🏢 Sistemi e Reti · Informatica
2016 — Sessione Ordinaria
Intermedio
Soluzione completa
Infrastruttura scolastica — networking e sicurezza
Modernizzazione rete dual (amministrativa/didattica), Internet centralizzato con backup, piattaforma multimediale, BYOD, database news, crittografia e VPN. Tutti e 4 i quesiti della seconda parte.
Prima Parte
Traccia originale — Ministero dell’Istruzione
Prima e Seconda Parte · Sessione Ordinaria 2016
// testo ufficiale
Riportato per comodità di consultazione.01
Schema logico infrastruttura esistente
Topologia · Componenti · Limiti attuali
Descrizione dello stato attuale
La scuola dispone di due reti completamente separate:
- Rete amministrativa: 15 postazioni fisse (segreteria, presidenza), collegamento Ethernet 100 Mb/s, accesso Internet tramite ADSL 7 Mb/s
- Rete didattica: 10 laboratori + postazioni docenti, collegamento Ethernet 100 Mb/s, accesso Internet tramite ADSL 24 Mb/s
// topologia attuale — due reti indipendenti
Limiti dell’infrastruttura attuale
| Aspetto | Problema | Impatto |
|---|---|---|
| Connettività Internet | Due linee ADSL separate e non sincronizzate | Banda limitata e fragile, collo di bottiglia per servizi cloud |
| Isolamento reti | Separazione fisica ma nessuna convergenza controllata | Impossibile condividere risorse (stampe, server condiviso) |
| Servizi multimediali | Assenti — nessuna piattaforma interna di streaming | Didattica limitata, no supporto didattica online |
| Sicurezza perimetrale | Nessun firewall centralizzato o filtri proxy | Rischi di accesso non autorizzato, malware |
| Scalabilità | Crescita gestionale difficile, nessun backup | Rischio di downtime prolungato in caso di guasto |
02
Progetto evoluzione infrastruttura
Nuova connessione, separazione VLAN, sicurezza, DR
2a — Connessione Internet unificata con backup
Sostituire le due linee ADSL con una linea performante centralizzata (fibra ottica 100 Mb/s simmetrici consigliato, o VDSL 50 Mb/s fallback). Mantenere una delle due ADSL come linea di riserva per failover automatico.
| Linea | Tipo | Banda | Ruolo | Configurazione |
|---|---|---|---|---|
| Primaria | Fibra ottica | 100 Mb/s | Connessione principale | VLAN 10 (admin) + VLAN 20 (didattica) su stessa pipe, separate con switch VLAN-aware |
| Backup (ADSL ex-didattica) | ADSL | 24 Mb/s | Failover automatico | Monitorato con healthcheck, switch IP di gateway automatico se primaria cade |
2b — Separazione del traffico tramite VLAN
Pur unificando la connessione Internet, mantenere separato logicamente il traffico tramite Virtual Local Area Network (VLAN):
- VLAN 10 (Amministrativa): gateway 192.168.10.1/24, DHCP server interno, isolamento da VLAN 20
- VLAN 20 (Didattica): gateway 192.168.20.1/24, DHCP server interno, accesso ai lab
- VLAN 30 (Multimediale – nuovo): server streaming, piattaforma LMS, accesso da entrambe le VLAN
- VLAN 40 (Ospiti – opzionale): accesso Internet sandbox per ospiti e BYOD
// vantaggi VLAN rispetto separazione fisica
- Flessibilità: possibilità di aggiungere nuove VLAN senza ricablaggio
- Gestione centralizzata: switch L3 (multilayer) gestisce il routing interno
- Sicurezza controllata: ACL tra VLAN regolano traffico autorizzato
- Condivisione risorsa: server multimediale raggiungibile da entrambi i settori
2c — Apparati di rete necessari
| Apparato | Specifica | Posizione | Funzione |
|---|---|---|---|
| Router/Firewall | Cisco ASA 5515-X o Fortinet FortiGate 600D | Armadio rack centrale | Routing VLAN, NAT, stateful firewall, failover ADSL |
| Switch L3 (Core) | Cisco Catalyst 2960X o equivalente 48 porte Gigabit | Armadio centrale piano terra | Switching VLAN-aware, trunk verso accesso, instradamento interno |
| Switch L2 (Accesso Piani) | 2× Cisco Catalyst 2960-24TT (24 porte Gigabit) | P.Terra (admin) + P.Primo (didattica) | Aggregazione postazioni, trunking verso core |
| Access Point WiFi | 3–4× Cisco Meraki MR32 (802.11ac dual-band) | Distribuiti nei laboratori | BYOD, guest network, collegamento wireless lab |
2d — Strumenti di sicurezza
- Firewall stateful: rule-based per bloccare traffico non autorizzato tra VLAN, default deny
- IDS/IPS: Snort o Suricata installato sul firewall per rilevare anomalie
- Proxy content filter: Squid con SquidGuard per bloccare siti malevoli/inappropriati da rete didattica
- VPN Site-to-Site (per espansioni future): IPSec tra edifici se scuola si espande
- ACL (Access Control List): su router e switch per granularità accesso (es. blocco accesso admin da didattica)
2e — Migrazione dagli apparati esistenti
// strategia migrazione a downtime zero
- Fase 1 (weekend): installare nuovo router, switch core, linea fibra in parallelo con linea ADSL vecchia
- Fase 2 (martedì pomeriggio, laboratori chiusi): ricablare progressivamente le 10 postazioni didattica verso nuovo switch
- Fase 3 (mercoledì): ricablare postazioni amministrativa (15 postazioni in 1-2 ore)
- Fase 4 (venerdì): testing completo, switch definitivo della linea primaria verso fibra, ADSL rimane in hot-standby
03
Servizi principali da implementare
DHCP · DNS · Web server · Streaming multimediale
Servizi di rete da attivare
| Servizio | Protocollo | Server | Configurazione |
|---|---|---|---|
| DHCP | DHCPv4 | ISC DHCP o Windows DHCP | 2 pool separati: Admin (192.168.10.100–254) + Didattica (192.168.20.100–254). Lease time 24h per postazioni fisse, 4h per mobile. |
| DNS | DNS / DNSSEC | BIND9 o Windows DNS | Zone interna scuola.local, risoluzioni: server.scuola.local, lms.scuola.local, streaming.scuola.local. Forwarder a DNS pubblici (8.8.8.8, 1.1.1.1) |
| Web Server | HTTP/HTTPS | Apache + PHP + MySQL | Hosting sito web, portale registro elettronico, pagine informative. Certificato SSL self-signed per HTTPS interno. |
| Streaming multimediale | RTMP / HLS | Nginx + Wowza Media Server | Piattaforma didattica: video on demand (VOD) e live streaming aule. Accesso da interno (LAN) + pubblico (VPN per genitori) |
| NAS / File Sharing | SMB/CIFS (Samba) | Synology NAS 4-bay | Backup incrementale automatico, condivisione cartelle per docenti, storage video archive. |
Esempio configurazione: DHCP per VLAN Amministrativa
isc-dhcp-server.conf (Linux DHCP su server centrale)
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.100 192.168.10.254;
option routers 192.168.10.1;
option domain-name “scuola.local”;
option domain-name-servers 192.168.10.20; — DNS interno
option ntp-servers 192.168.10.20;
default-lease-time 86400; — 24 ore
max-lease-time 172800; — 48 ore— Prenotazioni fixed per server/printer
host file-server {
hardware ethernet 00:11:22:33:44:55;
fixed-address 192.168.10.20;
}
}
04
Misure di prevenzione interruzioni servizio
Backup · Redundancy · Disaster recovery
High Availability della piattaforma multimediale
| Componente | Strategia HA | RTO | RPO |
|---|---|---|---|
| Web server + streaming | Attivo-attivo: 2 server identici dietro load balancer hardware (F5 Big-IP o Citrix NetScaler) | < 30s (fallover automatico) | 0 (replicazione real-time) |
| Database MySQL | Master-slave replication, failover manuale con MHA (MySQL High Availability) | < 5 min (detection+promotion slave) | < 1 sec |
| Storage (NAS) | RAID-5 (3 dischi HDD 8TB + 1 hot-spare). Backup giornaliero incrementale su NAS secondario | < 2 ore (sostituzione disco) | < 24 ore |
| Connessione Internet | Failover automatico da fibra a ADSL backup (healthcheck ogni 30s, switch IP in < 60s) | < 1 min | 0 (connessione, non dati) |
Piano di backup
// retention policy
- Backup giornaliero full: ogni notte 22:00 (quando scuola chiusa). Retenzione 7 giorni (storage locale NAS secondario)
- Backup incrementale: ogni 6 ore su NAS, retenzione 3 giorni
- Backup settimanale full: domenica sera, copiato su cassetta LTO-7 offsite (conservazione 1 anno per audit)
- Database transaction log: backup ogni 15 minuti, RPO < 15 min
Disaster Recovery: tempo di ripristino
Scenario critico: guasto server principale, perdita edificio (fuoco). Recovery strategy:
- RTO per didattica online: 2-4 ore (ripristino VM da backup su server secondario)
- RTO per gestionale amministrativo: 30 minuti (DB restore da ultimo backup incrementale)
- RPO (Recovery Point Objective): max 15 minuti per dati critici (ultimo transaction log)
Seconda Parte
I
BYOD: Bring Your Own Device
Infrastruttura · Accesso limitato · Problematiche e soluzioni
Hardware e servizi per BYOD
- Access Point WiFi dedicato: VLAN 40 (Guest/BYOD) isolata dai dati amministrativi, 802.11ac per banda sufficiente
- Captive Portal: pagina di login che richiede credenziali (SSO con Active Directory) o accesso ospite
- MDM (Mobile Device Management): MobileIron o Intune per gestione remota policy (forced VPN, app whitelist, geo-fencing)
- VPN SSL-based (opzionale): per accesso a risorsa scolastiche sensibili (es. registro voti docenti)
- Content Filter / Proxy: Squid su firewall per bloccare siti non educativi durante ore scolastiche
Limitazione accesso: solo classi quinte
// controllo d’accesso
- Autenticazione: Active Directory con attributo custom “anno_scolastico=5”. Captive portal verifica attributo prima di assegnare IP.
- Time-based restrictions: accesso WiFi BYOD abilitato solo 8:00–17:00 (orario scolastico)
- Geofencing: MDM consente accesso solo da edificio scolastico (GPS + beacon BLE)
- Bandwidth shaping: QoS limita BYOD a 2 Mb/s per device (priorità ai servizi didattici)
Problematiche e soluzioni
| Problematica | Rischio | Soluzione |
|---|---|---|
| Malware su device personali | Compromissione rete scolastica se device infetto | Scansione antimalware obbligatoria prima di connessione (MDM integration con Avast/Norton) |
| Privacy del minore | Geolocalizzazione continua, monitoraggio dati personali | Opt-in esplicito (consenso genitori), geofencing disabilitato fuori orario scolastico, data deletion policy annuale |
| Saturazione banda | Uno studente con streaming video degrada connessione di tutti | QoS + bandwidth cap per device, priorità a servizi educativi (LMS, streaming didattico) |
| Distrazione / off-task behavior | Social media, gaming durante didattica | App whitelist in orario lezione, URL blacklist (YouTube, TikTok), monitoring software opzionale |
| Supporto tecnico | Device eterogenei (iOS/Android/Windows) = supporto complesso | Knowledge base online + ticketing help desk, MDM self-service per password reset, IT support basics |
II
Sistema news interno — Database
Schema ER · Modello logico · Pagina web PHP
Schema concettuale (E-R)
Entità principale: NEWS (id, autore, titolo, contenuto_testo, contenuto_multimediale, data_inserimento). Relazione opzionale: NEWS → ALLEGATO (immagini/video).
Modello logico relazionale — DDL MySQL
schema-news.sql — tabella news e commenti
CREATE TABLE NEWS (
id_news INT PRIMARY KEY AUTO_INCREMENT,
titolo VARCHAR(200) NOT NULL,
contenuto TEXT NOT NULL,
autore VARCHAR(100) NOT NULL,
data_insert DATETIME DEFAULT NOW(),
media_path VARCHAR(500), — path a video/immagine se presente
media_type ENUM(‘image’,’video’),
pubblicata TINYINT DEFAULT 0 — 0=draft, 1=publicato
);CREATE INDEX idx_data ON NEWS(data_insert DESC);
CREATE INDEX idx_pubblicate ON NEWS(pubblicata, data_insert);
Pagina web visualizzazione articolo (PHP)
articolo.php — dettaglio news
<?php
require_once ‘config.php’; — DB connectionif (!isset($_GET[‘id’])) {
header(‘Location: index.php’);
exit;
}$id = intval($_GET[‘id’]);— Query preparato (protezione SQL injection)
$stmt = $pdo->prepare(“SELECT * FROM NEWS WHERE id_news = ? AND pubblicata = 1”);
$stmt->execute([$id]);
$news = $stmt->fetch(PDO::FETCH_ASSOC);if (!$news) {
echo “<h2>Articolo non trovato</h2>”;
exit;
}
?><!DOCTYPE html>
<html><head>
<meta charset=“UTF-8”>
<title><?= htmlspecialchars($news[‘titolo’]) ?></title>
</head><body>
<article>
<h1><?= htmlspecialchars($news[‘titolo’]) ?></h1>
<p class=“meta”>
<?= $news[‘autore’] ?> — <?= date_format(date_create($news[‘data_insert’]), ‘d/m/Y H:i’) ?>
</p>
<?php if ($news[‘media_path’]): ?>
<figure>
<?php if ($news[‘media_type’] === ‘image’): ?>
<img src=“<?= htmlspecialchars($news[‘media_path’]) ?>” style=“max-width:100%;”>
<?php elseif ($news[‘media_type’] === ‘video’): ?>
<video controls style=“max-width:100%;”>
<source src=“<?= htmlspecialchars($news[‘media_path’]) ?>” type=“video/mp4”>
</video>
<?php endif; ?>
</figure>
<?php endif; ?>
<div class=“contenuto”>
<?= nl2br(htmlspecialchars($news[‘contenuto’)) ?>
</div>
</article>
</body></html>
// note sicurezza PHP
Uso di prepared statement per prevenire SQL injection. Tutti gli output passano per htmlspecialchars() per prevenire XSS. Campo pubblicata controlla visibilità.III
Crittografia simmetrica e asimmetrica
Caratteristiche · Algoritmi · Applicazioni · Confronto
Crittografia simmetrica
// definizione
Usa una sola chiave segreta sia per cifrare che decifrare. Mittente e destinatario condividono la stessa chiave. Caratteristiche:
| Aspetto | Dettaglio |
|---|---|
| Velocità | Velocissima (operazioni bit-level), milioni di messaggi al secondo su hardware moderno |
| Dimensione chiave | 256 bit per AES è considerato sicuro ancora per decenni |
| Distribuzione chiave | Problema critico: come scambiarsi la chiave iniziale in modo sicuro? |
| Scalabilità | N partecipanti richiedono N×(N-1)/2 chiavi diverse = complessità O(n²) |
Algoritmi simmetrici diffusi: AES (Advanced Encryption Standard, 128/192/256 bit), DES (deprecated, 56 bit), 3DES (triplo DES, legacy)
Crittografia asimmetrica (a chiave pubblica)
// definizione
Usa una coppia di chiavi: chiave pubblica (distribuita liberamente) + chiave privata (segreta). Mittente usa chiave pubblica destinatario per cifrare; solo chi possiede la chiave privata può decifrare.
| Aspetto | Dettaglio |
|---|---|
| Distribuzione chiave | Chiave pubblica può essere distribuita liberamente (DNS, certificato, portale). Non è necessario canale sicuro iniziale. |
| Velocità | Molto più lenta di simmetrica (1000× più lenta, operazioni su interi grandi) |
| Scalabilità | N partecipanti richiedono N coppie di chiavi = complessità O(n) |
| Firma digitale | Possibilità di firmare messaggi: mittente usa chiave privata, destinatario verifica con pubblica → non-ripudio |
Algoritmi asimmetrici diffusi: RSA (2048/4096 bit), ECDSA (Elliptic Curve, 256/384 bit), EdDSA (moderna, 256 bit)
Confronto diretto
| Criterio | Simmetrica (AES) | Asimmetrica (RSA) |
|---|---|---|
| Velocità | Gigabyte/sec | Kilobyte/sec |
| Dimensione chiave | 256 bit suffi | 2048–4096 bit necessari |
| Uso primario | Cifrare volumi dati (file, stream) | Scambio chiavi, firma, autenticazione |
| Infrastruttura | Nessuna (P2P) | PKI (Public Key Infrastructure, CA) |
Applicazioni pratiche: il modello ibrido
// soluzione reale
In HTTPS (TLS), si usa ibrido: RSA/ECDSA negozia una chiave di sessione simmetrica (AES) durante handshake, poi i dati vengono cifrati in AES per velocità. Questo combina i vantaggi di entrambi: distribuzione chiave sicura (asimmetrica) + velocità (simmetrica).
IV
VPN e scambio dati sicuro
Protocolli · IPSec · SSL/TLS · Configurazioni
Tipologie di VPN
| Tipo | Uso | Protocollo | Pros | Cons |
|---|---|---|---|---|
| Site-to-Site | Due sedi fisse sempre connesse | IPSec (IKEv2) o GRE+IPSec | Automatico, trasparente, banda illimitata | Configurazione statica |
| Remote Access (Roadwarrior) | Dipendente in trasferta, casa | OpenVPN, L2TP/IPSec, SSTP | Flessibile, mobile-friendly | Overhead per device |
| Client-to-LAN | Accesso remoto a file server, intranet | OpenVPN, IKEv2, WireGuard | Semplice deployment | Gestione certificati |
IPSec — Site-to-Site
Scenario: Scuola ha succursale con laboratori a 5 km. Si vuole un tunnel VPN permanente tra i due edifici.
ipsec-config-strongswan.conf — tunnel IPSec Sede A ↔ Sede B
conn school-main-to-branch {
type=tunnel
auto=start— Indirizzi IP dei firewall gateway
left=203.0.113.1 — Firewall Sede A
right=198.51.100.5 — Firewall Sede B— Reti da connettere (VLAN)
leftsubnet=192.168.0.0/16 — Tutte le VLAN Sede A
rightsubnet=192.168.100.0/24 — Rete Sede B— IKE (Phase 1) — negoziazione canale
ike=aes256-sha256-modp2048!
ikelifetime=86400s— ESP (Phase 2) — cifratura traffic
esp=aes256-sha256-modp2048!
lifetime=3600s— Autenticazione PSK (Pre-Shared Key, 32+ caratteri)
authby=secret
}
OpenVPN — Remote Access
Scenario: Docente in trasferta accede al server file della scuola. Si usa OpenVPN con certificati client.
openvpn-server.conf — configurazione server OpenVPN
port 1194
proto udp
dev tun— Certificati TLS (generati con easyrsa)
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
tls-auth /etc/openvpn/ta.key 0— Rete VPN per client
server 10.8.0.0 255.255.255.0— Route verso rete scolastica
push “route 192.168.0.0 255.255.0.0”
push “route 192.168.10.0 255.255.255.0” — Admin
push “route 192.168.20.0 255.255.255.0” — Didattica— Cifratura e autenticazione
cipher AES-256-GCM
auth SHA256
tls-version-min 1.2— Logging
verb 3
log-append /var/log/openvpn.log
Protocolli a confronto
| Protocollo | Tipo | Porta | Overhead | Supporto |
|---|---|---|---|---|
| IPSec (IKEv2) | Site-to-Site | UDP 500/4500 | Basso (~12 byte header) | Firewall hardware, OS nativi |
| OpenVPN | Remote Access | TCP/UDP 1194 | Medio (~14 byte + TLS) | Cross-platform (Win/Mac/Linux/iOS/Android) |
| WireGuard | Ambedue | UDP customizzabile | Minimo (~4 byte) | Moderno, supporto crescente (kernel Linux 5.6+) |
| SSTP | Remote Access | TCP 443 (HTTPS) | Alto | Windows nativo, firewall-friendly |
// raccomandazione scuola
- Site-to-Site (Sede A ↔ Branch): IPSec IKEv2 su firewall hardware. Automatico, sempre-on, banda illimitata.
- Remote Access (docenti/staff): OpenVPN con certificati client, autenticazione 2FA LDAP. Flessibile, cross-platform.
- Encryption: AES-256-GCM, SHA256 HMAC, forward secrecy abilitato.