GNU/Linux e i firewall

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "GNU/Linux e i firewall"

Transcript

1 GNU/Linux e i firewall un po' di teoria... Le reti Il termine rete indica una maglia di collegamenti, in pratica un insieme di componenti collegati tra loro a formare un sistema. Ogni nodo di questa rete corrisponde generalmente ad un elaboratore (che viene spesso definito host o stazione). I collegamenti tra questi nodi consentono lo scambio di dati sotto forma di pacchetti. Le reti vengono classificate in base alla loro estensione: LAN La LAN Local Area Network (rete locale) è una rete contenuta all'interno di un edificio o, al più, nell'ambito di un piccolo gruppo di edifici adiacenti. Una LAN può essere costituita da due PC interconnessi tra di loro, così come da sistemi molto complessi con centinaia di macchine tra server, workstation, stampanti ecc. All'interno della LAN può esistere un ramo specializzato che prende il nome di DMZ, nel quale vengono posti i server che offrono servizi che devono essere raggiungibili anche dall'esterno della LAN. DMZ sta per DeMilitarized Zone (zona demilitarizzata), ad indicare che le protezioni dagli accessi indesiderati dall'esterno in questo ramo devono essere meno restrittive. MAN La MAN Metropolitan Area Network (rete metropolitana) è una rete composta dall'unione di più LAN nell'ambito della stessa area metropolitana. In altri termini, si tratta di una rete estesa sul territorio di una città. Reti come quelle di AEMcom e FastWeb sono reti metropolitane. WAN La WAN Wide Area Network (rete geografica) è composta dall'unione di più LAN (o più MAN) che si estendono geograficamente oltre l'ambito di una singola città. Internet stessa è una WAN (forse la più grande...) VPN La VPN Virtual Private Network (rete privata virtuale) è una tecnologia, o meglio un assemblaggio di tecnologie, che serve per utilizzare un sistema di trasporto pubblico per scopi privati. Nella grande maggioranza dei casi, per essere pratici, la VPN serve ad usare Internet per interconnettere le LAN di due sedi aziendali fisicamente distanti o per permettere ai roadwarriors (lavoratori in trasferta) di accedere alla LAN aziendale. Il ruolo della VPN è quello di sfruttare due connessioni ad Internet per realizzare un tunnel di collegamento, che garantisca nel contempo la sicurezza e la riservatezza dei dati. pagina 1 di 23

2 Topologie di rete Le strutture fondamentali di rete sono di tre tipi: stella Si ha una rete a stella quando tutti i nodi periferici sono connessi a un nodo principale in modo indipendente dagli altri. Così, tutte le comunicazioni passano per il nodo centrale: il concentratore (solitamente un hub o uno switch) e in pratica sono gestite completamente da questo. Rientra in questa categoria, come caso limite, anche il semplice collegamento punto-punto (o point-to-point), in cui sono collegati direttamente tra di loro solo due nodi. È ormai la topologia più diffusa, usata per le connessioni Ethernet 10/100/1000 baset. D'ora in poi ci riferiremo praticamente solo a questo tipo di rete. Anello Si ha una rete ad anello quando tutti i nodi sono connessi tra loro in sequenza, in modo da formare un anello ideale, dove ognuno ha un contatto diretto solo con il precedente e il successivo. Inquesto modo, la comunicazione avviene (almeno in teoria) a senso unico e ogni nodo ritrasmette al successivo i dati che non sono destinati allo stesso. È la topologia usata dalle reti token ring. Bus Si ha una rete a bus quando la connessione dei nodi è condivisa da tutti, per cui i dati trasmessi da un nodo sono intercettabili da tutti gli altri. In questa situazione la trasmissione simultanea da parte di due nodi genera un collisione e la perdita del messaggio trasmesso. È la topologia usata per le connessioni 10 base2 con connettori BNC e terminatori 50 ohm. Anche Ethernet può usare questa topologia, come ricorda chi ha avuto per le mani una scheda di rete combo, che oltre ad avere il connettore RJ45 ha anche il BNC Pacchetti I dati viaggiano nella rete in forma di pacchetti. Il termine è appropriato perché si tratta di una sorta di confezionamento del flusso delle informazioni in piccole unità (contenenti le indicazioni del mittente e del destinatario), da ricomporsi all'arrivo per ricostruire il messaggio completo. Il confezionamento e le dimensioni dei pacchetti dipendono dal tipo di rete fisica utilizzata. I dati sono un materiale duttile che può essere suddiviso e aggregato in vari modi. Ciò significa che, durante il loro tragitto, i dati possono essere scomposti e ricomposti più volte e in modi differenti. Per esempio, per attraversare un segmento di una rete particolare, potrebbe essere necessario suddividere dei pacchetti troppo grandi in pacchetti più pagina 2 di 23

3 piccoli (questa operazione è detta frammentazione), oppure potrebbe essere utile il contrario. Si parla poi di incapsulamento quando i pacchetti vengono inseriti all interno di altri pacchetti. Protocolli I pacchetti di dati vengono trasmessi e ricevuti in base a delle regole definite da un protocollo di comunicazione: un insieme di regole, conosciuto da tutti gli interlocutori, che governano il modo di scambiarsi i dati. La distinzione più importante tra i protocolli è quella che li divide in connessi e non connessi. Il protocollo non connesso, detto datagramma, non da la possibilità di determinare se il messaggio è giunto o meno a destinazione. Il protocollo connesso prevede la conferma dell invio di un messaggio, la ritrasmissione in caso di errore e la ricomposizione dell ordine dei pacchetti. Lo stack OSI/ISO Il modello OSI (Open System Interconnection), diventato parte degli standard ISO, scompone la gestione della rete in livelli, o strati (layer). Questo modello non definisce uno standard tecnologico, ma un riferimento comune ai concetti che riguardano le reti. I livelli del modello OSI/ISO sono sette e, per tradizione, vanno visti nel modo indicato nell elenco seguente, dove il primo livello è quello più basso ed è a contatto del supporto fisico di trasmissione, mentre l ultimo è quello più alto ed è a contatto delle applicazioni utilizzate dall utente. Lo stack OSI Le funzioni dei livelli sono le seguenti: 7 - Applicazione: Interfaccia di comunicazione con i programmi (Application program interface). 6 - Presentazione: Formattazione e trasformazione dei dati a vario titolo, compresa la cifratura e decifratura. 5 - Sessione: Instaurazione, mantenimento e conclusione delle sessioni di comunicazione. 4 - Trasporto: Invio e ricezione di dati in modo da controllare e, possibilmente, correggere gli errori. 3 - Rete: Definizione dei pacchetti, dell indirizzamento e dell instradamento in modo astratto rispetto al tipo fisico di comunicazione. 2 - Collegamento dati (data link): Definizione delle trame (frame) e dell indirizzamento infunzione del tipo fisico di comunicazione. 1 - Fisico: Trasmissione dei dati lungo il supporto fisico di comunicazione. Incapsulamento dei pacchetti I dati da trasmettere attraverso la rete, vengono prodotti al livello più alto del modello, quindi, con una serie di pagina 3 di 23

4 trasformazioni e aggiungendo le informazioni necessarie (header), vengono passati di livello in livello fino a raggiungere il primo, quello del collegamento fisico. Nello stesso modo, quando i dati vengono ricevuti dal livello fisico, vengono passati e trasformati da un livello al successivo, fino a raggiungere l ultimo. In questo modo, si può dire che a ogni passaggio verso il basso i pacchetti vengano incapsulati in pacchetti (più grandi) del livello inferiore, mentre, a ogni passaggio verso l alto, i pacchetti vengono estratti dal contenitore di livello inferiore. Livello 1 Fisico La connessione tipica in una rete locale è fatta utilizzando hardware Ethernet. Il cavo o i cavi e le schede Ethernet appartengono a questo primo livello, così come i ripetitori. Il ripetitore tipico è l HUB, ovvero il concentratore di rete, che dunque non filtra in alcun caso i pacchetti. Livello 2 Collegamento dati (Data link) Il tipo di hardware utilizzato nel primo livello determina il modo in cui avviene effettivamente la comunicazione. Nella maggior parte dei casi, ormai, il sistema più affermato è l'ethernet. Ethernet opera indirizzando il contenuto dei propri frames (detto payload in italiano: carico utile) ad un indirizzo MAC (Medium Access Control address) di 48 bit, utilizzato per identificare univocamente ogni scheda di rete Ethernet. A differenza degli indirizzi IP, gli indirizzi MAC sono generalmente statici ed incisi nella EPROM della scheda di rete al momento della sua costruzione. Gli indirizzi MAC sono espressi con 6 gruppi di 2 cifre esadecimali separati da : Per esempio: 08:00:2B:4C:00:8A. Ogni costruttore di schede Ethernet ha un proprio range di indirizzi MAC assegnati e si preoccupa di impostare un indirizzo sempre diverso ad ogni scheda che produce. Non ci si deve quindi scomodare ad assegnare indirizzi, subnet, gateway... come con il protocollo IP (che sta al livello OSI superiore). Con Ethernet tutto funziona a livello link. Ad esempio, tra due schede collegate tra loro con un cavo cross-over oppure tramite un hub o uno switch. pagina 4 di 23

5 Un hub riceve i frames dalla scheda Ethernet e li ritrasmette su tutte le sue porte. Uno switch, invece, impara (ascoltando il traffico dei frames in transito) la corrispondenza tra le proprie porte e gli indirizzi MAC delle schede di rete ad esse collegate, inoltrando i frame diretti ad un certo MAC solo alla porta corrispondente. Livello 3 Rete Per poter avere un tipo di comunicazione di rete indipendente dal supporto fisico utilizzato, è necessaria un astrazione che riguarda il modo di inviare blocchi di dati, l indirizzamento di questi e il loro instradamento. Per quanto riguarda il TCP/IP, questo è il livello del protocollo IP, attraverso il quale vengono definiti gli indirizzi e gli instradamenti relativi. Quando un pacchetto è più grande della dimensione massima trasmissibile in quel tipo di rete fisica utilizzata, è il protocollo IP che si deve prendere cura di scomporlo in segmenti più piccoli e di ricombinarli correttamente alla destinazione. All'interno di una LAN, il compito di mettere in relazione gli indirizzi IP con gli indirizzi MAC (necessari per inviare i pacchetti a livello datalink) è svolto dal protocollo ARP Address Resolution Protocol (protocollo di risoluzione degli indirizzi). Altri possibili protocolli di livello 3 (alternativi all'ip) sono IPX, NetBeui ed altri. A questo livello OSI operano i router. Livello 4 Trasporto A questo livello appartengono i protocolli di comunicazione che si occupano di frammentare e ricomporre i dati, di correggere gli errori e di prevenire intasamenti della rete. I protocolli principali di questo livello sono ICMP (Internet Control Message Protocol), TCP (Transmission control protocol) e UDP (User datagram protocol). pagina 5 di 23

6 Livello 5 Sessione Ogni servizio di rete (condivisione del file system, posta elettronica, FTP, ecc.) ha un proprio protocollo, porte di servizio e un meccanismo di trasporto (quelli definiti nel livello inferiore). Quando si avvia una comunicazione a questo livello, si parla di sessione. Quindi, si apre o si chiude una sessione. Livello 6 Presentazione A questo livello si inseriscono normalmente delle librerie in grado di gestire un eventuale conversione dei dati tra l applicazione e la sessione di comunicazione. Livello 7 Applicazione L ultimo livello è quello dell applicazione che utilizza le risorse di rete. Il protocollo TCP/IP In realtà è un insieme di protocolli che si collocano al terzo e quarto livello dello stack OSI: Livello 3 - Rete Il protocollo IP Si occupa di instradare i pacchetti dalla sorgente alla destinazione attraverso reti locali e geografiche. Ogni macchina affacciata su una rete deve avere un indirizzo IP univoco. Gli indirizzi IP sono composti da una sequenza di 32 bit, suddivisi convenzionalmente in quattro gruppetti di 8 bit, rappresentati in modo decimale e separati da un punto. Questo tipo di rappresentazione è definito come: notazione decimale puntata. Per esempio, corrisponde all'indirizzo IP Ognuna delle quattro cifre decimali, rappresentando 8 bit, può assumenr valori compresi tra 0 e 255. sottomaschera di rete (netmask) All interno di un indirizzo del genere si distinguono due parti: l indirizzo di rete e l indirizzo del nodo particolare. Il meccanismo è simile a quello del numero telefonico in cui la prima parte del numero, il prefisso, definisce il distretto telefonico, mentre il resto identifica l apparecchio telefonico specifico di quella zona. La suddivisione tra le parti prefisso di rete e identificativo del nodo all'interno della rete è definita dal valore di netmask (maschera di rete). Una netmask applicata all'indirizzo indica che x è l'identificativo della rete e che 4 è l'identificativo del nodo sarà l'indirizzo della rete sarà l'indirizzo di broadcast usato per inviare pacchetti particolari diretti a tutta la rete locale nel suo complesso e non ad una macchina specifica. Classi di rete Una rete con netmask si dice di classe C e può quindi contenere fino a 254 nodi numerati da x.y.z.1 a x.y.z.254 (x.y.z devono essere compresi tra e ) Una rete di classe B avrà netmask e potrà contenere fino a nodi numerati da x.y.0.1 a x.y ; l'indirizzo di rete sarà x.y.0.0 e l'indirizzo di broadcast sarà x.y (x.y dovranno essere compresi tra e ) Una rete di classe A avrà netmask e potrà contenere fino a nodi numerati da x a x ; l'indirizzo di rete sarà x e l'indirizzo di broadcast sarà x (x deve essere compreso tra 1 e 126) pagina 6 di 23

7 Esistono anche le classi D ed E, destinate ad usi speciali. Spesso viene utilizzata la notazione CIDR (Classless Inter Domain Routing) con la quale si possono identificare l'indirizzo IP e la netmask in un colpo solo: l'indirizzo IP con netmask viene espresso in /24 che significa che i primi 24 dei 32 bit (quindi i primi tre gruppetti di 8 bit) che compongono l'indirizzo IP sono quelli che identificano la rete. Analogamente w.x.y.z/16 sarà un indirizzo di classe B e w.x.y.z/8 un indirizzo di classe A. Gateway Il nodo IP che si trovi nella necessità di inviare un pacchetto, per prima cosa confronterà la parte identificativa di rete del proprio indirizzo IP con i corrispondenti bit dell'indirizzo IP di destinazione. Se le due porzioni corrispondono, significa che il nodo da raggiungere si trova nella stessa rete locale; in questo caso, attraverso il protocollo ARP, recupera l'indirizzo MAC della scheda di destinazione e le invia direttamente il pacchetto. Se, viceversa, le due porzioni non corrispondono significa che il nodo destinatario appartiene ad un'altra rete. In questo caso, il pacchetto viene inviato all'indirizzo di una macchina particolare detta gateway che si incaricherà a sua volta di inoltrare il pacchetto verso la destinazione finale. Il gateway (punto di passaggio obbligato per uscire dalla propria rete locale) è un router: una macchina dotata di più interfacce di rete (possono essere schede di rete ma anche modem o TA), in grado di instradare i pacchetti tra le interfacce, usata per mettere in comunicazione tra loro più reti. La decisione riguardo quale via fare percorrere ad un pacchetto è presa consultando la tabella di routing Gli hop e il routing La tabella di routing è visualizzabile e modificabile tramite il comando #route. # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U eth2 (Internet) U eth0 (LAN) U eth1 (DMZ) UG eth2 (defaultroute) La tabella di routing viene consultata dall'alto verso il basso in cerca di una corrispondenza con l'indirizzo IP di destinazione del pacchetto da inoltrare. Se l'indirizzo di rete indicato in una riga della tabella di routing è compatibile con l'indirizzo del pacchetto, questo verrà inoltrato sull'interfaccia indicata nella riga stessa. Se sulla riga è indicato un gateway, il pacchetto viene inoltrato al gateway stesso, sempre attraverso l'interfaccia indicata. Sarà poi il gateway ad occuparsi di inoltrare a sua volta il pacchetto al passo successivo verso la destinazione. Ogni passo che il pacchetto compie verso la destinazione (ovvero ogni host che incontra sul proprio percorso) è detto hop o salto. Con il comando #traceroute (tracert per win32), possiamo visualizzare gli hop che i nostri pacchetti compiono per arrivare ad una data destinazione: sandman]# traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms 3 core-sw-cr-02.aemcom.net ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms Il server è molto vicino a noi (sulla stessa MAN) eppure ci servono sei salti per raggiungerlo. pagina 7 di 23

8 Proviamo ora con qualcosa di un poco più distante: sandman]# traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms 3 bgp-cr-vr-inf-01.aemcom.net ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 8 ams-e4.ams.nl.net.dtag.de ( ) ms ms ms 9 ams-ix.tc2.xs4all.net ( ) ms ms ms 10 0.so xr1.d12.xs4all.net ( ) ms ms ms 11 0.so cr1.d12.xs4all.net ( ) ms ms ms 12 klecker.debian.org ( ) ms ms ms IPV6 L'univocità dell'indirizzo IP riguarda soprattutto la rete delle reti ovvero Internet. Ogni connessione affacciata direttamente ad Internet deve avere un indirizzo IP diverso da quello di tutte le altre macchine, pena la collisione dei pacchetti. Dato che le macchine connesse ad Internet sono moltissime, capirete come ci si stia avviando verso la saturazione dello spazio di indirizzamento disponibile. Per risolvere il problema della carenza di indirizzi IP pubblici si è sviluppato un nuovo protocollo chiamato IPv6. IPV6 è in fase di sperimentazione avanzata ed è già operativo su diversi server in rete. GNU/Linux è già pronto sin da ora per usarlo. Indirizzi ad uso speciale Lo spazio lasciato libero tra la classe A e la classe B, ovvero gli indirizzi 127.*.*.*, sono riservati per identificare una rete virtuale interna al nodo stesso. All interno di questa rete si trova un interfaccia di rete immaginaria corrispondente all indirizzo , mentre gli altri indirizzi di questo gruppo non vengono mai utilizzati. Per identificare questi indirizzi si parla di loopback. All interno di ogni nodo, quindi, l indirizzo corrisponde a se stesso. Serve in particolare per non disturbare la rete quando un programma (che usa la rete) deve fare riferimento a se stesso. L indirizzo speciale , conosciuto come default route, è il percorso, o strada predefinita, per l instradamento dei pacchetti. Si usa spesso la parola chiave defaultroute per fare riferimento automaticamente a questo indirizzo particolare che punta al gateway. Abbiamo poi degli indirizzi IP ad uso speciale per reti private (ovvero non direttamente affacciate ad Internet). Sono gli indirizzi da usare se non si ha la necessità di rendere direttamente accessibili i nodi della propria rete locale alla rete globale Internet. Abbiamo a disposizione: 1 rete privata di classe A: 10.x.x.x (indirizzi compresi tra ) 16 reti private di classe B: 172.Y.x x (indirizzi compresi tra ) 256 diverse reti private di classe C: Y.x (indirizzi compresi tra ) dove Y è usato come identificativo della rete privata e va scelto (secondo l'rfc Address Allocation for Private Internets) a caso tra 0 e 255 dall'amministratore di rete, in modo da minimizzare le possibilità di collisioni in caso di possibili future connessioni con altre reti private. Indirizzi IP privati o pubblici, statici o dinamici Gli indirizzi IP ad uso speciale per reti private sono conosciuti come IP privati, ovvero non raggiungibili direttamente da Internet. Gli altri indirizzi sono conosciuti come IP pubblici, ovvero raggiungibili da Internet. Gli indirizzi IP (privati e pubblici) possono essere statici o dinamici. Gli indirizzi statici vengono impostati dall'utente e non variano mai, quelli dinamici vengono assegnati automaticamente da un server DHCP - Dynamic Host Configuration Protocol. Nel caso di una connessione ad un Internet service provider via modem, ci viene pagina 8 di 23

9 assegnato un IP pubblico dinamico. Normalmente, per poter avere assegnato un indirizzo IP pubblico statico (in modo da poter essere sempre raggiungibili da Internet) dobbiamo pagare una quota periodica a chi ci fornisce la connettività. Livello 4 Trasporto RFC1700 Assigned names (nomi assegnati) Su ogni macchina predisposta all'accesso in rete vi è un file che riepiloga i protocolli in uso nel layer 4 trasporto e ne associa il nome al codice numerico. Questo file nei sistemi *nix è /etc/protocols, mentre nei sistemi Win è C:\WINDOWS\system32\drivers\etc\protocols Documents]# cat /etc/protocols # /etc/protocols: # $Id: protocols,v /05/02 17:10:04 chmouel Exp $ # # Internet (IP) protocols # # 5.1 (Berkeley) 4/17/89 # # Updated for NetBSD based on RFC 1340, Assigned Numbers (July 1992). # # See also ip 0 IP # internet protocol, pseudo protocol number #hopopt 0 HOPOPT # hop-by-hop options for ipv6 icmp 1 ICMP # internet control message protocol igmp 2 IGMP # internet group management protocol ggp 3 GGP # gateway-gateway protocol ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'') st 5 ST # ST datagram mode tcp 6 TCP # transmission control protocol cbt 7 CBT # CBT, Tony Ballardie egp 8 EGP # exterior gateway protocol igp 9 IGP # any private interior gateway (Cisco: for IGRP) bbn-rcc 10 BBN-RCC-MON # BBN RCC Monitoring nvp 11 NVP-II # Network Voice Protocol pup 12 PUP # PARC universal packet protocol argus 13 ARGUS # ARGUS emcon 14 EMCON # EMCON xnet 15 XNET # Cross Net Debugger chaos 16 CHAOS # Chaos udp 17 UDP # user datagram protocol mux 18 MUX # Multiplexing protocol dcn 19 DCN-MEAS # DCN Measurement Subsystems hmp 20 HMP # host monitoring protocol prm 21 PRM # packet radio measurement protocol I protocolli di questo livello sono numerosi (più di 130), ma quelli più utilizzati sono ICMP, TCP e UDP. Il protocollo ICMP ICMP è l'acronimo di Internet Control Message Protocol (protocollo dei messaggi di controllo Internet). È un protocollo molto semplice, usato per le attività di controllo del funzionamento della rete. Contiene solo le informazioni relative all'indirizzo IP del mittente, l'indirizzo IP di destinazione e dei codici numerici che identificano il tipo di messaggio trasmesso. Non ha porte. pagina 9 di 23

10 tipo codic e nome usato da 0 echo-reply risposta a un ping (pong) destination-unreachable traffico TCP/UDP 0 network-unreachable 1 host-unreachable 2 protocol-unreachable 3 port-unreachable 4 fragmentation-needed 5 source-route-failed 6 network-unknown 7 host-unknown 8 9 network-prohibited 10 host-prohibited 11 TOS-network-unreachable 12 TOS-host-unreachable 13 communication-prohibited 14 host-precedence-violation 15 precedence-cutoff 4 source-quench redirect 0 network-redirect 1 host-redirect 2 TOS-network-redirect 3 TOS-host-redirect 8 echo-request ping 9 router-advertisement 10 router-solicitation instradamento dei pacchetti 11 time-exceeded (ttl-exceeded) traceroute 0 ttl-zero-during-transit 1 ttl-zero-during-reassembly 12 parameter-problem 0 ip-header-bad 1 required-option-missing 13 timestamp-request 14 timestamp-reply 15 information-request 16 Information-reply 17 address-mask-request 18 address-mask-reply Tabella dei tipi di pacchetto ICMP Ping è un metodo semplice per testare il funzionamento della rete. Invia un pacchetto ICMP tipo 8 ed attende una risposta ICMP tipo 0 dall'altro lato pagina 10 di 23

11 Il protocollo UDP UDP è l'acronimo di User Datagram Protocol (protocollo datagramma utente). Il termine datagramma, rappresenta il pacchetto di un protocollo non connesso; per questo non va inteso come sinonimo di pacchetto in senso generale. È usato quando si privilegia la semplicità e la contemporaneità di trasmissione. Non implementa nessun meccanismo di conferma della ricezione dei pacchetti, quindi la loro ricezione non è garantita. Per questo è il protocollo usato dalle applicazioni multimediali (audio, video), nelle quali non importa tanto l'integrità del messaggio, quanto la sua temporizzazione. Porte Porte privilegiate o well-known (0 1023) Porte che possono essere aperte (per trasmettere, ricevere o anche solo per restare in ascolto) solo con i privilegi del superutente (di solito root in *nix e Administrator in Win*) Porte non privilegiate ( ) Porte che possono essere aperte da qualsiasi utente Il protocollo TCP TCP è l'acronimo di Transmission Control Protocol (protocollo per il controllo della trasmissione). Il protocollo TCP, in qualità di protocollo connesso, oltre alla scomposizione e ricomposizione dei dati, si occupa di verificare e riordinare i dati all arrivo: i pacchetti perduti o errati vengono ritrasmessi e i dati finali vengono ricomposti. Il flusso dei dati è quindi necessariamente bidirezionale. È usato quando è necessario verificare che ogni pacchetto trasmesso sia stato effettivamente ricevuto (anche se non vi è la garanzia che i pacchetti siano ricevuti nello stesso ordine nel quale sono stati trasmessi; sarà compito del sistema ricevente rimettere in ordine il contenuto). Ad esempio, nel caso dello scambio di file: cosa potremmo farcene di un file a cui manca un frammento? Porte Funzionano esattamente come le porte UDP, anche se sono completamente separate da esse, nonostatnte qualche servizio di rete possa usare entrambi i tipi: come il DNS (Domain Name System sistema dei nomi di dominio) che usa la porta 53/UDP ma può usare anche la 53/TCP Flags SYN SYN sta per synchronize (sincronizza) è il flag che indica che il pacchetto è usato per cercare di aprire un nuovo canale di comunicazione ACK ACK sta per acknowledge (conferma) ed indica che il pacchetto è la conferma della ricezione di un'informazione FIN FIN sta per finish (termina) ed indica che si intende porre fine alla comunicazione. RST RST per reset (resetta) indica che il canale di comunicazione viene chiuso a causa di un errore URG: Urgent Pointer field significant PSH: Push Function pagina 11 di 23

12 Three-way handshake È la procedura usata da due nodi di rete per instaurare una connessione TCP. (A) > SYN > (B) (A) < SYN/ACK < (B) (A) > ACK > (B) Una macchina (A) che vuole connettersi ad un'altra macchina (B), invierà un pacchetto TCP verso una porta in ascolto sulla macchina (B). Questo pacchetto deve avere il flag SYN attivato, per far capire all'altro capo che si intende iniziare una nuova connessione. La macchina (B), ricevuto il pacchetto SYN, risponde ad (A) con un pacchetto TCP (proveniente dalla porta alla quale (B) è stata contattata e diretto alla porta di (A) che aveva emesso il pacchetto SYN) con i flag SYN ed ACK attivi. (A), riconosciuto il pacchetto SYN/ACK di (B), invia a (B) un nuovo pacchetto TCP con il solo flag ACK, che conferma l'apertura del canale di comunicazione. La connessione TCP a questo punto è stabilita e durerà fino a quando non verrà ricevuto un pacchetto FIN o RST. Four-way handshake È la procedura usata da due nodi di rete per terminare una connessione TCP. Essendo la connessione TCP una connessione a due vie, bisogna chiudere la comunicazione in entrambi i sensi. Per fare ciò viene inviato un pacchetto TCP con il flag FIN settato, al quale il nostro interlocutore risponde con un pacchetto FIN + ACK. (A) > FIN > (B) (A) < FIN/ACK < (B) (A) < FIN < (B) (A) > FIN/ACK > (B) Altri protocolli del livello 4 Trasporto ESP, AH: usati da IPSec per il traffico DMZ in tunnel... Protocolli dei servizi di rete Livello 5 Sessione Ogni servizio di rete (posta elettronica, ftp, http, ecc.) ha un proprio protocollo, una porta e un meccanismo di trasporto. Questi elementi sono indicati nel file /etc/services: # /etc/services: # $Id: services,v /07/19 20:13:27 notting Exp $ # # Network services, Internet style # # The Well Known Ports are those from 0 through # The Registered Ports are those from 1024 through # The Dynamic and/or Private Ports are those from through # # Each line describes one service, and is of the form: # # service-name port/protocol [aliases...] [# comment]... ftp-data ftp 20/tcp 21/tcp pagina 12 di 23

13 ssh 22/tcp # SSH Remote Login Protocol telnet 23/tcp... smtp 25/tcp mail... domain 53/tcp nameserver # name-domain server domain 53/udp nameserver... http 80/tcp www www-http # WorldWideWeb HTTP... pop3 110/tcp pop-3 # POP version 3... https 443/tcp # MCom... Nella riga relativa ad HTTP si può notare, per esempio, che il servizio www utilizza la porta 80 per comunicare ed il protocollo di trasporto è il TCP. Quando si avvia una comunicazione a questo livello si parla di sessione, quindi si apre o si chiude una sessione. Le porte aperte sul sistema (in ascolto, connesse, ecc.) sono visualizzabili attraverso il comando $ netstat sandman]# netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp :32778 web5.w3.org:http ESTABLISHED tcp :32777 klecker.debian.org:http ESTABLISHED tcp :32779 ftp.slackware.com:ftp ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags Type State I-Node Path unix 12 [ ] DGRAM 3222 /dev/log unix 3 [ ] STREAM CONNECTED /tmp/.x11-unix/x0 unix 3 [ ] STREAM CONNECTED unix 3 [ ] STREAM CONNECTED /home/sandman/tmp/orbit- Si può notare come la macchina sia connessa a due siti web (http) e abbia attiva una sessione FTP HTTP HyperText Transfer Protocol (protocollo per il trasferimento di ipertesti). È il protocollo usato per il world wide web, ovvero per navigare con il nostro browser web preferito (Firefox, vero?). Prevede che il client apra una connessione TCP da una propria porta non privilegiata verso la porta TCP/80 del server. Le richieste di pagine da visitare e i dati da ricevere vengono tutti scambiati su questo canale SMTP Simple Mail Transfer Protocol (protocollo semplice per il trasferimento della posta), è il protocollo usato per inviare delle dal nostro client. La nostra macchina attiva una connessione TCP da una porta non privilegiata verso la porta TCP/25 del server della posta in uscita (per esempio mail.libero.it) POP3 Post Office Protocol v. 3 (protocollo di ufficio postale versione 3) È il protocollo che usiamo per scaricare la posta elettronica dalla nostra mailbox al programma di posta. Attiviamo una connessione da una porta non privilegiata alla porta TCP/110 del server di posta FTP File Transfert Protocol: protocollo per il trasferimento di file. È un po' più incasinato. Utilizza più connessioni contemporaneamente: una connessione di controllo verso la porta 21/TCP del server ed una o più connessioni per lo scambio dei dati sulla 20/TCP. pagina 13 di 23

14 Non bastasse ciò, il tutto può avvenire in due modalità diverse: attiva o passiva... Per avviare la comunicazione il computer client apre una porta locale n non privilegiata (> 1024) iniziando una connessione TCP verso la porta 21/TCP del server FTP. Nell'ambito di questa connessione (detta di controllo) vengono inviati i comandi dal programma client al programma server. Per consentire lo scambio dei dati deve essere aperta una seconda connessione TCP tra i due programmi: Nella connessione FTP attiva il programma client apre una seconda porta locale non privilegiata (di solito n+1) e la comunica al server, attraverso la connessione di controllo già attiva. A questo punto è il server ad iniziare la seconda connessione TCP tra la propria porta 20 e la porta comunicata dal client. Nella modalità FTP passiva il client chiede al server di operare in modalità passiva. Così facendo, è il programma server che apre una porta non privilegiata e ne comunica al client il numero in attesa di essere contattato. Sarà quindi sempre il client ad avviare (anche lui da porte non privilegiate) le connessioni verso il server. In questo caso la porta 20/TCP non viene utilizzata....ed altri Ma c'è di peggio: H.323, IPSec e molti altri. Questi protocolli hanno modalità ancora più complesse nell'instaurare le proprie comunicazioni, avendo la necessità di veicolare più flussi contemporaneamente: audio, video, dati, segnalazione, chiamata, autenticazione, scambio di chiavi, cifratura... I Firewall Un firewall è un apparato dotato di due (o più) interfacce di rete che seziona e mette in collegamento due (o più) tronconi di rete. Internet firewall LAN hub server client Solitamente il troncone esterno comprende tutta Internet, mentre il troncone interno corrisponde all'insieme dei computer della rete locale (LAN Local Area Network). Grazie alla sua posizione strategica, il firewall risulta il posto migliore ove imporre delle regole di traffico per i pacchetti in transito tra le interfacce ed eseguire un monitoraggio di tali pacchetti. Il firewall, software o hardware, permette o nega la comunicazione tra due o più reti diverse, a seconda del tipo di traffico (o meglio, in base al contenuto dei pacchetti) proteggendo da comunicazioni non desiderate. pagina 14 di 23

15 Architetture di rete con firewall Esistono molte architetture possibili per inserire un sistema di firewalling nel proprio sistema. La più semplice è ovviamente quella che prevede l'interposizione di un singolo firewall tra Internet e la LAN, come schematizzato nell'illustrazione precedente. Nel caso esista anche una DMZ, abbiamo due possibilità: - collegare la DMZ ad una scheda di rete aggiuntiva sul Firewall, come schematizzato nella figura seguente: Internet firewall DMZ LAN hub server Web server client - oppure usare due firewall in cascata, detti esterno ed interno e porre la DMZ tra di essi. Il firewall esterno avrà criteri di protezione adatti a proteggere la DMZ, quello interno aggiungerà ulteriori criteri di protezione, utili a raggiungere il livello di sicurezza adatto ad una LAN. Vedi la figura seguente: Firewall esterno Firewall interno internet HUB DMZ Lan Tipi di firewall I firewall possono essere classificati in due categorie: packet filter firewall ed application firewall (detti anche proxy firewall) Application firewall Gli application firewall sono in grado di analizzare i pacchetti, o meglio gli header, che vi transitano fino al livello di applicazione, quello più alto possibile. Per esempio, un application firewall HTTP sarà in grado di inoltrare o bloccare i pacchetti in funzione dell'url del sito richiesto. pagina 15 di 23

16 Purtroppo questo tipo di firewall porta alcuni svantaggi: la grande richiesta di risorse hardware, la lentezza nelle operazioni, capacità di analizzare un numero limitato di servizi di rete, complessità della stesura delle regole, necessità di riscrivere le regole per ogni applicazione simile, anche se usano lo stesso protocollo, necessità di girare in userspace. Lasciamo perdere... Packet filter firewall I packet filter firewall sono invece in grado di analizzare gli header dei pacchetti solo fino al livello di trasporto. Ciò significa che sono in grado di discriminare un pacchetto in base all'header di livello fisico (ad esempio da quale interfaccia di rete proviene o è diretto il pacchetto), di livello data link (in base agli indirizzi MAC sorgente e destinazione), di livello rete (indirizzo IP sorgente o destinazione del pacchetto), di livello trasporto (ad esempio porta sorgente o destinazione) I vantaggi di questo tipo di firewall sono: la velocità, la capacità di analizzare tutti i pacchetti indipendentemente dall'applicazione che li ha generati, la semplicità delle strutture per la stesura delle regole di filtraggio, il poter girare in kernel space. Stateless Il kernel di Linux, nelle sue versioni passate (versioni del kernel fino alla 2.2) forniva, attraverso il comando #ipchains, le funzionalità di un firewall stateless. Stateful Un firewall di tipo stateful è in grado di basare le politiche di inoltro dei pacchetti anche sullo stato corrente delle connessioni, spingendo quindi il proprio campo di azione al livello di sessione, sapendo correlare le diverse connessioni relative ad una stessa sessione grazie all'aiuto del sistema di tracciamento delle connessioni (connection tracking, abbreviato in conntrack) e di helper, moduli software dedicati alla gestione dei protocolli più complessi. Il kernel di Linux a partire dalla versione 2.4 contiene un firewall stateful, configurabile con il comando #iptables. Stato della connessione NEW Una connessione è definita NEW (nuova) quando sono stati ricevuti solo i pacchetti con il flag SYN attivato, dunque la connessione è in corso di apertura. ESTABLISHED Una connessione diventa ESTABLISHED (stabilita) quando il processo di apertura è concluso e la comunicazione può avere corso. Nel caso del TCP: al ricevimento del pacchetto ACK, nel caso di UDP al ricevimento del pacchetto SYN/ACK, nel caso di ICMP al ricevimento del primo pacchetto di risposta. RELATED Una connessione è RELATED (correlata) quando non è parte di una connessione preesistente ma è correlabile ad essa. Ad esempio un pacchetto ICMP che segnali un errore di comunicazione relativo ad una connessione TCP o una nuova connessione FTPdata relativa ad una sessione FTP già stabilita. INVALID La connessione è dichiarata INVALID (non valida) se non è stato possibile identificarne l'appartenenza. Ad esempio quando si riceve un pacchetto TCP di una nuova connessione senza il flag SYN settato. Netfilter/iptables Il kernel Linux contiene uno stateful packet filter firewall (netfilter). In userspace, il comando iptables permette di configurare ed analizzare il comportamento del filtro del kernel. Netfilter/iptables è riconosciuto come un ottimo strumento. Basti pensare che il motore di numerosi firewall commerciali è proprio GNU/Linux. pagina 16 di 23

17 Tabelle Iptables (come dice il nome stesso) indica che il filtro dei pacchetti è suddiviso in tre tabelle: mangle, nat e filter (in minuscolo!) mangle La tabella MANGLE è usata per fare il mangling (tagliuzzare in maniera un po' sadica) dei pacchetti, ovvero per modificarli a nostro piacimento. In pratica, è una tabella riservata agli hacker più esperti. nat NAT Network Address Tranlation (traduzione degli indirizzi di rete) è il sistema usato per permettere ad una rete locale di usare all'interno una serie di indirizzi IP privati e contemporaneamente di usare indirizzi IP pubblici per accedere all'esterno. Una macchina collocata nel punto in cui la LAN si connette ad Internet compie tutte le traduzioni di indirizzo necessarie. La tabella nat è utilizzata proprio per fare queste operazioni. Le principali operazioni di NAT si suddividono in: DNAT Destination NAT (traduzione degli indirizzi di rete di destinazione). È usata per permettere a più server di condividere lo stesso indirizzo IP pubblico. Immaginiamo di avere nella nostra DMZ un server web, un server FTP. Possiamo acquistare un solo IP statico pubblico e fare in modo che entrambi i server rispondano a quell'indirizzo. Le chiamate all'indirizzo pubblico verso la porta TCP/80 saranno dirette al server web, quelle verso la porta TCP/21 al server FTP. SNAT Source NAT (traduzione degli indirizzi di rete di origine). È usata, per esempio, per permettere a tutti i client della LAN di accedere a Internet usando un solo indirizzo IP pubblico. Quando un client cerca di connettersi ad un server su Internet, la funzione di SNAT modifica i pacchetti sostituendo l'indirizzo IP privato del client con l'indirizzo IP pubblico ed inoltrando il pacchetto verso il server. Quando il server invia dei pacchetti di risposta indirizzati all'ip pubblico, SNAT li modificherà sostituendo l'ip pubblico con l'indirizzo IP privato del client che aveva originato la chiamata e li inoltra sulla LAN. Masquerading (mascheramento): è un caso particolare dello SNAT, che si ha quando l'ip pubblico da usare non è statico, ma viene assegnato dinamicamente di volta in volta (come quando ci colleghiamo ad Internet via modem). Ciò comporta l'onere aggiuntivo di verificare ogni volta qual'è l'indirizzo IP pubblico assegnato. filter Nella tabella filter si impostano tutte le regole utili per filtrare i pacchetti e decidere se inoltrarli verso la LAN (ACCEPT), scartarli (DROP) o rifiutarli (REJECT) Catene Tutti i pacchetti che transitano per il firewall, oppure che sono originati o sono destinati al firewall stesso (compresi quelli di loopback), vengono analizzati in base a delle catene (delle sequenze) di regole. Esistono una serie di catene predefinite, alle quali è possibile collegare altre catene ausiliarie create dall'utente. catene predefinite Le catene predefinite sono: INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING (tutto maiuscolo!). INPUT La catena di input viene percorsa solamente dai pacchetti che hanno come destinazione finale il firewall stesso. OUTPUT La catena di output è percorsa solamente dai pacchetti che sono originati dai processi del firewall stesso pagina 17 di 23

18 FORWARD La catena di forward è percorsa solo dai pacchetti che il firewall si incarica di inoltrare da una rete all'altra attraverso le sue schede di rete. PREROUTING La catena di PREROUTING è percorsa dai pacchetti in ingresso da una qualsiasi interfaccia, prima di essere instradato (in base alla tabella di routing) al firewall stesso o ad un'altra interfaccia. È in questa catena che vanno introdotte le regole di DNAT. POSTROUTING La catena di postrouting è percorsa dai pacchetti in uscita verso una qualsiasi interfaccia, dopo che sono stati instradati (in base alla tabella di routing) all'interfaccia di rete corretta. È in questa catena che vanno introdotte le regole di SNAT o di masquerading. L'immagine seguente schematizza la sequenza di tabelle e catene predefinite che i pacchetti incontrano lungo il loro percorso nel firewall: Ogni regola contiene i seguenti elementi: la tabella in cui deve agire (se non è specificata, viene usata di default la tabella filter) pagina 18 di 23

19 la catena nella quale è inserita le corrispondenze (match) in base alle quali selezionare il pacchetto oppure ignorarlo e lasciarlo passare alla regola successiva lungo la catena l'azione da intraprendere (sui soli pacchetti selezionati) (target) I pacchetti vengono analizzati in sequenza dalle regole presenti nella catena, fino a che non incontrino una regola di cui soddisfano i criteri di corrispondenza. Al pacchetto selezionato viene applicata l'azione definita nel target della regola. I pacchetti che raggiungessero la fine delle catene predefinite INPUT, OUTPUT o FORWARD senza soddisfare alcuna regola, subiranno l'azione definita dalla policy di default (politica predefinita) della catena. Queste policy possono assumere il valore di DROP, nel qual caso il pacchetto sarà scartato, o di ACCEPT, ed il pacchetto sarà accettato ed inoltrato alla sua destinazione. catene create dall'utente Le catene utente sono utili per definire sequenze di regole di filtraggio da applicare in maniera ripetitiva a pacchetti selezionati dalle corrispondenze di altre regole. Hanno un uso simile a quello delle subroutine nei linguaggi di programmazione. I pacchetti che raggiungono la fine delle catene utente tornano alla catena da cui erano stati inviati e continuano a percorrerla. Match I match (corrispondenze) definiscono i criteri in base ai quali vengono selezionati o meno i pacchetti. Ecco alcuni esempi di match: -p, --protocol seleziona i pacchetti in base al protocollo: #iptables -A INPUT -p udp seleziona solo i pacchetti UDP -s, --src, --source seleziona i pacchetti in base all'indirizzo IP di provenienza: #iptables -A INPUT -s! /24 seleziona solo i pacchetti che non provengono dalla rete x -d, --dst, --destination #iptables -A INPUT -d seleziona i pacchetti destinati all'indirizzo IP i, --in-interface #iptables -A INPUT -i eth0 seleziona i pacchetti arrivati dall'interfaccia di rete eth0 -o, --out-interface #iptables -A FORWARD -o eth1 seleziona i pacchetti che devono uscire dall'interfaccia eth1 --sport, --source-port #iptables -A INPUT -p tcp --sport 80 seleziona i pacchetti che provengono da una porta 80/TCP, cioè da un server web --dport, --destination-port #iptables -A INPUT -p tcp --dport 25 seleziona i pacchetti destinati ad una porta 25/TCP, ovvero ad un server SMTP (posta in uscita) --tcp-flags #iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN SYN pagina 19 di 23

20 seleziona solo i pacchetti che abbiano attivo il solo flag SYN tra i flag SYN, ACK e FIN, ovvero i tentativi di instaurare nuove connessioni TCP --icmp-type #iptables -A INPUT -p icmp --icmp-type 8 seleziona i pacchetti ping in uscita --state #iptables -A INPUT -m state --state RELATED,ESTABLISHED seleziona solo i pacchetti appartenenti a connessioni stabilite o correlate -m mac o --mac-source controlla la corrispondenza delle regole delle catene in base all'indirizzo MAC della scheda di provenienza del pacchetto; è utile per impostare le regole su macchine che hanno l'indirizzo IP assegnato dinamicamente (via DHCP). Target I target (bersagli, obiettivi), detti anche jump (salti) stabiliscono che cosa deve fare la regola con ogni pacchetto che soddisfi perfettamente le corrispondenze (implicite o esplicite) stabilite nella regola stessa. I target di base sono: ACCEPT, DROP, REJECT,... o il rilancio del pacchetto verso una qualsiasi catena utente. Inoltre abbiamo i target LOG, MARK, SNAT, DNAT, MASQUERADE, REDIRECT, ed altri... Comandi Ecco un riepilogo dei principali comandi di iptables: -A, --append #iptables -A INPUT... Questo comando aggiunge la regola alla fine della catena quindi sarà l'ultima ad essere verificata. -D, --delete #iptables -D INPUT --dport 80 -j DROP #iptables -D INPUT 1 Questo comando cancella una regola dalla catena di INPUT. Questo può essere fatto in due modi. Nel primo esempio si cancella la regola che ha le caratteristiche riportate; nel secondo si cancella la prima regola della catena. -R, --replace #iptables -R INPUT 3 -s j DROP Questo comando sostituisce la terza regola della catena INPUT con una nuova regola con le caratteritiche descritte -I, --insert #iptables -I INPUT 8 --dport 80 -j ACCEPT Inserisce la nuova regola all'ottava posizione della catena -L, --list #iptables -L INPUT Questo comando mostra la lista di tutte le regole presenti nella catena specificata. Se non si specifica una catena, verranno mostrate le regole di tutte le catene -F, --flush #iptables -F INPUT Questo comando svuota la catena INPUT da tutte le regole presenti ed equivale a cancellare tutte le regole una per una con il comando -D -N, --new-chain #iptables -N allowed pagina 20 di 23

GNU/Linux e i firewall

GNU/Linux e i firewall GNU/Linux e i firewall Relatori: Giorgio Bodo Bodini Roberto Oliverino Azzini Classificazione delle reti in base all'estensione VPN VPN: Virtual Private Network LAN security gateway security gateway LAN

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

TCP e UDP, firewall e NAT

TCP e UDP, firewall e NAT Università di Verona, Facoltà di Scienze MM.FF.NN. Insegnamento di Reti di Calcolatori TCP e UDP, firewall e NAT Davide Quaglia Scopo di questa esercitazione è: 1) utilizzare Wireshark per studiare il

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA PROGRAMMAZIONE MODULARE 2015-2016 Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA Docenti: Gualdi (teoria), Travaglioni (laboratorio) Ore settimanali previste: 2 TEORIA +

Dettagli

Netfilter: utilizzo di iptables per

Netfilter: utilizzo di iptables per Netfilter: utilizzo di iptables per intercettare e manipolare i pacchetti di rete Giacomo Strangolino Sincrotrone Trieste http://www.giacomos.it delleceste@gmail.com Sicurezza delle reti informatiche Primi

Dettagli

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it Corso GNU/Linux - Lezione 5 Davide Giunchi - davidegiunchi@libero.it Reti - Protocollo TCP/IP I pacchetti di dati vengono trasmessi e ricevuti in base a delle regole definite da un protocollo di comunicazione.

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

VPN (OpenVPN - IPCop)

VPN (OpenVPN - IPCop) VPN (OpenVPN - IPCop) Davide Merzi 1 Sommario Indirizzo IP Reti Pubbliche Private Internet Protocollo Firewall (IPCop) VPN (OpenVPN IPsec on IPCop) 2 Indirizzo IP L'indirizzo IP (Internet Protocol address)

Dettagli

Reti di computer. Agostino Lorenzi - Reti di computer - 2008

Reti di computer. Agostino Lorenzi - Reti di computer - 2008 Reti di computer Telematica : termine che evidenzia l integrazione tra tecnologie informatiche e tecnologie delle comunicazioni. Rete (network) : insieme di sistemi per l elaborazione delle informazioni

Dettagli

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO okfabian@yahoo.com Fabian Chatwin Cedrati Ogni scheda di rete ha un indirizzo MAC univoco L'indirizzo IP invece viene impostato dal Sistema Operativo HUB 00:50:DA:7D:5E:32

Dettagli

FoLUG Forlì Linux User Group. in collaborazione con. Circoscrizione n 3 (ex 4) di Forlì. Networking

FoLUG Forlì Linux User Group. in collaborazione con. Circoscrizione n 3 (ex 4) di Forlì. Networking FoLUG Forlì Linux User Group in collaborazione con Circoscrizione n 3 (ex 4) di Forlì Networking FoLUG - Forlì Linux User Group - http://www.folug.org RR 2010 Pag. 1 Concetti Concetti fondamentali fondamentali

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Crittografia e sicurezza delle reti. Firewall

Crittografia e sicurezza delle reti. Firewall Crittografia e sicurezza delle reti Firewall Cosa è un Firewall Un punto di controllo e monitoraggio Collega reti con diversi criteri di affidabilità e delimita la rete da difendere Impone limitazioni

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

TOPOLOGIA di una rete

TOPOLOGIA di una rete TOPOLOGIA di una rete Protocolli di rete un protocollo prevede la definizione di un linguaggio per far comunicare 2 o più dispositivi. Il protocollo è quindi costituito dai un insieme di convenzioni

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

PROOCOLLO TCP-IP I sistemi aperti Protocollo di rete e di comunicazione Il modello a strati Il modello ISO/OSI

PROOCOLLO TCP-IP I sistemi aperti Protocollo di rete e di comunicazione Il modello a strati Il modello ISO/OSI PROOCOLLO TCP-IP I sistemi aperti Il concetto di sistema aperto deriva dalla necessità di standardizzazione. Nella progettazione di una rete ci si può trovare di fronte ad una serie di prodotti offerti

Dettagli

Dal protocollo IP ai livelli superiori

Dal protocollo IP ai livelli superiori Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima

Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011. Paola Zamperlin. Internet. Parte prima Laboratorio di Informatica Corso di laurea in Lingue e Studi interculturali. AA 2010-2011 Paola Zamperlin Internet. Parte prima 1 Definizioni-1 Una rete di calcolatori è costituita da computer e altri

Dettagli

Lavorare in Rete Esercitazione

Lavorare in Rete Esercitazione Alfonso Miola Lavorare in Rete Esercitazione Dispensa C-01-02-E Settembre 2005 1 2 Contenuti Reti di calcolatori I vantaggi della comunicazione lavorare in rete con Windows Internet indirizzi IP client/server

Dettagli

Tecnologie per il web e lo sviluppo multimediale. Reti di Calcolatori e Internet

Tecnologie per il web e lo sviluppo multimediale. Reti di Calcolatori e Internet Tecnologie per il web e lo sviluppo multimediale Reti di Calcolatori e Internet Luca Pulina Corso di Laurea in Scienze della Comunicazione Università degli Studi di Sassari A.A. 2015/2016 Luca Pulina (UNISS)

Dettagli

Capitolo 1 - parte 1. Corso Reti ed Applicazioni Mauro Campanella

Capitolo 1 - parte 1. Corso Reti ed Applicazioni Mauro Campanella Capitolo 1 - parte 1 Corso Reti ed Applicazioni Mauro Campanella Precisazione Noi ci occuperemo solo della trasmissione di informazione in formato digitale. Un segnale analogico è basato su una variazione

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

La rete: modelli di riferimento. La rete: modelli di riferimento. La rete: modelli di riferimento. La rete: modelli di riferimento Indice

La rete: modelli di riferimento. La rete: modelli di riferimento. La rete: modelli di riferimento. La rete: modelli di riferimento Indice Indice 1. Definizioni essenziali 2. Modelli di rete 3. Reti fisiche 4. Protocolli di rete 5. Modelli di riferimento 6. Raffronto tra modelli Architettura degli Elaboratori 2 - T. Vardanega Pagina 275 Definizioni

Dettagli

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client

Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL ADSL2+ Browser Un browser Client Un client Glossario ADSL Asymmetric Digital Subscriber Line ADSL2+ Asymmetric Digital Subscriber Line ADSL è una tecnica di trasmissione dati che permette l accesso a Internet fino a 8 Mbps in downstream ed 1 Mbps

Dettagli

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet) Il sistema operativo multifunzionale creato da Fulvio Ricciardi www.zeroshell.net lan + dmz + internet ( Autore: massimo.giaimo@sibtonline.net

Dettagli

FIREWALL Caratteristiche ed applicazioni

FIREWALL Caratteristiche ed applicazioni D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A. 2004 2005 Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica

Dettagli

Reti Locali. Lezione tenuta presso l Istituto I.I.S.S. Egidio Lanoce Maglie, 26 Ottobre 2011 Prof Antonio Cazzato

Reti Locali. Lezione tenuta presso l Istituto I.I.S.S. Egidio Lanoce Maglie, 26 Ottobre 2011 Prof Antonio Cazzato Reti Locali Lezione tenuta presso l Istituto I.I.S.S. Egidio Lanoce Maglie, 26 Ottobre 2011 Prof Antonio Cazzato Reti di Calcolatori una rete di calcolatori è costituita da due o più calcolatori autonomi

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Programmazione modulare 2015-2016

Programmazione modulare 2015-2016 Programmazione modulare 05-06 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 4 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore ( teoria + ) Totale ore previste: 4 ore per 33 settimane

Dettagli

Reti di Calcolatori: nozioni generali il modello a livelli

Reti di Calcolatori: nozioni generali il modello a livelli Reti di Calcolatori: nozioni generali il modello a livelli Percorso di Preparazione agli Studi di Ingegneria Università degli Studi di Brescia Docente: Massimiliano Giacomin Elementi di Informatica e Programmazione

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

Realizzazione e gestione di Local Area Network

Realizzazione e gestione di Local Area Network Realizzazione e gestione di Local Area Network Ceracchi Fabiana Mansi Luigi Tutor Angelo Veloce NETWORK La rete è un insieme di sistemi per l elaborazione delle informazioni messi in comunicazione tra

Dettagli

Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web Tecnologie di Sviluppo per il Web Introduzione alle Reti di Calcolatori versione 1.0 del 11/03/2003 G. Mecca mecca@unibas.it Università della Basilicata Reti >> Sommario Sommario dei Concetti Elab. Client-Server

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità ping traceroute netstat Test del DNS nslookup

Dettagli

Informatica Generale Andrea Corradini. 10 - Le reti di calcolatori e Internet

Informatica Generale Andrea Corradini. 10 - Le reti di calcolatori e Internet Informatica Generale Andrea Corradini 10 - Le reti di calcolatori e Internet Cos è una rete di calcolatori? Rete : È un insieme di calcolatori e dispositivi collegati fra loro in modo tale da permettere

Dettagli

Iptables. Mauro Piccolo piccolo@di.unito.it

Iptables. Mauro Piccolo piccolo@di.unito.it Iptables Mauro Piccolo piccolo@di.unito.it Iptables Iptables e' utilizzato per compilare, mantenere ed ispezionare le tabelle di instradamento nel kernel di Linux La configurazione di iptables e' molto

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) PARTE 2 SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) Parte 2 Modulo 1: Stack TCP/IP TCP/IP Protocol Stack (standard de facto) Basato su 5 livelli invece che sui 7 dello stack ISO/OSI Application

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Filtraggio del traffico di rete

Filtraggio del traffico di rete Laboratorio di Amministrazione di Sistemi L-A Filtraggio del traffico di rete Si ringraziano sentitamente: Angelo Neri (CINECA) per il materiale sulla classificazione, le architetture ed i principi di

Dettagli

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Schema di una Rete

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Schema di una Rete Finalità delle Reti di calcolatori Le Reti Informatiche Un calcolatore isolato, anche se multiutente ha a disposizione solo le risorse locali potrà elaborare unicamente i dati dei propri utenti 2 / 44

Dettagli

Introduzione al TCP/IP

Introduzione al TCP/IP Introduzione al TCP/IP Il nome TCP/IP rappresenta un sistema di protocolli di comunicazione basati su IP e si tratta di quanto utilizzato normalmente negli ambienti Unix. 246.1 TCP/IP e il modello ISO-OSI

Dettagli

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer

Reti di Calcolatori. Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di Calcolatori 1. Introduzione Telematica: Si occupa della trasmissione di informazioni a distanza tra sistemi informatici, attraverso reti di computer Reti di calcolatori : Un certo numero di elaboratori

Dettagli

La rete ci cambia la vita. Le persone sono interconnesse. Nessun luogo è remoto. Reti di computer ed Internet

La rete ci cambia la vita. Le persone sono interconnesse. Nessun luogo è remoto. Reti di computer ed Internet La rete ci cambia la vita Lo sviluppo delle comunicazioni in rete ha prodotto profondi cambiamenti: Reti di computer ed Internet nessun luogo è remoto le persone sono interconnesse le relazioni sociali

Dettagli

Reti di computer ed Internet

Reti di computer ed Internet Reti di computer ed Internet La rete ci cambia la vita Lo sviluppo delle comunicazioni in rete ha prodotto profondi cambiamenti: nessun luogo è remoto le persone sono interconnesse le relazioni sociali

Dettagli

Reti di Telecomunicazioni LB Introduzione al corso

Reti di Telecomunicazioni LB Introduzione al corso Reti di Telecomunicazioni LB Introduzione al corso A.A. 2005/2006 Walter Cerroni Il corso Seguito di Reti di Telecomunicazioni LA Approfondimento sui protocolli di Internet TCP/IP, protocolli di routing,

Dettagli

Sistemi informatici in ambito radiologico

Sistemi informatici in ambito radiologico Sistemi informatici in ambito radiologico Dott. Ing. Andrea Badaloni A.A. 2015 2016 Reti di elaboratori, il modello a strati e i protocolli di comunicazione e di servizio Reti di elaboratori Definizioni

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

Protocollo IP e collegati

Protocollo IP e collegati Protocollo IP e collegati Argomenti trattati: formato del pacchetto IP; servizi del protocollo IP; formato degli indirizzi; instradamento dei datagrammi; classi di indirizzi A, B, C, D; indirizzi speciali,

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Corso di Sistemi di Elaborazione delle informazioni Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Una definizione di Rete Una moderna rete di calcolatori può essere definita come:

Dettagli

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta Il Routing In un sistema packets switching quale il TCP/IP, il routing rappresenta il processo di scelta del percorso su cui inoltrare i pacchetti ed il router è un computer che effettua tale instradamento.

Dettagli

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI) Reti Architettura a livelli (modello OSI) Prevede sette livelli: applicazione, presentazione, sessione, trasporto, rete, collegamento dei dati (datalink), fisico. TCP/IP: si può analizzare in maniera analoga

Dettagli

Transmission Control Protocol

Transmission Control Protocol Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione

Dettagli

I protocolli TCP/IP di Internet

I protocolli TCP/IP di Internet I protocolli TCP/IP di Internet Introduzione E' quasi impossibile oggigiorno leggere un giornale o una rivista dove non si parli di Internet. I riferimenti ad Internet ed alle "autostrade dell'informazione"

Dettagli

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com Besnate, 24 Ottobre 2009 Oltre il Firewall Autore: Gianluca pipex08@gmail.com Cos'è un firewall i FIREWALL sono i semafori del traffico di rete del nostro PC Stabiliscono le regole per i pacchetti che

Dettagli

Reti di calcolatori: Internet

Reti di calcolatori: Internet Reti di calcolatori: Internet Sommario Introduzione Le reti reti locali: LAN La rete geografica Internet protocollo TCP-IP i servizi della rete Rete di calcolatori Interconnessione di computer e accessori

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI Confronto tra ISO-OSI e TCP/IP, con approfondimento di quest ultimo e del livello di trasporto in cui agiscono i SOCKET. TCP/IP

Dettagli

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14. Pietro Frasca. Parte II Lezione 1

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14. Pietro Frasca. Parte II Lezione 1 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II Lezione 1 Martedì 4-03-2014 1 TESTO DI RIFERIMENTO RETI DI CALCOLATORI

Dettagli

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi: le raisons d etre della rete Transport TCP

Dettagli

Le reti linguaggio comune chiamato protocollo.

Le reti linguaggio comune chiamato protocollo. As 2015-2016 Le reti Una rete è una serie di dispositivi informatici (principalmente computer, ma anche stampanti, apparecchiature diagnostiche, router,...) collegati fisicamente tra di loro. Tali dispositivi,

Dettagli

Le Reti (gli approfondimenti a lezione)

Le Reti (gli approfondimenti a lezione) Le Reti (gli approfondimenti a lezione) Per migliorare la produttività gli utenti collegano i computer tra di loro formando delle reti al fine di condividere risorse hardware e software. 1 Una rete di

Dettagli

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables

Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Corso GNU/Linux Avanzato Uso e configurazione di un firewall usando iptables Marco Papa (marco@netstudent.polito.it) NetStudent Politecnico di Torino 04 Giugno 2009 Marco (NetStudent) Firewalling in GNU/Linux

Dettagli

Il livello trasporto Protocolli TCP e UDP

Il livello trasporto Protocolli TCP e UDP Il livello trasporto Protocolli TCP e UDP Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi:

Dettagli

Firewall con IpTables

Firewall con IpTables Università degli studi di Milano Progetto d esame per Sistemi di elaborazione dell informazione Firewall con IpTables Marco Marconi Anno Accademico 2009/2010 Sommario Implementare un firewall con iptables

Dettagli

Proteggere la rete: tecnologie

Proteggere la rete: tecnologie Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Proteggere la rete: tecnologie Alessandro Reina Aristide Fattori

Dettagli

I protocolli UDP e TCP

I protocolli UDP e TCP I protocolli UDP e TCP A.A. 2005/2006 Walter Cerroni Il livello di trasporto in Internet APP. APP. TCP UDP IP collegamento logico tra diversi processi applicativi collegamento logico tra diversi host IP

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità arp ping traceroute netstat Test del DNS

Dettagli

Internet. Introduzione alle comunicazioni tra computer

Internet. Introduzione alle comunicazioni tra computer Internet Introduzione alle comunicazioni tra computer Attenzione! Quella che segue è un introduzione estremamente generica che ha il solo scopo di dare un idea sommaria di alcuni concetti alla base di

Dettagli

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito

Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Il FIREWALL LINUX Basare la sicurezza della rete su un sistema operativo gratuito Cosa si intende per sicurezza di rete Accesso a sistemi, servizi e risorse solo da e a persone autorizzate Evitare di essere

Dettagli

Lezione 4. Le Reti ed i Protocolli

Lezione 4. Le Reti ed i Protocolli Lezione 4 Le Reti ed i Protocolli Come nasce internet I computer, attraverso i software applicativi, consentono di eseguire moltissime attività. Nel corso degli anni è emersa la necessità di scambiare

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1 Simulazione prova scritta di sistemi Abacus per l Esame di Stato Traccia n 1 La condivisione delle informazioni e lo sviluppo delle risorse informatiche tramite cui esse possono venire memorizzate e scambiate

Dettagli