Esame di Stato II Prova Istituti Tecnici Informatica - Sistemi e Reti (2024

La prova ha creato non poco scompiglio in molte scuole poiché il testo decisamente generico rappresentava una anomalia per i programmi didattici, spesso molto ben concentrati sul cablaggio strutturato di reti locali e servizi standard facilmente riconoscibili. Qui invece si aveva a che fare con una rete geografica estesa e distribuita con un sistema di servizi cloud. Una bella sfida per molti alunni abituati ad una preparazione a “compartimenti stagni”. Vediamo testo e proposta di soluzione commentata in modo critico.

Indice dei contenuti

Testo della traccia

Parte prima

Il candidato svolga la prima parte della prova e due tra i quesiti proposti nella seconda parte.

L’amministrazione di una Regione italiana, attraverso una società appositamente creata, ha recentemente sviluppato una infrastruttura di comunicazione in fibra ottica, allo scopo di fornire connettività a banda larga ad Enti locali, scuole e strutture sanitarie pubbliche presenti in tutto il suo territorio.

In particolare, in ambito sanitario, la società gestisce anche un data-center che raccoglie tutti i dati sanitari dei cittadini residenti in regione, relativi alle prestazioni sanitarie erogate dalle strutture pubbliche (fascicolo sanitario elettronico).

I dati raccolti nel fascicolo sanitario elettronico di ciascun paziente possono essere di vari formati e dimensioni in quanto riguardano, ad esempio, gli accertamenti diagnostici (es. ecografia), le visite specialistiche (es. visita cardiologica) e la relativa documentazione (referto, immagini diagnostiche, video …).

All’interno della componente M6C2 “Innovazione, ricerca e digitalizzazione del Servizio Sanitario Nazionale”, prevista dalla Missione 6 del PNRR, la Regione intende estendere la rete in fibra già esistente, per offrire il servizio di connettività a banda larga a tutte le strutture sanitarie private convenzionate, in modo che anche i dati da loro prodotti possano direttamente confluire nel data-center regionale.

In tal modo, tutti i cittadini ed i medici chiamati a curarli, sia presso strutture sanitarie pubbliche che presso quelle private convenzionate, avranno a disposizione in un unico luogo virtuale (il fascicolo sanitario elettronico) tutte le informazioni sanitarie di loro interesse.

Per differenziare le diverse tipologie di strutture connesse alla rete (Enti locali, scuole e strutture sanitarie pubbliche e private), la società regionale che gestisce l’infrastruttura in fibra ha adottato un piano di indirizzamento utilizzando sottoreti della rete 10.0.0.0/8; in particolare, a questo nuovo servizio di connettività verso le strutture sanitarie private convenzionate è stata assegnata la sottorete 10.100.0.0/16. Questa sottorete sarà finalizzata esclusivamente all’interazione con il data-center delle strutture sanitarie private convenzionate, ma non offrirà loro servizi di accesso generalizzato ad Internet.

Utilizzando gli indirizzi consentiti da questa sottorete, il progetto dovrà pertanto dettagliare un piano di indirizzamento che permetta di connettere un numero di strutture sanitarie private convenzionate che si stima essere intorno alle 2000 in regione (con possibili incrementi futuri), assegnando a ciascuna di esse la disponibilità di un minimo di 8 indirizzi complessivi.

Ogni struttura sanitaria privata convenzionata ovviamente dispone già di una propria infrastruttura di rete locale interna. La società regionale di gestione fornirà a tali strutture private convenzionate un dispositivo per la connessione alla rete regionale, configurato e controllato da remoto dalla società regionale stessa. Il progetto dovrà garantire che ciascuna struttura collegata non possa accedere alle reti di tutte le altre strutture connesse alla rete in fibra regionale.

Il candidato analizzi la realtà di riferimento e, formulate le opportune ipotesi aggiuntive, contribuisca alla stesura del progetto svolgendo i seguenti punti:

sviluppi una descrizione di massima, anche supportata da uno schema grafico, dell’infrastruttura di rete in fibra pre-esistente (che connette Enti locali, scuole e strutture sanitarie pubbliche) e di come questa si evolverà per implementare il nuovo servizio per le strutture sanitarie private convenzionate, con opportune esemplificazioni degli indirizzamenti IP adottati;
indichi la tipologia e le caratteristiche hardware (es: numero e tipologia delle singole porte) del dispositivo che sarà fornito ad ogni struttura sanitaria privata convenzionata, nonché i dettagli relativi alla eventuale configurazione di rete delle sue porte; espliciti anche i servizi che ritiene debbano essere configurati su tale dispositivo;
considerando le caratteristiche della LAN pre-esistente in una ipotetica struttura sanitaria privata convenzionata, specifichi con quali eventuali apparati aggiuntivi o riconfigurazioni degli apparati già esistenti tale rete verrà connessa con la rete in fibra regionale, esemplificando opportunamente;
data la natura sensibile dei dati trattati, espliciti le principali misure che è opportuno adottare per garantirne un trattamento con adeguata sicurezza, sia per la loro archiviazione che per i trasferimenti da e per il data-center, in particolare il candidato specifichi le modalità e la schedulazione temporale con cui le strutture sanitarie trasferiscono al data-center regionale i dati delle prestazioni sanitarie da loro effettuate.

Parte seconda

I. In relazione al tema proposto nella prima parte, si prevedano le strategie da adottare in caso di malfunzionamenti della connessione in fase di trasferimento dati e sui sistemi di archiviazione, allo scopo di evitare possibili perdite di dati.

II. In relazione al tema proposto nella prima parte, il candidato descriva le possibili forme di autenticazione qualificata (a più fattori) per consentire al singolo cittadino di consultare via web tutti i dati del proprio fascicolo sanitario elettronico (accertamenti e visite specialistiche).

III. Una piccola azienda dispone di un normale collegamento ad Internet a banda larga, con un router a cui è assegnato un solo indirizzo IP pubblico statico. Nella rete interna alla piccola azienda esiste un web server locale che si vuole rendere accessibile da Internet sia tramite protocollo HTTP che HTTPS, e si vuole rendere gestibile da remoto tramite protocollo SSH. Il candidato descriva la configurazione del router necessaria per raggiungere lo scopo, motivando nel dettaglio le scelte fatte ed elencando i comandi utilizzabili.

IV. All’interno di una azienda con una propria LAN, un tecnico di help-desk riceve la segnalazione di un utente circa l’impossibilità di “navigare su Internet”. Si descrivano i passi e gli opportuni strumenti da utilizzare per individuare tre possibili cause del problema.

Soluzione proposta

Considerazioni ed ipotesi aggiuntive

La prova ha molti “distrattori” che confondono il candidato. Il mondo che bisogna andare articolare è grossomodo un sistema di edifici posti su una area geografica regionale, quindi sostanzialmente estesa. Tali strutture devono essere collegate in una rete privata al riparo da occhi indiscreti per via dei dati sensibili e sono collegati tutti ad un edificio che ospita un data-center dove sono archiviati dati multimediali di diversa natura multimediale e non. Tutti i cablaggi che siano preesistenti o di nuova fattura sono in fibra ottica per garantire una connettività a banda “ultra larga” (qui il testo fa un piccolo errore parlando di “banda larga” che si è soliti però attribuire alla vecchie connessioni ADSL o WiMax che viaggiavano su banda dei 100Mbit, al contrario delle connessioni in fibra che viaggiano sul Gigabit ). Anche se le strutture interconnesse sono pubbliche e quindi beneficiano di finanziamenti elevati, l’intero sistema deve posare il proprio funzionamento su una rete pubblica, dove il famoso ultimo miglio è installato dalla azienda partecipata con la tecnologia in fibra.

1. Descrizione di massima

Proponiamo uno schema di massima che intanto ci permetta di comprendere in modo molto generico il contesto su cui ci muoviamo

Struttura fisica

Il testo cataloga molte tipologie di strutture pubbliche quali scuole, ospedali e altre ipotetiche, concentrandosi però in effetti sulle cliniche private esistenti e potenzialmente future, indicandone un numero forfettario di 2000. Il diagramma serve a chiari il concetto che la rete di studio è troppo grande e complessa per affidarsi a collegamenti diretti tra gli edifici delle varie tipologie al datacenter principale. Chilometricamente ed economicamente un collegamento diretto sarebbe impraticabile. L’azienda incaricata dalla regione che collega i singoli edifici deve quindi agire nell’ultimo miglio, da quelli che sono detti i Punti di Terminazione della Rete (PTR) fino all’edificio realizzando il modello di connessione FTTH (Fiber To The Home) o l’analogo FTTB (Fiber To The Building). I PTR sono posti solitamente nei quartieri densamente popolati per servire zone mirate della città. I PTR sono gli equivalenti di rete degli SGU (Stadio di Gruppo Urbano) della classica telefonia. Il contratto della regione è ragionevole poiché potrebbe capitare che alcuni edifici, per motivi di economicità da parte delle aziende private che effettuano la posa della fibra (ed. Open Fiber), non siano raggiunti ancora dalla banda ultra-larga, garantendo così la connessione in fibra anche ad eventuali strutture non raggiunte dalle reti esistenti o sostituendo le connessioni in rame dove ancora preesistenti. Per tanto il successivo diagramma con collegamenti dedicati E’ ERRATO E POTREBBE PENALIZZARE L’ANALISI COMPLESSIVA. Lo riportiamo solo per completezza.

Si noti come la soluzione rete pubblica e ultimo miglio è decisamente più scalabile. Nel momento in cui si aggiungessero strutture da cablare, basterebbe valutare e procedere solo all’ultimo miglio, consentendo così, di poter aggiungere in modo sostanzialmente accettabile dal punto di vita di rete fisica un numero anche corposo di nuove strutture pubbliche o cliniche.

Struttura logica

Usare ovviamente una rete pubblica implica una sfida notevole in virtù dei dati che viaggiano sulla rete di cui si deve garantire la privacy, sicurezza dei dispositivi di rete esposti. Ecco perché la rete dovrà sfruttare la tecnologia VPN LAN to LAN, ovvero connettendo non singoli dispositivi di utenti ma i dispositivi di confine dei singoli edifici facendo risultare tutta la rete, anche se geograficamente enorme, una singola rete logica unica che è poi possibile segmentare in diverse sottoreti, come lo stesso testo propone implicitamente. Tale tecnologia andrà a sfruttare protocolli di crittografia IPSec e sistemi di etichettatura che consentano di gestire i pacchetti in termini di qualità (QoS) e riservatezza. Qui i volumi di scuola spesso sono carenti o volutamente semplicistici ma potrebbe capitare di incontrare la dicitura MPLS (Multi-Protocol Label Switching) che è il protocollo assieme ad IPsec idoneo a realizzare questa architettura in modo professionale che sarà a tutti gli effetti una VPN ibrida, quindi sia trusted che secure. Potete approfondire elementi delle VPN => qui.

Indirizzamento

L’argomento potrebbe risultare ostico, perché l’indirizzamento è solitamente affrontato nelle classi quarte dei corsi di informatica degli istituti tecnici. In realtà basta fare poche semplici considerazioni per soddisfare la richiesta.

Tutta la rete VPN risponde da specifica alla rete 10.0.0.0/8
Ogni categoria di edifici andrebbe segmentata per isolare dati e dispositivi con una sottorete
Le cliniche in particolare dovranno beneficiare di una rete 10.100.0.0/16
Le cliniche sono circa 2000, numero importante per andare a creare il subnetting della rete/categoria 10.100.0.0/16
Ogni singolo edificio dovrà avere almeno 8 host
Non viene chiesto subnetting delle altre categorie

Quindi una prima categorizzazione potrebbe essere la seguente per analogia per tipologia di struttura:

Sottorete delle cliniche private 10.100.0.0/16 (RICHIESTO)
Sottorete degli ospedali pubblici 10.101.0.0/16
Sottorete delle scuole 10.102.0.0/16
Sottorete enti pubblici 10.103.0.0/16
Altra sottorete 10.104.0.0/16
…
Il datacenter potrebbe banalmente avere 10.1.0.0/24

Se non piace la numerazione continua si potrebbero saltare di 10 in 10 quindi 10.100.0.0, 10.110.0.0, 10.120.0.0 ecc

Per creare l’ulteriore subnetting, abbiamo la maschera di rete che indica i primi 16 bit della nostra rete come bloccati per identificare la categoria. Ogni singolo edificio quindi richiede una sua sottorete ulteriore. Quanti bit mi servono quindi per segmentare quindi ulteriormente sottorete e host? I primi due ottetti in rosso non li posso toccare (non servirebbe neanche convertirli). Sui restanti bit considero riservando 1 bit da sinistra verso destra nella parte azzurra, andrei ad indirizzare 2 sottoreti (2 elevato alla 1) e non basta, con 2 bit 4 sottoreti (2 elevato alla 2), con 3 bit 8 sottoreti (2 elevato alla terza), con 4 bit 16 sottoreti… con 9 bit 512 sottoreti ancora non abbastanza, 10 bit 1024, finalmente 11 bit sembrano andare bene perché andremmo ad indirizzare 2048 reti che in effetti soddisfano il requisito delle 2000 cliniche chieste. Qui sta all’alunno scegliere se fermarsi quindi agli 11 bit che stanno un po’ stretti per aggiungere cliniche future o magari scegliere di riservare 12 bit che indirizzerebbero ben 4096, decisamente abbondante. Con 12 bit per la sottorete, rimarrebbero 4 bit per la parte host dove avremmo 2 elevato alla quarta meno 2, ovvero 16 – 2, 14 host per ogni sottorete che soddisfa il secondo requisito degli 8 host almeno per ogni sottorete.

00001010.01100100.00000000.00000000

Quindi il nuovo subnetting ci fornisce una maschera con 16 + 12, 28bit riservati ovvero => 10.100.0.0/28

La seconda sottorete disponibile sarebbe 00001010.01100100.00000000.00010000 e l’ultima 00001010.01100100.11111111.11110000 ovvero in decimale 10.100.0.16 e 10.100.255.240 rispettivamente. Quindi ogni clinica avrà una rete in questo intervallo. Ad esempio la clinica Villa Serena ha la rete 10.100.123.17/28 mentre la clinica San Siro 10.10.200.125/28

Prima sottorete 10.100.0.0/28 con host da 10.100.0.1 a 10.100.0.14

Seconda sottorete 10.100.0.16/28 con host da 10.100.0.17 a 10.100.0.20

…

Ultima sottorete 10.100.255.240/28 con i 14 host 10.100.255.241,10.100.255.254

Non viene richiesto in realtà di individuare primo ed ultimo host o altri dati utili delle sottoreti. Vi rimando a questa pagina per ripassare ed approfondire il subnetting => qui. Ripetiamo, non è l’unica soluzione di subnetting valida: si poteva scegliere tra /27 /28 e o addirittura /29 per avere più sottoreti disponibili lasciando invariato il requisito di 8 host per ogni sottorete. Lo studente poteva quindi scegliere e motivare in base al maggior numero di sottoreti/strutture disponibili o host per ogni struttura.

2. La tecnologia hardware

I punti terminali della nostra rete nelle varie strutture pubbliche saranno ovviamente dei router customizzati dalla azienda che si occupa della rete in fibra che potrà amministrarli sia nel momento della posa nelle strutture che da remoto. Per le porte, nei router non si è soliti abbondare in quanto a schede. Sicuramente occorre una porta seriale o ethernet dedicata all’amministrazione del dispositivo. La seconda porta, fondamentale per rispondere alla specifica di progetto, deve essere ovviamente una porta WAN per fibra ottica, in gergo tecnico SFP+ Transceiver, che è capace di ospitare fibre multimodali o monomodali con distanze di rigenerazione anche di 100km con oltre 10Gbit di banda di trasmissione. Altra porta necessaria sarà almeno una gigbait di categoria 8 che poi servirà uno switch centro-stella per coprire con opportuno cablaggio strutturato tutto l’edificio pubblico. Questo è il numero essenziale di porte che possono essere ridondate per fornire una continuità operativa al dispositivo di confine critico. Si consiglia dispositivi con tecnologie ASIC per il processamento dei pacchetti e ram TCAM per garantire prestazioni elevati nell’individuazione delle rotte.

A livello software e servizi il router dovrà avere un opportuno sistema operativo dedicato e garantire un servizio di firewall con ACL impostabili da remoto, VPN su IPSec e opportuni protocolli di routing prevalentemente basati su rotte statiche vista la natura del collegamento o protocolli dinamici come OSPF. Potete approfondire l’argomento router => qui

3. Configurazione LAN presistente

Il nodo critico è configurare il router per smistare il traffico con opportune policy se diretto sulla rete 10.x.x.x per dirigerlo verso la fibra ottica dedicata e continuare a direzionare il resto del traffico verso il solito ISP. Questa funzionalità potrebbe essere svolta in modo trasparente da un server Proxy che aggiungerebbe anche ulteriori spazio di filtraggio del traffico non desiderato.

4. Trasferimento e conservazione dei dati

Il trasferimento dati medici personali è un elemento critico per la gestione della privacy. Si consiglia la realizzazione di servizi e portali basati su protocolli SSL/TLS che permettono di trasmettere i dati crittografati con il protocollo HTTPS. Allo stesso tempo, potrebbe essere utile crittografare i dischi di stoccaggio dei dati con algoritmi di crittografia come AES per tenere i dati a riparo da occhi indiscreti non autorizzati. I dati da parte degli utenti potrebbero quindi essere trasmessi e reperiti a richiesta ed in tempo reale tramite portali web, organizzati con sistemi asincroni e richieste API in microservizi per la gestione di eventuali carichi di richieste molto onerosi in termini di connessioni simultanee. Il trasferimento invece di materiale multimediale complesso, video, immagini ad alta risoluzioni ed eventuali fascicoli corposi in quanto a spazio occupato su disco potrebbero invece essere schedulati per un invio nelle ore notturne quando sia la rete che i dischi in scrittura sono meno sollecitati dal traffico.

Seconda parte

Quesito 1. L’argomento è trattato in modo esteso in queste pagine => qui Si faccia particolare riferimento alle connessioni di failover alternative che in questo caso potrebbero essere ponti radio basati su tecnologia WiMax o GSM 5G.

Quesito 2. Quello dell’autenticazione a più fattori è un argomento trattato in modo ottimale in molti manuali. Trovate molti dettagli sull’autenticazione a più fattori, qualcosa che so, qualcosa che ho, qualcosa che sono, OTP via app di autenticazione e mail a tempo => qui

Quesito 3. Quesito più interessante perché obbliga lo studente ad avere consapevolezza di molti argomenti di sicurezza che spesso si realizzano con configurazioni avanzate di Cisco Packet Tracer nel quarto anno. La necessità di far uscire/entrare traffico differente su un router di confine obbliga la configurazione del protocollo NAT e la sua variante PAT che agisce direttamente sulla coppia indirizzo IP e porta del servizio. Queste due tecnologie vanno ad integrarsi in una più ampia configurazione del firewall per far transitare solo il traffico desiderato ad esempio sulle porte 80 e 443 del protocollo HTTP e HTTPS per la navigazione web semplice, la porta 22 per SSH. Tutto il resto del traffico che non sia su queste porte può essere scartato con configurazione in DROP

Quesito 4. La più insidiosa delle domande perché completamente fuori dal manuale ma che può essere risposta con un po’ di esperienza personale e svolta nelle esercitazioni pratiche di Cisco Packet Tracer. Ci sono almeno 3 cause possibili che impediscono la navigazione. La prima forse più banale è l’assenza della connettività verso la rete. Qui è possibile verificare se il cavo in uso dal pc verso la presa di rete della stanza si sia allentato proprio fisicamente magari per colpa delle pulizie o movimenti maldestri nello spostare oggetti. Se i cavi sono ben saldi, proviamo a controllare la configurazione del nostro pc con i comandi ipconfig su Windows o ifconfig su Linux. Verifichiamo dalla risposta che la nostra scheda di rete risulti configurata con indirizzo IP, Gatway e DNS. Se non c’è configurazione il server DHCP potrebbe non aver visto la nostra macchina ed è quindi suggeribile riavviare o disconnettere/riconnettere l’utenteIl secondo problema potrebbe essere proprio un guasto al gateway. Possiamo provarlo a pingare ricordando che pratica diffusa sia settare come ip sul gateway il primo o ultimo disponibile come ad esempio 192.168.1.1 o 192.168.1.254. Terzo elemento da controllare è il DNS, se configurato correttamente sulla nostra scheda deve risultare essere pingabile. Spesso è configurato o il dns del ISP oppure dns pubblici come quelli di Google 8.8.8.8 o 1.1.1.1 di Cloudflare. Se il dns è pingabile con es ping 1.1.1.1 potrebbe non contenere il sito che stiamo cercando di raggiungere e possiamo sincerarci di questa evenienza col comando nslookup www.pippo.it

Ultima modifica 4 Maggio 2026