Glossario Cybersecurity

01

Fondamenti di Sicurezza

CVE — Common Vulnerabilities and Exposures

Identificatore pubblico univoco per ogni vulnerabilità nota. Formato: CVE-ANNO-NUMERO (es. CVE-2021-44228 = Log4Shell). Database ufficiale: NVD (National Vulnerability Database) del NIST.

CVSS — Common Vulnerability Scoring System

Punteggio 0–10 che valuta la gravità di una CVE. Considera: vettore d'attacco, complessità, privilegi richiesti, impatto su riservatezza, integrità e disponibilità.

None
0.0

Low
0.1–3.9

Medium
4.0–6.9

High
7.0–8.9

Critical
9.0–10

💡 CVSS ≥ 9.0 = CRITICO → patching immediato. Un 0-Day con CVSS alto è la combinazione più pericolosa.

0-Day / Zero-Day

Vulnerabilità scoperta e sfruttabile per cui NON esiste ancora una patch.

Vulnerabilità scoperta
Segnalazione → apertura CVE
Il produttore sviluppa la patch
Patch distribuita e installata

SOC & CISO

SOC (Security Operations Center): unità H24/365 per monitoraggio, threat detection, incident response e threat intelligence.

CISO (Chief Information Security Officer): responsabile della strategia di sicurezza. Riporta al CEO/CTO. Definisce policy, budget e compliance (GDPR, ISO 27001).

Patch Management

Processo continuo: inventario asset → scansione CVE → prioritizzazione CVSS → test staging → deploy → verifica.

⚠️ La finestra tra pubblicazione CVE e deploy della patch è il periodo di massima esposizione. Virtual patching via WAF come soluzione temporanea.

02

Logica Booleana

Operatori Booleani & Circuiti Logici

Un circuito booleano è una rete di porte logiche (gate) che implementano operazioni su bit (0/1) — il fondamento di ogni sistema digitale.

Operatore	Simbolo	Output	Uso in cybersecurity
AND	`& ∧`	1 solo se entrambi 1	Subnet mask, filtri ACL
OR	`\| ∨`	1 se almeno uno è 1	Regole firewall
NOT	`! ¬`	Inverte il bit	Wildcard mask Cisco
XOR	`^ ⊕`	1 se sono diversi	RAID 5/6, AES, OTP
NAND	`!(A&B)`	Opposto AND	Universale: qualsiasi circuito
NOR	`!(A\|B)`	Opposto OR	Universale come NAND

AND applicato alla Subnet Mask

La subnet mask funziona con un AND bit a bit tra IP e maschera → risultato = indirizzo di rete.

IP:    192.168.1.10  →  11000000.10101000.00000001.00001010
Mask:  255.255.255.0  →  11111111.11111111.11111111.00000000
AND:   192.168.1.0   →  11000000.10101000.00000001.00000000

Bit mask=1 → parte RETE (fissa)
Bit mask=0 → parte HOST (variabile)

💡 XOR è fondamentale in RAID 5/6 e AES. AND è la base di subnet mask e ACL.

03

Crittografia

Hash & Digest

Funzione UNIDIREZIONALE: trasforma dati di qualsiasi dimensione in una stringa fissa di caratteri esadecimali. Dall'hash è computazionalmente impossibile risalire ai dati originali.

Integrità file: confronta hash scaricato con quello ufficiale
Password: hashate con SALT univoco → anche in caso di breach l'attaccante ha solo hash
Blockchain: ogni blocco contiene l'hash del precedente → modificarlo invalida la catena

Algoritmo	Bit	Sicurezza	Uso
MD5	128	❌ Insicuro	Solo checksum rapidi
SHA-1	160	❌ Deprecato	Legacy
SHA-256	256	✔ Sicuro	TLS, firme, Bitcoin
bcrypt/Argon2	var.	✔✔	Password: lenti by design

"ciao" → b94f6f125c79e3a5ffaa826f584c10d52ada669e6762051b826b55776d05a8df

04

Modello OSI — 7 Livelli

ISO/IEC 7498-1 — I sette livelli della comunicazione

#	Nome	Funzione	Esempi
7	Applicazione	Servizi per l'utente	HTTP, FTP, DNS, SSH, SNMP
6	Presentazione	Formato, compressione, cifratura	TLS, JPEG, ASCII
5	Sessione	Apertura/chiusura sessioni	NetBIOS, RPC
4	Trasporto	Comunicazione end-to-end	TCP, UDP
3	Rete	Instradamento pacchetti	IP, ICMP, OSPF, RIP
2	Data Link	Frame, MAC, errori	Ethernet, Wi-Fi, ARP
1	Fisico	Segnali elettrici/ottici	Cavi, fibra, onde radio

💡 WAF=L7 · Firewall=L3/L4 · TCP/UDP=L4 · IP=L3 · MAC/Ethernet=L2 · Cavi=L1

05

Struttura di un Indirizzo IP

IPv4 — Come è fatto

32 bit = 4 ottetti decimali separati da punti. Ogni ottetto: 0–255.

192   .  168   .    1   .   10
11000000.10101000.00000001.00001010

→ Parte di RETE  : determinata dalla subnet mask
→ Parte di HOST  : identifica il singolo dispositivo

IPv6: 128 bit, 8 gruppi esadecimali. 2001:db8::1 (:: = gruppi di zeri omessi)

Classi IPv4 & Indirizzi privati (RFC 1918)

Classe	Intervallo	Mask	Host	Uso
A	1.x – 126.x	/8	16.7M	Grandi ISP
B	128.x – 191.x	/16	65.534	Reti medie
C	192.x – 223.x	/24	254	LAN piccole
D	224.x – 239.x	—	—	Multicast

Privati RFC 1918 (non instradati su Internet): 10.0.0.0/8 · 172.16.0.0/12 · 192.168.0.0/16

Speciali: 127.0.0.1 loopback · 169.254.x.x APIPA · 255.255.255.255 broadcast globale

🛠️

Calcolatore IPv4 → Binario Clicca i bit, usa gli slider: vedi come un indirizzo si traduce in 32 bit

→

06

Protocolli di Rete

TCP vs UDP

L4

Caratteristica	TCP	UDP
Connessione	✔ 3-Way Handshake	❌ Nessuna
Affidabilità	✔ Ritrasmissione	❌ Best effort
Ordine	✔ Garantito	❌ Non garantito
Uso tipico	HTTP/S, SSH, FTP, email	Streaming, DNS, VoIP, gaming

💡 TCP = telefonata (connessione, ordine, conferma). UDP = radio (veloce, senza ricevuta).

Porte comuni

Servizio	Porta	Proto	Note
HTTP	80	TCP	Web non cifrato
HTTPS	443	TCP	HTTP + TLS
DNS	53	UDP/TCP	Risoluzione nomi
SSH	22	TCP	Accesso remoto cifrato
FTP	21	TCP	Trasferimento file
SMTP	25	TCP	Invio email
SNMP	161	UDP	Monitoraggio dispositivi
NFS	2049	TCP/UDP	File sharing Linux
SMB	445	TCP	File sharing Windows
RDP	3389	TCP	Desktop remoto Windows
Telnet	23	TCP	❌ In chiaro

ICMP — Internet Control Message Protocol

L3

Solo diagnostica e controllo — non trasporta dati utente.

ping → Echo Request/Reply — verifica raggiungibilità
traceroute → TTL Exceeded — mappa il percorso hop per hop
Messaggi errore: Port Unreachable, Net Unreachable, Redirect

⚠️ Abusi: ping flood (DoS), ICMP tunneling (esfiltrazione dati nascosta dentro ping).

DNS — Domain Name System

Porta 53

Traduce nomi di dominio in IP — la rubrica di Internet. UDP per query, TCP per zone transfer.

A → dominio → IPv4 · AAAA → dominio → IPv6
MX → mail server · CNAME → alias
NS → nameserver autoritativo · PTR → IP → dominio (reverse)

⚠️ DNS spoofing e cache poisoning → usare DNSSEC. DNS over HTTPS (DoH) per cifrare le query.

NFS — Network File System

Porta 2049

Condivide directory tra sistemi Unix/Linux come se fossero dischi locali.

# Server — /etc/exports
/dati  192.168.1.0/24(rw,sync,no_root_squash)

# Client
mount -t nfs 192.168.1.5:/dati /mnt/condiviso

NFS vs SMB: NFS = Linux/Unix · SMB (445) = Windows
NFS vs SAN: NFS → FILE via IP · SAN → BLOCCHI via FC/iSCSI

⚠️ NFSv3 in chiaro → usare NFSv4 con Kerberos in produzione.

SNMP & OID

UDP 161

Monitora dispositivi di rete. Componenti: NMS (manager) + Agent + MIB.

v1/v2: community string in chiaro ❌
v3: autenticazione + cifratura ✔

OID: 1.3.6.1.2.1.1.1.0 = iso.org.dod.internet.mgmt.mib-2.system.sysDescr

07

Indirizzamento IP & Routing

Subnet & CIDR

AND bit a bit tra IP e maschera → indirizzo di rete. CIDR (/xx) supera le classi A/B/C.

CIDR	Mask	Totale	Host utili
/24	255.255.255.0	256	254
/16	255.255.0.0	65.536	65.534
/8	255.0.0.0	16.7M	16.7M-2
/30	255.255.255.252	4	2 (point-to-point)

/16 vs /24 — Differenza pratica

/16: 192.168.x.x si vedono tutti direttamente → router invisibile → rete flat.

/24: 192.168.1.x NON vede 192.168.2.x → passa dal gateway → separazione reti, DMZ, VLAN.

💡 192.168.1.10 → 192.168.2.10 con /24: .10 vede che .2.10 è fuori subnet → manda al gateway → router consulta routing table → forwarda.

Gateway

Punto di uscita della rete locale. Se un host vuole raggiungere un IP fuori dalla sua subnet, invia il pacchetto al gateway che decide come instradarlo.

Routing statico vs dinamico

Aspetto	Statico	Dinamico
Configurazione	Manuale	Automatica
Adattamento guasti	❌ No	✔ Automatico
Overhead	Zero	CPU + banda
Scalabilità	Bassa	Alta
Protocolli	—	OSPF, RIP, BGP

OSPF — Open Shortest Path First

Link-State: ogni router conosce la mappa completa. Algoritmo Dijkstra. Metrica: costo basato su bandwidth. Converge in secondi, no limite hop. Multicast 224.0.0.5. Standard enterprise.

router ospf 1
  network 192.168.1.0 0.0.0.255 area 0
  network 10.0.0.0 0.255.255.255 area 0

RIP v1 & RIP v2

Distance Vector. Algoritmo Bellman-Ford. Metrica: hop count (max 15 — 16 = ∞). Aggiornamento ogni 30s, convergenza lenta (minuti).

Caratteristica	RIP v1	RIP v2	OSPF
Tipo	Distance Vector	Distance Vector	Link State
Max hop	15	15	Nessun limite
Aggiornamento	Broadcast	Multicast 224.0.0.9	Multicast 224.0.0.5
VLSM/CIDR	❌	✔	✔
Autenticazione	❌	✔ MD5	✔
Convergenza	Lenta	Lenta	Veloce

⚠️ Problemi: counting to infinity · split horizon · route poisoning (metrica 16 = ∞).

SD-WAN — Software-Defined Wide Area Network

Gestisce via software più link eterogenei (MPLS, broadband, LTE, 5G) in parallelo. Failover automatico, traffic shaping per applicazione, gestione centralizzata. Costo molto inferiore a MPLS dedicato.

08

CLI — Command Line Interface

Comandi Linux — reti & sicurezza

Comando	Funzione
`ip addr / ifconfig`	Interfacce e IP
`ip route show`	Tabella di routing
`ping / traceroute`	Raggiungibilità / percorso
`nslookup / dig`	Query DNS
`ss -tulpn`	Porte in ascolto
`nmap <target>`	Scansione porte
`tcpdump -i eth0`	Cattura pacchetti
`iptables / ufw`	Firewall
`ssh user@host`	Connessione remota cifrata
`scp / rsync`	Copia file via SSH

Cisco IOS — comandi base

Livelli: > User · # Privileged (enable) · (config)# Global config

show ip interface brief     ! stato interfacce
show ip route               ! routing table
show running-config         ! config attiva
show version                ! HW e versione IOS
no shutdown                 ! attiva interfaccia
ip route 10.0.0.0 255.255.0.0 192.168.1.1  ! rotta statica

💡 no davanti a qualsiasi comando lo annulla. ? mostra l'help contestuale. Tab completa il comando.

09

Proxy Server

Forward Proxy — lato client

Si interpone tra i client interni e Internet. Il server vede solo l'IP del proxy.

Client → [Forward Proxy] → Internet → Server

Controllo accessi web, filtraggio contenuti, cache, logging

Proxy Trasparente vs Esplicito

Aspetto	Esplicito	Trasparente
Client sa del proxy	✔ Sì	❌ No
Config client	Richiesta (GPO/manuale)	Nessuna
Aggirabile	✔ Sì	❌ No (NAT a livello rete)
HTTPS	Nativo	Richiede SSL inspection
Uso tipico	Aziende, scuole	ISP, hotspot

Reverse Proxy — lato server

Davanti ai server backend. I client credono di parlare col server finale.

Client → Internet → [Reverse Proxy] → Server A
                                     → Server B

Load balancing · SSL termination · Cache · WAF integrato

# nginx reverse proxy
server { listen 443 ssl; server_name miosito.com;
  location / { proxy_pass http://backend; } }
upstream backend { server 192.168.1.10:8080; server 192.168.1.11:8080; }

💡 Forward = protegge CLIENT. Reverse = protegge SERVER. CDN come Cloudflare sono reverse proxy globali.

10

ACL — Access Control List

ACL di Filesystem

Gestisce accesso a FILE e DIRECTORY. r=read, w=write, x=execute. Deny-by-default.

alice → rw-   bob → r--   guest → ---

ACL di Rete

Filtra pacchetti su router/switch per IP, porta, protocollo. Standard: solo IP sorgente. Estesa: IP + porta + protocollo.

! Cisco IOS — ACL estesa numerata
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 permit ip any any

💡 Principio minimo privilegio: ogni entità accede SOLO a ciò di cui ha bisogno.

11

Infrastruttura & RAID

NAS vs SAN vs CSV

Aspetto	NAS	SAN
Accesso	FILE (SMB, NFS)	BLOCCO (FC, iSCSI)
Rete	IP condivisa	Rete dedicata
Prestazioni	Moderate	Altissime
Costo	Basso	Alto
Uso	File sharing, backup	DB mission-critical, VM

CSV (Comma-Separated Values): formato testo per dati tabellari — universale per import/export, log, data science.

RAID — Redundant Array of Independent Disks

RAID 0

Striping

Velocità max. Zero ridondanza: un disco rotto = tutto perso.

RAID 1

Mirroring

Copia esatta su 2 dischi. Ottima ridondanza, spazio dimezzato.

RAID 2

Bit striping + ECC

Storico, codice Hamming. Praticamente mai usato.

RAID 5

Stripe + parità XOR

Tolera 1 disco rotto. Parità distribuita (XOR). Min. 3 dischi.

RAID 6

Doppia parità

Tolera 2 dischi rotti. Min. 4 dischi. Più lento in scrittura.

RAID 1+0

Mirror → Stripe

Prima mirror, poi stripe. Prestazioni + ridondanza premium.

RAID 0+1

Stripe → Mirror

Prima stripe, poi mirror. Meno resiliente di RAID 10.

RAID 5 — 3 dischi:
D1: A1   D2: A2   D3: parità(A1 XOR A2)
D1: par  D2: B1   D3: B2   ← parità ruota

💡 RAID 0=velocità · RAID 5=compromesso · RAID 6=RAID5+rete sicurezza · RAID 10=enterprise premium.

Hypervisor Type 1 & Type 2

Aspetto	Type 1 — Bare Metal	Type 2 — Hosted
Gira su	Direttamente sull'HW	Sopra un OS esistente
Prestazioni	Massime	Overhead maggiore
Uso	Datacenter enterprise	Sviluppo, lab, desktop
Esempi	VMware ESXi, Hyper-V, KVM	VirtualBox, VMware WS

12

Linux — Libretto completo

Linux ha una pagina dedicata

Il libretto Linux è un documento completo con 7 capitoli: introduzione, distribuzioni, filesystem, comandi shell, utenti e permessi, Bash scripting, networking. Ha la sua sidebar di navigazione e lo stesso stile di questo glossario.

🐧

Apri il Libretto Linux

Filesystem · Comandi shell · sed · find · Bash scripting · Permessi · SSH · nmap e molto altro.

7 capitoli · contenuto completo

→

Script Bash — Progetto GOL CyberSecurity

Script Bash sviluppati durante lo stage formativo del Progetto GOL. Terminale interattivo con esecuzione simulata, codice sorgente e documentazione.

🖥️

DevShell — Progetto GOL CyberSecurity

grep · bc · tr · cut · shuf · /dev/urandom — Script di Ottavia, Marcello e Claudio.

portfolio2026-04.web.app

↗

💡 Seleziona uno script dal pannello e premi ESEGUI per vedere la simulazione nel terminale interattivo.

13

Cisco Packet Tracer & CCNA

Cos'è Cisco Packet Tracer

Simulatore

Packet Tracer è il simulatore di rete gratuito di Cisco, fondamentale per prepararsi al CCNA. Permette di costruire topologie virtuali, configurare router e switch con la CLI IOS reale, e verificare la connettività senza hardware fisico.

Download gratuito su netacad.com (richiede account Cisco NetAcademy)
Supporta router, switch, hub, firewall, server, PC, wireless
Modalità Realtime (traffico reale) e Simulation (analisi frame per frame)
File con estensione .pkt — salvano l'intera topologia

💡 Nella modalità Simulation puoi vedere ogni pacchetto ICMP, ARP, TCP SYN — essenziale per capire cosa succede davvero in rete.

Topologie tipiche in Packet Tracer

Le topologie più usate nei lab CCNA:

Router-on-a-stick: un router con sotto-interfacce per routing inter-VLAN (1 cavo trunk ↔ switch)
Three-tier: Core switch → Distribution switch → Access switch (modello enterprise Cisco)
WAN point-to-point: due router collegati con link seriale, protocollo PPP o HDLC
Hub-and-spoke: un router centrale (hub) collegato a più router periferici (spoke)

Esempio topologia base CCNA:
PC1 ─── SW1 ─── R1 ─── R2 ─── SW2 ─── PC2
          |              |
        VLAN 10        VLAN 20
(192.168.10.0/24)  (192.168.20.0/24)

CLI IOS — Configurazione completa Router

IOS

Sequenza completa di configurazione di un router da zero:

! ── Accesso e modalità ────────────────────────────────────── Router> enable ! entra in privileged mode Router# configure terminal ! entra in global config Router(config)# hostname R1 ! imposta nome dispositivo ! ── Sicurezza base ─────────────────────────────────────────── R1(config)# enable secret cisco123 ! password enable cifrata R1(config)# service password-encryption ! cifra tutte le password R1(config)# banner motd #ACCESSO AUTORIZZATO SOLO# R1(config)# no ip domain-lookup ! evita lag DNS su typo ! ── Interfaccia LAN ────────────────────────────────────────── R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 R1(config-if)# description LAN-Principale R1(config-if)# no shutdown ! attiva l'interfaccia R1(config-if)# exit ! ── Interfaccia WAN (verso R2) ─────────────────────────────── R1(config)# interface GigabitEthernet0/1 R1(config-if)# ip address 10.0.0.1 255.255.255.252 R1(config-if)# no shutdown R1(config-if)# exit ! ── Rotta statica verso rete remota ────────────────────────── R1(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.2 ! ── SSH (al posto di Telnet) ───────────────────────────────── R1(config)# ip domain-name lab.local R1(config)# crypto key generate rsa modulus 2048 R1(config)# ip ssh version 2 R1(config)# username admin secret cisco123 R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local R1(config-line)# exit ! ── Salvataggio ────────────────────────────────────────────── R1(config)# end R1# copy running-config startup-config ! o: write memory

VLAN & Trunking

L2

VLAN (Virtual LAN): segmentazione logica di una rete fisica. Dispositivi sulla stessa VLAN comunicano tra loro senza router, ma tra VLAN diverse serve il routing (L3).

! ── Creazione VLAN su Switch ───────────────────────────────── SW1(config)# vlan 10 SW1(config-vlan)# name UFFICI SW1(config-vlan)# exit SW1(config)# vlan 20 SW1(config-vlan)# name SERVER SW1(config-vlan)# exit ! ── Porta Access (PC appartiene a una sola VLAN) ───────────── SW1(config)# interface Fa0/1 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config-if)# exit ! ── Porta Trunk (trasporta più VLAN — verso router o switch) ─ SW1(config)# interface Fa0/24 SW1(config-if)# switchport mode trunk SW1(config-if)# switchport trunk encapsulation dot1q ! se richiesto SW1(config-if)# switchport trunk allowed vlan 10,20 SW1(config-if)# exit ! ── Verifica ───────────────────────────────────────────────── SW1# show vlan brief SW1# show interfaces trunk

💡 La VLAN 1 è la VLAN nativa di default — per sicurezza cambiala sempre con un'altra. Le porte trunk usano 802.1Q (dot1q) per taggare i frame con l'ID VLAN.

STP — Spanning Tree Protocol

IEEE 802.1D

STP previene i loop di rete bloccando le porte ridondanti. Elegge un Root Bridge (lo switch con il Bridge ID più basso = priorità + MAC). Le altre porte diventano Root Port, Designated Port o Blocked Port.

RSTP (802.1w): Rapid STP — convergenza in 1-2 secondi invece di 30-50s
PVST+: Per-VLAN STP di Cisco — un'istanza STP per ogni VLAN
PortFast: salta gli stati STP sulle porte access (PC diretti) — convergenza immediata

! Imposta priorità Root Bridge (più basso = più probabile root) SW1(config)# spanning-tree vlan 10 priority 4096 ! PortFast su porta PC SW1(config-if)# spanning-tree portfast ! Verifica SW1# show spanning-tree vlan 10

DHCP — Dynamic Host Configuration Protocol

UDP 67/68

Assegna automaticamente IP, subnet mask, gateway e DNS ai client. Sequenza: DORA — Discover → Offer → Request → Acknowledge.

! ── DHCP Server su Router ──────────────────────────────────── R1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.20 ! escludi IP statici R1(config)# ip dhcp pool LAN-POOL R1(dhcp-config)# network 192.168.1.0 255.255.255.0 R1(dhcp-config)# default-router 192.168.1.1 R1(dhcp-config)# dns-server 8.8.8.8 R1(dhcp-config)# lease 7 ! lease 7 giorni R1(dhcp-config)# exit ! ── DHCP Relay (se il server è su un'altra subnet) ─────────── R1(config-if)# ip helper-address 192.168.2.100 ! IP del server DHCP ! ── Verifica ───────────────────────────────────────────────── R1# show ip dhcp binding R1# show ip dhcp pool

NAT & PAT — Network/Port Address Translation

L3

NAT traduce indirizzi IP privati in pubblici. PAT (NAT overload) usa anche le porte — permette a molti host interni di condividere un singolo IP pubblico.

! ── PAT (NAT Overload) — il più comune ────────────────────── R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 ! ACL degli host interni R1(config)# interface Gi0/0 ! interfaccia LAN = inside R1(config-if)# ip nat inside R1(config-if)# exit R1(config)# interface Gi0/1 ! interfaccia WAN = outside R1(config-if)# ip nat outside R1(config-if)# exit R1(config)# ip nat inside source list 1 interface Gi0/1 overload ! ── Verifica ───────────────────────────────────────────────── R1# show ip nat translations R1# show ip nat statistics

💡 NAT statico: 1 IP privato ↔ 1 IP pubblico. NAT dinamico: pool di IP pubblici. PAT (overload): tutti gli host interni → 1 IP pubblico con porte diverse.

ACL in IOS — Standard & Estesa

Sicurezza

! ── ACL Standard (1-99): filtra solo IP sorgente ───────────── R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255 R1(config)# access-list 10 deny any ! Applica sull'interfaccia (più vicino alla destinazione) R1(config-if)# ip access-group 10 out ! ── ACL Estesa (100-199): filtra IP + porta + protocollo ───── R1(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80 R1(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 443 R1(config)# access-list 101 deny ip any any ! Applica (più vicino alla sorgente per le estese) R1(config-if)# ip access-group 101 in ! ── ACL Named (più leggibile) ──────────────────────────────── R1(config)# ip access-list extended BLOCCA-TELNET R1(config-ext-nacl)# deny tcp any any eq 23 R1(config-ext-nacl)# permit ip any any ! Verifica R1# show access-lists

💡 Regola d'oro: ACL standard → applica vicino alla DESTINAZIONE. ACL estesa → applica vicino alla SORGENTE. Esiste sempre un "deny any" implicito alla fine.

OSPF in IOS — Configurazione completa

Dinamico L3

! ── OSPF base su R1 ────────────────────────────────────────── R1(config)# router ospf 1 ! process-id locale (1-65535) R1(config-router)# router-id 1.1.1.1 ! ID univoco del router R1(config-router)# network 192.168.1.0 0.0.0.255 area 0 R1(config-router)# network 10.0.0.0 0.0.0.3 area 0 R1(config-router)# passive-interface Gi0/0 ! non invia hello sulla LAN R1(config-router)# exit ! ── Verifica ───────────────────────────────────────────────── R1# show ip ospf neighbor ! router vicini OSPF R1# show ip ospf database ! LSDB (mappa rete) R1# show ip route ospf ! rotte apprese da OSPF R1# show ip protocols ! protocolli attivi

💡 La wildcard mask è l'inverso della subnet mask: /24 → 0.0.0.255 · /30 → 0.0.0.3 · /8 → 0.255.255.255. Area 0 = backbone OSPF, obbligatoria.

Troubleshooting — Comandi diagnostici IOS

ping 192.168.1.1

Testa ICMP verso un host

traceroute 8.8.8.8

Mappa percorso hop per hop

show ip route

Tabella di routing completa

show ip interface brief

Stato tutte le interfacce

show interfaces Gi0/0

Dettaglio interfaccia: errori, counters

show arp

Tabella ARP: IP ↔ MAC

show mac address-table

Tabella MAC dello switch

show cdp neighbors

Dispositivi Cisco vicini (CDP)

debug ip ospf events

Debug OSPF in tempo reale

debug ip rip

Debug RIP in tempo reale

show ip nat translations

Traduzioni NAT attive

show vlan brief

VLAN configurate e porte

💡 Metodologia OSI bottom-up: inizia dal L1 (cavi, LED) → L2 (CDP, MAC) → L3 (ping, route) → L4 (porte) → L7 (applicazione). Isola il livello del problema.

Concetti chiave per il CCNA

Esame

Argomento	Concetto chiave da ricordare
Subnetting	Formula: 2^n host − 2 (rete + broadcast). 2^m subnet. /30 = 2 host (point-to-point)
Wildcard mask	Inverso della subnet: 255.255.255.0 → 0.0.0.255
OSI vs TCP/IP	TCP/IP ha 4 livelli: App (L5-7) · Trasporto (L4) · Internet (L3) · Accesso rete (L1-2)
STP	Root Bridge = priorità più bassa. Default: 32768. PortFast solo su porte access.
VLAN	Access = una VLAN · Trunk = più VLAN con tag 802.1Q · VLAN nativa = non taggata
NAT	Inside local = IP privato · Inside global = IP pubblico · Outside = destinazione
OSPF	Hello ogni 10s, Dead ogni 40s. Stessi area, hello, dead, password → diventano neighbor
DHCP DORA	Discover (broadcast) · Offer · Request · Acknowledge
CDP	Cisco Discovery Protocol: scopre automaticamente i vicini Cisco diretti (L2)
Sicurezza switch	Port security: limita MAC su una porta. Violazione: shutdown / restrict / protect

💡 CCNA 200-301: 120 minuti, 100-120 domande (mix/drag&drop/lab). Argomenti: reti, routing, switching, wireless, sicurezza, automazione. Usa Packet Tracer + Boson ExSim per la simulazione d'esame.

14

Sicurezza Applicativa

WAF — Web Application Firewall

L7

Analizza e filtra HTTP/HTTPS. Opera a Livello 7 — ispeziona il payload. Blocca: SQL Injection, XSS, CSRF, Path Traversal.

💡 WAF (L7) + Firewall (L3/L4) = difesa in profondità. Non si sostituiscono.

CA — Certification Authority & Wildcard

CA: emette certificati X.509. PKI: CA root → CA intermedie → certificati end-entity. CRL/OCSP: revoca.

Wildcard: *.dominio.com protegge tutti i sottodomini con un unico certificato.

Honeypot · SSH vs Telnet · Print Server

Honeypot: sistema vulnerabile usato come esca per studiare gli attaccanti
Telnet (23): ❌ In chiaro — deprecato
SSH (22): ✔ Cifrato — standard odierno
Print Server: vettore di attacco laterale spesso trascurato

15

Attacchi Informatici

MitM — Man in the Middle

L'attaccante si interpone intercettando o alterando il traffico.

ARP Poisoning · DNS Spoofing · SSL Stripping · Evil Twin

Contromisure: HTTPS+HSTS · certificati client · VPN · DNSSEC · 802.1X

Brute Force & Varianti

Tecnica	Metodo	Note
Brute Force	Tutte le combinazioni	Lento ma garantisce successo
Dictionary Attack	Dizionario password comuni	Molto più veloce
Credential Stuffing	Credenziali da breach reali	Sfrutta riuso password
Password Spraying	1-2 pass su migliaia account	Evita lockout
Rainbow Table	Tabella hash→password	Inutile con SALT

🛡️ Contromisure: password ≥12 char · MFA · lockout progressivo · SALT + bcrypt/Argon2.

16

Topologie di Rete

Confronto topologie

Topologia	Meccanismo	Guasto nodo	Guasto cavo	Scalabilità
Bus	Broadcast su cavo	Isolato	⚠ Rete giù	Bassa
Stella	Switch centrale	✓ Isolato	✓ Isolato	Alta
Anello	TOKEN antiorario	⚠ Blocca*	⚠ Blocca	Media
Maglia	Link multipli OSPF/BGP	✓ Bypass	✓ Bypass	Alta
Albero	Core→Dist→Access	Parziale	Parziale	Alta
Ibrida	Combinazione	Dipende	Dipende	Alta

* MAU bypassa automaticamente il nodo guasto.

TOKEN Ring — IEEE 802.5

TOKEN = frame speciale che circola antiorario. Solo chi ha il token può trasmettere. Deterministico, no collisioni. Oggi obsoleto — sostituito da Ethernet.

17

OWASP — Top 10 (2021)

Open Web Application Security Project

Lista aggiornata delle vulnerabilità web più critiche. Riferimento standard mondiale.

A01 🔴

Broken Access Control

Accesso senza permessi (IDOR, escalation)

A02 🔴

Cryptographic Failures

Password in chiaro, HTTP al posto di HTTPS

A03 🔴

Injection

SQL, OS, LDAP, XSS via input non validato

A04 🟠

Insecure Design

Architettura senza sicurezza by design

A05 🟠

Security Misconfiguration

Config default, porte aperte, errori verbosi

A06 🟠

Vulnerable Components

Librerie con CVE note non aggiornate

A07 🟡

Auth & Session Failures

Brute force, session fixation, token deboli

A08 🟡

Software & Data Integrity

Pipeline CI/CD senza firme crittografiche

A09 🟡

Security Logging Failures

Log insufficienti → attacchi non rilevati

A10 🟡

SSRF

Il server fa richieste interne per l'attaccante

A01 — Broken Access Control

L'app non verifica i permessi. Esempi: /admin via URL, IDOR (id=123→124), escalation verticale. Contromisure: deny-by-default, controlli lato server, minimo privilegio.

A02 — Cryptographic Failures

Cifratura assente o inadeguata. Esempi: password in chiaro, HTTP, MD5/SHA-1 per password, chiavi hardcoded. Contromisure: HTTPS+HSTS, bcrypt/Argon2+SALT, TLS 1.2/1.3.

A03 — Injection

Input non sanificato eseguito come codice.

SELECT * FROM users WHERE user='' OR '1'='1'
→ Bypassa autenticazione

Contromisure: prepared statements, validazione input, WAF.

💡 A01+A02+A03 = maggior parte degli attacchi reali. Sono problemi di CODICE — il WAF è un palliativo.