PRIMA PARTE
1 Descrizione dell’infrastruttura e piano di indirizzamento
Situazione iniziale
La Regione
ha già una rete in fibra ottica che collega:
- Enti locali
- Scuole
- Strutture sanitarie pubbliche
- Data center regionale (dove
risiede il Fascicolo Sanitario Elettronico – FSE)
La rete usa
indirizzi privati della classe 10.0.0.0/8, suddivisi per tipologia di
ente tramite subnetting.
Estensione del servizio
Ora si
vogliono collegare ~2000 strutture sanitarie private convenzionate
Rete assegnata a questo servizio:
10.100.0.0/16
Questa rete:
✔ serve solo per comunicare con il Data Center regionale
❌ NON dà accesso libero a Internet
✔ ogni struttura deve avere almeno 8 IP
Calcolo subnet
Servono:
- ~2000 strutture
- minimo 8 IP ciascuna
Una subnet /29
fornisce:
- 8 indirizzi totali
- 6 host utilizzabili (troppo
pochi ❌)
Una subnet /28
fornisce:
- 16 indirizzi totali
- 14 host utilizzabili ✅
Quindi
assegniamo una /28 per struttura
Rete base: 10.100.0.0/16
Numero di sottoreti /28 disponibili:
2(28−16)=212=4096sottoreti2^{(28-16)}
= 2^{12} = 4096 sottoreti2(28−16)=212=4096sottoreti
✔ Più che sufficienti per 2000 strutture + espansione
futura
Esempio di assegnazione
|
Struttura |
Subnet assegnata |
Gateway (router regionale) |
Range host |
|
Clinica A |
10.100.0.0/28 |
10.100.0.1 |
10.100.0.2 – 10.100.0.14 |
|
Clinica B |
10.100.0.16/28 |
10.100.0.17 |
10.100.0.18 – 10.100.0.30 |
|
Clinica C |
10.100.0.32/28 |
10.100.0.33 |
10.100.0.34 10.100.0.46 |
Ogni
struttura comunica solo col Data Center, non con le altre.
Struttura logica della rete
[Struttura Privata]
│
Router
regionale fornito
│ (rete 10.100.x.x)
============================ RETE FIBRA REGIONALE ============================
│
[Firewall Data Center]
│
[Server FSE - Database sanitari]
Segmentazione
realizzata tramite:
- VLAN/MPLS sulla dorsale regionale
- ACL e firewall per impedire traffico tra
strutture diverse
2 Dispositivo fornito alle strutture
La Regione
fornisce un router/firewall gestito da remoto
Caratteristiche hardware
- 1 porta WAN in fibra
(SFP)
- 4 porte LAN Gigabit Ethernet
- Supporto:
- VLAN
- VPN IPsec
- Firewall stateful
- QoS
- SNMP per monitoraggio
Esempio
dispositivi: Cisco ISR, Mikrotik, Fortigate entry-level
Configurazione porte
|
Porta |
Funzione |
|
WAN |
Collegamento fibra alla rete
regionale |
|
LAN1 |
Collegamento alla LAN della
struttura |
|
LAN2-4 |
Reti separate (amministrazione,
diagnostica, VoIP) |
Servizi configurati
- Routing statico verso rete regionale
- VPN IPsec verso Data Center
- Firewall
- Permesso traffico solo verso
IP Data Center
- Blocco traffico verso altre
strutture
- NAT disabilitato (rete privata-regione privata)
- QoS per priorità ai dati sanitari
- Syslog remoto verso centro di controllo
regionale
3 Collegamento con LAN della struttura privata
Ogni
struttura ha già una LAN interna.
Situazione tipica
PC medici
Server locali
Apparecchi diagnostici
Stampanti
Switch LAN
Integrazione con rete regionale
Si aggiunge
il router regionale collegato allo switch principale.
Possibili
miglioramenti:
- Creazione VLAN dedicata ai
sistemi sanitari che devono inviare dati al FSE
- Separazione tra:
- rete amministrativa
- rete sanitaria
- rete ospiti
Esempio:
|
VLAN |
Uso |
|
VLAN 10 |
Segreteria |
|
VLAN 20 |
Dispositivi medici |
|
VLAN 30 |
Accesso rete regionale |
Il router
regionale riceve solo il traffico VLAN 30.
4 Sicurezza dei dati sanitari
Dati altamente
sensibili (GDPR)
Sicurezza in transito
✔ VPN IPsec cifrata
✔ TLS 1.3 per applicazioni
✔ Autenticazione a certificati digitali
✔ Firewall con regole restrittive
Sicurezza in archiviazione (Data Center)
- Crittografia dischi (AES-256)
- Database cifrati
- Backup giornalieri
- Replica geografica
- Accesso con autenticazione
forte e logging
Modalità di invio dati al Data Center
Due
modalità:
1 Invio in
tempo reale
- Referti digitali
- Prescrizioni
- Dati paziente
2 Invio schedulato
(notturno)
- Immagini diagnostiche pesanti
(TAC, RM)
- Video ecografie
Esempio
schedulazione:
Trasferimento massivo: 22:00 – 06:00
Così si
evita congestione di rete.
SECONDA PARTE
Scelgo QUESITO
I e QUESITO II
Quesito I – Guasti durante trasferimento o archiviazione
Problemi di connessione
Soluzioni:
- Buffer locale: i dati restano salvati
localmente finché la linea non torna
- Trasferimenti con controllo di
integrità (hash
SHA-256)
- Protocollo con resume (es. SFTP/HTTPS con ripresa)
- Doppia connettività (fibra + 4G/5G di backup)
Problemi nei sistemi di archiviazione
- RAID nei server storage
- Replica sincrona su secondo
Data Center
- Backup:
- Giornaliero incrementale
- Settimanale completo
- Snapshot frequenti
- Disaster Recovery testato
periodicamente
Quesito II – Autenticazione forte per il cittadino
Accesso al
Fascicolo Sanitario Elettronico via web.
Autenticazione a più fattori (MFA)
Possibili
sistemi:
1 SPID
livello 2 o 3
- Password + OTP
2 CIE
(Carta d’Identità Elettronica)
- Smart card + PIN
3 CNS (Carta
Nazionale Servizi)
- Tessera sanitaria + lettore
smart card
4 App con
OTP o biometria
- Notifica push
- Impronta digitale / Face ID
Ulteriori misure
- Timeout sessione
- Notifica accessi sospetti
- Registro accessi consultabile
dal cittadino
- Accesso consentito solo con
HTTPS + certificati validi
QUESITO
III
Scenario
Una piccola
azienda ha:
- 1 solo IP pubblico statico
- Un router collegato a
Internet
- Un web server interno
(rete LAN privata)
Si vuole
rendere il server:
- accessibile via HTTP (porta
80)
- accessibile via HTTPS (porta
443)
- gestibile da remoto via SSH
(porta 22)
Problema principale
Dalla rete
Internet si vede solo l’IP pubblico del router, quindi serve fare:
NAT con Port Forwarding (DNAT)
Il router
deve inoltrare le richieste in arrivo verso il server interno.
Esempio rete
|
Dispositivo |
IP |
|
Router WAN |
93.45.120.10 (IP pubblico) |
|
Router LAN |
192.168.1.1 |
|
Web Server |
192.168.1.100 |
⚙ Configurazione necessaria sul router
1 NAT statico / Port Forwarding
|
Servizio |
Porta pubblica |
IP destinazione |
Porta interna |
|
HTTP |
80 |
192.168.1.100 |
80 |
|
HTTPS |
443 |
192.168.1.100 |
443 |
|
SSH |
22 (meglio cambiarla!) |
192.168.1.100 |
22 |
Per
sicurezza si può esporre SSH su una porta diversa, es. 2222 → 22
2 Regole Firewall
Bisogna
permettere solo il traffico necessario:
✔ Consentire:
- TCP 80
- TCP 443
- TCP 22 (o 2222)
Bloccare tutto il resto
Esempio comandi (router Cisco-like)
! Definizione NAT
ip nat inside source static tcp 192.168.1.100 80
interface Gig0/0 80
ip nat inside source static tcp 192.168.1.100 443
interface Gig0/0 443
ip nat inside source static tcp 192.168.1.100 22
interface Gig0/0 2222
! Interfacce
interface Gig0/0
ip address
93.45.120.10 255.255.255.248
ip nat outside
interface Gig0/1
ip address
192.168.1.1 255.255.255.0
ip nat inside
3 DNS
Serve un
record DNS pubblico:
www.azienda.it
→ 93.45.120.10
Misure di sicurezza consigliate
- Certificato SSL valido (HTTPS)
- Disabilitare login SSH con
password → usare chiavi
- Limitare accesso SSH solo a IP
specifici (ACL firewall)
- Aggiornamenti regolari del server
QUESITO IV
Problema
Un utente
segnala:
“Non riesco a navigare su Internet”
Il tecnico
help-desk deve individuare la causa.
Procedura di troubleshooting
Si parte dal
basso verso l’alto (modello OSI)
Possibile causa 1: Problema locale di rete
Verifiche:
✔ Controllo cavo di rete / Wi-Fi
✔ Icona rete sul PC
✔ Comando:
ipconfig (Windows)
ifconfig / ip a (Linux)
Controllare:
- IP assegnato?
- Gateway presente?
- DNS presente?
Se IP è tipo
169.254.x.x → DHCP non funziona
Possibile causa 2: Problema di gateway o router
Test:
ping 192.168.1.1
(gateway)
Se non
risponde → problema tra PC e router
✔ Se risponde → passo successivo
Possibile
causa 3: Problema di connessione Internet
Test:
ping 8.8.8.8
- Se NON risponde → router o
linea Internet guasta
- Se risponde → Internet c’è,
problema DNS
Possibile causa 4: Problema DNS
Test:
ping www.google.com
- Se 8.8.8.8 funziona ma google
no → DNS errato
Soluzione:
- Verificare server DNS
configurato
- Provare DNS pubblici (8.8.8.8 –
1.1.1.1)
Strumenti utili
|
Strumento |
Scopo |
|
ipconfig / ifconfig |
Configurazione IP |
|
ping |
Test connettività |
|
tracert / traceroute |
Dove si ferma il traffico |
|
nslookup |
Test risoluzione DNS |
|
Browser |
Verifica proxy o errori SSL |
Metodo riassunto
1 Controllo
collegamento fisico
2 Verifica IP e gateway
3 Ping al router
4 Ping a IP Internet
5 Test DNS
Così si
isolano rapidamente almeno tre cause possibili:
- Problema LAN
- Problema router/linea
- Problema DNS
