Fondamenti di sicurezza - Sicurezza in Rete e livello di trasporto

Sicurezza in Rete

La comunità internet ha sviluppato diversi meccanismi di sicurezza specifici per le varie applicazioni,

noi analizzeremo i risultati più significativi organizzati sui livelli di protocollo:

- a livello di network è IP/IPSec

- a livello di trasporto è SSL/TLS

- a livello di applicazioni è Kerberos

IP/IPSec (sicurezza a livello network)

Nella comunicazione tra A e B i dati vengono prima mandati ai rispettivi router e poi da essi viaggiano

attraverso la rete (in realtà prima di viaggiare i dati di A passano attraverso i sette layer strato, visti in

vengono aggiunte informazioni in testa “header” per poter

concorrente modello OSI, e ad ogni strato

intraprendere il viaggio verso B), a questi dati è allegato un IP (internet protocol) che contiene varie info

tra cui l’indirizzo al quale devono andare i dati.

IPv4 Header

E’ la quarta versione dell’Internet Protocol, è costituita da 13 campi (di cui 1 opzionale detto Options).

Version: indica la versione del protocollo

IHL: (Internet Header Length) indica la dimensione del campo dati (può variare a seconda della

presenza di “Options”

questi bit specificano all’host ricevente come deve trattare il datagramma in

Type of Service: arrivo (con precedenza, latenza, affidabilità…)

indica la dimensione dell’intero pacchetto IPv4 (comprendendo Header e dati)

Total Length:

Identification: serve ad identificare in modo univoco i vari frammenti in cui può essere

spezzato un pacchetto IP

Flags: utilizzato per il controllo del protocollo e della frammentazione dei datagrammi (può

“Reserved” se settato a 0, “DF” (don’t fragment)

essere se settato a 1 indica che il

pacchetto non va frammentato, “MF” (more fragments) se 0 indica che il frammento è

l’ultimo, tutti i frammenti intermedi sono settati ad 1

indica l’offset (posizione) del frammento in esame rispetto all’inizio del

Fragment Offset: pacchetto originale

indica il tempo di vita del pacchetto, per evitare che vaghi all’infinito per la rete

Time to Live: nel caso in cui non trovi il destinatario

Protocol: indica il codice associato al protocollo utilizzato nel campo dati del pacchetto (se TCP

è 6, UDP 17, IPv6 41…)

campo usato per il controllo degli errori dell’header, ogni tot il checksum

Header Checksum: viene ricalcolato e confrontato con questo campo, se nn c’è

corrispondenza il pacchetto viene scartato

indica l’indirizzo IP associato all’host del mittente del pacchetto (se un utente

Source Address: intermedio si inserisce tra A e B questo campo conterrà il suo IP)

indica l’indirizzo IP associato all’host del destinatario del pacchetto

Destination Address:

Options + padding: (opzioni facoltative) per usi più specifici del protocollo, come info sui

router. Il padding non è altro che un completamento dei 32 bit se le info

sono più brevi (o inesistenti).

IPv6 Header

Sesta versione ma meno utilizzata della quarta, creata per il problema della saturazione di IPv4.

Version: indica la versione del datagramma IP

Traffic Class: indica la classe di priorità del pacchetto rispetto ad altri pacchetti provenienti

dalla stessa sorgente.

Flow Label: usata dal mittente per etichettare una sequenza di pacchetti come se fossero nello

stesso flusso.

la dimensione del payload, cioè di tutto quello che viene dopo l’header,

Payload Length: indica

eventuali estensioni dell’header (che vedremo dopo) vengono considerate

parte del payload

indica il tipo di intestazione che segue l’header di base IPv6

Next Header: (simile al campo

protocol IPv4)

&eg