OSI (Open System Interconnection)
E' il modello di riferimento per le architetture di rete proposto da ISO (International Organization for Standardization) con l’obiettivo di definire uno schema “aperto” per la realizzazione di apparati di rete, così da bloccare i tentativi di far prevalere protocolli e schemi proprietari da parte delle grandi aziende del settore; a causa della lentezza della sua nascita, quando ha fatto la sua prima comparsa, il modello IPS (Internet Protocol Suite) aveva già preso il sopravvento, per cui OSI è rimasto come modello di riferimento, ma non ha mai visto nessuna implementazione pratica. Il modello è diviso in 7 livelli (qui elencati dal basso verso l’alto):
Livello 1
FISICO
Trasmette sequenze binarie sul canale di comunicazione
Livello 2
COLLEGAMENTO
Diviso in LLC (Logical Link Control), interfaccia con il livello 3, e MAC (Medium Access Control) che gestisce la condivisione del mezzo; crea pacchetti, gestisce l’accesso al canale, sincronizza tx e rx, gestisce errori e ritrasmissioni
Livello 3
RETE
Definisce pacchetti, instradamento e indirizzamento in modo astratto rispetto al mezzo fisico, conosce la topologia di rete, sceglie il percorso migliore per ogni pacchetto, interfaccia reti diverse
Livello 4
TRASPORTO
Apre e chiude le connessioni, gestisce le connessioni multiple, controlla errori e ordine di ricomposizione, gestisce la congestione della rete
Livello 5
SESSIONE
Instaura, mantiene e conclude il dialogo tra due programmi, gestisce token o turni di comunicazione
Livello 6
PRESENTAZIONE
Gestisce sintassi, cifratura e decifratura dell’informazione da trasmettere
Livello 7
APPLICAZIONE
Interfaccia di comunicazione con i programmi, gestisce i trasferimenti di file
IPS (Internet Protocol Suite)
Per conoscenza, è giusto sapere che l’IPS, meglio conosciuto come modello TCP/IP è diviso in quattro livelli:
Livello 1
HOST TO NETWORK
non definito (corrisponde ai livelli OSI 1 e 2)
Livello 2
INTERNET (IP)
corrisponde al livello OSI 3
Livello 3
TRANSPORT (TCP)
corrisponde al livello OSI 4
Livello 4
APPLICATION
corrisponde al livello OSI 7
I due modelli a confronto
Per capire il funzionamento di certi attacchi è necessario sapere come funziona il protocollo TCP; la connessione TCP è divisa in tre fasi principali: avvio, scambio dei dati e chiusura.
In modo molto semplice e scarno: quando navighiamo, viene instaurata una connessione TCP tra la nostra macchina e il server web, viene inviata la richiesta del documento che abbiamo scelto e il server lo invia (la connessione rimane aperta finchè non usciamo dal sito dove abbiamo prelevato il documento).
Analizziamo più dettagliatamente la connessione da un computer (con ip 192.168.1.15) al server web locale (con ip 192.168.1.79):
Il computer apre una porta (la prima libera, diciamo la 1100) sull’interfaccia di rete e da questa invia un SYN, un pacchetto TCP con il flag syn attivo (a indicare la richiesta di iniziare una connessione), con indicazione delle porte da usare (la 1100 TCP sul computer, la 80 TCP sul server http).
Il server riceve il pacchetto e invia come risposta un altro pacchetto TCP (dalla sua porta 80 diretto alla mia porta 1100) con i flag SYN e ACK, per comunicare che la connessione è stata accettata ed p in attesa di conferma da parte del computer.
Alla ricezione della conferma da parte del server, il computer rimanda il pacchetto con il solo flag ACK, a indicare la conferma della connessione, che a questo punto può dirsi stabilita (3 way handshake).
Dopo lo scambio dei dati (il documento), il computer invia un pacchetto TCP con il flag FIN per comunicare l’intenzione di chiudere la connessione.
Il server, ricevuto il FIN, risponderà con un paccheto con i flag FIN e ACK.
Per terminare la connessione, il computer dovrà successivamente inviare un pacchetto con il flag ACK.
Nel caso la connessione si interrompesse indipendentemente dalle due macchine, o se fosse presunta tale (pacchetti che arrivano a destinazione oltre un tempo massimo previsto), la prima ad accorgersene invierebbe all’altra un pacchetto con il flag RST, a indicare che è necessario ripetere l’handshake.
I flag TCP:
SYN
Viene inviato nel primo pacchetto di un host che vuole stabilire una connessione con un altro (synchronize)
SYN ACK
E’ la risposta di un host che accetta la connessione che gli è stata richiesta (acknowledgement)
ACK
E’ la conferma dell’arrivo di ogni pacchetto
FIN
Viene inviato da un host che vuole chiudere una sessione (finish)
FIN | ACK
E’ la risposta di un host che chiude la connessione
RST
Viene inviato da un host che riceve un pacchetto non previsto e impone di iniziare nuovamente l’handshake