English· Español· Deutsch· Nederlands· Français· 日本語· ქართული· 繁體中文· 简体中文· Português· Русский· العربية· हिन्दी· Italiano· 한국어· Polski· Svenska· Türkçe· Українська· Tiếng Việt· Bahasa Indonesia

un

ospite
1 / ?
torna alle lezioni

Le reti si mappano su grafi

Le topologie di rete sono grafi geometrici

Ogni rete di computer ha una topologia: la disposizione geometrica di nodi (dispositivi) e archi (connessioni). La topologia determina tolleranza ai guasti, larghezza di banda e proprietà di sicurezza.

Network Topologies

Cinque topologie fondamentali:

- Stella: Un hub centrale, tutti i nodi si connettono ad esso. Semplice, economico. Singolo punto di guasto: se l'hub si guasta, tutto si guasta. N-1 archi per N nodi.

- Anello: I nodi formano un cerchio, ciascuno connesso a due vicini. Un'unica interruzione partiziona la rete. N archi per N nodi.

- Autobus: Tutti i nodi condividono un singolo cavo dorsale. Economico ma soggetto a collisioni. Un guasto del cavo dorsale disattiva tutto.

- Mesh: Ogni nodo si connette a ogni altro nodo. Ridondanza massima. Una mesh completa con N nodi ha N(N-1)/2 archi: cioè O(N²) connessioni. Costosa ma altamente tollerante ai guasti.

- Albero: Ramificazione gerarchica. N-1 archi (grafo minimo connesso). Il guasto della radice partiziona i sottoalberi.

Le reti reali sono ibride: un core mesh con livelli di accesso a topologia stella, gerarchie di routing strutturate ad albero e ridondanza a topologia anello nei nodi critici.

Topologia e tolleranza ai guasti

Un data center ha 20 server. Il team delle operazioni sta discutendo tra una mesh completa e una topologia stella per la rete interna.

Calcola il numero di connessioni richieste per una mesh completa di 20 nodi rispetto a una topologia stella. Poi spiega perché la maggior parte dei data center reali non usa nessuna topologia pura: quale approccio ibrido usano tipicamente e perché?

Geometria dell'esposizione

Superficie di attacco = confine geometrico

In cibersicurezza, la superficie di attacco è l'insieme totale di punti in cui un attaccante può interagire con un sistema. Pensala geometricamente: il tuo sistema è una forma, e ogni punto sul suo confine è un potenziale punto di ingresso.

Componenti della superficie di attacco:

- Superficie di rete: Ogni porta aperta su ogni indirizzo IP pubblico. Un server con 5 porte aperte ha 5 punti sul suo confine di rete.

- Superficie di applicazione: Ogni endpoint API, ogni route URL, ogni input di modulo. Un'app web con 200 route ha 200 punti di confine a livello di applicazione.

- Superficie umana: Ogni dipendente con credenziali, ogni bersaglio di phishing. Gli attacchi di ingegneria sociale colpiscono il perimetro umano.

- Superficie fisica: Ogni porta di server room, ogni porta USB, ogni presa di rete.

Il principio geometrico: La sicurezza migliora riducendo al minimo il confine tra zone fidate e non fidate. Un firewall definisce un confine geometrico: il traffico all'interno è fidato, il traffico all'esterno no. Meno buchi nel confine, più piccola la superficie di attacco.

Questo spiega perché il principio del privilegio minimo è geometrico: dai a ogni componente l'esposizione minima di confine di cui ha bisogno per funzionare.

Riduzione della superficie di attacco

Un'azienda gestisce un'applicazione web con la seguente esposizione: 12 endpoint API pubblici, SSH aperto su tutti i 50 server (porta 22), un database con IP pubblico e un pannello admin accessibile da internet.

Descrivi almeno quattro cambiamenti geometrici specifici per ridurre questa superficie di attacco. Per ciascuno, spiega quale confine stai rimpicciolendo e perché.

Grafi di attacco e alberi delle minacce

La modellazione delle minacce utilizza la teoria dei grafi

I professionisti della sicurezza modellano le minacce come grafi diretti. La struttura di questi grafi rivela percorsi di attacco, bersagli di alto valore e priorità difensive.

Grafi di attacco: I nodi rappresentano stati del sistema (o singoli sistemi). Gli archi diretti rappresentano possibili transizioni: exploit, movimenti laterali, escalation dei privilegi. Un percorso di attacco è una passeggiata attraverso questo grafo da un nodo esterno a un nodo bersaglio.

Alberi delle minacce: Una struttura di grafo specializzata. Il nodo radice è l'obiettivo dell'attaccante (ad es. 'rubare il database'). I nodi figli sono metodi per raggiungere l'obiettivo genitore. Le foglie sono azioni di attacco concrete. I nodi AND richiedono che tutti i figli abbiano successo; i nodi OR richiedono solo uno.

La centralità dei grafi identifica i bersagli di alto valore:

- Centralità di betweenness: Un nodo attraverso il quale passano molti percorsi più brevi. In una rete, questo è il collo di bottiglia: compromettilo e controlli il flusso di traffico. Un firewall o un domain controller spesso ha alta centralità di betweenness.

- Centralità di grado: Un nodo con molte connessioni. In un grafo di attacco, un nodo raggiungibile da molti altri nodi è un bersaglio di movimento laterale di alto valore.

Percorso più breve = vettore di attacco più probabile: Gli attaccanti ottimizzano per il minor numero di passi. Il percorso più breve in un grafo di attacco da internet al database è la rotta di attacco più probabile. La difesa significa rendere quel percorso più lungo: aggiungere nodi (controlli di sicurezza) che l'attaccante deve attraversare.

Analisi del grafo di attacco

Considera una rete con questa struttura: Internet → Web Server → App Server → Database. Il Web Server si connette anche a un File Server. L'App Server si connette a un Backup Server. L'obiettivo di un attaccante è il Database.

Disegna mentalmente il grafo di attacco. Qual è il percorso più breve da Internet al Database? Quale nodo ha la centralità di betweenness più alta, e perché lo rende il bersaglio di hardening a più alta priorità? Se aggiungi un firewall tra Web Server e App Server, come cambia la lunghezza del percorso più breve?

La crittografia con curve ellittiche utilizza la geometria

Curve ellittiche: dove la geometria diventa crittografia

La crittografia a curve ellittiche (ECC) è uno dei rari luoghi in cui la sicurezza è letteralmente costruita su operazioni geometriche.

Una curva ellittica è l'insieme dei punti (x, y) che soddisfano: y² = x³ + ax + b (più un punto speciale 'all'infinito'). Sui numeri reali, questo assomiglia a una curva liscia e simmetrica.

Addizione di punti: l'operazione geometrica che rende possibile la crittografia:

1. Prendi due punti P & Q sulla curva.

2. Disegna una linea retta attraverso P & Q.

3. Quella linea interseca la curva in esattamente un altro punto R'.

4. Rifletti R' attraverso l'asse x per ottenere R = P + Q.

Questa operazione di 'addizione' forma un gruppo matematico: è associativa, ha un elemento identità (il punto all'infinito), e ogni punto ha un inverso.

Moltiplicazione scalare: Aggiungere un punto P a se stesso k volte dà kP. Andare avanti (calcolare kP dato k e P) è veloce: operazioni O(log k) usando double-and-add. Andare indietro (trovare k dato P e kP) è il problema del logaritmo discreto su curve ellittiche (ECDLP): ritenuto computazionalmente infattibile per grandi curve.

Questa asimmetria è il fondamento della sicurezza di HTTPS moderno. La connessione HTTPS del tuo browser probabilmente usa ECDHE (Elliptic Curve Diffie-Hellman Ephemeral): entrambi i lati concordano un segreto condiviso scambiando punti su una curva ellittica, e nessun intercettatore può recuperare il segreto senza risolvere ECDLP.

Perché la geometria crea buona crittografia

ECC fornisce la stessa sicurezza di RSA con dimensioni di chiave molto più piccole. Una chiave ECC a 256 bit fornisce approssimativamente la stessa sicurezza di una chiave RSA a 3072 bit.

Spiega perché il problema del logaritmo discreto su curve ellittiche è difficile: cosa lo rende geometricamente difficile invertire la moltiplicazione scalare kP tornando a k? E perché questa difficoltà geometrica si traduce in dimensioni di chiave più piccole rispetto all'approccio di fattorizzazione di interi di RSA?