operativo alle applicazioni per usare le funzionalità della rete). TCP si occupa di smistare i dati tra le connessioni attive ed i relativi processi. Per questo, a ciascuna connessione tra due host viene associato un numero di porta su ciascuno dei due host, che è un intero senza segno a 16 bit (0-65535), contenuto nell'apposito campo dell'header. Una connessione TCP sarà quindi identificata dagli indirizzi IP dei due host e dalle porte utilizzate sui due host. In questo modo, un server può accettare connessioni da più client contemporaneamente attraverso una o più porte, un client può stabilire più connessioni verso più destinazioni, ed è anche possibile che un client stabilisca contemporaneamente più connessioni indipendenti verso la stessa porta dello stesso server. Server e Client I due processi che comunicano attraverso una connessione TCP hanno ruoli diversi: • Il processo che avvia una nuova connessione TCP è detto client, ed invia una richiesta di connessione verso una determinata porta. • Affinché la connessione venga stabilita, su quella porta deve esserci un processo server "in ascolto", che accetta di stabilire una connessione TCP. Le porte conosciute e registrate sono quindi utilizzate dai processi server, e sono convenzionalmente associate a particolari servizi, in modo che un client sappia a quale porta connettersi per raggiungere un determinato server. Il processo server, che è in ascolto su una certa porta, rimane bloccato in attesa che un client si colleghi. Il processo client richiede di stabilire una connessione verso un determinato server su una determinata porta. Normalmente la porta sorgente usata dal client viene allocata dinamicamente dal sistema operativo del client. Quando il TCP stabilisce la connessione, a entrambi i processi viene assegnato un socket tramite cui essi possono comunicare tra 46 Transmission Control Protocol loro. Tipicamente il processo server effettua una fork, affida al figlio il compito di comunicare con il nuovo client e si rimette in ascolto. Da questo punto in poi, client e server hanno ruoli simmetrici, e utilizzano gli stessi strumenti per comunicare attraverso il socket. Affidabilità della comunicazione Consegna ordinata ed eliminazione di duplicati Il Sequence number, o numero di sequenza, serve a identificare e posizionare in maniera ordinata il carico utile del segmento TCP all'interno del flusso di dati. Con la trasmissione tipica a commutazione di pacchetto delle rete dati infatti ciascun pacchetto può seguire percorsi diversi in rete e giungere fuori sequenza in ricezione. In ricezione TCP si aspetta di ricevere il segmento successivo all'ultimo segmento ricevuto in ordine ovvero quello il cui numero di sequenza è pari al numero di sequenza dell'ultimo pervenuto in ordine più la dimensione del carico utile del segmento in attesa (cioè del suo campo Data). In relazione al numero di sequenza TCP ricevente attua le seguenti procedure: • se il numero di sequenza ricevuto è quello atteso invia direttamente il carico utile del segmento al processo di livello applicativo e libera i propri buffer. • se il numero di sequenza ricevuto è maggiore di quello atteso deduce che uno o più segmenti ad esso precedenti sono andati persi, ritardati dal livello di rete sottostante o ancora in transito sulla rete. Pertanto, memorizza temporaneamente in un buffer il carico utile del segmento ricevuto fuori sequenza per poterlo consegnare al processo applicativo solo dopo aver ricevuto e consegnato anche tutti i segmenti precedenti non ancora pervenuti passenti anch'essi per il buffer, aspettandone l'arrivo fino ad un tempo limite prefissato (time-out). All'istante di consegna del blocco ordinato di segmenti tutto il contenuto del buffer viene liberato. Dal punto di vista del processo applicativo, quindi, i dati arriveranno in ordine anche se la rete ha per qualsiasi motivo alterato questo ordine realizzando così il requisito della consegna ordinata dei dati. • se il numero di sequenza ricevuto è inferiore a quello atteso, il segmento viene considerato un duplicato di uno già ricevuto e già inviato allo strato applicativo e dunque scartato. Questo permette di realizzare l'eliminazione dei duplicati di rete. Riscontro dei pacchetti e ritrasmissione Per ogni segmento ricevuto in sequenza inoltre TCP lato ricevente invia un Acknowledgment Number o numero di riscontro dell'avvenuta ricezione. Il numero di riscontro presente in un segmento riguarda il flusso di dati nella direzione opposta. In particolare, il numero di riscontro inviato da A a B è pari al numero di sequenza atteso da A e, quindi, riguarda il flusso di dati da B ad A. In particolare il protocollo TCP adotta la politica di Conferma cumulativa, ovvero l'arrivo di numero di riscontro indica al TCP trasmittente che il ricevente ha ricevuto e correttamente inoltrato al proprio processo applicativo il segmento avente numero di sequenza pari al numero di riscontro indicato (-1) ed anche tutti i segmenti ad esso precedenti. Per tale motivo TCP lato trasmittente mantiene temporaneamente in un buffer una copia di tutti i dati inviati, ma non ancora riscontrati: quando questi riceve un numero di riscontro per un certo segmento, deduce che tutti i segmenti precedenti a quel numero sono stati ricevuti correttamente liberando il proprio buffer dai dati. La dimensione massima dei pacchetti riscontrabili in maniera cumulativa è specificata dalle dimensioni della cosiddetta finestra scorrevole. Per evitare tempi di attesa troppo lunghi o troppo corti per ciascun segmento inviato TCP lato trasmittente avvia un timer, detto timer di ritrasmissione RTO (Retransmission Time Out): se questi non riceve un ACK di riscontro per il segmento inviato prima che il timer scada, TCP assume che tutti i segmenti trasmessi a partire da questo siano andati persi e quindi procede alla ritrasmissione. 47 Transmission Control Protocol Si noti che, in TCP, il meccanismo dei numeri di riscontro non permette al ricevitore di comunicare al trasmettitore che un segmento è stato perso, ma alcuni dei successivi sono stati ricevuti (meccanismo ad Acknowledgment Number negativi), quindi è possibile che per un solo pacchetto perso ne debbano essere ritrasmessi molti. Questo comportamento non ottimale è compensato dalla semplicità del protocollo. Questa tecnica è detta Go-Back-N (vai indietro di N segmenti); l'alternativa, ovvero progettare il protocollo in modo tale che solo i pacchetti effettivamente persi vengano ritrasmessi, è detta Selective Repeat (ripetizione selettiva); l'utilizzo però di alcuni campi opzionali appositi permette l'utilizzo della ripetizione selettiva. I numeri di riscontro e i relativi timer di ritrasmissione permettono quindi di realizzare la consegna affidabile, ovvero di garantire che tutti i dati inviati siano comunque consegnati nel caso in cui qualche pacchetto possa essere perso nel transito attraverso la rete (controllo di errore in termini di riscontro di trasmissione). Controllo di flusso L'affidabilità della comunicazione in TCP è garantita anche dal cosiddetto controllo di flusso ovvero far in modo che il flusso di dati in trasmissione non superi le capacità di ricezione ovvero di memorizzazione del ricevente con perdita di pacchetti e maggior peso e latenze nelle successive richieste di ritrasmissione. Viene attuato attraverso la specifica da parte del destinatario di un opportuno campo noto come RCW_WND (finestra di ricezione) il quale specifica il numero massimo di segmenti ricevibile dal destinatario. Controllo di congestione Infine l'ultimo tipo di controllo effettuato da TCP per garantire affidabilità alla comunicazione è il cosiddetto controllo della congestione ovvero far in modo che si limitino il più possibile fenomeni di congestione all'interno della rete per eccessivo traffico sui dispositivi di rete con perdita di pacchetti in transito e maggior peso e latenze nelle successive richieste di ritrasmissione, modulando nel tempo la quantità di dati in trasmissione in funzione dello stato interno di congestione. La particolarità di tale controllo è che viene effettuato agendo sulla trasmissione agli estremi cioè sui terminali di rete e non attraverso la commutazione interna alla rete grazie alle informazioni deducibili dal terminale stesso sullo stato della trasmissione dei pacchetti. Nello specifico, una volta "stimato" lo stato di congestione interno della rete avendo scelto come parametro di riferimento la perdita di pacchetti trasmessi desunta dai mancati ACK di riscontro dei pacchetti stessi, tale controllo viene poi attuato attraverso la definizione da parte del mittente di un opportuno campo noto come C_WND (finestra di congestione) la quale assegna, dinamicamente nel tempo, il numero massimo di segmenti da trasmettere al destinatario. I timer del TCP Timer di ritrasmissione Come descritto sopra, il timer di ritrasmissione serve a verificare che ciascun segmento trasmesso venga riscontrato. La corretta impostazione di questo timer è difficile ma molto importante, in quanto un timer troppo breve comporta ritrasmissioni inutili (il timer scatta mentre il riscontro o il pacchetto sono ancora in viaggio), mentre un timer troppo lungo comporta attese in caso di effettiva perdita di pacchetti. Ovviamente tale intervallo dovrà essere almeno pari al Round Trip Time cioè al tempo di percorrenza a due vie di un pacchetto per tornare al mittente sotto forma di ACK. Tale RTT, per la natura intrinseca della commutazione di pacchetto interna alla rete, è tipicamente variabile in maniera aleatoria. TCP allora aggiusta continuamente il timer di ritrasmissione basandosi su una stima a media mobile del Round Trip Time. 48 Transmission Control Protocol Timer di persistenza Come spiegato sopra, il TCP utilizza il metodo della finestra scorrevole per gestire il controllo di flusso di dati che il ricevente è in grado di accettare dal mittente. Tra i valori validi di questo campo vi è anche lo zero, a significare che il ricevente richiede l'interruzione momentanea dell'invio di dati. Nel malaugurato caso in cui il pacchetto che riapre la finestra venga perso, il mittente del canale TCP rimarrà però in attesa indefinita. Per evitare questo, il TCP avvia un timer, detto timer di persistenza, ogni qual volta il ricevente chiude la finestra. Quando questo timer scade, il mittente invia un pacchetto sonda al ricevente, provocandone una risposta: in questo modo il mittente potrà essere sicuro che la finestra sia chiusa (ricevendo un altro pacchetto con campo Window a 0) o sbloccarsi dallo stallo (ricevendo un pacchetto con campo Window diverso da zero). Timer di keepalive La RFC 793 che definisce il protocollo TCP non prevede particolari azioni da intraprendere quando non ci sono dati da trasmettere sulla connessioni. Alcune implementazioni però consentono di trasmettere periodicamente segmenti vuoti, detti keepalive, per evitare di mantenere indefinitamente in memoria connessioni con sistemi che potrebbero anche non essere più attivi. In molti sistemi il software applicativo ha la possibilità di scegliere se abilitare o meno i keepalive per ogni connessione. Quando si usano i keepalive, è presente dunque il timer di keepalive: esso viene reimpostato alla ricezione o alla trasmissione di ogni segmento, e quando scade viene trasmesso un keepalive. Un valore tipico è di due ore. Timed wait L'ultimo timer utilizzato da TCP è il timed wait. In pratica, prima di disconnettere effettivamente una connessione, i due estremi del canale attendono un tempo pari al doppio del tempo di vita di un comune pacchetto: questo evita che dei pacchetti possano rimanere circolanti per la rete anche dopo la chiusura. Voci correlate • • • • • • • • Internet Protocol Porta (reti) Finestra scorrevole User Datagram Protocol (UDP) SCTP Controllo di errore Controllo di flusso Controllo della congestione in TCP 49 Transmission Control Protocol Collegamenti esterni • (EN) RFC 793 - Transmission Control Protocol Specifications [1] • Traduzione in italiano dell'RFC [2] • (EN) Porte di comunicazione TCP [3] Note [1] http:/ / tools. ietf. org/ html/ rfc0793 [2] http:/ / www. rfc. altervista. org/ rfctradotte/ rfc793_tradotta. txt [3] http:/ / www. answersthatwork. com/ Download_Area/ ATW_Library/ Networking/ Network__2-List_of_Common_TCPIP_port_numbers. pdf User Datagram Protocol In telecomunicazioni lo User Datagram Protocol (UDP) è uno dei principali protocolli di rete della suite di protocolli Internet. È un protocollo di livello di trasporto a pacchetto, usato di solito in combinazione con il protocollo IP. Funzionamento A differenza del TCP, l'UDP è un protocollo di tipo connectionless, inoltre non gestisce il riordinamento dei pacchetti né la ritrasmissione di quelli persi, ed è perciò generalmente considerato di minore affidabilità. È in compenso molto rapido ed efficiente per le applicazioni "leggere" o time-sensitive. Ad esempio, è usato spesso per la trasmissione di informazioni audio o video. Dato che le applicazioni in tempo reale spesso richiedono un ritmo minimo di spedizione, non vogliono ritardare eccessivamente la trasmissione dei pacchetti e possono tollerare qualche perdita di dati, il modello di servizio TCP può non essere particolarmente adatto alle loro caratteristiche. L'UDP fornisce soltanto i servizi basilari del livello di trasporto, ovvero: • multiplazione delle connessioni, ottenuta attraverso il meccanismo delle porte • verifica degli errori mediante una checksum, inserita in un campo dell'intestazione del pacchetto. mentre TCP garantisce anche il trasferimento affidabile dei dati, il controllo di flusso e il controllo della congestione. L'UDP è un protocollo stateless, ovvero non tiene nota dello stato della connessione dunque ha, rispetto al TCP, informazioni in meno da memorizzare. Un server dedicato ad una particolare applicazione che scelga UDP come protocollo di trasporto può supportare molti più client attivi. Struttura di un datagramma UDP Un datagramma (o pacchetto) UDP è così strutturato: 50 User Datagram Protocol 51 + Bit 0-15 16-31 0 Source Port (optional) Destination Port 32 Length Checksum (optional) 64+ Data • • • • Source port [16 bit] - Identifica il numero di porta sull'host del mittente del datagramma; Destination port [16 bit] - Identifica il numero di porta sull'host del destinatario del datagramma; Length [16 bit] - contiene la lunghezza totale in bytes del datagramma UDP (header+dati); Checksum [16 bit] - contiene il codice di controllo del datagramma (header+dati+pseudo-header,quest'ultimo comprendente gli indirizzi IP di sorgente e destinazione). L'algoritmo di calcolo è definito nell'RFC del protocollo; • Data - contiene i dati del messaggio Applicazioni che utilizzano UDP Le applicazioni che hanno la necessità di un trasferimento affidabile dei loro dati si affidano ovviamente a TCP. Le applicazioni più elastiche riguardo alla perdita dei dati e dipendenti dal tempo si affidano invece a UDP. Inoltre si utilizza UDP per comunicazioni in broadcast (invio a tutti i terminali in una rete locale) e multicast (invio a tutti i terminali iscritti ad un servizio). Di seguito è proposto un elenco dei principali servizi internet e dei protocolli che adottano: Applicazione Protocollo strato applicazione Protocollo strato trasporto Posta elettronica SMTP TCP Accesso a terminale remoto telnet TCP Trasferimento file FTP TCP Web HTTP TCP Streaming Audio/Video RTSP/RTP TCP (comandi) + UDP (flusso) Server di file remoto NFS tipicamente UDP Telefonia su internet (VoIP) SIP, H.323, altri tipicamente UDP Gestione della rete SNMP tipicamente UDP Protocollo di routing RIP tipicamente UDP Risoluzione dei nomi DNS tipicamente UDP Collegamenti esterni • RFC 768 User Datagram Protocol (traduzione in italiano [1]) Note [1] http:/ / www. rfc. altervista. org/ rfctradotte/ rfc768_tradotta. txt Livello di rete Livello di rete In telecomunicazioni e informatica nell'ambito delle reti di calcolatori il livello rete (Network layer) è il livello 3 della pila ISO/OSI. Questo livello riceve segmenti dal soprastante livello di trasporto e forma pacchetti che vengono passati al sottostante Livello datalink. Il compito del livello di rete è la trasmissione logica di pacchetti tra due host arbitrari, che in generale non sono direttamente connessi (ovvero non hanno un collegamento diretto tra di loro) cioè in sostanza si occupa di indirizzamento e instradamento verso la giusta destinazione attraverso il percorso di rete più appropriato. Nel modello ISO/OSI il livello di rete è l'ultimo livello presente nei commutatori della rete ovvero nei nodi interni, mentre i livelli architetturali superiori sono presenti solo nei nodi terminali.[1][2] Funzioni del livello di rete • inoltro, ovvero ricevere un pacchetto su una porta, immagazzinarlo e ritrasmetterlo su un'altra. Questa funzione è presente in tutti i nodi della rete, e può comportare l'utilizzo di protocolli di livello collegamento differenti; • frammentazione e riassemblaggio: se un pacchetto ricevuto ha una dimensione eccessiva per la rete su cui deve essere trasmesso, il livello di rete lo divide in frammenti e, in maniera complementare, si occupa di riassemblare i frammenti ricevuti al momento della consegna; • instradamento (routing), ovvero determinare il percorso ideale per la trasmissione dei dati attraverso la rete a partire dall'indirizzo IP del destinatario. Nella maggior parte dei casi, questa funzione viene svolta dinamicamente tramite appositi algoritmi, che utilizzano le informazioni provenienti dai protocolli di routing sulle condizioni della rete, le tabelle di instradamento, la priorità del servizio e altri elementi secondari; • alcuni protocolli di rete forniscono un servizio di gestione delle connessioni (x.25, Frame Relay, Asynchronous Transfer Mode), ovvero richiedono che venga stabilito un canale di comunicazione fisso e dedicato prima che due host possano iniziare a scambiarsi dati; altri protocolli invece trasportano semplicemente i datagrammi a destinazione (IP, IPX) senza connessione. I protocolli orientati alla connessione possono offrire garanzie di consegna in ordine dei pacchetti, mentre questo non avviene normalmente nei protocolli senza connessione; • funzioni talvolta presenti nel livello di rete sono il controllo della congestione, o garanzie di qualità di servizio, tipicamente basate sulla prenotazione delle risorse su tutti i nodi della rete; • nelle reti geografiche (WAN o MAN) può venire gestita la tariffazione, calcolata sulla base dei tempi di connessione e/o di altri parametri. Livello rete in IP Nel modello TCP/IP, il livello 3 viene detto livello internet oppure livello di internetworking, in quanto interconnette reti eterogenee, che possono essere basate su protocolli di livello collegamento (ad esempio ethernet, PPP) o su protocolli di rete (ad esempio Frame Relay, Asynchronous Transfer Mode), per realizzare un'unica rete in modo trasparente agli utilizzatori. La forza di IP sta proprio in questo agnosticismo rispetto al livello di rete, che permette di usare o riusare tecnologie già disponibili, e di adattarsi con naturalezza a nuove tecnologie. Osservando una rete IP costruita con tecnologie eterogenee, si può notare che alcuni nodi della rete eseguono IP (e sono detti router); altri nodi instradano pacchetti IP usando altre tecnologie di rete (che stanno sotto IP nello stack dei protocolli). Questi nodi sono normalmente detti switch o commutatori, anche se il termine per antonomasia indica specificamente lo switch ethernet. IP determina il miglior cammino (detto routing ovvero instradamento) per l’inoltro dei pacchetti, attraverso la consultazione delle tabelle di instradamento. Tali tabelle possono essere di tipo statico (realizzate manualmente dai gestori della rete) o dinamico (composte con l'utilizzo di protocolli di routing tipo l'OSPF, il RIP o il BGP che servono a popolare tali tabelle scambiando tra i vari apparati le informazioni sulle rotte conosciute). 52 Livello di rete 53 Note [1] (EN) Network Layer Definition (http:/ / www. linfo. org/ network_layer. html). linfo.org, 16-9-2005. URL consultato il 13-5-2012. [2] (EN) Bradley Mitchell. Visual Networking Overview - The OSI Model - Network Layer (http:/ / compnetworking. about. com/ od/ basicnetworkingconcepts/ l/ blbasics_osi3. htm). about.com. URL consultato il 13-5-2012. IPv4 IPv4 (Internet Protocol version 4) è la quarta revisione dell'Internet Protocol. Il protocollo è descritto nell'RFC 791, pubblicato dalla IETF nel settembre 1981, ed è il più usato a livello di rete, poiché fa parte della suite di protocolli Internet. Nel 1998 è stata suggerita una nuova versione del protocollo Internet, denominata IPv6, a causa del problema della saturazione di IPv4. Al 2011 l'IPv6 risulta tuttavia meno utilizzato rispetto alla versione 4.[1] Il pacchetto IPv4 L'header del pacchetto IPv4 consiste in 13 campi di cui 1 opzionale (segnalato nello schema con sfondo rosso) e chiamato con l'ovvio nome di Options. I campi sono inseriti col byte più significativo messo per primo (notazione big-endian) e all'interno dei singoli byte il bit più significativo è il primo (quello di indice 0). + Bits 0–3 0 Version 4–7 Internet Type of Service Header length (now DiffServ and ECN) 32 64 8–15 Identification Time to Live 16–18 19–31 Total Length Flags Fragment Offset Protocol 96 Source Address 128 Destination Address 160 Options (optional) 160 o 192+ Data Header Checksum • Versione [4 bit] - Indica la versione del datagramma IP: per IPv4, ha valore 4 (da qui il nome IPv4). • Internet Header Length (IHL) [4 bit] - Indica la lunghezza (in word da 32 bit) dell'header del datagramma IP ovvero l'offset del campo dati; tale lunghezza può variare da 5 word (20 byte) a 15 word (60 byte) a seconda della presenza e della lunghezza del campo facoltativo Options; • Type of Service (TOS) [8 bit] - Nelle specifiche iniziali del protocollo (RFC 791), questi bit servivano all'host mittente per specificare il modo e in particolare la precedenza con cui l'host ricevente doveva trattare il datagramma: • • • • • bit 0-2 : Precedenza bit 3: Latenza (0 = normale, 1 = bassa) bit 4: Throughput (0 = normale, 1 = alto) bit 5: Affidabilità (0 = normale, 1 = alta) bit 6-7: Riservati per usi futuri ad esempio un host poteva scegliere una bassa latenza, mentre un altro preferire un'alta affidabilità. Nella pratica questo uso del campo TOS non ha preso largamente piede. IPv4 54 Dopo molte sperimentazioni e ricerche, recentemente questi 8 bit sono stati ridefiniti ed hanno la funzione di Differentiated services (DiffServ nell'IETF e Explicit Congestion Notification (ECN) codepoints (vedi RFC 3168), necessari per le nuove tecnologie basate sullo streaming dei dati in tempo reale, come per il esempio il Voice over IP (VoIP) usato per lo scambio interattivo dei dati vocali. • Total Length [16 bit] - Indica la dimensione (in byte) dell'intero datagramma, comprendendo header e dati; tale lunghezza può variare da un minimo di 20 byte (header minimo e campo dati vuoto) ad un massimo di 65535 byte. In ogni momento, ad ogni host è richiesto di essere in grado di gestire datagrammi aventi una dimensione minima di 576 byte mentre sono autorizzati, se necessario, a frammentare datagrammi di dimensione maggiore. • Identification [16 bit] - Utilizzato, come da specifiche iniziali, per identificare in modo univoco i vari frammenti in cui può essere stato "spezzato" un datagramma IP. Alcune sperimentazioni successive hanno però suggerito di utilizzare questo campo per altri scopi, come aggiungere la funzionalità di tracciamento dei pacchetti. • Flags [3 bit] - Bit utilizzati per il controllo del protocollo e della frammentazione dei datagrammi: • Reserved - sempre settato a 0. Come pesce d'Aprile, in RFC 3514 si è proposto di utilizzarlo come "Evil bit". • DF (Don't Fragment) - se settato a 1 indica che il datagramma non deve essere frammentato; se tale datagramma non può essere inoltrato da un host senza essere frammentato, viene semplicemente scartato. Questo può risultare utile per "ispezionare" la capacità di gestione dei vari host del percorso di routing. • MF (More Fragments) - se settato a 0 indica che il datagramma è l'ultimo frammento o il solo frammento del datagramma originario, pertanto tutti gli altri suoi frammenti hanno il bit MF settato a 1. Naturalmente, questo bit sarà sempre 0 anche in tutti i datagrammi che non sono stati frammentati. • Fragment Offset [13 bit] - Indica l'offset (misurato in blocchi di 8 byte) di un particolare frammento relativamente all'inizio del datagramma IP originale: il primo frammento ha offset 0. L'offset massimo risulta pertanto pari a 65528 byte che, includendo l'header, potrebbe eccedere la dimensione massima di 65535 byte di un datagramma IP. • Time To Live (TTL) [8 bit] - Indica il tempo di vita (time to live) del datagramma, necessario per evitarne la persistenza indefinita sulla rete nel caso in cui non si riesca a recapitarlo al destinatario. Storicamente il TTL misurava i "secondi di vita" del datagramma, mentre ora esso misura il numero di "salti" da nodo a nodo della rete: ogni router che riceve il datagramma prima di inoltrarlo ne decrementa il TTL (modificando di conseguenza anche il campo Header Checksum), quando questo arriva a zero il datagramma non viene più inoltrato ma scartato. Tipicamente, quando un datagramma viene scartato per esaurimento del TTL, viene automaticamente inviato un messaggio ICMP al mittente del datagramma, specificando il codice di Richiesta scaduta; la ricezione di questo messaggio ICMP è alla base del meccanismo di traceroute. • Protocol [8 bit] - Indica il codice associato al protocollo utilizzato nel campo dati del datagramma IP: per esempio al protocollo TCP è associato il codice 6, ad UDP il codice 17, mentre ad IPv6 è associato il codice 41. La lista dei codici dei vari protocolli, inizialmente definita in RFC 790, è mantenuta e gestita dalla Internet Assigned Numbers Authority. • Header Checksum [16 bit] - È un campo usato per il controllo degli errori dell'header. Ad ogni hop, il checksum viene ricalcolato (secondo la definizione data in RFC 791) e confrontato con il valore di questo campo: se non c'è corrispondenza il pacchetto viene scartato. È da notare che non viene effettuato alcun controllo sulla presenza di errori nel campo Data deputandolo ai livelli superiori. • Source address [32 bit] - Indica l'indirizzo IP associato all'host del mittente del datagramma. Da notare che questo indirizzo potrebbe non essere quello del "vero" mittente nel caso di traduzioni mediante NAT. Infatti, qualora un host intermedio effettui questa traduzione, sostituisce l'indirizzo del mittente con uno proprio, procurandosi poi di ripristinare l'indirizzo originario su tutti i messaggi di risposta che gli arrivano destinati al mittente originario. • Destination address [32 bit] - Indica l'indirizzo IP associato all'host del destinatario del datagramma e segue le medesime regole del campo Source address. IPv4 55 • Options - Opzioni (facoltative e non molto usate) per usi più specifici del protocollo. Si ricorda che il valore del campo IHL deve essere sufficientemente grande da includere anche tutte le opzioni e, nel caso queste siano più corte di una word, il padding necessario a completare i 32 bit. Inoltre, nel caso in cui la lista di opzioni non coincida con la fine dell'header, occorre aggiungere in coda ad essa un marcatore EOL (End of Options List). C'è da notare infine che, potendo causare problemi di sicurezza, l'uso delle opzioni LSSR e SSRR (Loose e Strict Source and Record Route) è scoraggiato e molti router bloccano i datagrammi che contengono queste opzioni. Di seguito è riportata la struttura contenuta nell'header ip.h della libreria GNU C: struct iphdr { #if __BYTE_ORDER == __LITTLE_ENDIAN unsigned int ihl:4; unsigned int version:4; #elif __BYTE_ORDER == __BIG_ENDIAN unsigned int version:4; unsigned int ihl:4; #else # error "Please fix <bits/endian.h>" #endif u_int8_t tos; u_int16_t tot_len; u_int16_t id; u_int16_t frag_off; u_int8_t ttl; u_int8_t protocol; u_int16_t check; u_int32_t saddr; u_int32_t daddr; /*The options start here. */ }; Indirizzamento IPv4 L'indirizzo IPv4 è formato da 32 bit, esso è univoco sulla rete di cui fa parte. Tale indirizzo, inoltre, non va assegnato all'host, ma alle connessioni fisiche alla rete che l'host possiede (nel cast di host multicollegati o di dispositivi di rete). Si è però verificato che i primi paesi in cui si è diffuso Internet e all'interno di essi i primi provider, si sono "accapparrati" un numero di Ip proporzionalmente sbilanciato. Gli ultimi provider hanno pertanto dovuto ricorrere ad un sistema per ovviare alla scarsità degli IP a loro attribuiti. Hanno pertanto considerato gli utenti a loro connessi di una intera città come un'unica LAN e pertanto tutti dotati dello stesso IP. Concettualmente l'indirizzo IP si compone di due parti: 1. identificatore di rete e precisamente della sottorete 2. identificatore di host IPv4 56 Notazione decimale puntata Per semplificarne la lettura, ogni indirizzo IP viene descritto con 4 numeri in base decimale, in modo che ognuno rappresenti un byte (il valore di un byte varia da 0 a 255 quando lo consideriamo in base dieci), separati dal simbolo "punto"; un esempio di indirizzo IPv4 è 192.0.34.166. Indirizzi particolari Ogni indirizzo in cui l'identificativo host presenta tutti 0 si riferisce alla rete, mentre se tutti i bit di questo identificativo sono a 1, l'indirizzo si riferisce ad una trasmissione broadcast diretta. In pratica quando ad un router arriva un pacchetto in cui la parte di host dell'indirizzo presenta tutti i bit a 1, esso esegue un broadcast a tutti i nodi della sotto-rete. Questo comportamento è stato sfruttato dai cracker per creare attacchi di tipo denial of service, pertanto è buona norma disabilitare nei router l'inoltro del broadcast diretto. Indirizzamento a classi Se un host deve comunicare con un altro host della stessa sottorete, userà il protocollo di livello 2 della rete a cui è collegato, altrimenti dovrà inviare i pacchetti ad un gateway o router, che sarà connesso ad altre reti e si occuperà di inoltrare i pacchetti ricevuti. La comunicazione tra i router avviene mediante indirizzi IP utilizzando delle tecniche particolari di indirizzamento per individuare la sottorete e l'host. Originariamente lo schema delle suddivisioni delle due componenti era a classi per cui un indirizzo IP apparteneva una classe (classfull) in base ai primi 4 bit dell'IP. Con questo schema l'indirizzo è ad autoidentificazione perché il confine tra le due componenti si può determinare con i bit più significativi. Limiti Il numero di indirizzi univoci disponibili in IPv4 è , ma bisogna tener presente che non vengono usati tutti, perché alcuni sono riservati a un particolare utilizzo (ad esempio gli indirizzi 0.0.0.0, 127.0.0.1, 255.255.255.255, 192.0.34.166 e la classe 192.168.0.1/16) e perché certe classi non vengono sfruttate interamente per via della suddivisione interna in classi più piccole. L'indirizzamento a classi, proprio per questo, presenta diversi limiti dovuti soprattutto al numero di host gestibili dalle diverse classi. In pratica se si esauriscono gli indirizzi univoci resi disponibili da una classe, ad esempio la C connettendo più di 255 host, occorre fare ricorso ad un indirizzo di classe superiore. Il cambiamento di indirizzo non è indolore con questa tecnica perché il software di rete va aggiornato con i nuovi indirizzi e non consente una transizione graduale. In pratica l'indicatore di rete univoco non poteva adempiere alle esigenze della crescita che negli anni '80 ebbero le reti LAN. Quindi per risparmiare i prefissi di rete si dovettero escogitare altre tecniche come quella del mascheramento (vedi NAT) per continuare a fare in modo che IPv4 potesse adempiere al suo ruolo prima dell'entrata di IPv6. IPv4 57 Indirizzamento senza classi L'indirizzamento in classi è considerato obsoleto, e per permettere un migliore sfruttamento degli indirizzi IP disponibili, è stato introdotto l'indirizzamento senza classi (classless), o CIDR. La modifica introdotta dal CIDR consiste essenzialmente nell'utilizzare maschere di sottorete (subnet mask) di lunghezza arbitraria, mentre l'indirizzamento con classi ammetteva solo tre lunghezze della maschera di sottorete: /8, /16 e /24. La maschera della vecchia classe C (/24) è ancora popolare, ma si usano anche maschere più corte per reti grandi (/23 o /22) o più lunghe per reti piccole (/25, /26, fino a /30 per reti punto-punto). I bit che nella maschera di sottorete sono a 1 fanno parte dell'indirizzo della sottorete, gli altri sono l'indirizzo dell'host. Normalmente, la maschera di sottorete è costituita da N bit a 1 seguiti da (32-N) bit a 0, e può essere abbreviata nella forma /N. In questo modo non si è vincolati a un numero fisso di bit per determinare l'indirizzo di rete, ma i bit utili a rappresentare la rete, piuttosto che l'host, sono fissati liberamente. Vedi anche Saturazione di IPv4. Enti di gestione Gli indirizzi IP sono univoci a livello mondiale, e vengono assegnati in modo centralizzato da una gerarchia di enti appositi. Sono considerati una risorsa preziosa da gestire con cura. Per rafforzare questo concetto, si parla di "indirizzi IP pubblici". Inizialmente l'autorità preposta era la IANA (Internet Assigned Number Authority), dopo il 1998 venne creato l'ICANN (Internet corporation for Assigned Names and Numbers) che opera tuttora. Essa è responsabile della gestione degli indirizzi IP in base alle direttive dell'RFC 2050. Note [1] (EN) IPv6: IPv6 / IPv4 Comparative Statistics (http:/ / bgp. potaroo. net/ v6/ v6rpt. html) Voci correlate • • • • • Internet Protocol IPv6 Classi di indirizzi IP Saturazione di IPv4 Transizione IPV4/IPV6 Collegamenti esterni • (EN) RFC 791 - Internet Protocol (http://www.ietf.org/rfc/rfc0791.txt) • (EN) RFC 3168 - Explicit congestion notification (http://tools.ietf.org/html/rfc3168) • (EN) RFC 2050 - Internet Registry IP Allocation Guidelines (http://www.ietf.org/rfc/rfc2050.txt) IPsec 58 IPsec In telecomunicazioni e informatica IPsec, abbreviazione di IP Security, è uno standard per reti a pacchetto che si prefigge di ottenere connessioni sicure su reti IP. La sicurezza viene raggiunta attraverso funzionalità di autenticazione, cifratura e controllo di integrità dei pacchetti IP (datagrammi). La capacità di fornire protezione o sicurezza viene fornita quindi a livello di rete (diversamente da HTTPS, SSL/TLS) cui IP appartiene e questo fatto rende questo protocollo trasparente al livello delle applicazioni che non devono quindi essere modificate. Panoramica dello standard Scopo del progetto IPsec è stato progettato per rendere sicure sia comunicazioni portal-to-portal sia comunicazioni end-to-end. Nella prima configurazione il traffico viene reso "sicuro" a diversi computer (in alcuni casi ad un'intera LAN); nella seconda solo i peer che stabiliscono la connessione scambiano pacchetti protetti. Tuttavia l'uso predominante di IPsec è la creazione di VPN (virtual private network); per conseguire tale scopo possono essere utilizzati entrambi i metodi prima esposti. Introduzione IPsec è una collezione di protocolli formata da: • Protocolli che implementano lo scambio delle chiavi per realizzare il flusso crittografato. • Protocolli che forniscono la cifratura del flusso di dati; Per quanto riguarda il primo aspetto, esistono due protocolli: Authentication Header (AH) e Encapsulating Security Payload (ESP). AH fornisce autenticazione e integrità del messaggio, ma non offre la confidenzialità ed è il protocollo IP 51. ESP fornisce invece autenticazione, confidenzialità e controllo di integrità del messaggio ed è il protocollo IP 50. Per questi motivi ESP è molto più usato di AH. Attualmente esiste un solo protocollo per lo scambio delle chiavi, il protocollo IKE. IPsec è parte integrante di IPv6, mentre è opzionale in IPv4. Di conseguenza, ci si aspetta che sarà maggiormente utilizzato quando IPv6 acquisterà popolarità. Il protocollo è definito negli RFC 2401-2412. Dal 2004, sono in corso studi per l'aggiornamento dei protocolli. Dettagli tecnici IPsec supporta due modalità di funzionamento: • Transport mode 1. connessione host-to-host 2. usato dagli end-point non dai gateway 3. viene cifrato solo il payload dei datagrammi IP, non l'header 4. computazionalmente leggero 5. ogni host che vuole comunicare deve avere tutto il software necessario ad implementare IPsec 6. si aggiunge solo l'header IPsec; mittente e destinazione si vedono • Tunnel mode 1. connessione gateway-to-gateway 2. viene cifrato tutto il pacchetto IP originale 3. utilizzato per realizzare le VPN IPsec 59 4. 5. 6. 7. computazionalmente oneroso solo i gateway devono avere il software Ipsec si hanno punti di centralizzazione quindi single point of failure si ha un doppio incapsulamento, aggiungendo l'header del gateway e l'header IPsec; mittente e destinazione non si vedono Le due modalità sono supportate sia da AH che da ESP. IPsec può essere utilizzato anche per connessioni tra gateway e host. Security Association e Security Policy Il concetto di Security Association (in breve SA) è alla base del funzionamento di IPsec. Una SA è un "contratto" fra le due entità coinvolte nella comunicazione; in essa vengono stabiliti i meccanismi di protezione e le chiavi da utilizzare durante il successivo trasferimento dei dati. Nell'ambito di IPsec, stabilire le security association è compito del protocollo IKE, sebbene sia possibile anche impostarle manualmente; ovviamente la procedura manuale è sconsigliata in quanto può introdurre errori che indeboliscono il tunnel. Una peculiarità delle SA è che individuano una comunicazione unidirezionale; quindi durante la creazione della connessione le entità coinvolte creano e gestiscono una SA per ognuno dei versi della comunicazione, quindi 2 SA individuano un canale full-duplex. Al fine di semplificare la gestione delle SA, viene utilizzato un apposito database detto SAD (Security Association Database), dove viene tenuta traccia delle SA attive. In particolare una SA è costituita dai seguenti parametri: • • • • Gli indirizzi IP dei peer coinvolti nella comunicazione; Il protocollo che verrà utilizzato per il tunnel (AH o ESP); le tecniche di cifratura utilizzate e le relative chiavi; Un intero a 32 bit chiamato SPI, acronimo per Security Parameter Index. Dall'esame dei parametri di una SA si deducono quindi tutte le informazioni necessarie per stabilire le modalità in cui il traffico debba essere protetto; il passo successivo è definire quale traffico debba essere protetto: di questo si occupa la Security Policy (in breve SP). Una SP è una regola che stabilisce che tipo di traffico deve essere instradato nel tunnel e quindi essere coperto da IPsec; in modo analogo alle SA, le SP sono contenute in un SPD (Security Policy Database). La security policy contiene: • Indirizzo sorgente e indirizzo destinazione del pacchetto. Tale informazione è già contenuta nella SA e quindi può sembrare ridondante. In realtà questa informazione ha senso quando viene utilizzato il Tunnel mode. • Il protocollo e la relativa porta da instradare nel tunnel. Questa opzione dipende dall'implementazione del protocollo e non è sempre contemplata; nel caso non sia disponibile, tutto il traffico prodotto viene veicolato nel tunnel. • Un identificativo della SA da utilizzare per processare i dati. Una volta stabilita la security association e la security policy, può cominciare la comunicazione che sfrutterà il protocollo AH o il protocollo ESP cui verrà passato il parametro SPI, che permetterà di risalire alle tecniche crittografiche da utilizzare per la trasmissione. IPsec 60 Protocolli di IPsec IKE Descrizione IKE è un acronimo per Internet key exchange ed è il protocollo usato per stabilire una security association nella suite di protocolli IPsec. Questo protocollo è definito in RFC 4306. È un protocollo di livello applicazione e utilizza il protocollo UDP come protocollo di trasporto; la porta su cui viene stabilita la connessione è 500. L'obiettivo di IKE è stabilire uno shared session secret, ossia una chiave condivisa corrispondente alla sessione da instaurare e a tal fine utilizza l'algoritmo di Diffie-Hellman; dallo shared secret vengono successivamente derivate le chiavi crittografiche che verranno utilizzate per la successiva comunicazione. Al fine di autenticare le entità coinvolte nella comunicazione possono essere utilizzate tecniche a chiave simmetrica o, alternativamente, a chiave asimmetrica; in quest'ultimo caso si fa ricorso a infrastrutture a chiave pubblica (PKI) e all'uso di certificati digitali. Authentication Header (AH) Descrizione L''Authentication Header (abbreviato AH), è un protocollo che fa parte della suite IPsec. Il suo compito è quello di fornire un controllo di integrità pacchetto per pacchetto, verifica dell'autenticità del mittente e protezione contro i replay attack. AH non garantisce in alcun modo la confidenzialità del messaggio. L'autenticità è garantita tramite funzioni di hash a chiave simmetrica, ossia tramite il meccanismo delle pre-shared keys. Per poter comunicare, due entità devono condividere la medesima chiave; tale chiave viene combinata con il messaggio originale e quindi viene calcolato il checksum tramite una funzione di hash crittografico(MD5 o SHA). Il messaggio e il checksum vengono, infine, inviati al peer remoto. Il peer remoto riceve il messaggio; dato che questo è in chiaro, lo può leggere, combinare con la chiave di cui è a conoscenza e calcolare il checksum. Se il checksum corrisponde a quello inviato, il messaggio è autentico e viene accettato altrimenti viene scartato in quanto è stato modificato in un modo non consentito dallo standard. Il protocollo AH è progettato per proteggere l'intero pacchetto IP inviato; tuttavia bisogna considerare che alcuni campi dell'header IP, come il TTL, variano durante la trasmissione; queste modifiche devono essere necessariamente consentite, per cui prima di calcolare il checksum, i campi cui è permesso variare vengono posti a 0. Formato del pacchetto Di seguito viene illustrata la struttura del pacchetto AH (ogni casella rappresenta 1 byte). 0 1 2 3 Header successivo Dimensione Payload RISERVATO Security Parameter Index (SPI) Numero di Successione Dati per l'autenticazione (lunghezza variable) Header successivo Indica che tipo di protocollo verrà dopo. Dimensione Payload (8 bit) La lunghezza dell'AH in word (1 word = 32 bit) meno 2. Per esempio , 96 sono i bit di default del campo Authentication Data, più altri 96 bit per i campi di lunghezza fissa di AH fanno 6 word ( 96+96 = 192 bit , diviso per 32 = 6). Sottraendo 2 risulta quindi 4 il valore contenuto della dimensione del payload standard. IPsec 61 RISERVATO Spazio lasciato per sviluppi futuri. Tutti i bit di questo campo vengono impostati a 0. Security Parameter Index Questo campo identifica i parametri di sicurezza in combinazione con l'indirizzo IP. In genere è un numero pseudo-casuale che identifica la security association cui fa parte questo pacchetto. Numero di successione Una successione di numeri monotonicamente crescenti. Per imperdire i replay attack, il numero di successione quando raggiunge il valore massimo (2^{32}-1) non deve ritornare a 0, ma una nuova SA deve essere creata. Dati per l'autenticazione Contiene l'Integrity Check Value (ICV) è rappresenta l'HMAC calcolato dall'originatore del messaggio. L'HMAC viene calcolato utilizzando i campi dell'header IP (con il TTL originario), i campi dell'header AH tranne i dati dell'autenticazione (viene considerato a 0) e infine tutti i dati degli header di livello superiore, compresi quelli applicativi, che non vengono modificati durante il trasporto. Transport mode e Tunnel mode AH supporta nativamente sia il transport mode che il tunnel mode. In transport mode vengono protetti solo i protocolli di livello superiore a quello di rete (TCP, UDP, etc); in tunnel mode il pacchetto IP originale viene incapsulato in un nuovo pacchetto IP, dopo essere stato elaborato da AH. Ne spieghiamo il funzionamento con l'ausilio di alcuni disegni. Il metro di confronto è senza dubbio il pacchetto IP originale; in presenza di un collegamento basato su IPsec il pacchetto viene, ovviamente, alterato. Header IP Header TCP Dati Pacchetto IP originale A seconda della modalità di funzionamento di IPsec (tunnel mode o transport mode), il pacchetto originale viene alterato in modo diverso. Header IP Header AH Header TCP Dati dati autenticati AH in transport mode Header IP esterno Header AH Header IP Header TCP Dati dati autenticati AH in tunnel mode La linea azzurra indica le zone del pacchetto che sono autenticate. Dal punto di vista della protezione, in entrambi i casi, i pacchetti vengono protetti completamente. Notiamo che nell'header IP, alcuni campi variano durante il transito nella rete, ad esempio il TTL. Questi campi vengono posti a 0 prima di calcolare la funzione di hash, necessaria per la protezione del pacchetto. Da quanto appena detto si evince subito che il protocollo AH è incompatibile con le varie tecniche di NAT; difatti se vengono alterati i campi indirizzo nell'header IP (in entrambe le modalità), in ricezione la checksum fallisce subito. IPsec 62 Encapsulating Security Payload (ESP) Descrizione Encapsulating Security Payload, denotato con l'acronimo ESP, è un protocollo che fa parte della suite IPsec. Il suo obiettivo è fornire autenticità, confidenzialità e controllo di integrità alla comunicazione. Contrariamente a quanto fa AH, l'header IP non viene coperto dai controlli. Al pari di AH, però, supporta sia il tunnel mode che il transport mode. Formato del pacchetto Di seguito viene riportato il formato del pacchetto ESP (ogni casella rappresenta 1 byte). 0 1 2 3 Security Parameters Index (SPI) Sequence Number Payload * (variable) Padding (0-255 byte) Pad Length Next Header Authentication Data (variable) Security Parameters Index (SPI) Al pari di quanto avviene in AH, questo campo, in combinazione con l'indirizzo IP, individua la Security Association cui appartiene il pacchetto. Sequence Number Una successione di numeri monotonicamente crescente, che identifica il pacchetto all'interno delle Security Association e previene da replay attack. Payload I dati che devono essere trasferiti Padding È un campo di riempimento. È necessario in quanto alcuni codici di cifratura lavorano su blocchi di lunghezza fissa. Serve a far crescere la dimensione dei dati fino a divenire multiplo del blocco che l'algoritmo in uso riesce a gestire. Pad Length Rappresenta, in ottetti, la dimensione dei dati di padding aggiunti. Next Header Identifica il protocollo dei dati trasferiti Authentication Data Contiene i dati usati per autenticare il pacchetto. Come si può vedere dalla struttura del pacchetto (ma sarà illustrato meglio in seguito), ESP "avvolge" i dati dei protocolli di livello superiore, contrariamente a quanto fa AH che antepone un header. IPsec 63 Tunnel mode e Transport mode Essendo un protocollo per il trasferimento dati della suite IPsec, ESP supporta sia il Tunnel mode che il Transport mode. A seconda della modalità tratta i dati in modo differente. Prima di descrivere l'incapsulamento dei dati mostriamo il pacchetto IP originale, che transiterebbe sulla rete in assenza di IPsec Header IP Header TCP Dati Pacchetto IP originale Header IP Header ESP Header TCP Dati Trailer ESP ESP auth Dati autenticati ESP in Transport mode Header IP Header ESP Header IP interno Header TCP Dati Trailer ESP ESP auth Dati autenticati ESP in Tunnel mode Le linee azzurre sottendono la parte di pacchetto che viene sottoposta a controllo di autenticità e integrità; le zone verdi indicano le zone di pacchetto che vengono protette tramite algoritmi crittografici. Per quanto riguarda gli algoritmi di cifratura possono essere utilizzati Data Encryption Standard (DES), 3DES, AES e Blowfish. Il controllo di integrità e autenticità viene eseguito tramite HMAC (funzioni di hash); l'hash viene calcolato tramite una funzione di hash (MD5 o SHA1), utilizzando una chiave condivisa; l'hash ottenuto viene allegato al messaggio e inviato. In ricezione viene controllata l'integrità del messaggio. Dagli schemi visti prima si nota che l'indirizzo IP più esterno non viene coperto dal controllo di integrità. Tale opzioni rende il protocollo ESP adatto ad essere utilizzato in alcuni tipi di NAT, in particolare in quelli statici. Tuttavia esistono soluzioni ad-hoc per il funzionamento congiunto di IPsec e NAT come il NAT Traversal. NAT Traversal Descrizione NAT traversal (o più in breve NAT-T) è il nome di un protocollo facente parte della suite IPsec e standardizzato in diversi RFC, di cui quello ufficiale è RFC 3947. L'obiettivo di questo protocollo è fornire la possibilità di stabilire un tunnel IPsec anche quando uno dei due peer coinvolti subisce un'operazione di nat per raggiungere l'altra entità coinvolta nella comunicazione. Scenario Il NAT è una tecnica molto utilizzata per il riuso degli indirizzi IP. Tuttavia gli host dietro un router (o un firewall) che effettua operazioni di NAT non godono di connettività end-to-end. Sebbene esistano diversi tipi di NAT, l'obiettivo generale è l'alterazione degli header del pacchetto. Questo comportamento è in netto contrasto con IPsec che ha tra i suoi obiettivi il controllo dell'integrità del pacchetto. In particolare il NAT è incompatibile con AH sia in tunnel mode che in transport mode, in quanto AH verifica l'integrità di tutto il pacchetto IP. ESP, invece, non copre l'header IP con controlli di sorta né in Tunnel mode né in Transport mode, per cui risulta adatto nel caso in cui il NAT eseguito sia di tipo SNAT; in altre parole, la modifica apportata dal router deve coinvolgere solamente l'header IP e non anche la porta del livello superiore. IPsec 64 Il NAT crea problemi anche con IKE e soprattutto con IKE in main mode. Il main mode usato congiuntamente al metodo delle preshared-keys richiede l'autenticazione degli host coinvolti nella comunicazione e tale autenticazione prevede un controllo sugli indirizzi IP; per cui l'alterazione dell'indirizzo da parte di un'apparecchiatura di NAT provoca il fallimento dell'autenticazione. In genere, nei dispositivi preposti alla gestione dei tunnel IPsec e nei client VPN, il NAT-T non è abilitato di default ma deve essere impostato a mano; tuttavia il suo utilizzo rimane opzionale: difatti durante la creazione della security association, i peer determinano se uno dei due subisce operazioni di NAT e solo in questo caso viene usato il NAT-T; questa operazione viene fatta durante la prima fase della negoziazione IKE. In prima battuta, i peer verificano che entrambi siano in grado di supportare in NAT-T; questa verifica è eseguita nella primissima fase del protocollo IKE, per mezzo di un pacchetto con un campo Vendor-ID, che contiene un valore hash noto. Una volta stabilito che entrambi supportano il NAT-T, vengono inviate delle frame "NAT-Discovery" (NAT-D), in modo da verificare chi dei due subisca il NAT, o al limite se lo subiscano entrambi. Una volta stabilito chi subisce il NAT, la comunicazione si sposta su una nuova coppia di porte UDP e l'entità "nat-tata" comincia a inviare delle frame keepalive; queste frame servono a mantenere fisse le porte di comunicazione sul router e ad impedirgli di riassegnarle ad una nuova comunicazione. Descriviamo come viene incapsulato il pacchetto originale ESP. Header IP Header ESP Header IP interno Header TCP Dati Trailer ESP ESP auth ESP in Tunnel mode Header IP Header UDP Header NAT-T Header ESP Header IP interno Header TCP Dati Trailer ESP ESP auth ESP in Tunnel mode con incapsulamento UDP per NAT-T I campi segnati in verde scuro sono quelli relativi al NAT-T; questi campi vengono inseriti subito dopo l'header IP esterno, che non viene alterato, così come non vengono alterati i campi successivi. In ricezione viene fatta l'operazione inversa. Elenco degli RFC relativi ad IPsec RFC 4301 Security Architecture for the Internet Protocol RFC 2402 Authentication Header RFC 2406 Encapsulating Security Payload RFC 2407 IPsec Domain of Interpretation for ISAKMP (IPsec DoI) RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP) RFC 2409 Internet Key Exchange (IKE) RFC 2410 The NULL Encryption Algorithm and Its Use With IPsec RFC 2411 IPsec 65 IP Security Document Roadmap RFC 2412 The OAKLEY Key Determination Protocol RFC 3947 Negotiation of NAT-Traversal in the IKE Voci correlate • • • • • Sicurezza informatica HTTPS SSL TLS SSH Collegamenti esterni • http://www.ipsec-howto.org/italian/x151.html • IPsec e TLS a confronto: funzioni, prestazioni ed estensioni [1] • How to pass IPSec traffic through ISA Server [2] Note [1] http:/ / www. linux. it/ ~davide/ doc/ tesi_html/ index. html [2] http:/ / www. isaserver. org/ articles/ IPSec_Passthrough. html Livello datalink Il livello datalink è il secondo livello dei protocolli del modello ISO/OSI per l'interconnessione di sistemi aperti. Questo livello in trasmissione riceve pacchetti dal livello di rete e forma i frame che vengono passati al sottostante livello fisico con l'obiettivo di permettere il trasferimento affidabile dei dati attraverso il sottostante canale. Il livello datalink deve quindi svolgere diverse funzioni specifiche: • in trasmissione raggruppare i bit provenienti dallo strato superiore e destinati al livello fisico in pacchetti chiamati frame (framing); • in ricezione controllare e gestire gli errori di trasmissione (controllo di errore); • regolare il flusso della trasmissione fra sorgente e destinatario (controllo di flusso). Tutto ciò consente di far apparire in ricezione, al livello superiore, il mezzo fisico come una linea di trasmissione esente da errori.[1][2] Trasmissione sincrona e asincrona La trasmissione seriale può avvenire in modo sincrono o asincrono. Nella trasmissione asincrona ogni carattere trasmesso viene preceduto e seguito da segnali che indicano appunto l'inizio e la fine del carattere; tali segnali vengono detti segnali di start e stop. La trasmissione asincrona perciò viene detta anche trasmissione start-stop. Con tale metodo ogni carattere può essere considerato indipendente dagli altri, l'intervallo di tempo tra l'invio di due caratteri è imprecisato. Nella trasmissione sincrona i caratteri da inviare vengono raggruppati in messaggi (frame). Ogni frame viene fatto precedere da caratteri di sincronizzazione che servono a far sì che la stazione ricevente si sincronizzi sulla velocità di Livello datalink trasmissione della stazione che invia il messaggio. La trasmissione sincrona è più veloce perché i tempi morti di trasmissione vengono ridotti, ma un errore anche in un singolo bit può danneggiare l'intero messaggio inviato. I protocolli di trasmissione sincrona si suddividono in BCP Byte Control Protocol) o orientati al byte, in cui viene mantenuta la suddivisione in caratteri del messaggio da trasmettere, e BOP (Bit Oriented Protocol) o orientati al bit, in cui i messaggi sono visti come una successione di bit (in questo modo non si è legati alla codifica ASCII a 8 bit). Un'operazione importante nella trasmissione sincrona è il framing, cioè la suddivisione in frame delle informazioni da trasmettere. Framing Al fine di fornire servizi al livello di rete, il livello data link deve usufruire dei servizi fornitigli dal livello fisico. L'approccio consueto del livello data link è quello di dividere il flusso dei bit in pacchetti (adattatti appunto ad una trasmissione su una rete a pacchetto), e calcolarne la Checksum. Vari metodi vengono utilizzati per la suddivisione dei bit in pacchetti o frame: • Conteggio dei caratteri. • Caratteri di inizio e fine. • Indicatori (flag) di inizio e fine. Il metodo del conteggio di caratteri (ottenuto specificando nel campo d’intestazione del pacchetto il numero di caratteri del frame) è raramente utilizzabile poiché, se il campo che contiene il numero di caratteri si rovina (altera) durante la trasmissione, non si può più individuare dove comincia il frame successivo; vengono quindi utilizzate le altre tecniche. Nella trasmissione orientata al byte (il frame mantiene la suddivisione in byte) il frame viene preceduto dalla sequenza di caratteri ASCII DLE STX (Data Link Escape Start of TeXt) e finisce con la sequenza DLE ETX (Data Link Escape End of TeXt). Se un frame si rovina e la destinazione perde la sincronizzazione basta trovare il successivo DLE STX o DLE ETX. Il carattere DLE però può comparire casualmente dentro al frame quando vengono trasmessi dati binari come programmi oggetto o numeri in virgola mobile; perché questi caratteri non interferiscano viene aggiunto un ulteriore DLE (che viene rimosso a destinazione prima di passare al frame al livello di rete) in modo che solo i DLE singoli vengano interpretati come delimitatori; questa tecnica si chiama character stuffing. Nella trasmissione orientata al bit (il frame può contenere un numero qualsiasi di byte) ogni frame inizia e finisce con la sequenza 01111110 chiamata flag: questa sequenza può comparire casualmente nei dati, perciò in trasmissione dopo cinque 1 consecutivi viene sempre inserito uno 0 nel flusso di bit, indipendentemente dal fatto che il bit successivo sia 1 o 0, mentre in ricezione bisogna provvedere ad eliminare i bit inseriti, rimuovendo sempre uno 0 dopo cinque 1; questa tecnica è chiamata bit stuffing. Controllo di errore Come detto, la stazione mittente del livello data-link riceve i dati dal livello superiore e li suddivide in frame prima di affidarli al livello fisico per la trasmissione su canale, aggiungendo ad esso un codice per il controllo degli errori (integrità dati) di trasmissione in ricezione (checksum). Quando un pacchetto arriva a destinazione, la checksum viene ricalcolata dallo stesso livello data-link del sistema ricevente. Se il risultato è diverso da quello contenuto nel pacchetto, il livello data-link riconosce che è stato commesso un errore e prende adeguati provvedimenti (come ad esempio scartare il pacchetto e spedire un messaggio di errore in risposta al mittente). In generale si hanno due tipi di codici di controllo, i codici rilevatori che permettono soltanto di capire che il frame non è corretto ed eventualmente richiedere la ritrasmissione del pacchetto (ARQ Automatic Repeat-reQuest) e i codici correttori che permettono non solo di capire se si è verificato un errore, ma anche di individuare la posizione 66 Livello datalink dell'errore e di conseguenza correggerlo (FEC Forward Error Correction). Questi ultimi codici richiedono molti più bit dei codici rilevatori e quindi sprecano ampiezza di banda; di solito perciò vengono usati i codici a sola rilevazione. In caso di errore, se il servizio è inaffidabile il frame può essere semplicemente scartato; se la linea deve essere affidabile bisogna che tutti i frame arrivino correttamente; se si usa un codice rilevatore il ricevente deve richiedere la ritrasmissione dei frame errati. La scelta tra codici rilevatori e correttori può dipendere anche dalla velocità delle linee (per linee a bassa velocità, aspettare la ritrasmissione potrebbe richiedere troppo tempo) o affidabilità (se il tasso di errore sulla linea è molto basso non vale la pena sprecare molta banda per un codice correttore) o dal tipo di servizio richiesto (real-time o meno). Il modo consueto per assicurare una consegna affidabile è quello di fornire al mittente un riscontro di quello che sta accadendo all'altro capo della linea. Tipicamente il protocollo richiede che il ricevente rispedisca alcuni speciali pacchetti di controllo con valore positivo o negativo a seconda dei pacchetti ricevuti. Se il mittente riceve un riscontro positivo su di un pacchetto spedito, sa che esso è arrivato correttamente. Se invece ottiene un riscontro negativo significa che qualcosa è andata male e che occorre ritrasmettere il pacchetto. Una complicazione aggiuntiva potrebbe derivare dalla possibilità che i problemi hardware causino la sparizione totale del pacchetto. Se un pacchetto non arriva a destinazione, il mittente non aspetterà all'infinito, infatti viene utilizzato un timer, che viene avviato quando i dati vengono trasmessi, se il timer supera la soglia limite (programmata) senza ricevere l'ACK (Acknowledgment o conferma), rimanderà di nuovo i pacchetti. Tuttavia, se il pacchetto o il messaggio di riscontro vengono persi, il timer scade (time-out), e la stazione mittente, non ricevendo conferma, è costretta a reinviare i dati, ma a questo punto il mittente potrebbe ricevere due o più volte lo stesso pacchetto. Per risolvere questo problema, i pacchetti inviati vengono numerati, così il sistema ricevente, nel caso in cui riceva un numero di pacchetto uguale al precedente, cioè una copia del pacchetto, lo scarta. Questa tecnica è nota come Stop and wait; le altre tecniche maggiormente utilizzate per il controllo degli errori sono il Codice di Hamming e il CRC (Controllo a Ridondanza Ciclica). Di fatto però funzionalità di controllo dell'errore sui singoli pacchetti vengono espletate non solo a livello datalink, ma in ogni altro strato del protocollo per garantire la correttezza dei dati di servizio (header) dei protocolli destinati ai rispettivi strati. Controllo di flusso Un altro importante problema di progettazione che si ritrova nel livello di data link è quello di gestire una linea condivisa quando più nodi vogliono inviare messaggi nello stesso tempo e inoltre deve decidere cosa fare di un mittente che sistematicamente tende a trasmettere pacchetti più velocemente di quanto il ricevente possa accettarli. Questa situazione può facilmente essere riscontrata quando il mittente è dislocato su una macchina veloce e il ricevente su una macchina lenta. Il mittente continua a spedire pacchetti ad alta velocità, fino a quando il ricevente non è completamente sopraffatto. Anche se la trasmissione è esente da errori, a un certo punto il ricevente non sarà in grado di gestire i pacchetti in arrivo e inizierà a perderli (buffer overflow). La tipica soluzione è quella di introdurre un controllo di flusso per obbligare il mittente a rispettare la velocità del ricevente nello spedire i pacchetti. Questa imposizione solitamente richiede un certo tipo di meccanismo di riscontro (feedback) in modo che il mittente possa essere avvisato se il ricevente è in grado di ricevere o meno. Nel caso in cui invece più nodi vogliono inviare contemporaneamente dei messaggi, si tende ad introdurre un controllo centralizzato, creando un singolo nodo di controllo, responsabile di determinare chi ottiene la priorità all'interno della rete; il nodo successivo quindi, controllerà quando la rete non sarà più occupata, così da poter inviare il messaggio appena questa diventerà libera. Può accadere però, che più nodi monitorizzano la rete e che appena questa sia libera, inviano immediatamente i messaggi, in questo caso si avranno dei problemi di collisione; per ovviare a questo problema, i nodi che monitorano la rete saranno regolati da un protocollo di accesso multiplo attendendo ad esempio un tempo casuale prima di inviare i messaggi, poiché è improbabile che i nodi scelgano lo 67 Livello datalink stesso istante per inviare i dati. Protocolli Nello stack IP, in alcuni casi, il livello datalink consiste nell'utilizzo di una rete realizzata con un altro protocollo per il trasporto di pacchetti IP. Questo avviene ad esempio con X.25, Frame Relay, Asynchronous Transfer Mode. Sono protocolli del livello datalink Ethernet (per le LAN) e PPP, HDLC e ADCCP per le connessioni punto a punto (cioè tra due stazioni collegate tra loro fisicamente). Può essere o non essere affidabile: molti protocolli di data link non utilizzano conferme e alcuni potrebbero addirittura non controllare se sono stati commessi errori di trasmissione. In questo caso devono essere i livelli superiori ad effettuare il controllo di flusso, il controllo degli errori e gestire le conferme (e relative ritrasmissioni). In alcune reti, come le LAN IEEE 802, questo livello è diviso nei sottolivelli MAC e LLC. Quest'ultimo è comune a tutti i livelli MAC, come token ring e IEEE 802.11 ma anche a livelli MAC che non fanno parte dello standard 802, come FDDI. Sottolivello LLC Il sottolivello superiore è Logical link control (LLC), e può fornire servizi di controllo di flusso, conferma, rilevazione (o correzione) degli errori. I protocolli PPP e HDLC fanno parte di questo sottolivello. I protocolli di sottolivello LLC che forniscono il servizio di conferma di o garanzia di ricezione dei dati devono prevedere messaggi di conferma avvenuta ricezione (acknowledge, o ACK). Il trasmittente può attendere il riscontro di ciascun messaggio prima di trasmettere il successivo, oppure può continuare a trasmettere fino al raggiungimento di un numero massimo di messaggi non ancora confermati dal ricevente, nei cosiddetti protocolli finestrati. Nei protocolli con finestra ciascun pacchetto trasmesso è identificato con un numero progressivo all'interno della finestra, detto numero di sequenza (sequence number); i messaggi di conferma devono riportare il numero di sequenza del pacchetto che riscontrano. I messaggi di conferma possono essere cumulativi ("ricevuti i pacchetti fino a N"), o richiedere la ritrasmisione cumulativa ("ritrasmettere i pacchetti fino a N") o selettiva dei soli pacchetti non ricevuti correttamente. In alcuni casi il riscontro dei messaggi ricevuti utilizza un messaggio dedicato, in altri casi il riscontro viene inserito in campi specifici dei messaggi trasmessi in direzione opposta (piggyback) diminuendo le latenze di ritrasmissione. Sottolivello MAC Il sottolivello inferiore è Media Access Control o Medium Access Control. Il suo scopo è quello di disciplinare l'accesso multiplo di molteplici nodi ad un canale di comunicazione condiviso evitando o gestendo l'occorrenza di collisioni. Una collisione si verifica quando due o più nodi trasmettono simultaneamente dati sul canale condiviso. Ciò comporta l'inevitabile perdita dei dati trasmessi con conseguente spreco di banda. Esistono molteplici algoritmi e protocolli standard per il controllo dell'accesso multiplo. Ad esempio, il MAC IEEE 802.3 adotta l'algoritmo CSMA/CD mentre il MAC IEEE 802.11 si basa sull'algoritmo CSMA/CA. Il primo è comunemente adottato in LAN cablate il secondo in WLAN. Due sono le principali tipologie di algoritmi di accesso multiplo: casuale e ordinato. Nell'accesso multiplo casuale è possibile che si verifichino delle collisioni ma vengono implementati degli opportuni meccanismi per ridurne la probabilità di occorrenza e per ritrasmettere le trame collise. Nell'accesso ordinato, invece, l'evenienza di una collisione è del tutto impossibile poiché i nodi seguono un preciso ordine di accesso al canale (stabilito nella fase di inizializzazione della rete) che li rende utilizzatori esclusivi del mezzo trasmissivo (a meno di guasti o malfunzionamenti). A livello MAC, inoltre, si definisce il formato della trama, che tipicamente conterrà i campi di inizio/fine, i campi di indirizzo MAC mittente/destinatario, il pacchetto incapsulato di livello LLC, il codice per la rilevazione degli errori (FEC), ed opzionalmente dei byte di padding per garantire che la dimensione della trama non scenda al di sotto di una soglia minima. 68 Livello datalink Interfacce Il livello di data link è spesso implementato come un driver della scheda di rete. Il sistema operativo avrà una certa interfaccia software tra questo livello e quello superiore (di rete). Questa interfaccia non è un livello, ma più uno standard per la comunicazione tra livelli. Alcuni esempi: • ODI • NDIS • SANA II - Standard Amiga Networking Architecture, versione 2 Note [1] (EN) Data Link Layer Definition (http:/ / www. linfo. org/ data_link_layer. html). linfo.org, 16-10-2005. URL consultato il 13-5-2012. [2] (EN) Bradley Mitchell. Visual Networking Overview - The OSI Model - Data Link Layer (http:/ / compnetworking. about. com/ od/ basicnetworkingconcepts/ l/ blbasics_osi2. htm). about.com. URL consultato il 13-5-2012. Bibliografia A. Tanenbaum, Reti di Computer. Fabrizia Scorzoni, Reti e protocolli. Voci correlate • • • • • • • • • • • • • • • • • • • • • • • • Management di rete Protocollo di rete Organizzazione Internazionale per le Standardizzazioni ISO/OSI Ethernet WiFi Point-to-Point Protocol Token ring ARP ATM FDDI Serial Line Internet Protocol (SLIP) ARCnet Cisco Discovery Protocol (CDP) Controller Area Network (CAN) Econet Frame Relay High-Level Data Link Control (HDLC) IEEE 802.2 (comprende le funzioni LLC per tutti i livelli MAC IEEE 802) IEEE 802.11 wireless LAN LocalTalk Multiprotocol Label Switching (MPLS) StarLan Comunicazioni seriali. 69 Secure shell Secure shell In informatica e telecomunicazioni SSH (Secure SHell, shell sicura) è un protocollo di rete che permette di stabilire una sessione remota cifrata tramite interfaccia a riga di comando con un altro host di una rete informatica. È il protocollo che ha sostituito l'analogo ma insicuro Telnet. Descrizione Il client SSH ha una interfaccia a riga di comando simile a quella di telnet e rlogin, ma l'intera comunicazione (ovvero sia l'autenticazione (mutua) che la sessione di lavoro) avviene in maniera cifrata. Per questo motivo, SSH è diventato uno standard di fatto per l'amministrazione remota di sistemi unix e di dispositivi di rete, rendendo obsoleto il protocollo telnet, giudicato troppo pericoloso per la sua mancanza di protezione contro le intercettazioni. Il client ed il server SSH sono installati o installabili su molte versioni di UNIX, GNU/Linux, Mac OS X e Microsoft Windows. Inoltre è disponibile come strumento di amministrazione su alcuni apparati di rete La sintassi su sistemi UNIX-like è la seguente: $ ssh [opzioni] nomeutente@host [comando] dove con "$" si intende il prompt della shell utilizzata La prima versione dell'SSH era completamente Open Source, mentre la seconda è diventata commerciale; esiste comunque una versione libera detta OPEN SSH che si basa sulla prima versione, ma che fornisce supporto alla seconda versione. Autenticazione SSH prevede un'autenticazione mutua sia per il client che per il server. Autenticazione del client Esistono principalmente due metodi di autenticazione per controllare l'accesso ad un server ssh: Username/Password L'utente fornisce un nome utente ed una password, che vengono validati dal server. Questo scambio avviene all'interno di un canale cifrato, per cui non è a rischio di intercettazione. Procedura: 1. 2. 3. 4. A ⇒ B: SSH_MSG_USERAUTH_REQUEST, pappy, ssh-userauth, keyboard-interactive B ⇒ A: SSH_MSG_USERAUTH_INFO_REQUEST, pappy, password-authentication, 1, "Enter Password" A ⇒ B: SSH_MSG_USERAUTH_INFO_RESPONSE, 1, "love" B ⇒ A: SSH_MSG_USERAUTH_SUCCESS. Per prevenire attacchi brute force si può utilizzare un tool DenyHosts o Fail2ban. 70 Secure shell Chiave pubblica Questo metodo di autenticazione è basato sulla crittografia asimmetrica. Per utilizzarlo l'utente genera una coppia di chiavi. La chiave pubblica è copiata sul server, tipicamente in un apposito file nella home directory dell'utente; la chiave privata deve essere conservata dall'utente, ed è bene che sia protetta con una parola chiave (passphrase). Nella fase di accesso, il client ssh prova al server di essere in possesso della chiave privata, e in caso di successo viene consentito l'accesso. In questo modo, all'utente non è richiesto di fornire la propria password ad ogni connessione. Autenticazione del Server L'autenticazione del server serve ad evitare che un utente maligno "impersoni" il server, facendosi fornire le credenziali dell'utente (attacco man in the middle). A questo scopo, per ciascun server viene generata una coppia di chiavi asimmetriche. La chiave privata rimane sul server. La chiave pubblica deve essere installata sui client. Quando un client si collega ad un server di cui conosce la chiave pubblica, verifica che il server sia ancora in possesso della chiave privata. Se questa verifica fallisce, la connessione viene abbattuta, evitando di fornire credenziali al server. Nella pratica, quando ci si collega ad un server per la prima volta, il client chiede se si vuole accettare la chiave pubblica di questo server, e se l'utente risponde positivamente memorizza questa chiave e prosegue nella connessione. Alle connessioni successive con lo stesso server, il client ne verifica l'autenticità, e in caso la chiave privata non corrisponda impedisce di proseguire la connessione. Port forwarding La sicurezza della comunicazione tramite SSH è assicurata grazie alla realizzazione di tunnel criptati che, trasportando sessioni TCP arbitrarie all'interno della connessione criptata, permettono di proteggere da intercettazione protocolli non sicuri, o di aggirare limitazioni di routing. Questa funzionalità è detta port forwarding, e permette di aprire un socket TCP sul client SSH (local port forwarding) o sul server (remote port forwarding). Le connessioni ricevute su questa porta vengono inoltrate dall'altro capo della connessione SSH, verso un host e una porta specificata. Ad esempio, con questo comando ci si collega ad host1, inoltrando la porta 10022 della macchina in cui lanciamo il client ssh alla porta 22 di host2 attraverso un canale sicuro tra client e host1: ssh host1 -L 10022:host2:22 Mentre questa connessione è attiva, collegandosi alla porta 10022 del client si viene rediretti verso la porta 22 di host2. X forwarding Il port forwarding è utile anche per trasportare applicazioni X Window attraverso una connessione SSH. SSH imposta anche automaticamente le opportune variabili d'ambiente, in modo che le applicazioni X lanciate da un terminale remoto vengano visualizzate sul display da cui è stata avviata la connessione. L'X forwarding dal lato client deve essere abilitato passando l'opzione "-X" mentre dal lato server va modificato il file di configurazione /etc/ssh/sshd_config abilitando la direttiva X11Forwarding (ricordatevi di riavviare il server una volta apportata la modifica al file di configurazione). 71 Secure shell Esempio di uso del port forwarding Il port forwarding è utile ad esempio per fare assistenza remota a macchine prive di un sistema di gestione remota sicuro. È possibile creare un tunnel sicuro tra una porta del client e una porta del server remoto o di qualsiasi terza macchina dietro al sever remoto, a patto che la macchina server abbia abilitato il forwarding. Questo è normalmente possibile senza installare nessun pacchetto aggiuntivo. Ad esempio, nel seguente scenario CLIENT --[rete sicura]--> ssh server --[rete insicura]--> TERZA MACCHINA Se vogliamo utilizzare un desktop remoto sulla terza macchina basta che ci connettiamo al server ssh includendo un tunnel tra una porta locale della macchina dove lavoriamo e la porta 3389 della TERZA MACCHINA. Dopo di che basterà avviare il client RDP e connettersi a localhost:(porta scelta). Il client ssh locale stabilirà una connessione criptata con il server, creerà un tunnel all'interno di questa connessione criptata, ed invierà la connessione RDP su questo tunnel. Il server a sua volta stabilirà una normale sessione TCP con la terza macchina sulla porta richiesta. Come risultato, il client RDP verrà messo in comunicazione con la terza macchina. La connessione tra ssh server e terza macchina non sarà criptata, per cui è opportuno che la comunicazione tra queste due macchine non sia a rischio di intercettazione. La terza macchina vedrà la connessione TCP provenire dal server ssh invece che dal client. Voci correlate • • • • • • OpenSSH PuTTY WinSCP Transport Layer Security Secure copy SFTP Collegamenti esterni • • • • • • • • Configurazione dei Virtual Hosts con Apache2 [1] Esempio di tunnel SSh usando Putty [2] Uso e configurazione di SSH [3] (EN) Sito di Openssh [4] (EN) Pagina di manuale di Openssh [5] via OpenBSD (EN) HOWTO: Five steps to a more secure SSH [6] (EN) DenyHosts: script intended to help thwart SSH server attacks [7] (EN) SSH via HTTP [8] 72 Secure shell Note [1] [2] [3] [4] [5] [6] [7] [8] http:/ / www. oscene. net/ site/ sysadmin/ web-server/ howto-configurazione-dei-virtual-hosts-con-apache2 http:/ / www. compago. it/ index. php/ it/ manuali/ 39-windows/ 169-tunnel-ssh-con-putty http:/ / www. cert. garr. it/ documenti/ ssh/ http:/ / www. openssh. org/ http:/ / www. openbsd. org/ cgi-bin/ man. cgi?query=ssh http:/ / thinkhole. org/ wp/ 2006/ 10/ 30/ five-steps-to-a-more-secure-ssh http:/ / denyhosts. sourceforge. net/ http:/ / webssh. cz. cc/ 73 Fonti e autori delle voci Fonti e autori delle voci Suite di protocolli Internet Fonte:: http://it.wikipedia.org/w/index.php?oldid=49493820 Autori:: Abisys, Amux, Ary29, AttoRenato, Braccobaldo92, Castagna, Daniele Forsi, Davide, Domenico De Felice, Giovannigobbin, Guarracino, Hce, Ilario, KeyboardSpellbounder, Lukius, M1CH3L3, Misakiforever, Moongateclimber, NicFer, Nitya Dharma, Ricercatorew76, Tank00, Vdfn, Vulkano, 50 Modifiche anonime Livello applicazioni Fonte:: http://it.wikipedia.org/w/index.php?oldid=49560578 Autori:: Abisys, Ary29, Avesan, Buggia, Daniele Forsi, FrAnCiS, Hce, Mar.pollo, Neustradamus, Pietrodn, Rotpunkt, Taueres, 11 Modifiche anonime HTTPS Fonte:: http://it.wikipedia.org/w/index.php?oldid=48770924 Autori:: Abisys, Antonio Felaco, Archiegoodwinit, Avesan, Azrael555, Bla, Davide21, DnaX, Frack, Frieda, Gvf, Hellis, Hydra2005, IlMatte, Joana, LapoLuchini, Luifiora, Lukius, Marcuscalabresus, Orso della campagna, Panairjdde, Phantomas, Quatar, Roneda, Salvatore Ingala, Salvorapi, Samuele, Sbisolo, Sedlex, Spinot, Template namespace initialisation script, Toobaz, Vulkano, Ylebru, 40 Modifiche anonime Hypertext Transfer Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=49640948 Autori:: %Pier%, .anaconda, .mau., 5Y, A7N8X, Abisys, Al Pereira, Alfio, Anotherhacktivist, Ary29, Avesan, Azrael555, Brownout, Buggia, Caulfield, Davide21, Derfel74, Elbloggers, Eumolpo, Fabexplosive, Filemon, FollowTheMedia, Frieda, Giacomo Ritucci, Gioppe, Guidomac, Gvf, Harlock81, Hashar, Hellis, Iron Bishop, Iskander, L736E, Lorenzor, M.Costantino, M7, Madaki, Mamo139, Marius, MaxDel, Maxferrario, Mfprimo, Miklee, Moongateclimber, Napy84, Ninja, Phantomas, Rojelio, Rollopack, Salvatore Ingala, Sbisolo, Sentruper, Simone, Suisui, Taueres, Ticket 2010081310004741, TierrayLibertad, Toobaz, Twice25, Unriccio, Vulkano, Wfra, 82 Modifiche anonime Simple Mail Transfer Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=49175275 Autori:: .anaconda, Abisys, Airon90, Ale2006, Alef.ala, Alfio, Arkanoid80, Avesan, Barbaking, Fbartolom, Frieda, Govoch, Guam, Hashar, Hellis, Iron Bishop, Luckyz, M7, Marcuscalabresus, Mauro742, MikyT, Moongateclimber, Rl89, Sbisolo, Sergio.ballestrero, Simo ubuntu, Sythos, Toobaz, Unriccio, Vanadio, Vulkano, Zhw, 42 Modifiche anonime Post Office Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=48933194 Autori:: .anaconda, Abisys, Airon90, Alfio, Amux, Avesan, Brownout, Duvet, Fatzeus, Frieda, Govoch, Hawk, Iron Bishop, Laurentius, Lurkos, Marcuscalabresus, Moongateclimber, Simo ubuntu, Snowdog, Vanadio, Vulkano, 24 Modifiche anonime Internet Message Access Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=48634303 Autori:: Abisys, Airon90, Amarvudol, Avesan, Azrael555, B3t, Dommac, Fedcas, Frieda, Guidomac, Hashar, Hawk, Iron Bishop, Lurkos, Moongateclimber, Salvatore Ingala, Simone, Snowdog, Suisui, Timendum, Vulkano, 17 Modifiche anonime Dynamic Host Configuration Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=47800970 Autori:: %Pier%, 5Y, Abisys, Alec, Ary29, Avesan, Bla, ChemicalBit, Civvì, Crimer, Dolcerino, Edonan, Enzotib, Frieda, Hashar, Hce, Homer, Ilario, Ippatsu, M7, Moongateclimber, Naryalin, No2, Nuno Tavares, Phantomas, Pracchia-78, Saint-Just, Shivanarayana, Simone, ViciDig, Vulkano, 73 Modifiche anonime Simple Network Management Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=48599609 Autori:: %Pier%, Abisys, AttoRenato, Avesan, Daniele Gallesio, DnaX, Hce, Hellis, Lenore, Leofiore, Marcobombe, Moongateclimber, No2, Phantomas, Sbisolo, Simo ubuntu, Taueres, Toobaz, Vulkano, 24 Modifiche anonime File Transfer Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=49426413 Autori:: 27182, Abisys, Alfio, Anglachel, AnjaManix, Arkanoid80, Ary29, Avesan, Bigboss00, Billiejoex, Blakwolf, Brownout, Cyberuly, Daemon nio, Dega180, Dirigenteitis, DnaX, Eippol, Eumolpo, Frieda, Gabrielemargon, Gauss, Giomol, Guidomac, Harlock81, Hellis, Iron Bishop, Lorenzo Zoffoli, Marcel Bergeret, Marius, Mavericksaur, Maxcip, Mirkop88, Moongateclimber, Moroboshi, Ninja, No2, Orso della campagna, Phantomas, Pracchia-78, Sassospicco, Sbisolo, Shardanaa, Snowdog, Stemby, Template namespace initialisation script, Ticket 2010081310004741, Tomi, Twice25, Vulkano, Wfra, 36 Modifiche anonime Domain Name System Fonte:: http://it.wikipedia.org/w/index.php?oldid=49063093 Autori:: %Pier%, .anaconda, .mau., Abisys, Albert2810, Alfio, Amarvudol, Ancelli, Angelo Mascaro, Antonellosinisi1986, Ary29, Ask21, Avesan, Balabiot, Beta16, Brownout, Calabash, ChemicalBit, Dav82, Domenico Romeo, Dragotti SLA, Enricomilano, Fede Reghe, Frack, Frieda, Gastipi, GiaGar, Gig, Gionnico, Giovannigobbin, Govoch, Gvf, HT, Hce, Hellis, Hill, Igualeonte, Iron Bishop, Jredmond, Kaeso, LoStrangolatore, Lp, LukeWiller, M7, Marcok, Maui, Michelep23, Mira1-System, Moongateclimber, Nitya Dharma, No2, P tasso, Phantomas, Piermarini, Quoniam, Rojelio, Rollopack, Salparadiso, Samadhi56, Sbisolo, Scienzape, Senpai, Sentruper, Shivanarayana, Simone, Sinigagl, Sir marek, Smallpox, Snowdog, Speedymax, Spikeyrock, Theferro, Tibe, Utopio, Valepert, Viscontino, Vulkano, XCash, Yukie, Zandegù, 127 Modifiche anonime Telnet Fonte:: http://it.wikipedia.org/w/index.php?oldid=45621586 Autori:: %Pier%, .jhc., Abisys, Alez, Ary29, Avesan, Cls-classic, Dfmarco, FrAnCiS, Giancy, Hellis, Jacopo, Leoman3000, M7, MikyT, Moongateclimber, Nevermindfc, Ninja, Qualc1, Rquaglia, Salvatore Ingala, Sandro kensan, Sentruper, Simo ubuntu, Vulkano, 28 Modifiche anonime rsync Fonte:: http://it.wikipedia.org/w/index.php?oldid=45888189 Autori:: .anaconda, Ale-sandro, Antonell, Argento, Ary29, AttoRenato, Avesan, Basilero, Bla, Came88, Dwdp, F l a n k e r, Fale, Gac, Gervasi, Jacopo, Johnlong, Lusum, Mr.evolution, Nalegato, Patafisik, Pigr8, Poweruser, Salvatore Ingala, Simo ubuntu, Sofisma75, Stacky, 12 Modifiche anonime Real-time Transport Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=49525401 Autori:: Avesan, Broc, CapSnake, Groucho75, Hellis, Moongateclimber, Pietrodn, Robmontagna, SiGMa83, Simo ubuntu, Vulkano, 10 Modifiche anonime Livello di trasporto Fonte:: http://it.wikipedia.org/w/index.php?oldid=49490946 Autori:: %Pier%, Abisys, Avesan, Beren023, Buggia, Civvì, Davide, Hce, Mar.pollo, MitRouting, Pegasovagante, Phantomas, Pietrodn, Rotpunkt, Salvorapi, Tank00, 22 Modifiche anonime Transmission Control Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=49549070 Autori:: %Pier%, 212.177.57.xxx, A7N8X, Abisys, Acchiappasogni, Alfio, Alleborgo, Anotherhacktivist, Ar mythra, Archenzo, Ary29, Automatic jack, Avesan, Azrael555, Bergonz, Brownout, Bultro, Calius25, Cruccone, Daimon, Dav82, Davide, Ddonato, DoBs, Edonan, Fabior1984, Frieda, Gac, Gianfranco, Hce, IRedRat, Iron Bishop, Jacopo Werther, Jacopobenz, Jean85, KeyboardSpellbounder, Kormoran, Leo144, Lgiove, Luigi.tuby, Marcuscalabresus, Matteo92Ferrari, Maui, Mess, Mix, Moongateclimber, Nervosud, No2, Qualc1, Remulazz, SalvoIsaja, SbiellONE, Sbisolo, Simo ubuntu, Snubcube, Unriccio, Vulkano, 127 Modifiche anonime User Datagram Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=47468222 Autori:: %Pier%, Abisys, Acchiappasogni, Alfio, Anotherhacktivist, Ary29, Avesan, Brownout, Elwood, Frendine, Frieda, GianniPucillo, Hce, Hellis, Iannigb, Iron Bishop, Jean85, Krabbit, Misterioso, Moongateclimber, Moroboshi, Pibo, Salvorapi, Sbrandollo, Simo ubuntu, Unriccio, Vulkano, 30 Modifiche anonime Livello di rete Fonte:: http://it.wikipedia.org/w/index.php?oldid=49575840 Autori:: %Pier%, Abisys, Alfio, Ary29, Avesan, DnaX, Fosco86, Frieda, Hce, Ignorantone, Leitfaden, Mar.pollo, Paginazero, Pegasovagante, Perteghella, Pietrodn, RL, Rojelio, Rotpunkt, Sentruper, Snowdog, Svante, TommiMazza, 29 Modifiche anonime IPv4 Fonte:: http://it.wikipedia.org/w/index.php?oldid=48502124 Autori:: .anaconda, Abisys, Acchiappasogni, Archenzo, Ary29, Avesan, Clamiax, DaVid83, Frack, Gsdefender2, Happyhour, Hce, Helios, Hellis, Ilario, Jean85, M7, Marco Plassio, Matra dj, Max Null, Mizardellorsa, Moongateclimber, No2, Onr, Penaz, Rojelio, Valepert, Vulkano, 33 Modifiche anonime IPsec Fonte:: http://it.wikipedia.org/w/index.php?oldid=48988465 Autori:: %Pier%, .mau., Abisys, Aker, Alef.ala, Ary29, Avesan, Bla, Dinwath, Ercaran, F. Cosoleto, Fabexplosive, Frieda, Guam, Guidomac, Hellis, IngDani, Lgiove, Mcicogni, MitRouting, Moongateclimber, Phantomas, Rojelio, Snowdog, Viames, Vulkano, 71 Modifiche anonime Livello datalink Fonte:: http://it.wikipedia.org/w/index.php?oldid=49575883 Autori:: 0x1.gen, Abisys, Alfio, Ary29, Avesan, Bart46, DanGarb, Daniele Forsi, Eumolpa, Eumolpo, Famasoft, Frieda, GiacomoV, Hce, Hellis, Knottyboy, L'alchimista, Llorenzi, Mar.pollo, Nalegato, No2, Pap3rinik, Phantomas, Ricercatorew76, Rotpunkt, Sbisolo, Scorpios90, Simoz, Tomi, Wikit2006, 81 Modifiche anonime Secure shell Fonte:: http://it.wikipedia.org/w/index.php?oldid=48709071 Autori:: Abisys, Alleborgo, Apollo13, Avesan, Brownout, Domenico De Felice, Fabianope, Fatzeus, Francesco.monte, Gliu, Golf-ball, Govoch, Hashar, Hce, Hellis, Ianezz, Johnlong, Kaos Ktrl, LapoLuchini, Leo72, Lukius, No2, Pietrodn, Reddstain, Robbyd1983, Rollopack, Romanm, Salvatore Ingala, Sassospicco, Siciliano Edivad, T137, Vulkano, Wiso, 53 Modifiche anonime 74 Fonti, licenze e autori delle immagini Fonti, licenze e autori delle immagini Immagine:Commons-logo.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Commons-logo.svg Licenza: logo Autori:: SVG version was created by User:Grunt and cleaned up by 3247, based on the earlier PNG version, created by Reidab. File:Modello FTP.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Modello_FTP.png Licenza: Creative Commons Attribution 2.5 Autori:: Fale, No2, Sbisolo, 3 Modifiche anonime File:svg2raster.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Svg2raster.jpg Licenza: sconosciuto Autori:: Samadhi56 File:DNS RR.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:DNS_RR.png Licenza: sconosciuto Autori:: Samadhi56 File:Nome spazio di dominio.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Nome_spazio_di_dominio.jpg Licenza: Public domain Autori:: Samadhi56 File:Tcp-handshake.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Tcp-handshake.svg Licenza: Creative Commons Attribution-ShareAlike 3.0 Unported Autori:: 300px-Tcp-handshake.png: ??? derivative work: Snubcube (talk) File:TCP-Chiusura-a-4-vie.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:TCP-Chiusura-a-4-vie.png Licenza: Public Domain Autori:: Acchiappasogni 75 Licenza Licenza Creative Commons Attribution-Share Alike 3.0 Unported //creativecommons.org/licenses/by-sa/3.0/ 76
