PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER"

Transcript

1 Q U A D E R N I P E R L A P R O G E T T A Z I O N E I C T PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER VOLUME IV MANIPOLAZIONI NEL CONTROL-PLANE E DATA-PLANE Per la preparazione agli esami CISCO, CCNA, CCNP, CCNA-Security di ENRICO CIPOLLONE FRANCESCO CIPOLLONE

2 PIANO DELL OPERA VOLUME I - FONDAMENTI DI SWITCHING CAP. 1 PARTE PRIMA NATURA E CARATTERISTICHE DELLE INFORMAZIONI TRASPORTATE IN RETE Natura e caratteristiche delle informazioni trasportate da reti TCP-IP Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T PARTE SECONDA SWITCHING CAP. 2 CAP. 3 CAP. 4 Ethernet e altri modelli di distribuzione in area locale Virtualizzazione e gestione della congestione e tecniche di ridondanza in reti LAN Servizi e sicurezza in reti LAN. Sicurezza nelle reti Ethernet PARTE TERZA LE RETI CONDIVISE DEGLI ISP: NATURA E COMPOSIZIONE DEI SERVIZI CAP. 5 Soluzioni e tecnologie per l estensione WAN di reti TCP-IP PARTE QUARTA STRUTTURA, CONFIGURAZIONE, GESTIONE DI MACCHINE DI RETE CAP. 6 CAP. 7 Accesso e configurazione di macchine intermedie in reti TCP-IP Network management configurazione di SNMP, NTP, SYSLOG in apparati di reti TCP-IP VOLUME II - ROUTING BASE PARTE QUINTA ROUTING CAP. 8 Tecnica di indirizzamento nelle reti TCP-IP 5

3 CAP. 9 Principi di routing CAP. 10 RIP versione 1 e 2 CAP. 11 Il protocollo di routing OSPF single-area CAP. 12 Il protocollo di routing OSPF multi-area CAP. 13 Il protocollo di routing EIGRP VOLUME III - ROUTING BGP PARTE SESTA CONTROL-PLANE: INTERAZIONE DEI CLIENTI CON ISP E SCAMBI DI INFORMAZIONI TRA ISP CAP. 14 Border Gateway Protocol VOLUME IV - MANIPOLAZIONI NEL CONTROL-PLANE E DATA-PLANE PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI CAP. 15 Tecniche di controllo dei flussi nel control-plane e nel data-plane CAP. 16 CAP. 17 Domini di indirizzamento pubblico e privato e relative traslazioni Completamento del control-plane in ambiente complesso: redistribuzione di informazioni tra protocolli di routing PARTE OTTAVA COMUNICAZIONE SICURA PPTP, IPSEC, TUNNELING, VPN CAP. 18 Comunicazione Sicura: IPSEC ed altri schemi 6 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

4 INDICE GENERALE PIANO DELL OPERA... 5 PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T CAPITOLO 15 TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE SEZIONE PRIMA: Filtri L2, L3, L Il Controllo dei flussi di traffico del control e data plane Struttura di un blocco di controllo Oggetti controllati I MIB e il protocollo SNMP e demoni NBAR e NETFLOW Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o don t care mask Uso delle access-list nel data-plane ACL in ambiente Multi Layer Switch Routed ACLs ovvero ACL su porte no-switchport

5 Port ACLs ovvero ACL su porte switchport Struttura e tipologia di access-control-list a livello 2 pila OSI Struttura generale ARP access-list Struttura Permit ARP IP ARP inspection filter VLAN VLAN Maps Struttura Uso di VLAN-MAP per blocco annunci ARP Altri esempi di VLAN-MAP Definizione ed uso di ACL a Livello 3-4 pila iso-osi I range delle numerical access list Numerical Standard ed extended access-list Named access-list standard ed extended Turbo-ACL Reflexive access-list Uso dell opzione Time Range per limitare la durata temporale del filtro in base a intervalli di tempo Uso delle downloadable ACL per limitare la durata temporale del filtro in base al rilascio di permessi di accesso La frammentazione e le ACL Applicazione delle ACL: comandi ip access-group e ip access-class Inbound e outbound access-list: relazione tra filtri e altre operazioni nel router Il comando di show ed i log PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

6 SEZIONE SECONDA: Router e L3 firewall Router e firewall Lo sbilanciamento dei versi di percorrenza delle interfacce con il coefficiente di sicurezza L opzione established e sessioni TCP-IP e UDP-IP La tabella delle sessioni SEZIONE TERZA: Inspection Firewall ed Inspection Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Uso della modular policy il comando Class Map Comando match con le sue numerose opzioni (config-cmap) match access-list (config-cmap) match any (config-cmap) match destination-address (config-cmap) match port (config-cmap) match source-address (config-cmap) match virtual-address...82 SEZIONE QUARTA: FTP, HTTP inspect Class Map FTP Class Map HTTP (Config-cmap-http-insp) match content Controllo delle sequenze di caratteri inclusi nel testo Controllo delle massima lunghezza di caratteri inclusi nel testo Controllo della lunghezza dell header Controllo della tipi di oggetti trasportati (tipi mime) Controllo sull uso di istant-messaging, peer-to-peer

7 Controllo sull uso di specifici comandi Controllo sull uso di tecniche di encoding Controllo sull uso di una specifica destinazione Controllo sull uso della massima lunghezza di URL CAPITOLO 16 DOMINI DI INDIRIZZAMENTO PUBBLICO E PRIVATO E RELATIVE TRASLAZIONI SEZIONE PRIMA: Fenomenologia Introduzione agli spazi di indirizzamento Domini pubblici e privati: analogia con i piani telefonici Cosa è una traslazione Ruolo dei demoni NBAR, NETFLOW per l individuazione delle sessioni Terminologia del NAT e riferimenti Tipi di Traslazioni Traslazione IP sorgente Statica: pubblicazione di un server nell internet Traslazione IP sorgente Dinamica Traslazioni IP sorgente e di Port Address- PAT Traslazioni di destination address Stateful NAT ovvero rapporto tra NAT e gruppi active/stand-by Che cosa è lo SNAT Funzionamento dello SNAT: STATEFUL NAT PROTOCOL WLAN-NAT per supporto di indirizzi statici in ambiente Wlan-pubblico PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

8 SEZIONE SECONDA: Configurazione di traslazioni IP NAT Due applicazioni particolari NAT Piggybacking Wlan-NAT - Static IP Support Configurazione del Wlan-nat IP NAT create flow-entries IP NAT enable IP NAT inside destination Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T IP NAT inside Traslazione dinamica NAT Statico PAT Port Static NAT IP NAT outside source NAT dinamico NAT statico di host NAT statico di network Port Address Traslation IP NAT pool IP NAT service IP NAT source (rapporto della traslazione con le VRF) Dynamic NAT Static NAT Port Static NAT Network Static NAT IP NAT Stateful id (rapporto della traslazione con i gruppi di ridondanza di default-gateway)

9 Esempio di configurazione completa del processo SNAT SEZIONE TERZA: Comandi di riscontro e controllo Translation timeouts (scadenza temporale delle righe) IP NAT log IP NAT translation max-entries-scadenza delle righe per limite d uso I comandi Show, Clear, Debugging Show IP NAT translations Esempi di show IP NAT translation Show IP NAT translation: SNAT Wlan-NAT-Show IP nat translations verbose Show IP NAT NVI translations Show IP NAT statistics Show IP NAT NVI statistics Clear IP NAT translation Esempi Debug IP NAT Esempi di Debug e significato dei campi più importanti SEZIONE QUARTA: Elementi di configurazione avanzata NAT, ACL incoming e outgoing, e tabella di routing NAT e firewall-traslazione e tabella di stato NAT-PAT ed Inspection NAT Tranversal PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

10 CAPITOLO 17 COMPLETAMENTO DEL CONTROL-PLANE IN AMBIENTE COMPLESSO: REDISTRIBUZIONE DI INFORMAZIONI TRA PROTOCOLLI DI ROUTING La omogeneizzazione delle fonti per il control-plane Redistribuzione tra protocolli IGP limiti e applicazioni La Redistribuzione Il pericolo di loop La seed-metric e la distanza amministrativa Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Strumenti di controllo delle redistribuzioni Route-map Prefix-list Distribuite-list in (RIP, IGRP, EIGRP, BGP) (distance vector e ibridi) Distribuite-list out (RIP, IGRP, EIGRP, BGP) (distance vector e ibridi) Distribuite-list delle route-map per OSPF La configurazione della redistribuzione Passive-interface, passive-interface default Sintassi del comando redistribute Redistribuzione nel protocollo EIGRP Redistribuzione di rotte statiche e connesse Redistribuzione di rotte RIP redistribuzione di rotte OSPF Redistribuzione nel protocollo OSPF Redistribuzione nel protocollo RIP Uso delle tecniche di controllo nella redistribuzione a più punti

11 Topologia di contatto a più punti tra due aree Topologia di contatto tra un core e due aree laterali Uso della distanza amministrativa Uso dei tag Uso dei parametri metric-type e metric Esame di altre tecniche di modifica le control-plane Creazione di rotte sommario nel control-plane di ambienti complessi Rotte sommario in OSPF Rotte sommario in EIGRP e RIP Default route e sua redistribuzione (comando IP classless) Uso del comando redistribute static Uso del comando default-information originate Uso del comando ip default-network PARTE OTTAVA COMUNICAZIONE SICURA PPTP, IPSEC, TUNNELING, VPN CAPITOLO 18 COMUNICAZIONE SICURA: IPSEC ED ALTRI SCHEMI Comunicazione sicura: requisiti SEZIONE PRIMA: Crittografia Principi di crittografia Storia della crittografia moderna: ruolo di algoritmi e chiavi PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

12 18.3 Le dissimmetrie in matematica come base della crittografia asimmetrica La crittografia moderna: chiave simmetrica ed asimmetrica Crittografia simmetrica (a chiave condivisa) Digital Encription Standard e 3DES Advanced Encription standard Crittografia asimmetrica a chiave pubblica e privata Principi generali di funzioni non invertibili Uso primario della crittografia asimmetrica Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Secondo uso della crittografia asimmetrica: il digest per l autenticità del testo Terzo uso della crittografia asimmetrica: la firma e il non ripudio L architettura delle Certification Authority La scalabilità delle architetture di Certification Authority (CA) Lo scambio di Diffie Hellman per la negoziazione delle chiavi Una tipica funzione RSA DSS Confronto della crittografia simmetrica e asimmetrica e proposta di uso SEZIONE SECONDA: Uso di crittografia schema PPTP e TLS Applicazione della crittografia alla comunicazione sicura Schema di applicazione end to end senza intermediari: protocollo PPTP per le VPN PPTP scenari complessivi di applicazione Cosa fa un PPTP Client

13 Come funziona una architettura protocollare PPTP Implementazione della sicurezza nello schema PPTP Authentication, l accreditamento di macchine e di utenti Crittografia PPTP Packet Filtering Il protocollo PPTP e i Firewall - Router Alcuni aspetti critici dello schema PPTP Comunicazione sicura come servizio di rete A che livello della pila osi implementare la protezione crittografiche? Transport Layer Security (TLS): la sicurezza in rete senza proxy TLS: funzionamento TLS Handshake Protocol TLS Protocolli impiegati TLS e RFC TLS in azione: HTTPS TLS in azione: Secure Remote Login TLS in azione Secure-ftp SEZIONE TERZA: IPsec VPN peer-to-peer La scalabilità della vpn-ipsec e gli schemi di implementazione Schemi di collegamento I limiti della VP-IPsec: il punto di vista del service provider Procedura complessiva di una comunicazione sicura IPsec-VPN peer-to-peer PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

14 Costruzione di architettura IPsec scalabili: le Security association. La costruzione dal database dei security parameters da applicare nelle trasformazioni Il Security Policy Index per ciascun flusso monodirezionale IKE1 fase 1: ISAKMP Internet Security Association Key Management Protocol IKE fase 1 scambio di Diffie Hellman IKE fase 1 l autenticazione Riassunto dei comandi per IKE fase 1 autenticazione pre-share Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T IKE1 esempio Riassunto dei comandi per IKE 1 con autenticazione mediante uso delle Certification Authority IKE fase 2 (IPsec): le regole per la protezione dei dati Modulo IKE2: I contenitori transform set Modulo IKE2: protocollo di Authentication Header per l integrità degli header Modulo IKE2: protocollo di Encapsulation Security Payload per l applicazione della crittografia Modulo IKE2: Tunnel mode e Transport mode Modulo IKE2: le Cripto access list Modulo IKE2: le Cripto map Applicare Crypto Map alle interfacce fisiche Applicazione della VPN ad interfacce virtuali Uso del Tunneling GRE SEZIONE QUARTA: IPsec VPN HUB and spoke Scenario HUB-spoke: per imporre policies a un intero ambiente con la extended autentication procedura complessiva

15 18.25 Struttura e fasi di una Estended-VPN IKE -1 ed ISAKAMAP autenticazione del peer Autenticazione della macchina e dell utente Il mode configuration Parametri scaricabili da server a client Il processo di creazione di rotte RRI IPsec client-server Implementazione di HUB and spoke extended vpn Lato server Lato client PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

16 PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI

17 CAPITOLO 15 TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE SEZIONE PRIMA: Filtri L2, L3, L4 Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T 15.1 Il Controllo dei flussi di traffico del control e data plane Figura 15.1 Access control-list per il controllo del data plane e degli accessi Ci sono molte ragioni per voler controllare il traffico nel data-plane. Solo a titolo di esempio non esaustivo si può: permettere o negare o più in generale regolamentare l accesso a certe zone della rete opportunamente individuate; 21

18 permettere o negare o più in generale regolamentare l accesso a specifiche macchine (accessi alle porte VTY); implementare diversi privilegi di accesso (permettere cose diverse ai diversi utilizzatori); selezionare alcune tipologie di traffico per applicare ad esse opportune regole di priorità (QOS); raccogliere il traffico in topologie per motivi di documentazione-fatturazione. Ci sono molte ragioni per voler controllare il traffico nel control plane: Solo a titolo di esempio non esaustivo: selezionare le rotte che si vogliono trasmettere o bloccare o più in generale regolamentare la formazione della tabella di instradamento; modificare i parametri con cui le rotte sono distribuite (es. BGP o redistribuzione). Per tutto quanto sopra è necessario dotarsi di una struttura di configurazione che permetta questo ampio spettro di obiettivi. Storicamente sono stati introdotti, nei rispettivi contesti, vari metodi di controllo. Ciascun metodo risolve alcune delle tematiche. Non è stato ancora proposto un modello unitario. Qui si vuole esaminare la struttura e le regole di realizzazione di filtri in modo sistematico ed esaustivo. Partendo dalle access-list (in sigla ACL) che sono una delle strutture più semplici utilizzate, saranno anche esaminate: route map; distribuite list; modular qos infrastructure; modular queue infrastructure Struttura di un blocco di controllo Nella sua forma generale una ACL prevede due fasi: - definizione di una regola; - applicazione della regola: ad una interfaccia fisica, 22 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

19 ad un gruppo logico, all interno di una più complessa struttura per la creazione di regole di controllo (distibute-list, route-map) o di manipolazione sia nel control plane che nel data plane. Le due fasi sono collegate tra loro mediante un codice identificativo. Infatti sarà assegnato un identificativo (numerico o alfanumerico) alla struttura del filtro che poi sarà richiamato nel comando di applicazione del filtro. La regola di filtro è costruita mediante una o più condizioni, talvolta individuate con nomi simbolici, seguendo la sequenza logica qui riportata: Dato in Condizione logica 1 esame riscontra vero Applica un azione sul dato Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Condizione logica 2 falso falso vero Applica un azione sul dato Figura 15.2 Access control-list per il controllo del data plane e degli accessi Condizione logica n vero Applica un azione sul dato falso Il dato non riscontra Nessuna condizione posta =>Il dato è scartato Si tratta quindi, nella sua accezione generale, di una sequenza di condizioni logiche (Access-List Entries in sigla ACE) che costituisce una tabella delle verità che è configurata in modo statico o dinamico nella macchina. La macchina sottopone il dato oggetto di riscontro (traffico di data plane entrante/uscente o annunci di control plane) ad un confronto con la struttura logica. In modo più dettagliato la macchina confronta il dato in esame con la sequenza delle condizioni logiche nell ordine con cui queste sono state immesse. Ogni confronto produce un esito che è risolutivo ed interrompe la catena dei confronti. 23

20 Infatti, in caso di condizione logica riscontrata, si applica al dato l azione descritta e condizionata dalla ACE ed il processo è terminato senza esaminare le successive condizioni. In caso di condizione logica non riscontrata il dato sarà confrontato con la seconda condizione logica e così via fino all ultima condizione logica. Persistendo la situazione di non riscontro di tutte le condizioni logiche previste ed esaurita la sequenza dei confronti si applica al dato una azione preliminarmente prevista per questa condizione (condizione di last-choice). L azione di default prevista nelle varie situazioni in cui le access-list sono richiamate è quella di procedere in sicurezza alla non trasmissione del dato. In figura 15.3 è riportato un esempio di un dato che non riscontra nessuna delle condizioni poste ed è scartato: Figura 15.3 Esempio di struttura logica e confronti con le singole righe Oggetto di L oggetto è verde colore ROSSO riscontra vero falso L oggetto e blu vero Applica un azione sul dato Applica un azione sul dato falso L oggetto è nero vero Applica un azione sul dato falso Il dato non riscontra Nessuna condizione posta =>Il dato è scartato Dalle precedenti considerazioni emerge l importanza delle singole righe e della loro sequenzialità. Proprio per evidenziare l importanza della giusta sequenza, in figura è infine riportato il percorso all interno della struttura logica di un dato che riscontra la prima condizione, per evidenziare che le condizioni successive non saranno esaminate. Questo accade perché le condizioni poste non hanno tutte lo stesso insieme logico di appartenenza: è infatti contemporaneamente possibile che un pacchetto possieda una intestazione IP e, al suo interno, una intestazione UDP e ancora un header RTP. 24 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

21 Pacchetto ip riscontra Il pacchetto è ip vero trasmetti Ip pacchetto è udp Il pacchetto è rtp falso falso falso Il dato non riscontra Nessuna condizione posta =>Il dato è scartato Il dato riscontra=>il dato è trasmesso Le altre righe sono ignorate vero vero blocca blocca Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Questa peculiarità sarà ulteriormente discussa in altri esempi Oggetti controllati Anche da queste considerazioni preliminari si evince che gli oggetti cui queste strutture logiche si applicano sono molti e comprendono: specifici host, gruppi di host, sottoreti e reti ben individuati con un indirizzo di livello 2,3,4 della pila iso-osi; oggetti più complessi genericamente detti conversazioni identificate da: - un chiamante (host, gruppi di host, sottoreti, reti...); - un chiamato; - una tipologia di traffico identificata con: una porta well-known, ovvero un indirizzo di livello superiore al 3; un indice di qos; una qualsiasi altra caratteristica che accomuna ad esempio potrebbe essere interessante voler individuare una conversazione voce (header rtp) tra due host oppure tra due gruppi di host per associare questo traffico ad una coda a una priorità alta di smaltimento in caso di traffico congestionato; potrebbe essere interessante in un processo di redistribuzione individuare tutte le subnets/24 e avente al terzo ottetto un valore pari ed assegnare a queste un gateway diverso dalle subnets/24 con valore Figura 15.4 Logica sequenziale dei riscontri. Il primo blocco determina la decisione di trasmissione i blocchi successivi non sono riscontrati 25

22 dispari. A tutte le subnet con mascherà diversa vietare la redistribuzione. Per comprendere a fondo la natura degli oggetti su cui si possono applicare i filtri bisogna introdurre la Management Information Base (MIB) definita originariamente per motivi di amministrazione remota di macchine e poi usata anche per la costruzione di oggetti complessi a partire dalla base dati mediante operazioni di aggregazione ed elaborazione condotte da programmi di calcolo attivabili per funzionare in background sugli apparati. Rimandando all apposito capitolo per una trattazione esaustiva delle implicazioni sul controllo degli accessi si richiamano qui per comodità di trattazione I MIB e il protocollo SNMP e demoni NBAR e NETFLOW Il controllo ed il management di macchine di rete è fondato sull architettura MIB costituita da: - un database delle informazioni in cui è riportato e costantemente allineato lo stato delle variabili che costituiscono i processi; - processi di controllo all interno di una macchina; - processi controllati; - protocollo di comunicazione (spesso architetture client server). I protocolli di comunicazione sono specializzati per ruoli. Il protocollo di comunicazione per la trasmissione verso un server remoto delle informazioni della MIB è SNMP. Il protocollo ha subito 3 edizioni. La versione più diffusa è la versione 2. Allo scopo di minimizzare le attività delle macchine controllate, il protocollo SNMP è basato su alcune operazioni standard svolte tra un server centralizzato e processi client sulle macchine controllate. I moduli software, detti agent, presso le macchine client sono rese minime. Con riferimento alla versione 2 sono disponibili i seguenti comandi: get-request per ottenere il valore di una singola variabile; get-next-request questo comando è usato per estrarre valori da tabelle; get-bulk per estrarre interi blocchi di dati come tabelle; 26 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

23 set-request scrive un valore nel campo della variabile dichiarata; response Messaggio di conferma della ricezione di un messaggio (get-request, get-next-request, get-bulk, set-request) inviato da un server oppure di conferma di un inform mandato da un agent. A differenza di SNMP, il demone Netflow raccoglie informazioni de e verso il MIB della macchina su cui risiede. Si comporta quindi come un server locale e usa gli stessi comandi. Le operazioni di retry sono eseguite ciclicamente o su richiesta. Gli agent possono essere sollecitati a trasmettere senza alcuna programmazione temporale quando si verifica un determinato evento. Tale trasmissione può essere organizzata in modo inaffidabile mediante il comando Trap (il server non conferma la ricezione del messaggio) o in modo affidabile mediante le inform-request (il server manda conferma di avvenuta ricezione). L organizzazione del database MIB è costruita in modo gerarchico. Ciascuno degli oggetti di un MIB vengono definiti utilizzando un sottoinsieme della notazione Abstract Syntax Notation One (ASN.1) chiamato Structure of Management Information Version 2 (SMIv2) descritta nella RFC Nella costruzione della nomenclatura dei MIB devono essere previste un gran numero di situazioni che rendono molto complessa la trattazione completa dell argomento. Qui interessa evidenziare che mediante la lettura dei MIB è possibile costruire diversi oggetti intermedi richiamati nei comandi delle access-list. Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o don t care mask Posizione nell ottetto Potenza sulla scala potenze del 2, Valore del bit sulla scala decimale considera tutti i bit mask considera i primi 7 bit mask considera solo il primo bit tmask considera il primo e l ultimo bit mask ignora tutti i bit mask 255 Figura 15.5 Wild-card mask uno strumento per selezionare host o gruppi di host 27

24 Gli oggetti su cui applicare filtri ed i modelli di filtro sono piuttosto simili: nel data plane: - frame, - i pacchetti, - datagrammi individuati come in vario modo mediante l intestazione (source-destination mac, IP, port), - le regole con cui si confrontano le frames, i pacchetti o i datagrammi saranno scritte con espressioni simboliche per specificare ad esempio tutti i pacchetti che hanno i primi n-bit dell indirizzo MAC, IP, sorgente, destinazione coincidenti con nel control plane gli annunci che contengono destinazioni individuate con l indirizzo di rete. In questo caso le regole con cui si effettua il confronto saranno scritte con espressioni simboliche per raggruppare ad esempio tutti le destinazioni che hanno i primi n-bit coincidenti con quelli della regola... In definitiva la struttura logica dei controlli sui due piani è assolutamente simile e fa uso massiccio della scalabilità degli indirizzi IP. Infatti gli oggetti sono individuati confrontando un indirizzo ip di riferimento con una maschera detta wild-card mask. Come descritto in figura 15.5 tale maschera ha il valore 1 dove si vuole non considerare il corrispondente bit nell indirizzo IP ed il valore 0 dove invece il bit deve essere considerato. Tuttavia nella pratica di implementazione, esiste tuttavia una notevole differenza di scrittura dei filtri nel control plane e nel data plane. Ad esempio gli oggetti cui si applicano le regole sono: nel data-plane: - un host: wild-card mask può essere sostituita con la parola chiave host; - una subnet: wild-card mask nel control-plane: - le sole subnet pari con maschera / ; - le subnets da /24 a / wild-card In figura 15.6 è rappresentato questo caso notevole di utilizzo della wild-card mask. 28 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

25 Tutte le subnets /24 da a wild-card 0.0.X.0 per gli ottetti 1,2,4 Posizione nel terzo ottetto Potenza sulla scala potenze del 2, Valore del bit sulla scala decimale considerai i bit meno significativi mask 15 Annuncio La wild-card mask è spesso presentata come l opposto della maschera di subnetting. Il paragone è del tutto improprio anche se per molti casi di pratica utilità sembra essere di aiuto. La subnet mask tuttavia separa nell indirizzo ip quella parte dell indirizzo che accomuna più macchine (subnet) mentre la wildcard mask seleziona i bit dell indirizzo da considerare per costruire gruppi cui si applica una qualche regola. Solo in alcuni casi questi ultimi gruppi sono coincidenti con le subnet. Peraltro nella prassi è invalso l uso di utilizzare due tecniche opposte per creare selezionare i bit degli indirizzi: nelle subnets gli 1 nella maschera di subnetting; nei gruppi per ACL gli 0 nella maschera wild-card. Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Figura 15.6 Uso della Wild-card mask 15.2 Uso delle access-list nel data-plane Per limitare l estensione dell argomento, Questo capitolo è dedicato quasi esclusivamente all uso dei filtri per il controllo del data-plane. Infatti l uso di filtri per la gestione del control-plane è ampiamente documentato nei capitoli di routing e di redistribuzione tra protocolli di routing. Si esamina dapprima l uso delle diverse tipologie di filtro applicabili alle diverse tipologie di oggetti configurabili e quindi le tecniche di configurazione delle regole ed alcuni casi speciali. Il linea generale gli oggetti, costruiti a partire dal MIB, possono essere frames, pacchetti, datagrammi. L ambiente dove questa unità di fondo è più evidente sono i multilayer switches. Nelle altre macchine sono nettamente prevalenti le ACL applicate a pacchetti e datagrammi. 29

PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI

PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI P E R L A P R O G E T T A Z I O N E I C T PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI VOLUME II ROUTING BASE Per la preparazione agli esami di ROUTE e CCIE R&S di ENRICO CIPOLLONE FRANCESCO CIPOLLONE

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Realizzazione e gestione di Local Area Network

Realizzazione e gestione di Local Area Network Realizzazione e gestione di Local Area Network Ceracchi Fabiana Mansi Luigi Tutor Angelo Veloce NETWORK La rete è un insieme di sistemi per l elaborazione delle informazioni messi in comunicazione tra

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER

PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER P E R L A P R O G E T T A Z I O N E I C T PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER VOLUME III ROUTING BGP Per la preparazione agli esami CCNP, CCIE-R&S e CCIE-SP di ENRICO CIPOLLONE FRANCESCO CIPOLLONE

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

ACCESS LIST. Pietro Nicoletti www.studioreti.it

ACCESS LIST. Pietro Nicoletti www.studioreti.it ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006 Gaspare Sala Introduzione Una rete pubblica è un insieme di sistemi indipendenti che si scambiano dati

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Tunneling, reti private e NAT

Tunneling, reti private e NAT Tunneling, reti private e NAT Partly based on! course slides by L. Peterson " Princeton University! Cisco documentation Reti Private - NAT -1 Argomenti della lezione! Tunneling " Generic Route Encapsulation

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Gli indirizzi dell Internet Protocol. IP Address

Gli indirizzi dell Internet Protocol. IP Address Gli indirizzi dell Internet Protocol IP Address Il protocollo IP Prevalente è ormai diventato nell implementazione di reti di computer la tecnologia sintetizzata nei protocolli TCP- Ip IP è un protocollo

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Router(config)# access-list access-list number {permit deny} {test-conditions}

Router(config)# access-list access-list number {permit deny} {test-conditions} 1. Definire la ACL con il seguente comando: Router(config)# access-list access-list number {permit deny} {test-conditions} Dalla versione 11.2 del Cisco IOS si può utilizzare un nome al posto del numero

Dettagli

Architetture di router IP

Architetture di router IP Torino, novembre 2004 Reti e sistemi telematici Architetture di router IP Gruppo Reti TLC giancarlo.pirani@telecomitalia.it http://www.telematica.polito.it/ GIANCARLO PIRANI TELECOM ITALIA LAB ROUTER IP

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

158.110.1.3 158.110.1.2 SWITCH. 100 Mb/s (UTP cat. 5E) 158.110.1.1 158.110.3.3 158.110.3.2. 10 Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

158.110.1.3 158.110.1.2 SWITCH. 100 Mb/s (UTP cat. 5E) 158.110.1.1 158.110.3.3 158.110.3.2. 10 Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat. Università degli Studi di Udine Insegnamento: Reti di Calcolatori I Docente: Pier Luca Montessoro DOMANDE DI RIEPILOGO SU: - Livello network 1. Si deve suddividere la rete 173.19.0.0 in 510 subnet. Qual

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai@cisco.com Mario Baldi Politecnico di Torino mario.baldi@polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota a

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

Router VPN Cisco RV180

Router VPN Cisco RV180 Data Sheet Router VPN Cisco RV180 Connettività sicura e ad alte prestazioni a un prezzo conveniente. Figura 1. Router VPN Cisco RV180 (pannello anteriore) Caratteristiche Le convenienti porte Gigabit Ethernet

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai[at]cisco.com Mario Baldi Politecnico di Torino mario.baldi[at]polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Reti di calcolatori. Lezione del 10 giugno 2004

Reti di calcolatori. Lezione del 10 giugno 2004 Reti di calcolatori Lezione del 10 giugno 2004 Internetworking I livelli 1 fisico e 2 data link si occupano della connessione di due host direttamente connessi su di una rete omogenea Non è possibile estendere

Dettagli

Prefazione all edizione italiana

Prefazione all edizione italiana Sommario Prefazione all edizione italiana XIII Capitolo 1 Introduzione 1.1 Applicazioni delle reti di calcolatori 2 1.1.1 Applicazioni aziendali 3 1.1.2 Applicazioni domestiche 5 1.1.3 Utenti mobili 8

Dettagli

Il routing in Internet Interior Gateway Protocols

Il routing in Internet Interior Gateway Protocols Il routing in Internet Interior Gateway Protocols A.A. 2004/2005 Prof. Carla Raffaelli diapositive preparate da: Walter Cerroni Routing Information Protocol (RIP) Protocollo distance vector, di implementazione

Dettagli

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall A. Memo 1987, esce l RFC 1009, che specifica come una sottorete può utilizzare più Subnet Mask ammette lunghezze diverse dell

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

VLAN VLAN. Università di Palermo VLAN 1

VLAN VLAN. Università di Palermo VLAN 1 VN VN VN 1 Switches Funzionamento degli switch di layer 2 Ricordiamo che le reti Ethernet con media condiviso che usano gli hub, molti host sono connessi ad un singolo dominio broadcast e di collisione

Dettagli

Firewall VPN Cisco RV120W Wireless-N

Firewall VPN Cisco RV120W Wireless-N Firewall VPN Cisco RV120W Wireless-N La connettività di base raggiunge nuovi livelli Il firewall VPN Cisco RV120W Wireless-N offre connettività a elevata sicurezza a Internet, anche da altre postazioni

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

Livello di Rete. Prof. Filippo Lanubile. Obiettivo

Livello di Rete. Prof. Filippo Lanubile. Obiettivo Livello di Rete Circuiti virtuali e datagram La funzione di instradamento Costruzione della tabella di routing Algoritmi di routing adattivi: distance vector routing e link-state routing Routing gerarchico

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Internet. Introduzione alle comunicazioni tra computer

Internet. Introduzione alle comunicazioni tra computer Internet Introduzione alle comunicazioni tra computer Attenzione! Quella che segue è un introduzione estremamente generica che ha il solo scopo di dare un idea sommaria di alcuni concetti alla base di

Dettagli

La nascita di Internet

La nascita di Internet La nascita di Nel 1969 la DARPA (Defence Advanced Research Project Agency) studia e realizza la prima rete per la comunicazione tra computer (ARPAnet) fra 3 università americane ed 1 istituto di ricerca.

Dettagli

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30 Prefazione XI Capitolo 1 Introduzione 1 1.1 Internet: una panoramica 2 1.1.1 Le reti 2 1.1.2 Commutazione (switching) 4 1.1.3 Internet 6 1.1.4 L accesso a Internet 6 1.1.5 Capacità e prestazioni delle

Dettagli

Reti di Telecomunicazioni LB Introduzione al corso

Reti di Telecomunicazioni LB Introduzione al corso Reti di Telecomunicazioni LB Introduzione al corso A.A. 2005/2006 Walter Cerroni Il corso Seguito di Reti di Telecomunicazioni LA Approfondimento sui protocolli di Internet TCP/IP, protocolli di routing,

Dettagli

Interconnessione di reti

Interconnessione di reti Interconnessione di reti Collegamenti tra reti eterogenee Instradamento (routing) e inoltro (forwarding) IPv4 - indirizzi IP e MAC - sottoreti IPv6 - evoluzione di Internet DNS - Domain Name System Conclusioni

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

Protocolli di Comunicazione

Protocolli di Comunicazione Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol

Dettagli

Firewalls. Outline. Ing. Davide Ariu

Firewalls. Outline. Ing. Davide Ariu Pattern Recognition and Applications Lab Firewalls Ing. Davide Ariu Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari, Italia Outline Cosa è un Firewall Funzionalità di un Firewall

Dettagli

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33 .ind g/p.vii-xii 26-06-2002 12:18 Pagina VII Indice Capitolo 1 Introduzione 1 Capitolo 2 Le reti Ethernet e IEEE 802.3 5 2.1 Il progetto IEEE 802 6 2.2 Protocolli di livello MAC 7 2.3 Indirizzi 8 2.4 Ethernet

Dettagli

Interdomain routing Principi generali e BGP

Interdomain routing Principi generali e BGP Interdomain routing Principi generali e BGP Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS.

La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. BOOT CAMP CISCO CERTIFIED NETWORK ASSOCIATE SECURITY (CCNA SECURITY) CCNA SECURITY_B La certificazione Cisco CCNA Security prevede il superamento di un singolo esame: 640-554 IINS. Prerequsiti Certificazione

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1 Simulazione prova scritta di sistemi Abacus per l Esame di Stato Traccia n 1 La condivisione delle informazioni e lo sviluppo delle risorse informatiche tramite cui esse possono venire memorizzate e scambiate

Dettagli

PROF. Filippo CAPUANI TCP/IP

PROF. Filippo CAPUANI TCP/IP PROF. Filippo CAPUANI TCP/IP Sommario Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e pubblici Introduzione

Dettagli

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori I semestre 03/04 Internet Control Message Protocol ICMP Comunica messaggi di errore o altre situazioni che richiedono intervento Errore di indirizzo o di istradamento Congestione in un router Richiesta

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport. ICMP Application Presentation Session Transport Telnet FTP SMTP SNMP TCP e UDP NFS XDR RPC Network Data Link Physical OSI ICMP ARP e RARP IP Non Specificati Protocolli di routing Internet Protocol Suite

Dettagli

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta Il Routing In un sistema packets switching quale il TCP/IP, il routing rappresenta il processo di scelta del percorso su cui inoltrare i pacchetti ed il router è un computer che effettua tale instradamento.

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet Gruppo Reti TLC nome.cognome@polito.it http://www.telematica.polito.it/ INTRODUZIONE ALLE RETI TELEMATICHE - 1 Copyright Quest opera è protetta dalla licenza Creative Commons

Dettagli

Principi di Sicurezza nelle Reti di Telecomunicazioni

Principi di Sicurezza nelle Reti di Telecomunicazioni Principi di Sicurezza nelle Reti di Telecomunicazioni Copyright Università degli Studi di Firenze - Disponibile per usi didattici Vedere i termini di uso in appendice ed a: http://mmedia5.det.unifi.it/license.txt

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e

Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e TCP/IP Sommario Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e pubblici Introduzione al TCP/IP TCP/IP

Dettagli

Configurare un Cisco 837 per il collegamento ad Internet

Configurare un Cisco 837 per il collegamento ad Internet Configurare un Cisco 837 per il collegamento ad Internet Autore: Massimo Rabbi Data: 29/08/2006 Note introduttive In questa guida vedremo come configurare un router Cisco modello 837 per il collegamento

Dettagli

Indirizzo IP. Come si distinguono? Indirizzo IP : 192. 168. 220. 134. Network address : 192. 168. 220. 0 Host address: : 134

Indirizzo IP. Come si distinguono? Indirizzo IP : 192. 168. 220. 134. Network address : 192. 168. 220. 0 Host address: : 134 Subnet mask Indirizzo IP Come si distinguono? Indirizzo IP : 192. 168. 220. 134 Network address : 192. 168. 220. 0 Host address: : 134 Subnet Mask La Subnet Mask viene implementata per limitare il traffico

Dettagli

Sistemi informatici in ambito radiologico

Sistemi informatici in ambito radiologico Sistemi informatici in ambito radiologico Dott. Ing. Andrea Badaloni A.A. 2015 2016 Reti di elaboratori, il modello a strati e i protocolli di comunicazione e di servizio Reti di elaboratori Definizioni

Dettagli

Esempio di rete aziendale

Esempio di rete aziendale Esempio di rete aziendale Autore: Roberto Bandiera febbraio 2015 Per esemplificare la tipica architettura di una rete aziendale consideriamo la rete di un Istituto scolastico, dove ci sono alcuni laboratori

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet AA 2004-2005 Reti e Sistemi Telematici 1 Internet: nomenclatura Host: calcolatore collegato a Internet ogni host può essere client e/o server a livello applicazione Router:

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN) Antonio Cianfrani Virtual LAN (VLAN) Richiami sullo standard Ethernet Lo standard Ethernet (IEEE 802.3) è utilizzato per le Local Area Network (LAN): livello 2 della pila protocollare. Consente l utilizzo

Dettagli

Dispense di Cisco Packet Tracer

Dispense di Cisco Packet Tracer Corso di Reti di Calcolatori Dipartimento di Informatica Università degli Studi di Milano Dispense di Cisco Simone Bassis, Giorgio Biacchi, Giulio Casella Indice 1. Prima di iniziare 2 2. In fase di rodaggio

Dettagli

Petra Internet Firewall Corso di Formazione

Petra Internet Firewall Corso di Formazione Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter,

Dettagli

Tutte le subnet di una stessa rete tipicamente usano la stessa subnet mask, facilitando così il compito del gestore. Tuttavia questa strategia, pur

Tutte le subnet di una stessa rete tipicamente usano la stessa subnet mask, facilitando così il compito del gestore. Tuttavia questa strategia, pur Corso di SISTEMI TELEMATICI a.a. 2011-2012 2012 Livello rete: Indirizzamento, maschere di sottorete e CIDR VLSM Tutte le subnet di una stessa rete tipicamente usano la stessa subnet mask, facilitando così

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

VIRTUAL PRIVATE NETWORK

VIRTUAL PRIVATE NETWORK VIRTUAL PRIVATE NETWORK Il concetto di Private Network Le reti privati dedicate sono state progettate per risolvere il problema del collegamento tra sedi remote di una stessa società, o genericamente tra

Dettagli

Reti di Calcolatori 18-06-2013

Reti di Calcolatori 18-06-2013 1. Applicazioni di rete [3 pts] Si descrivano, relativamente al sistema DNS: Compito di Reti di Calcolatori 18-06-2013 a) i motivi per i quali viene usato; b) l architettura generale; c) le modalità di

Dettagli

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Indirizzamento IP (v4)

Indirizzamento IP (v4) (v4)! Indirizzo unico di 32 bit per ciascuna interfaccia presente nella rete " Un host puo avere interfacce multiple " Alcuni indirizzi possono essere assegnati piu volte --> VPN, NAT (piu avanti)! Interfaccia

Dettagli

IP versione 6 Mobilità nelle reti IP

IP versione 6 Mobilità nelle reti IP IP versione 6 Mobilità nelle reti IP Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Analizziamo quindi in dettaglio il packet filtering

Analizziamo quindi in dettaglio il packet filtering Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica

Dettagli

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di

Dettagli

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP. Configurazione di indirizzi IP statici multipli Per mappare gli indirizzi IP pubblici, associandoli a Server interni, è possibile sfruttare due differenti metodi: 1. uso della funzione di Address Translation

Dettagli

Il Sistema di Routing. Routing nell Interrete. Routing con Informazioni Parziali. Propagazione delle Rotte

Il Sistema di Routing. Routing nell Interrete. Routing con Informazioni Parziali. Propagazione delle Rotte I semestre 02/03 Il Sistema di Routing Routing nell Interrete Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica

Dettagli

Politecnico di Bari. Facoltà di Ingegneria Elettronica. Corso di Reti di Telecomunicazioni

Politecnico di Bari. Facoltà di Ingegneria Elettronica. Corso di Reti di Telecomunicazioni Politecnico di Bari Facoltà di Ingegneria Elettronica Corso di Reti di Telecomunicazioni Internet Protocol versione 4 Generalità sulle reti IP... 2 Lo header IP versione 4... 3 Concetti generali sugli

Dettagli

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1

Introduzione. Livello applicativo Principi delle applicazioni di rete. Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio 2-1 Introduzione Stack protocollare Gerarchia di protocolli Servizi e primitive di servizio Livello applicativo Principi delle applicazioni di rete 2-1 Pila di protocolli Internet Software applicazione: di

Dettagli

Calcolatrice IP Online

Calcolatrice IP Online Calcolatrice IP Online Tutti i principali parametri di rete in un click 1 Calcolatrice IP La calcolatrice IP permette calcoli di rete utilizzandone alcuni parametri: classe di rete, indirizzo IP, subnet

Dettagli

Domenico Costanzo Hacklab CS

Domenico Costanzo Hacklab CS Domenico Costanzo Hacklab CS Contenu( Introduzione al TCP/IP Indirizzamento Introduzione al Subnetwork IP Assignment Address resolution Modello TCP/IP Il dipartimento della difesa (DoD) creò il modello

Dettagli