PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER"

Transcript

1 Q U A D E R N I P E R L A P R O G E T T A Z I O N E I C T PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER VOLUME IV MANIPOLAZIONI NEL CONTROL-PLANE E DATA-PLANE Per la preparazione agli esami CISCO, CCNA, CCNP, CCNA-Security di ENRICO CIPOLLONE FRANCESCO CIPOLLONE

2 PIANO DELL OPERA VOLUME I - FONDAMENTI DI SWITCHING CAP. 1 PARTE PRIMA NATURA E CARATTERISTICHE DELLE INFORMAZIONI TRASPORTATE IN RETE Natura e caratteristiche delle informazioni trasportate da reti TCP-IP Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T PARTE SECONDA SWITCHING CAP. 2 CAP. 3 CAP. 4 Ethernet e altri modelli di distribuzione in area locale Virtualizzazione e gestione della congestione e tecniche di ridondanza in reti LAN Servizi e sicurezza in reti LAN. Sicurezza nelle reti Ethernet PARTE TERZA LE RETI CONDIVISE DEGLI ISP: NATURA E COMPOSIZIONE DEI SERVIZI CAP. 5 Soluzioni e tecnologie per l estensione WAN di reti TCP-IP PARTE QUARTA STRUTTURA, CONFIGURAZIONE, GESTIONE DI MACCHINE DI RETE CAP. 6 CAP. 7 Accesso e configurazione di macchine intermedie in reti TCP-IP Network management configurazione di SNMP, NTP, SYSLOG in apparati di reti TCP-IP VOLUME II - ROUTING BASE PARTE QUINTA ROUTING CAP. 8 Tecnica di indirizzamento nelle reti TCP-IP 5

3 CAP. 9 Principi di routing CAP. 10 RIP versione 1 e 2 CAP. 11 Il protocollo di routing OSPF single-area CAP. 12 Il protocollo di routing OSPF multi-area CAP. 13 Il protocollo di routing EIGRP VOLUME III - ROUTING BGP PARTE SESTA CONTROL-PLANE: INTERAZIONE DEI CLIENTI CON ISP E SCAMBI DI INFORMAZIONI TRA ISP CAP. 14 Border Gateway Protocol VOLUME IV - MANIPOLAZIONI NEL CONTROL-PLANE E DATA-PLANE PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI CAP. 15 Tecniche di controllo dei flussi nel control-plane e nel data-plane CAP. 16 CAP. 17 Domini di indirizzamento pubblico e privato e relative traslazioni Completamento del control-plane in ambiente complesso: redistribuzione di informazioni tra protocolli di routing PARTE OTTAVA COMUNICAZIONE SICURA PPTP, IPSEC, TUNNELING, VPN CAP. 18 Comunicazione Sicura: IPSEC ed altri schemi 6 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

4 INDICE GENERALE PIANO DELL OPERA... 5 PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T CAPITOLO 15 TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE SEZIONE PRIMA: Filtri L2, L3, L Il Controllo dei flussi di traffico del control e data plane Struttura di un blocco di controllo Oggetti controllati I MIB e il protocollo SNMP e demoni NBAR e NETFLOW Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o don t care mask Uso delle access-list nel data-plane ACL in ambiente Multi Layer Switch Routed ACLs ovvero ACL su porte no-switchport

5 Port ACLs ovvero ACL su porte switchport Struttura e tipologia di access-control-list a livello 2 pila OSI Struttura generale ARP access-list Struttura Permit ARP IP ARP inspection filter VLAN VLAN Maps Struttura Uso di VLAN-MAP per blocco annunci ARP Altri esempi di VLAN-MAP Definizione ed uso di ACL a Livello 3-4 pila iso-osi I range delle numerical access list Numerical Standard ed extended access-list Named access-list standard ed extended Turbo-ACL Reflexive access-list Uso dell opzione Time Range per limitare la durata temporale del filtro in base a intervalli di tempo Uso delle downloadable ACL per limitare la durata temporale del filtro in base al rilascio di permessi di accesso La frammentazione e le ACL Applicazione delle ACL: comandi ip access-group e ip access-class Inbound e outbound access-list: relazione tra filtri e altre operazioni nel router Il comando di show ed i log PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

6 SEZIONE SECONDA: Router e L3 firewall Router e firewall Lo sbilanciamento dei versi di percorrenza delle interfacce con il coefficiente di sicurezza L opzione established e sessioni TCP-IP e UDP-IP La tabella delle sessioni SEZIONE TERZA: Inspection Firewall ed Inspection Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Uso della modular policy il comando Class Map Comando match con le sue numerose opzioni (config-cmap) match access-list (config-cmap) match any (config-cmap) match destination-address (config-cmap) match port (config-cmap) match source-address (config-cmap) match virtual-address...82 SEZIONE QUARTA: FTP, HTTP inspect Class Map FTP Class Map HTTP (Config-cmap-http-insp) match content Controllo delle sequenze di caratteri inclusi nel testo Controllo delle massima lunghezza di caratteri inclusi nel testo Controllo della lunghezza dell header Controllo della tipi di oggetti trasportati (tipi mime) Controllo sull uso di istant-messaging, peer-to-peer

7 Controllo sull uso di specifici comandi Controllo sull uso di tecniche di encoding Controllo sull uso di una specifica destinazione Controllo sull uso della massima lunghezza di URL CAPITOLO 16 DOMINI DI INDIRIZZAMENTO PUBBLICO E PRIVATO E RELATIVE TRASLAZIONI SEZIONE PRIMA: Fenomenologia Introduzione agli spazi di indirizzamento Domini pubblici e privati: analogia con i piani telefonici Cosa è una traslazione Ruolo dei demoni NBAR, NETFLOW per l individuazione delle sessioni Terminologia del NAT e riferimenti Tipi di Traslazioni Traslazione IP sorgente Statica: pubblicazione di un server nell internet Traslazione IP sorgente Dinamica Traslazioni IP sorgente e di Port Address- PAT Traslazioni di destination address Stateful NAT ovvero rapporto tra NAT e gruppi active/stand-by Che cosa è lo SNAT Funzionamento dello SNAT: STATEFUL NAT PROTOCOL WLAN-NAT per supporto di indirizzi statici in ambiente Wlan-pubblico PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

8 SEZIONE SECONDA: Configurazione di traslazioni IP NAT Due applicazioni particolari NAT Piggybacking Wlan-NAT - Static IP Support Configurazione del Wlan-nat IP NAT create flow-entries IP NAT enable IP NAT inside destination Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T IP NAT inside Traslazione dinamica NAT Statico PAT Port Static NAT IP NAT outside source NAT dinamico NAT statico di host NAT statico di network Port Address Traslation IP NAT pool IP NAT service IP NAT source (rapporto della traslazione con le VRF) Dynamic NAT Static NAT Port Static NAT Network Static NAT IP NAT Stateful id (rapporto della traslazione con i gruppi di ridondanza di default-gateway)

9 Esempio di configurazione completa del processo SNAT SEZIONE TERZA: Comandi di riscontro e controllo Translation timeouts (scadenza temporale delle righe) IP NAT log IP NAT translation max-entries-scadenza delle righe per limite d uso I comandi Show, Clear, Debugging Show IP NAT translations Esempi di show IP NAT translation Show IP NAT translation: SNAT Wlan-NAT-Show IP nat translations verbose Show IP NAT NVI translations Show IP NAT statistics Show IP NAT NVI statistics Clear IP NAT translation Esempi Debug IP NAT Esempi di Debug e significato dei campi più importanti SEZIONE QUARTA: Elementi di configurazione avanzata NAT, ACL incoming e outgoing, e tabella di routing NAT e firewall-traslazione e tabella di stato NAT-PAT ed Inspection NAT Tranversal PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

10 CAPITOLO 17 COMPLETAMENTO DEL CONTROL-PLANE IN AMBIENTE COMPLESSO: REDISTRIBUZIONE DI INFORMAZIONI TRA PROTOCOLLI DI ROUTING La omogeneizzazione delle fonti per il control-plane Redistribuzione tra protocolli IGP limiti e applicazioni La Redistribuzione Il pericolo di loop La seed-metric e la distanza amministrativa Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Strumenti di controllo delle redistribuzioni Route-map Prefix-list Distribuite-list in (RIP, IGRP, EIGRP, BGP) (distance vector e ibridi) Distribuite-list out (RIP, IGRP, EIGRP, BGP) (distance vector e ibridi) Distribuite-list delle route-map per OSPF La configurazione della redistribuzione Passive-interface, passive-interface default Sintassi del comando redistribute Redistribuzione nel protocollo EIGRP Redistribuzione di rotte statiche e connesse Redistribuzione di rotte RIP redistribuzione di rotte OSPF Redistribuzione nel protocollo OSPF Redistribuzione nel protocollo RIP Uso delle tecniche di controllo nella redistribuzione a più punti

11 Topologia di contatto a più punti tra due aree Topologia di contatto tra un core e due aree laterali Uso della distanza amministrativa Uso dei tag Uso dei parametri metric-type e metric Esame di altre tecniche di modifica le control-plane Creazione di rotte sommario nel control-plane di ambienti complessi Rotte sommario in OSPF Rotte sommario in EIGRP e RIP Default route e sua redistribuzione (comando IP classless) Uso del comando redistribute static Uso del comando default-information originate Uso del comando ip default-network PARTE OTTAVA COMUNICAZIONE SICURA PPTP, IPSEC, TUNNELING, VPN CAPITOLO 18 COMUNICAZIONE SICURA: IPSEC ED ALTRI SCHEMI Comunicazione sicura: requisiti SEZIONE PRIMA: Crittografia Principi di crittografia Storia della crittografia moderna: ruolo di algoritmi e chiavi PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

12 18.3 Le dissimmetrie in matematica come base della crittografia asimmetrica La crittografia moderna: chiave simmetrica ed asimmetrica Crittografia simmetrica (a chiave condivisa) Digital Encription Standard e 3DES Advanced Encription standard Crittografia asimmetrica a chiave pubblica e privata Principi generali di funzioni non invertibili Uso primario della crittografia asimmetrica Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Secondo uso della crittografia asimmetrica: il digest per l autenticità del testo Terzo uso della crittografia asimmetrica: la firma e il non ripudio L architettura delle Certification Authority La scalabilità delle architetture di Certification Authority (CA) Lo scambio di Diffie Hellman per la negoziazione delle chiavi Una tipica funzione RSA DSS Confronto della crittografia simmetrica e asimmetrica e proposta di uso SEZIONE SECONDA: Uso di crittografia schema PPTP e TLS Applicazione della crittografia alla comunicazione sicura Schema di applicazione end to end senza intermediari: protocollo PPTP per le VPN PPTP scenari complessivi di applicazione Cosa fa un PPTP Client

13 Come funziona una architettura protocollare PPTP Implementazione della sicurezza nello schema PPTP Authentication, l accreditamento di macchine e di utenti Crittografia PPTP Packet Filtering Il protocollo PPTP e i Firewall - Router Alcuni aspetti critici dello schema PPTP Comunicazione sicura come servizio di rete A che livello della pila osi implementare la protezione crittografiche? Transport Layer Security (TLS): la sicurezza in rete senza proxy TLS: funzionamento TLS Handshake Protocol TLS Protocolli impiegati TLS e RFC TLS in azione: HTTPS TLS in azione: Secure Remote Login TLS in azione Secure-ftp SEZIONE TERZA: IPsec VPN peer-to-peer La scalabilità della vpn-ipsec e gli schemi di implementazione Schemi di collegamento I limiti della VP-IPsec: il punto di vista del service provider Procedura complessiva di una comunicazione sicura IPsec-VPN peer-to-peer PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

14 Costruzione di architettura IPsec scalabili: le Security association. La costruzione dal database dei security parameters da applicare nelle trasformazioni Il Security Policy Index per ciascun flusso monodirezionale IKE1 fase 1: ISAKMP Internet Security Association Key Management Protocol IKE fase 1 scambio di Diffie Hellman IKE fase 1 l autenticazione Riassunto dei comandi per IKE fase 1 autenticazione pre-share Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T IKE1 esempio Riassunto dei comandi per IKE 1 con autenticazione mediante uso delle Certification Authority IKE fase 2 (IPsec): le regole per la protezione dei dati Modulo IKE2: I contenitori transform set Modulo IKE2: protocollo di Authentication Header per l integrità degli header Modulo IKE2: protocollo di Encapsulation Security Payload per l applicazione della crittografia Modulo IKE2: Tunnel mode e Transport mode Modulo IKE2: le Cripto access list Modulo IKE2: le Cripto map Applicare Crypto Map alle interfacce fisiche Applicazione della VPN ad interfacce virtuali Uso del Tunneling GRE SEZIONE QUARTA: IPsec VPN HUB and spoke Scenario HUB-spoke: per imporre policies a un intero ambiente con la extended autentication procedura complessiva

15 18.25 Struttura e fasi di una Estended-VPN IKE -1 ed ISAKAMAP autenticazione del peer Autenticazione della macchina e dell utente Il mode configuration Parametri scaricabili da server a client Il processo di creazione di rotte RRI IPsec client-server Implementazione di HUB and spoke extended vpn Lato server Lato client PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

16 PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI

17 CAPITOLO 15 TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE SEZIONE PRIMA: Filtri L2, L3, L4 Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T 15.1 Il Controllo dei flussi di traffico del control e data plane Figura 15.1 Access control-list per il controllo del data plane e degli accessi Ci sono molte ragioni per voler controllare il traffico nel data-plane. Solo a titolo di esempio non esaustivo si può: permettere o negare o più in generale regolamentare l accesso a certe zone della rete opportunamente individuate; 21

18 permettere o negare o più in generale regolamentare l accesso a specifiche macchine (accessi alle porte VTY); implementare diversi privilegi di accesso (permettere cose diverse ai diversi utilizzatori); selezionare alcune tipologie di traffico per applicare ad esse opportune regole di priorità (QOS); raccogliere il traffico in topologie per motivi di documentazione-fatturazione. Ci sono molte ragioni per voler controllare il traffico nel control plane: Solo a titolo di esempio non esaustivo: selezionare le rotte che si vogliono trasmettere o bloccare o più in generale regolamentare la formazione della tabella di instradamento; modificare i parametri con cui le rotte sono distribuite (es. BGP o redistribuzione). Per tutto quanto sopra è necessario dotarsi di una struttura di configurazione che permetta questo ampio spettro di obiettivi. Storicamente sono stati introdotti, nei rispettivi contesti, vari metodi di controllo. Ciascun metodo risolve alcune delle tematiche. Non è stato ancora proposto un modello unitario. Qui si vuole esaminare la struttura e le regole di realizzazione di filtri in modo sistematico ed esaustivo. Partendo dalle access-list (in sigla ACL) che sono una delle strutture più semplici utilizzate, saranno anche esaminate: route map; distribuite list; modular qos infrastructure; modular queue infrastructure Struttura di un blocco di controllo Nella sua forma generale una ACL prevede due fasi: - definizione di una regola; - applicazione della regola: ad una interfaccia fisica, 22 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

19 ad un gruppo logico, all interno di una più complessa struttura per la creazione di regole di controllo (distibute-list, route-map) o di manipolazione sia nel control plane che nel data plane. Le due fasi sono collegate tra loro mediante un codice identificativo. Infatti sarà assegnato un identificativo (numerico o alfanumerico) alla struttura del filtro che poi sarà richiamato nel comando di applicazione del filtro. La regola di filtro è costruita mediante una o più condizioni, talvolta individuate con nomi simbolici, seguendo la sequenza logica qui riportata: Dato in Condizione logica 1 esame riscontra vero Applica un azione sul dato Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Condizione logica 2 falso falso vero Applica un azione sul dato Figura 15.2 Access control-list per il controllo del data plane e degli accessi Condizione logica n vero Applica un azione sul dato falso Il dato non riscontra Nessuna condizione posta =>Il dato è scartato Si tratta quindi, nella sua accezione generale, di una sequenza di condizioni logiche (Access-List Entries in sigla ACE) che costituisce una tabella delle verità che è configurata in modo statico o dinamico nella macchina. La macchina sottopone il dato oggetto di riscontro (traffico di data plane entrante/uscente o annunci di control plane) ad un confronto con la struttura logica. In modo più dettagliato la macchina confronta il dato in esame con la sequenza delle condizioni logiche nell ordine con cui queste sono state immesse. Ogni confronto produce un esito che è risolutivo ed interrompe la catena dei confronti. 23

20 Infatti, in caso di condizione logica riscontrata, si applica al dato l azione descritta e condizionata dalla ACE ed il processo è terminato senza esaminare le successive condizioni. In caso di condizione logica non riscontrata il dato sarà confrontato con la seconda condizione logica e così via fino all ultima condizione logica. Persistendo la situazione di non riscontro di tutte le condizioni logiche previste ed esaurita la sequenza dei confronti si applica al dato una azione preliminarmente prevista per questa condizione (condizione di last-choice). L azione di default prevista nelle varie situazioni in cui le access-list sono richiamate è quella di procedere in sicurezza alla non trasmissione del dato. In figura 15.3 è riportato un esempio di un dato che non riscontra nessuna delle condizioni poste ed è scartato: Figura 15.3 Esempio di struttura logica e confronti con le singole righe Oggetto di L oggetto è verde colore ROSSO riscontra vero falso L oggetto e blu vero Applica un azione sul dato Applica un azione sul dato falso L oggetto è nero vero Applica un azione sul dato falso Il dato non riscontra Nessuna condizione posta =>Il dato è scartato Dalle precedenti considerazioni emerge l importanza delle singole righe e della loro sequenzialità. Proprio per evidenziare l importanza della giusta sequenza, in figura è infine riportato il percorso all interno della struttura logica di un dato che riscontra la prima condizione, per evidenziare che le condizioni successive non saranno esaminate. Questo accade perché le condizioni poste non hanno tutte lo stesso insieme logico di appartenenza: è infatti contemporaneamente possibile che un pacchetto possieda una intestazione IP e, al suo interno, una intestazione UDP e ancora un header RTP. 24 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

21 Pacchetto ip riscontra Il pacchetto è ip vero trasmetti Ip pacchetto è udp Il pacchetto è rtp falso falso falso Il dato non riscontra Nessuna condizione posta =>Il dato è scartato Il dato riscontra=>il dato è trasmesso Le altre righe sono ignorate vero vero blocca blocca Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Questa peculiarità sarà ulteriormente discussa in altri esempi Oggetti controllati Anche da queste considerazioni preliminari si evince che gli oggetti cui queste strutture logiche si applicano sono molti e comprendono: specifici host, gruppi di host, sottoreti e reti ben individuati con un indirizzo di livello 2,3,4 della pila iso-osi; oggetti più complessi genericamente detti conversazioni identificate da: - un chiamante (host, gruppi di host, sottoreti, reti...); - un chiamato; - una tipologia di traffico identificata con: una porta well-known, ovvero un indirizzo di livello superiore al 3; un indice di qos; una qualsiasi altra caratteristica che accomuna ad esempio potrebbe essere interessante voler individuare una conversazione voce (header rtp) tra due host oppure tra due gruppi di host per associare questo traffico ad una coda a una priorità alta di smaltimento in caso di traffico congestionato; potrebbe essere interessante in un processo di redistribuzione individuare tutte le subnets/24 e avente al terzo ottetto un valore pari ed assegnare a queste un gateway diverso dalle subnets/24 con valore Figura 15.4 Logica sequenziale dei riscontri. Il primo blocco determina la decisione di trasmissione i blocchi successivi non sono riscontrati 25

22 dispari. A tutte le subnet con mascherà diversa vietare la redistribuzione. Per comprendere a fondo la natura degli oggetti su cui si possono applicare i filtri bisogna introdurre la Management Information Base (MIB) definita originariamente per motivi di amministrazione remota di macchine e poi usata anche per la costruzione di oggetti complessi a partire dalla base dati mediante operazioni di aggregazione ed elaborazione condotte da programmi di calcolo attivabili per funzionare in background sugli apparati. Rimandando all apposito capitolo per una trattazione esaustiva delle implicazioni sul controllo degli accessi si richiamano qui per comodità di trattazione I MIB e il protocollo SNMP e demoni NBAR e NETFLOW Il controllo ed il management di macchine di rete è fondato sull architettura MIB costituita da: - un database delle informazioni in cui è riportato e costantemente allineato lo stato delle variabili che costituiscono i processi; - processi di controllo all interno di una macchina; - processi controllati; - protocollo di comunicazione (spesso architetture client server). I protocolli di comunicazione sono specializzati per ruoli. Il protocollo di comunicazione per la trasmissione verso un server remoto delle informazioni della MIB è SNMP. Il protocollo ha subito 3 edizioni. La versione più diffusa è la versione 2. Allo scopo di minimizzare le attività delle macchine controllate, il protocollo SNMP è basato su alcune operazioni standard svolte tra un server centralizzato e processi client sulle macchine controllate. I moduli software, detti agent, presso le macchine client sono rese minime. Con riferimento alla versione 2 sono disponibili i seguenti comandi: get-request per ottenere il valore di una singola variabile; get-next-request questo comando è usato per estrarre valori da tabelle; get-bulk per estrarre interi blocchi di dati come tabelle; 26 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

23 set-request scrive un valore nel campo della variabile dichiarata; response Messaggio di conferma della ricezione di un messaggio (get-request, get-next-request, get-bulk, set-request) inviato da un server oppure di conferma di un inform mandato da un agent. A differenza di SNMP, il demone Netflow raccoglie informazioni de e verso il MIB della macchina su cui risiede. Si comporta quindi come un server locale e usa gli stessi comandi. Le operazioni di retry sono eseguite ciclicamente o su richiesta. Gli agent possono essere sollecitati a trasmettere senza alcuna programmazione temporale quando si verifica un determinato evento. Tale trasmissione può essere organizzata in modo inaffidabile mediante il comando Trap (il server non conferma la ricezione del messaggio) o in modo affidabile mediante le inform-request (il server manda conferma di avvenuta ricezione). L organizzazione del database MIB è costruita in modo gerarchico. Ciascuno degli oggetti di un MIB vengono definiti utilizzando un sottoinsieme della notazione Abstract Syntax Notation One (ASN.1) chiamato Structure of Management Information Version 2 (SMIv2) descritta nella RFC Nella costruzione della nomenclatura dei MIB devono essere previste un gran numero di situazioni che rendono molto complessa la trattazione completa dell argomento. Qui interessa evidenziare che mediante la lettura dei MIB è possibile costruire diversi oggetti intermedi richiamati nei comandi delle access-list. Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o don t care mask Posizione nell ottetto Potenza sulla scala potenze del 2, Valore del bit sulla scala decimale considera tutti i bit mask considera i primi 7 bit mask considera solo il primo bit tmask considera il primo e l ultimo bit mask ignora tutti i bit mask 255 Figura 15.5 Wild-card mask uno strumento per selezionare host o gruppi di host 27

24 Gli oggetti su cui applicare filtri ed i modelli di filtro sono piuttosto simili: nel data plane: - frame, - i pacchetti, - datagrammi individuati come in vario modo mediante l intestazione (source-destination mac, IP, port), - le regole con cui si confrontano le frames, i pacchetti o i datagrammi saranno scritte con espressioni simboliche per specificare ad esempio tutti i pacchetti che hanno i primi n-bit dell indirizzo MAC, IP, sorgente, destinazione coincidenti con nel control plane gli annunci che contengono destinazioni individuate con l indirizzo di rete. In questo caso le regole con cui si effettua il confronto saranno scritte con espressioni simboliche per raggruppare ad esempio tutti le destinazioni che hanno i primi n-bit coincidenti con quelli della regola... In definitiva la struttura logica dei controlli sui due piani è assolutamente simile e fa uso massiccio della scalabilità degli indirizzi IP. Infatti gli oggetti sono individuati confrontando un indirizzo ip di riferimento con una maschera detta wild-card mask. Come descritto in figura 15.5 tale maschera ha il valore 1 dove si vuole non considerare il corrispondente bit nell indirizzo IP ed il valore 0 dove invece il bit deve essere considerato. Tuttavia nella pratica di implementazione, esiste tuttavia una notevole differenza di scrittura dei filtri nel control plane e nel data plane. Ad esempio gli oggetti cui si applicano le regole sono: nel data-plane: - un host: wild-card mask può essere sostituita con la parola chiave host; - una subnet: wild-card mask nel control-plane: - le sole subnet pari con maschera / ; - le subnets da /24 a / wild-card In figura 15.6 è rappresentato questo caso notevole di utilizzo della wild-card mask. 28 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

25 Tutte le subnets /24 da a wild-card 0.0.X.0 per gli ottetti 1,2,4 Posizione nel terzo ottetto Potenza sulla scala potenze del 2, Valore del bit sulla scala decimale considerai i bit meno significativi mask 15 Annuncio La wild-card mask è spesso presentata come l opposto della maschera di subnetting. Il paragone è del tutto improprio anche se per molti casi di pratica utilità sembra essere di aiuto. La subnet mask tuttavia separa nell indirizzo ip quella parte dell indirizzo che accomuna più macchine (subnet) mentre la wildcard mask seleziona i bit dell indirizzo da considerare per costruire gruppi cui si applica una qualche regola. Solo in alcuni casi questi ultimi gruppi sono coincidenti con le subnet. Peraltro nella prassi è invalso l uso di utilizzare due tecniche opposte per creare selezionare i bit degli indirizzi: nelle subnets gli 1 nella maschera di subnetting; nei gruppi per ACL gli 0 nella maschera wild-card. Q U A D E R N I p e r l a p r o g e t t a z i o n e I C T Figura 15.6 Uso della Wild-card mask 15.2 Uso delle access-list nel data-plane Per limitare l estensione dell argomento, Questo capitolo è dedicato quasi esclusivamente all uso dei filtri per il controllo del data-plane. Infatti l uso di filtri per la gestione del control-plane è ampiamente documentato nei capitoli di routing e di redistribuzione tra protocolli di routing. Si esamina dapprima l uso delle diverse tipologie di filtro applicabili alle diverse tipologie di oggetti configurabili e quindi le tecniche di configurazione delle regole ed alcuni casi speciali. Il linea generale gli oggetti, costruiti a partire dal MIB, possono essere frames, pacchetti, datagrammi. L ambiente dove questa unità di fondo è più evidente sono i multilayer switches. Nelle altre macchine sono nettamente prevalenti le ACL applicate a pacchetti e datagrammi. 29

Access Control List (I parte)

Access Control List (I parte) - Laboratorio di Servizi di Telecomunicazioni Access Control List (I parte) Indice Cosa sono le ACL? Interfacce Inbound & Outbound Wildcard mask Configurare una ACL standard ACL extended Named ACL Posizionamento

Dettagli

PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI

PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI P E R L A P R O G E T T A Z I O N E I C T PROGETTAZIONE E CONDUZIONE DI RETI DI CALCOLATORI VOLUME II ROUTING BASE Per la preparazione agli esami di ROUTE e CCIE R&S di ENRICO CIPOLLONE FRANCESCO CIPOLLONE

Dettagli

Protocollo TCP/IP & Indirizzamento IP

Protocollo TCP/IP & Indirizzamento IP Protocollo TCP/IP & Indirizzamento IP L architettura TCP/IP: Nasce per richiesta del Dipartimento della Difesa degli USA che intendeva poter creare una rete in grado di funzionare in qualsiasi tipo di

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP

Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP Modulo 9 Insieme di protocolli TCP/IP e indirizzi IP 9.1 Introduzione a TCP/IP 9.1.1 Storia e futuro di TCP/IP Il ministero della difesa americana (DoD) creò il modello TCP/IP perché voleva una rete che

Dettagli

Realizzazione e gestione di Local Area Network

Realizzazione e gestione di Local Area Network Realizzazione e gestione di Local Area Network Ceracchi Fabiana Mansi Luigi Tutor Angelo Veloce NETWORK La rete è un insieme di sistemi per l elaborazione delle informazioni messi in comunicazione tra

Dettagli

Internet e protocollo TCP/IP

Internet e protocollo TCP/IP Internet e protocollo TCP/IP Internet Nata dalla fusione di reti di agenzie governative americane (ARPANET) e reti di università E una rete di reti, di scala planetaria, pubblica, a commutazione di pacchetto

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Reiss Romoli 2014 CISCO CERTIFIED NETWORK PROFESSIONAL (CCNP) CCNP

Reiss Romoli 2014 CISCO CERTIFIED NETWORK PROFESSIONAL (CCNP) CCNP CCNP CISCO CERTIFIED NETWORK PROFESSIONAL (CCNP) La certificazione Cisco CCNP (indicata anche CCNP-Routing & Switching) ha come prerequisito il possesso di una certificazione Cisco CCNA e prevede il superamento

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema contenuto della comunicazione sistema per la gestione della comunicazione sottosistema C sottosistema B sottosistema A

Dettagli

Programmazione modulare 2014-2015

Programmazione modulare 2014-2015 Programmazione modulare 2014-2015 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 5 A e 5 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore (2 teoria + 2 laboratorio) Totale ore previste:

Dettagli

ACCESS LIST. Pietro Nicoletti www.studioreti.it

ACCESS LIST. Pietro Nicoletti www.studioreti.it ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Router(config)# access-list access-list number {permit deny} {test-conditions}

Router(config)# access-list access-list number {permit deny} {test-conditions} 1. Definire la ACL con il seguente comando: Router(config)# access-list access-list number {permit deny} {test-conditions} Dalla versione 11.2 del Cisco IOS si può utilizzare un nome al posto del numero

Dettagli

PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER

PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER P E R L A P R O G E T T A Z I O N E I C T PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER VOLUME III ROUTING BGP Per la preparazione agli esami CCNP, CCIE-R&S e CCIE-SP di ENRICO CIPOLLONE FRANCESCO CIPOLLONE

Dettagli

Reiss Romoli 2014 CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) CCNA

Reiss Romoli 2014 CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) CCNA CCNA CISCO CERTIFIED NETWORK ASSOCIATE (CCNA) La certificazione Cisco CCNA prevede il superamento di un singolo esame: 200-120 CCNA o di due esami: 100-101 ICND1 200-101 ICND2 Reiss Romoli propone, in

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

158.110.1.3 158.110.1.2 SWITCH. 100 Mb/s (UTP cat. 5E) 158.110.1.1 158.110.3.3 158.110.3.2. 10 Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

158.110.1.3 158.110.1.2 SWITCH. 100 Mb/s (UTP cat. 5E) 158.110.1.1 158.110.3.3 158.110.3.2. 10 Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat. Università degli Studi di Udine Insegnamento: Reti di Calcolatori I Docente: Pier Luca Montessoro DOMANDE DI RIEPILOGO SU: - Livello network 1. Si deve suddividere la rete 173.19.0.0 in 510 subnet. Qual

Dettagli

Introduzione (parte I)

Introduzione (parte I) Introduzione (parte I) Argomenti della lezione Argomenti trattati in questo corso Libri di testo e materiale didattico Ripasso degli argomenti del primo corso: reti locali Contenuti del corso La progettazione

Dettagli

Tunneling, reti private e NAT

Tunneling, reti private e NAT Tunneling, reti private e NAT Partly based on! course slides by L. Peterson " Princeton University! Cisco documentation Reti Private - NAT -1 Argomenti della lezione! Tunneling " Generic Route Encapsulation

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Prefazione all edizione italiana

Prefazione all edizione italiana Sommario Prefazione all edizione italiana XIII Capitolo 1 Introduzione 1.1 Applicazioni delle reti di calcolatori 2 1.1.1 Applicazioni aziendali 3 1.1.2 Applicazioni domestiche 5 1.1.3 Utenti mobili 8

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai@cisco.com Mario Baldi Politecnico di Torino mario.baldi@polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota a

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Reti di calcolatori. Lezione del 10 giugno 2004

Reti di calcolatori. Lezione del 10 giugno 2004 Reti di calcolatori Lezione del 10 giugno 2004 Internetworking I livelli 1 fisico e 2 data link si occupano della connessione di due host direttamente connessi su di una rete omogenea Non è possibile estendere

Dettagli

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006 Gaspare Sala Introduzione Una rete pubblica è un insieme di sistemi indipendenti che si scambiano dati

Dettagli

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

PROGRAMMAZIONE MODULARE 2015-2016. Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA PROGRAMMAZIONE MODULARE 2015-2016 Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA Docenti: Gualdi (teoria), Travaglioni (laboratorio) Ore settimanali previste: 2 TEORIA +

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

Livello di Rete. Prof. Filippo Lanubile. Obiettivo

Livello di Rete. Prof. Filippo Lanubile. Obiettivo Livello di Rete Circuiti virtuali e datagram La funzione di instradamento Costruzione della tabella di routing Algoritmi di routing adattivi: distance vector routing e link-state routing Routing gerarchico

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai[at]cisco.com Mario Baldi Politecnico di Torino mario.baldi[at]polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

Gli indirizzi dell Internet Protocol. IP Address

Gli indirizzi dell Internet Protocol. IP Address Gli indirizzi dell Internet Protocol IP Address Il protocollo IP Prevalente è ormai diventato nell implementazione di reti di computer la tecnologia sintetizzata nei protocolli TCP- Ip IP è un protocollo

Dettagli

Architetture di router IP

Architetture di router IP Torino, novembre 2004 Reti e sistemi telematici Architetture di router IP Gruppo Reti TLC giancarlo.pirani@telecomitalia.it http://www.telematica.polito.it/ GIANCARLO PIRANI TELECOM ITALIA LAB ROUTER IP

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Internet. Introduzione alle comunicazioni tra computer

Internet. Introduzione alle comunicazioni tra computer Internet Introduzione alle comunicazioni tra computer Attenzione! Quella che segue è un introduzione estremamente generica che ha il solo scopo di dare un idea sommaria di alcuni concetti alla base di

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Router VPN Cisco RV180

Router VPN Cisco RV180 Data Sheet Router VPN Cisco RV180 Connettività sicura e ad alte prestazioni a un prezzo conveniente. Figura 1. Router VPN Cisco RV180 (pannello anteriore) Caratteristiche Le convenienti porte Gigabit Ethernet

Dettagli

RETI DI CALCOLATORI II

RETI DI CALCOLATORI II RETI DI CALCOLATORI II Facoltà di Ingegneria Università degli Studi di Udine Ing. DANIELE DE CANEVA a.a. 2009/2010 ARGOMENTI DELLA LEZIONE ROUTING STATICO o CENNI SULLA CONFIGURAZIONE DEI ROUTER ROUTING

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

Reti di Telecomunicazioni LB Introduzione al corso

Reti di Telecomunicazioni LB Introduzione al corso Reti di Telecomunicazioni LB Introduzione al corso A.A. 2005/2006 Walter Cerroni Il corso Seguito di Reti di Telecomunicazioni LA Approfondimento sui protocolli di Internet TCP/IP, protocolli di routing,

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10 Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori a.a. 2009/10 Roberto Canonico (roberto.canonico@unina.it) Antonio Pescapè (pescape@unina.it) ICMP ARP RARP DHCP - NAT ICMP (Internet

Dettagli

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall A. Memo 1987, esce l RFC 1009, che specifica come una sottorete può utilizzare più Subnet Mask ammette lunghezze diverse dell

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

PROF. Filippo CAPUANI TCP/IP

PROF. Filippo CAPUANI TCP/IP PROF. Filippo CAPUANI TCP/IP Sommario Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e pubblici Introduzione

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori I semestre 03/04 Internet Control Message Protocol ICMP Comunica messaggi di errore o altre situazioni che richiedono intervento Errore di indirizzo o di istradamento Congestione in un router Richiesta

Dettagli

Protocolli di Comunicazione

Protocolli di Comunicazione Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol

Dettagli

Introduzione alla rete Internet

Introduzione alla rete Internet Introduzione alla rete Internet Gruppo Reti TLC nome.cognome@polito.it http://www.telematica.polito.it/ INTRODUZIONE A INTERNET - 1 Internet: nomenclatura Host: calcolatore collegato a Internet ogni host

Dettagli

Firewall VPN Cisco RV120W Wireless-N

Firewall VPN Cisco RV120W Wireless-N Firewall VPN Cisco RV120W Wireless-N La connettività di base raggiunge nuovi livelli Il firewall VPN Cisco RV120W Wireless-N offre connettività a elevata sicurezza a Internet, anche da altre postazioni

Dettagli

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30 Prefazione XI Capitolo 1 Introduzione 1 1.1 Internet: una panoramica 2 1.1.1 Le reti 2 1.1.2 Commutazione (switching) 4 1.1.3 Internet 6 1.1.4 L accesso a Internet 6 1.1.5 Capacità e prestazioni delle

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

VLAN VLAN. Università di Palermo VLAN 1

VLAN VLAN. Università di Palermo VLAN 1 VN VN VN 1 Switches Funzionamento degli switch di layer 2 Ricordiamo che le reti Ethernet con media condiviso che usano gli hub, molti host sono connessi ad un singolo dominio broadcast e di collisione

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

Interdomain routing Principi generali e BGP

Interdomain routing Principi generali e BGP Interdomain routing Principi generali e BGP Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Il routing in Internet Interior Gateway Protocols

Il routing in Internet Interior Gateway Protocols Il routing in Internet Interior Gateway Protocols A.A. 2004/2005 Prof. Carla Raffaelli diapositive preparate da: Walter Cerroni Routing Information Protocol (RIP) Protocollo distance vector, di implementazione

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN) Antonio Cianfrani Virtual LAN (VLAN) Richiami sullo standard Ethernet Lo standard Ethernet (IEEE 802.3) è utilizzato per le Local Area Network (LAN): livello 2 della pila protocollare. Consente l utilizzo

Dettagli

Indice. Prefazione XIII

Indice. Prefazione XIII Indice Prefazione XIII 1 Introduzione 1 1.1 Breve storia della rete Internet 1 1.2 Protocolli e standard 6 1.3 Le organizzazioni che definiscono gli standard 7 1.4 Gli standard Internet 10 1.5 Amministrazione

Dettagli

/00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%# $# )""# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#"( 7 6$

/00$)#)+#// )#$ $ )#,+#)#())# # #$##( #%# $ )/ #//, #/ $#%# $# )# +# $ +,+#) 1/-- $234&( + 20%)* /&) 6 / /00$)#( 7 6$ STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa !"# $# %$&#" # $'& #()*#%# )+ && +#)* # $# )""#,+#)#-.$ ## /00$)#)+#// )#$ $ )""#,+#)#())# "# #$##( #%# $ )/ #//, #/ $#%#

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e

Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e TCP/IP Sommario Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e pubblici Introduzione al TCP/IP TCP/IP

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Interconnessione di reti

Interconnessione di reti Interconnessione di reti Collegamenti tra reti eterogenee Instradamento (routing) e inoltro (forwarding) IPv4 - indirizzi IP e MAC - sottoreti IPv6 - evoluzione di Internet DNS - Domain Name System Conclusioni

Dettagli

La nascita di Internet

La nascita di Internet La nascita di Nel 1969 la DARPA (Defence Advanced Research Project Agency) studia e realizza la prima rete per la comunicazione tra computer (ARPAnet) fra 3 università americane ed 1 istituto di ricerca.

Dettagli

Corso di Reti di Calcolatori

Corso di Reti di Calcolatori Corso di Reti di Calcolatori IP switch uplink FDDI backbone global server porta Fddi Prof. Orazio Mirabella HUB SWITCH Ethernet SWITCH Ethernet Eth. 10Base-T SWITCH Ethernet TCP/IP Cenni Storici Internet

Dettagli

Packet Tracer: simulatore di RETE

Packet Tracer: simulatore di RETE Packet Tracer: simulatore di RETE Packet Tracer è un software didattico per l'emulazione di apparati di rete CISCO. http://www.cisco.com/web/it/training_education/networking_academy/packet_tracer.pdf PT

Dettagli

Tutte le subnet di una stessa rete tipicamente usano la stessa subnet mask, facilitando così il compito del gestore. Tuttavia questa strategia, pur

Tutte le subnet di una stessa rete tipicamente usano la stessa subnet mask, facilitando così il compito del gestore. Tuttavia questa strategia, pur Corso di SISTEMI TELEMATICI a.a. 2011-2012 2012 Livello rete: Indirizzamento, maschere di sottorete e CIDR VLSM Tutte le subnet di una stessa rete tipicamente usano la stessa subnet mask, facilitando così

Dettagli

Sistemi informatici in ambito radiologico

Sistemi informatici in ambito radiologico Sistemi informatici in ambito radiologico Dott. Ing. Andrea Badaloni A.A. 2015 2016 Reti di elaboratori, il modello a strati e i protocolli di comunicazione e di servizio Reti di elaboratori Definizioni

Dettagli

Il Sistema di Routing. Routing nell Interrete. Routing con Informazioni Parziali. Propagazione delle Rotte

Il Sistema di Routing. Routing nell Interrete. Routing con Informazioni Parziali. Propagazione delle Rotte I semestre 02/03 Il Sistema di Routing Routing nell Interrete Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica

Dettagli

Reti di Calcolatori 18-06-2013

Reti di Calcolatori 18-06-2013 1. Applicazioni di rete [3 pts] Si descrivano, relativamente al sistema DNS: Compito di Reti di Calcolatori 18-06-2013 a) i motivi per i quali viene usato; b) l architettura generale; c) le modalità di

Dettagli

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto)

C) supponendo che la scuola voglia collegarsi in modo sicuro con una sede remota, valutare le possibili soluzioni (non risolto) PROGETTO DI UNA SEMPLICE RETE Testo In una scuola media si vuole realizzare un laboratorio informatico con 12 stazioni di lavoro. Per tale scopo si decide di creare un unica rete locale che colleghi fra

Dettagli

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33

Indice. Capitolo 1 Introduzione 1. Capitolo 2 Le reti Ethernet e IEEE 802.3 5. Capitolo 3 Ethernet ad alta velocità 33 .ind g/p.vii-xii 26-06-2002 12:18 Pagina VII Indice Capitolo 1 Introduzione 1 Capitolo 2 Le reti Ethernet e IEEE 802.3 5 2.1 Il progetto IEEE 802 6 2.2 Protocolli di livello MAC 7 2.3 Indirizzi 8 2.4 Ethernet

Dettagli

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta

Il Routing Gli scenari possibili sono due 1. rimessa diretta rimessa indiretta Il Routing In un sistema packets switching quale il TCP/IP, il routing rappresenta il processo di scelta del percorso su cui inoltrare i pacchetti ed il router è un computer che effettua tale instradamento.

Dettagli

ASSEGNAZIONE INDIRIZZI IP

ASSEGNAZIONE INDIRIZZI IP Autore: Classe: Michele NASO QUINTA INFORMATICA (5IA) Anno scolastico: 2004/2005 Scuola: Itis Euganeo ASSEGNAZIONE INDIRIZZI IP Il documento vuole dare una metodologia per assegnare in modo corretto gli

Dettagli

INTRODUZIONE A RETI E PROTOCOLLI

INTRODUZIONE A RETI E PROTOCOLLI PARTE 1 INTRODUZIONE A RETI E PROTOCOLLI Parte 1 Modulo 1: Introduzione alle reti Perché le reti tra computer? Collegamenti remoti a mainframe (< anni 70) Informatica distribuita vs informatica monolitica

Dettagli

Esempio di rete aziendale

Esempio di rete aziendale Esempio di rete aziendale Autore: Roberto Bandiera febbraio 2015 Per esemplificare la tipica architettura di una rete aziendale consideriamo la rete di un Istituto scolastico, dove ci sono alcuni laboratori

Dettagli

Programmazione modulare 2015-2016

Programmazione modulare 2015-2016 Programmazione modulare 05-06 Indirizzo: Informatica Disciplina: SISTEMI E RETI Classe: 4 B Docente: Buscemi Letizia Ore settimanali previste: 4 ore ( teoria + ) Totale ore previste: 4 ore per 33 settimane

Dettagli

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1

Simulazione prova scritta di sistemi Abacus per l Esame di Stato. Traccia n 1 Simulazione prova scritta di sistemi Abacus per l Esame di Stato Traccia n 1 La condivisione delle informazioni e lo sviluppo delle risorse informatiche tramite cui esse possono venire memorizzate e scambiate

Dettagli

Antonio Cianfrani. Extended Access Control List (ACL)

Antonio Cianfrani. Extended Access Control List (ACL) Antonio Cianfrani Extended Access Control List (ACL) Extended ACL (1/4) Le ACL Extended sono molto spesso usate più delle standard perché offrono un controllo decisamente maggiore Le ACL Extended controllano

Dettagli

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it

Livello di Rete. Gaia Maselli maselli@di.uniroma1.it Livello di Rete Gaia Maselli maselli@di.uniroma1.it Queste slide sono un adattamento delle slide fornite dal libro di testo e pertanto protette da copyright. All material copyright 1996-2007 J.F Kurose

Dettagli

Indirizzo IP. Come si distinguono? Indirizzo IP : 192. 168. 220. 134. Network address : 192. 168. 220. 0 Host address: : 134

Indirizzo IP. Come si distinguono? Indirizzo IP : 192. 168. 220. 134. Network address : 192. 168. 220. 0 Host address: : 134 Subnet mask Indirizzo IP Come si distinguono? Indirizzo IP : 192. 168. 220. 134 Network address : 192. 168. 220. 0 Host address: : 134 Subnet Mask La Subnet Mask viene implementata per limitare il traffico

Dettagli

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Corso di Sistemi di Elaborazione delle informazioni Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella Una definizione di Rete Una moderna rete di calcolatori può essere definita come:

Dettagli

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP Il livello 3 della pila ISO/OSI Il protocollo IP e il protocollo ICMP IL LIVELLO 3 - il protocollo IP Il livello 3 della pila ISO/OSI che ci interessa è l Internet Protocol, o più brevemente IP. Visto

Dettagli

Tecnologie per il web e lo sviluppo multimediale. Reti di Calcolatori e Internet

Tecnologie per il web e lo sviluppo multimediale. Reti di Calcolatori e Internet Tecnologie per il web e lo sviluppo multimediale Reti di Calcolatori e Internet Luca Pulina Corso di Laurea in Scienze della Comunicazione Università degli Studi di Sassari A.A. 2015/2016 Luca Pulina (UNISS)

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli