elisabetta/cryptoseals
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Now you can learn !!

Browse Source
This commit is contained in:
elisabetta
2026-04-29 18:17:40 +02:00
parent 3680f36105
commit 9506765838
13 changed files with 718 additions and 501 deletions
Download Patch File Download Diff File Expand all files Collapse all files

60
backend/src/main/resources/get/documentazione/sicurezza_reti.md Normal file
View File

@@ -0,0 +1,60 @@
# La Sicurezza nelle Reti: Protocolli e Strumenti di Difesa
---
## Sicurezza dei Protocolli di Rete
Per garantire la sicurezza delle comunicazioni su Internet, sono stati sviluppati protocolli crittografici specifici per i diversi livelli della pila di rete (ISO/OSI o TCP/IP).
### Sicurezza a Livello di Rete: IPsec
**IPsec (Internet Protocol Security)** è una suite di protocolli che protegge il traffico IP a livello di rete, garantendo autenticazione, integrità e riservatezza. È ampiamente utilizzato per creare connessioni VPN.
* **Modalità operative:**
* **Transport Mode (Modalità Trasporto):** Viene cifrato *solo* il carico utile (payload) del pacchetto IP. L'intestazione (header) originale rimane in chiaro. È usato per comunicazioni end-to-end (es. da un PC a un Server).
* **Tunnel Mode (Modalità Tunnel):** Viene cifrato *l'intero* pacchetto IP originale (sia header che payload) e viene incapsulato in un nuovo pacchetto con un nuovo header esterno. È ideale per le VPN Site-to-Site (es. tra i router di due sedi aziendali).
* **Protocolli principali:**
* **AH (Authentication Header):** Garantisce l'integrità dei dati e l'autenticazione del mittente, ma *non* cifra il contenuto (nessuna riservatezza).
* **ESP (Encapsulating Security Payload):** Offre cifratura (riservatezza), oltre all'integrità e all'autenticazione. È il protocollo più completo e utilizzato.
### Sicurezza a Livello di Trasporto: SSL/TLS
**SSL (Secure Sockets Layer)** e il suo standard evolutivo **TLS (Transport Layer Security)** forniscono comunicazioni sicure posizionandosi tra il livello di trasporto (TCP) e quello applicativo.
Il funzionamento si divide in due fasi:
1. **Handshake Protocol:** Fase iniziale in cui client e server si autenticano (di solito il server tramite un Certificato Digitale), negoziano gli algoritmi crittografici supportati e generano le chiavi di sessione.
2. **Record Protocol:** Fase in cui i dati dell'applicazione vengono frammentati, compressi, cifrati (con crittografia simmetrica, più veloce) e trasmessi in modo sicuro.
> **Nota:** L'applicazione più nota di TLS è l'**HTTPS**, che protegge la navigazione web cifrando il normale traffico HTTP.
---
## La Sicurezza delle Reti Wireless (WLAN)
Le reti Wi-Fi (standard IEEE 802.11) sono intrinsecamente più vulnerabili delle reti cablate poiché il mezzo trasmissivo (l'etere) è accessibile a chiunque si trovi nel raggio di copertura radio. L'uso di protocolli di cifratura è quindi obbligatorio.
### Evoluzione degli standard Wi-Fi:
* **WEP (Wired Equivalent Privacy):** Il primo standard introdotto. Utilizza l'algoritmo di cifratura simmetrica RC4.
* *Vulnerabilità:* Oggi è completamente obsoleto e insicuro. L'uso di una chiave statica (sempre uguale) e di un Vettore di Inizializzazione (IV) troppo breve permette a un attaccante di "craccare" la rete in pochi minuti analizzando il traffico.
* **WPA (Wi-Fi Protected Access):** Creato come soluzione rapida per sostituire il WEP senza dover cambiare l'hardware dei router esistenti.
* *Innovazione:* Introduce il protocollo **TKIP (Temporal Key Integrity Protocol)**, che cambia dinamicamente la chiave di cifratura per ogni pacchetto, risolvendo il problema principale del WEP.
* **WPA2 (Standard 802.11i):** Lo standard globale per molti anni.
* *Innovazione:* Abbandona RC4 e TKIP in favore del robusto algoritmo **AES** combinato con il protocollo **CCMP**. Risulta molto sicuro, sebbene rimanga vulnerabile ad attacchi di forza bruta offline (es. *dictionary attack*) se la password della rete è debole.
* **WPA3:** L'ultimo e più moderno standard.
* *Innovazioni:* Sostituisce la vecchia negoziazione delle chiavi con il protocollo **SAE (Simultaneous Authentication of Equals)**, rendendo l'handshake immune agli attacchi a dizionario offline. Introduce inoltre **OWE (Opportunistic Wireless Encryption)** per cifrare automaticamente il traffico anche sulle reti pubbliche aperte (quelle senza password di accesso).
---
## Sicurezza a Livello Applicativo
Alcuni protocolli garantiscono la sicurezza e la riservatezza direttamente per specifiche applicazioni:
* **PGP (Pretty Good Privacy) e S/MIME:** Standard crittografici utilizzati per firmare digitalmente e cifrare i messaggi di posta elettronica (e-mail). Garantiscono l'identità del mittente e impediscono l'intercettazione del testo da parte di server o soggetti terzi.
* **SSH (Secure Shell):** Protocollo di rete crittografico utilizzato per accedere a distanza e amministrare sistemi informatici (es. riga di comando di un server Linux) in totale sicurezza. Ha sostituito i vecchi protocolli non cifrati come Telnet.
## Strumenti di Difesa delle Reti
Per rendere possibile la difesa delle reti dalle minacce, sono stati sviluppati una serie di strumenti:
* **Firewall:** Dispositivo hardware o software che filtra il traffico di rete in entrata e in uscita, agendo come un "muro tagliafuoco" tra una rete interna sicura e una rete esterna (Internet) in base a regole predefinite. Tipi principali: *Packet filtering*, *Stateful inspection*, *Application gateway (Proxy)*.
* **DMZ (Demilitarized Zone):** Sottorete isolata posta tra Internet e la rete locale (LAN). Contiene i server pubblici dell'azienda (es. server web) in modo che, se compromessi, gli attaccanti non abbiano accesso diretto alla rete aziendale interna.
* **IDS e IPS:**
* **IDS (Intrusion Detection System):** Monitora il traffico di rete e "lancia l'allarme" se rileva anomalie o firme di attacchi noti.
* **IPS (Intrusion Prevention System):** Simile all'IDS, ma blocca attivamente il traffico malevolo.
* **VPN (Virtual Private Network):** Crea un "tunnel" cifrato e sicuro attraverso una rete pubblica (come Internet), permettendo di comunicare o accedere alla rete aziendale in totale sicurezza.
* **Honeypot:** Sistema informatico configurato intenzionalmente con vulnerabilità per attirare gli hacker, allo scopo di studiarne i comportamenti e le tecniche.