Tutorial on u-random

Cisco Packet Tracer: La Rete che Protegge Se Stessa

Mon, 08 Jun 2026 00:00:00 +0000

TL;DR

Una DMZ e' una zona di mezzo: esposta verso internet, isolata dalla LAN
Due firewall significa che anche se Sofia/nginx viene compromessa, Giulia/MySQL e' ancora protetta da FW2
Su ASA il traffico da security-level basso verso alto e' bloccato per default - non serve scrivere nessuna regola di blocco

▶ $ history

nameif - assegna nome logico all'interfaccia ASA (outside, dmz, inside)
security-level - livello di fiducia: 0=esterno, 50=DMZ, 100=LAN
route outside 0.0.0.0 0.0.0.0 x.x.x.x - default route su ASA
show nameif - interfacce ASA con security level

Perche' questo lab
#

corsobitcoin.com e' una piattaforma di corsi online. Ha iscritti, sessioni, video, dati di pagamento.

Cisco Packet Tracer: Cinque Router, Una Catena, Nessun GPS

Sun, 07 Jun 2026 00:00:00 +0000

TL;DR

Un router conosce solo le reti a cui e' direttamente collegato. Tutto il resto va detto esplicitamente con rotte statiche
Ogni router ha piu' IP - uno per ogni interfaccia. "Marco e' 10.0.0.2" e' incompleto: Marco e' anche 10.10.10.1
Le rotte statiche funzionano come indicazioni stradali: "se vuoi andare la', chiedi a lui"
Se manca una rotta il pacchetto si ferma - il TTL serve esattamente per questo

▶ $ history

ip route [rete] [maschera] [next-hop] - aggiunta rotta statica
show ip route - tabella di routing corrente
ping [ip] - test connettivita' end-to-end

Prima di toccare Linux voglio vedere il routing con gli occhi. In Linux i namespace sono invisibili - sono processi, non oggetti fisici. In Cisco Packet Tracer posso vedere i router come scatole, i cavi come linee, e guardare i pacchetti muoversi.

DLP e Wazuh

Thu, 04 Jun 2026 00:00:00 +0000

TL;DR

DLP fatto in casa: con 50 righe di Python e inotify monitoriamo in tempo reale la scrittura di file sensibili.
Pattern matching: uno switch match/case in Python 3.10+ intercetta SSN, carte di credito e codici fiscali.
Wazuh in Docker: integrazione con il manager tramite regole custom, superando i limiti di permessi e decodificatori.
Tre errori reali: come risolvere il blocco PEP 668 su Ubuntu 24.04, i permessi di docker cp e l'errore del decoder syslog.

▶ $ history

python3 -m venv ~/dlp-venv
source ~/dlp-venv/bin/activate
pip install inotify
docker cp single-node-wazuh.manager-1:/var/ossec/etc/rules/local_rules.xml ./local_rules.xml
docker exec single-node-wazuh.manager-1 chown wazuh:wazuh /var/ossec/etc/rules/local_rules.xml
tail -f /var/log/syslog

Apro la dashboard Wazuh. Nella colonna full_log c'è scritto:

ESP cifra, AH no: IPsec visto dal vivo

Sat, 30 May 2026 00:00:00 +0000

TL;DR

IPsec Suite: Una suite di protocolli di rete sicuri (IKE + ESP + AH) implementata a livello IP per garantire autenticazione, integrità e riservatezza.
IKE (Internet Key Exchange): Negozia gli algoritmi di sicurezza e stabilisce le Security Association (SA) scambiando chiavi tramite Diffie-Hellman (UDP 500/4500).
ESP (Encapsulating Security Payload): Cifra il payload dei pacchetti (ad es. con AES-256) garantendo riservatezza ed autenticazione. Supporta il NAT tramite incapsulamento NAT-T.
AH (Authentication Header): Firma crittograficamente i pacchetti per garantirne l'integrità, ma non cifra il payload, lasciando i dati in chiaro ed esposti allo sniffing.
Tunnel vs Transport: Tunnel mode cifra l'intero pacchetto originale aggiungendo un nuovo header IP (ideale per VPN Site-to-Site); Transport mode cifra solo il payload (ideale per host-to-host).

▶ $ history

apt install strongswan -y
ipsec version
ipsec restart
ipsec up mustache
ipsec statusall
tcpdump -i enp0s1 udp port 500
tcpdump -i enp0s1 proto 50
tcpdump -i enp0s1 proto 51 -v
ping 192.168.64.3

Configurare IPsec host-to-host con StrongSwan e vedere con tcpdump la differenza tra ESP e AH. ESP cifra il payload - AH no. Questa distinzione è una domanda classica Security+ e fondamentale per la sicurezza di rete.

Il Tunnel che Sceglie: Split vs Full VPN con WireGuard

Sat, 30 May 2026 00:00:00 +0000

TL;DR

WireGuard: VPN moderna basata su Curve25519 e ChaCha20, integrata direttamente nel kernel Linux come interfaccia di rete virtuale (wg0).
VPN Concentrator: Il dispositivo (in questo lab Ubuntu) che termina il tunnel cifrato, decifra il traffico e lo instrada verso la rete interna.
Split Tunnel (AllowedIPs = 10.0.0.0/24): Solo il traffico destinato alla subnet della VPN passa nel tunnel; il traffico internet esce in chiaro tramite il gateway locale.
Full Tunnel (AllowedIPs = 0.0.0.0/0): Tutto il traffico, incluso quello internet, viene convogliato nel tunnel cifrato e richiede IP forwarding e MASQUERADE sul concentratore.
Visibilità di rete: tcpdump/tshark mostrano solo pacchetti UDP cifrati sull'interfaccia fisica (enp0s1), mentre svelano il traffico ICMP/IP decifrato su quella virtuale (wg0).

▶ $ history

apt install wireguard -y
wg genkey | tee privatekey | wg pubkey > publickey
wg-quick up wg0
wg-quick down wg0
ip route show
traceroute 8.8.8.8
tcpdump -i wg0
tcpdump -i enp0s1 udp port 51820
tshark -r capture.pcap

Configurare un tunnel WireGuard tra due VM e vedere con i propri occhi la differenza tra split tunnel e full tunnel. Non teoria - routing table e traceroute che lo dimostrano empiricamente.

La Lettera che Cambia Busta

Thu, 02 Apr 2026 00:00:00 +0000

TL;DR

traceroute -n 8.8.8.8 mostra i 14 router tra te e Google - ogni riga è un salto (hop)
IP address = destinazione finale, non cambia mai; MAC address = tratto corrente, cambia ad ogni hop
Il router legge l'IP dentro (la lettera), riscrive il MAC fuori (la busta) e passa il pacchetto al prossimo salto
* * * non significa percorso interrotto - solo che quel router non risponde a ICMP/UDP; prova con -T (TCP)

▶ $ history

traceroute -n 8.8.8.8
traceroute -I -n 8.8.8.8
sudo traceroute -T google.com
ip neighbor show
ip route show

Sistema: Linux (testato su Kali 2024 e Ubuntu 24.04) Tools: traceroute, ip - già installati di default Conoscenze: nessuna - si parte da zero

Cosa succede davvero sulla rete mentre il tuo codice gira

Tue, 31 Mar 2026 00:00:00 +0000

TL;DR

Prima di ogni richiesta HTTP il kernel fa un handshake in 3 pacchetti: SYN → SYN+ACK → ACK
I flag TCP ([S], [S.], [.], [P.], [R], [F]) si leggono tutti in tcpdump in tempo reale
RST = chiusura brusca (porta chiusa, firewall, crash) - molti RST consecutivi sono segnale sospetto
I log applicativi non vedono un SYN scan - serve tcpdump a livello di rete

▶ $ history

tcpdump -i any -n 'host api.example.com'
tcpdump -i any -n 'tcp and port 443'
tcpdump 'tcp[tcpflags] & tcp-syn != 0'

Stai costruendo un'API. Il client manda una richiesta, il server risponde. Funziona. Ma cosa succede esattamente tra il momento in cui scrivi fetch("https://api.example.com/data") e quello in cui arriva la risposta?

Offline. Non al buio.

Thu, 26 Mar 2026 00:00:00 +0000

TL;DR

apropos parola trova il comando quando non ne conosci il nome
comando --help ti dà i flag in cinque secondi senza uscire dal terminale
man comando è il manuale completo, navigabile con /parola per cercare
whatis comando ti dice in una riga cosa fa qualcosa che hai trovato nei log

▶ $ history

man ls
man 5 passwd
man -k password
man -f passwd
apropos permission
apropos -r "^ssh"
whatis find
tar --help
tar --help | grep extract

Chi Sei per il Kernel

Wed, 18 Mar 2026 00:00:00 +0000

TL;DR

Linux non lavora con nomi utente - lavora con numeri: UID e GID
Ogni file ha tre livelli di permessi: owner, group, others
Il bit SUID cambia le regole: il processo gira con i privilegi del proprietario del file, non di chi lo esegue
find / -perm -4000 trova tutti i binari SUID del sistema - un'occhiata vale sempre

▶ $ history

id
ls -la /usr/bin/passwd
find / -perm -4000 -type f 2>/dev/null
chmod u+s /path/to/file
chmod u-s /path/to/file
find / -perm -4000 -type f 2>/dev/null | grep -v -E "^/(usr/bin|usr/sbin|bin|sbin|usr/lib)"

Linux non sa chi sei. Sa solo il tuo numero.

Tutorial on u-random

Cisco Packet Tracer: La Rete che Protegge Se Stessa

Perche' questo lab #

Cisco Packet Tracer: Cinque Router, Una Catena, Nessun GPS

DLP e Wazuh

ESP cifra, AH no: IPsec visto dal vivo

Il Tunnel che Sceglie: Split vs Full VPN con WireGuard

La Lettera che Cambia Busta

Cosa succede davvero sulla rete mentre il tuo codice gira

Offline. Non al buio.

Chi Sei per il Kernel

Perche' questo lab
#