Cosa fa#
Definisce l'identità di una macchina in rete (IP) e il confine del suo "quartiere" (Subnet Mask). La maschera determina quale parte dell'IP identifica la rete e quale identifica l'host specifico.
Struttura di un indirizzo IPv4#
[ 192 . 168 . 1 . 34 ] / 24
│ │ │ │ │
└─────┬────┘ │ └─ CIDR: primi 24 bit fissi (rete)
│ │
NETWORK ID HOST ID
(la strada) (il civico)| Concetto | Esempio | Significato |
|---|---|---|
| IP Address | 192.168.1.34 | Indirizzo completo della macchina |
| Subnet Mask | 255.255.255.0 | Confine del "quartiere" |
| Network ID | 192.168.1.0 | Nome della rete — uguale per tutti i vicini |
| Host ID | .34 | Numero specifico nella rete |
| Gateway | 192.168.1.1 | Il cancello per uscire dalla subnet |
| Broadcast | 192.168.1.255 | Indirizzo per parlare a tutti contemporaneamente |
Comunicazione dentro e fuori la subnet#
STESSA SUBNET — comunicazione diretta
192.168.1.10 → 192.168.1.20 ✓ si parlano direttamente via ARP/MAC
nessun router coinvolto
SUBNET DIVERSA — passa dal gateway
192.168.1.10 → 192.168.2.20 ✗ subnet diversa
→ pacchetto va al gateway
→ router decide il percorsoIl dispositivo determina se la destinazione e' nella stessa subnet applicando la subnet mask all'IP di destinazione. Se il network-defense ID coincide → consegna diretta. Se no → gateway.
Interfacce router = confini di rete#
Ogni interfaccia fisica (o virtuale) di un router definisce una rete distinta. I dispositivi collegati alla stessa interfaccia appartengono alla stessa rete. Per comunicare tra reti diverse, i pacchetti devono transitare dal router.
Router
├── GigabitEthernet 0/0 → 192.168.1.0/24 (es. ufficio)
└── GigabitEthernet 0/1 → 10.0.0.0/24 (es. server farm)
Un host su 192.168.1.x non raggiunge 10.0.0.x senza passare dal router.Tre esempi dello stesso concetto:
| Scenario | Interfacce | Reti |
|---|---|---|
| Packet Tracer | GigabitEthernet 0/0 e 0/1 | 192.168.1.0/24 e 10.0.0.0/24 — due porte RJ-45, due reti distinte |
| Router Fastweb | WAN + 4 porte LAN | IP pubblico Fastweb / 192.168.1.0/24 — le 4 LAN sono la stessa rete perche' c'e' uno switch integrato |
| Lab UTM | host-only + internet | Mac (192.168.64.1) e' il gateway — un piede nella rete host-only, uno su internet |
L'IP dell'interfaccia lo sceglie l'amministratore, ma deve ricadere in un range privato RFC 1918 (vedi sezione sotto). Il gateway convenzionalmente finisce con .1, ma non e' obbligatorio.
Uno switch non crea confini di rete — tutti i dispositivi sullo stesso switch sono nella stessa subnet. Il confine nasce solo dove c'e' un'interfaccia router.
Subnet Mask — la logica dei bit#
255 in binario = 11111111 → bit a 1 = parte RETE (bloccata)
0 in binario = 00000000 → bit a 0 = parte HOST (libera)
IP: 192 . 168 . 1 . 34
Subnet mask: 255 255 255 0
rete rete rete host255 non e' un numero arbitrario — e' il massimo di 8 bit (2^8 - 1). Per questo rappresenta "ottetto completamente bloccato". Vedi la matematica completa in ip-subnetting-theory.
CIDR — notazione compatta#
Il prefisso CIDR indica quanti bit sono riservati alla rete:
| CIDR | Subnet Mask | Host utili | Uso tipico |
|---|---|---|---|
| /8 | 255.0.0.0 | 16.777.214 | Reti molto grandi, es. 10.x.x.x |
| /16 | 255.255.0.0 | 65.534 | Reti aziendali medie |
| /24 | 255.255.255.0 | 254 | Reti locali standard |
| /30 | 255.255.255.252 | 2 | Link point-to-point tra router |
RFC 1918 — indirizzi privati#
Tre range riservati per reti private — non instradabili su Internet:
10.0.0.0 – 10.255.255.255 /8 → grandi aziende, cloud
172.16.0.0 – 172.31.255.255 /12 → medio, usato da Docker
192.168.0.0 – 192.168.255.255 /16 → reti casalinghe, labI router pubblici scartano automaticamente questi IP. Il terzo ottetto e' scelto liberamente dall'amministratore — non ha significato intrinseco.
Nel lab:
192.168.64.x → rete Host-Only UTM (Mac .1, Ubuntu .3, Kali .200)
172.17.0.x → rete interna DockerBroadcast#
L'ultimo IP della subnet. Un pacchetto inviato a quell'indirizzo arriva a tutti i dispositivi della LAN.
Rete 192.168.1.0/24:
192.168.1.0 → indirizzo di rete (non assegnabile)
192.168.1.1 → gateway (convenzione)
192.168.1.254 → ultimo host utile
192.168.1.255 → broadcast (non assegnabile)Il broadcast non attraversa il router — rimane confinato alla LAN. Questo e' uno dei motivi per cui segmentare le reti e' una difesa efficace: un attacco broadcast (es. ARP flooding) non si propaga oltre il proprio segmento.
Usi reali del broadcast:
- ARP — "Chi ha 192.168.1.10? Dimmi il tuo MAC"
- DHCP — nuovo dispositivo: "C'e' un server DHCP in giro?"
- Device discovery — stampanti, NAS, IoT si annunciano
Segmentazione — Blue Team#
/8 → 16 milioni di dispositivi nella stessa rete
un attaccante che entra vede tutto
ARP broadcast a 16 milioni di host
/24 → 254 dispositivi
un attaccante vede solo il suo segmento
lateral movement bloccato dal routerEsempio aziendale:
Ufficio HR → 192.168.1.0/24
Ufficio IT → 192.168.2.0/24
Server farm → 192.168.3.0/24
WiFi ospiti → 192.168.4.0/24
Attaccante entra dal WiFi ospiti
→ vede solo 254 dispositivi
→ non raggiunge i server senza passare dal router
→ il router logga il tentativo di lateral movementIndirizzi speciali di ascolto (socket)#
Vedi nota dedicata: ip-listening-addresses
| Indirizzo | Esposizione | Implicazione SOC |
|---|---|---|
127.0.0.1 | Solo localhost | Sicuro — non raggiungibile dall'esterno |
0.0.0.0 | Tutte le interfacce | Esposto in rete — monitorare |
::1 | Localhost IPv6 | Sicuro |
:: | Tutte le interfacce IPv6 | Esposto |
Se in un'investigazione vedi un servizio sensibile (DB, pannello admin) su 0.0.0.0, e' una vulnerabilita' di configurazione immediata.
Collegato a#
- ip-subnetting-theory — matematica: formula host, calcolo binario, CIDR→mask, routing table
- ip-listening-addresses — dettaglio indirizzi di ascolto nei tool SOC
- arp — come vengono risolti i MAC nella stessa subnet
- nat-concept — come il gateway traduce tra subnet private e internet
