Test del funzionamento di un Rendez-vous Server mediante l implementazione InfraHIP

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Test del funzionamento di un Rendez-vous Server mediante l implementazione InfraHIP"

Transcript

1 Facoltá di Ingegneria Corso di Studi in Ingegneria Informatica Elaborato finale in Protocolli per Reti Mobili Test del funzionamento di un Rendez-vous Server mediante l implementazione InfraHIP Anno Accademico 2012/2013 Candidato: PAOLA VENUSO matr. N

2 Indice Introduzione Host Identity Protocol Basi del protocollo Sicurezza Multihoming Mobilitá Rendez-vous Server Presupposti al Rendez-vous Server Protocollo di registrazione Funzionamento Parametri Host Identity Protocol for Linux Progetto InfraHIP Implementazione di HIPL Host Identiers Endpoint Resolution HIPL Application Programming Interfaces Legacy HIP API Native HIP API Architettura di HIPL Kernel Based Version User Space Version Testing Procedura di installazione Requisiti e dipendenze Installazione Test di prova di un Base Exchange Test del Rendez-vous Server Congurazione del RVS Test Analisi dei pacchetti Registrazione Pacchetto I Pacchetto R i

3 INDICE Pacchetto I Pacchetto R Base Exchange Pacchetto I Pacchetto R Pacchetto I Pacchetto R HIP Update Primo pacchetto Secondo pacchetto Terzo pacchetto Conclusioni Bibliograa ii

4 Introduzione L'idea di creare un protocollo come Host Identity Protocol (HIP) nasce dalle diverse mancanze mostrate dal protocollo IP. Infatti analizzando l'incredibile evoluzione di Internet degli ultimi anni é possibile notare quanto IP sia vulnerabile o carente nel contrastare attacchi DoS, nella gestione di terminali mobili e multi-homed ed inne nel garantire autenticitá e condenzialitá dei messaggi. Nonostante nel tempo siano state proposte diverse soluzioni a tali problematiche, esse non sono mai risultate del tutto soddisfacenti mostrandosi adatte alla risoluzione di un solo problema per volta. Il protocollo HIP é stato proposto come soluzione integrata a tutti questi problemi. Nel presente elaborato si studierá InfraHIP, un' implementazione del protocollo HIP per i sistemi Linux, ed in particolar modo il funzionamento del Rendez-vous Server nel contesto del supporto alla mobilitá. 1

5 Capitolo 1 Host Identity Protocol 1.1 Basi del protocollo L'idea di creare il protocollo HIP [1] nacque per la prima volta in ambito IETF nel Fino al 2003 peró lo sviluppo di tale idea rimase ad uno stadio informale. Infatti solo nel 2004 ci fu la creazione di un Working Group e di un Research Group. La standardizzazione é avvenuta poi nella RFC 4423 del Il concetto principale su cui é basato HIP prevede la separazione tra ció che identica un nodo e ció che indica la sua posizione in Internet. L'identicatore di un nodo é detto locator e l'indicatore della posizione di un nodo in Internet viene chiamato identier. Nel protocollo IP queste due funzioni vengono entrambe svolte dall'indirizzo IP. Con l'avvento della mobilitá l'identicazione di un nodo con IP non é piú univoca, per questo motivo HIP divide le due funzioni assegnandole a due forme diverse di Host Identity: Host Identity Tag (HIT ) e Local Scope Identity (LSI ). HIT e LSI assomigliano rispettivamente ad indirizzi IPv6 e IPv4 in modo da mantenere la compatibilitá con applicazioni legacy. Nella pratica vengono utilizzati gli indirizzi HIT e LSI no al livello trasporto, mentre dal livello di rete in giú si utilizza l'indirizzo IP. Quindi tra livello di trasporto e livello di rete viene posto un nuovo livello HIP, come mostrato in Figura 1.1, che si occupa di tradurre gli indirizzi HIT e LSI negli indirizzi IP corrispondenti. In questo modo il livello IP non deve subire modiche e il livello applicazione e il livello trasporto vedono sempre lo stesso HIT anche se il nodo si muove. Nelle sezioni seguenti vedremo come HIP si occupa dei problemi relativi a sicurezza, multihoming e mobilitá. 2

6 CAPITOLO 1 Figura 1.1: Livello HIP 1.2 Sicurezza Per garantire la sicurezza nelle trasmissioni tutti i messaggi dati HIP vengono cifrati con IPsec ESP [2]. Quindi i nodi che si scambiano questi messaggi devono prima stabilire una Security Association, identicata da un SPI e legata agli HIT. Per l'utilizzo della cifratura IPsec ESP é necessario, per i nodi interessati, conoscere una chiave condivisa. Avviene allora una fase di Base Exchange in cui l'initiator (il nodo che vuole instaurare la connessione) ed il Responder (il nodo destinatario della richiesta di connessione) si scambiano la sequenza di pacchetti I1, R1, I2, R2. Tramite questo scambio il Responder invia un Cryptographic Puzzle all'initiator, in modo tale da contrastare attacchi di tipo DoS. Inoltre é presente un parametro Opaque da ricopiare nelle risposte dell'initiator per prevenire replay attack. Alla ne dello scambio di pacchetti ogni nodo manterrá una HIP association con l'altro nodo, contenente: HIT (oppure LSI) locale e dell'altro nodo 3

7 CAPITOLO 1 Indirizzo IP locale e dell'altro nodo Porto UDP locale e dell'altro nodo (nel caso di NAT) Keying material IPsec prevede la modalitá Transport Mode e la modalitá Tunnel mode. Per evitare peró alcuni problemi di queste due modalitá ne é stata introdotta una terza, utile nell'utilizzo di HIP: Beet. Secondo questo meccanismo nella SA vengono memorizzate due coppie di indirizzi, una esterna per l'instradamento ed una interna vista dall'applicazione. Gli indirizzi vengono scambiati in trasmissione e in ricezione nell'header IP, cosí da evitare problemi di attraversamento del NAT e di controllo checksum presenti nelle due precedenti modalitá. 1.3 Multihoming La gestione di piú interfacce di rete di uno stesso dispositivo é un'altra caratteristica di HIP. In IP questo meccanismo non é facilmente realizzabile, mentre in HIP viene utilizzato anche per la stessa comunicazione in maniera parallela. Essenzialmente il livello HIP associa diversi indirizzi IP allo stesso HIT. Un problema che puó nascere é legato all'utilizzo di percorsi diversi, provocando l'arrivo dei pacchetti fuori della replay protection window con scarto conseguente dei pacchetti. Per risolvere l'inconveniente si usa una diversa SA per ogni indirizzo IP, mantenendo lo stesso HIT. 1.4 Mobilitá Quando un nodo mobile si sposta in un'altra rete il suo indirizzo IP cambia. Se c'é una connessione TCP in atto essa resta attiva poiché l'indirizzo HIT non cambia. Infatti le entitá TCP fanno riferimento agli HIT. Il nodo mobile peró deve comunicare la sua nuova posizione in modo da aggiornare l'associazione tra l'ip e l'hit. L'aggiornamento avviene tramite lo scambio di un messaggio di UPDATE in cui il parametro LOCATOR contiene il nuovo indirizzo IP. In realtá la procedura di update é costituita 4

8 CAPITOLO 1 dallo scambio di tre messaggi. Questo sistema é stato scelto per proteggere la comunicazione da replay attack. Quindi il primo messaggio é quello di update, il secondo verica che il nodo mobile sia disponibile al nuovo indirizzo, il terzo contiene la copia del parametro Opaque contenuto nel secondo come ulteriore misura di sicurezza. In questo modo un attaccante che ha ascoltato un terzo messaggio precedente dovrebbe inserire un nuovo valore Opaque e ricalcolare la checksum, per la quale peró serve la chiave segreta. 5

9 Capitolo 2 Rendez-vous Server 2.1 Presupposti al Rendez-vous Server Un nodo mobile che si sposta frequentemente da una rete all'altra cambia altrettanto frequentemente indirizzo IP. Con Mobile IP un nodo mobile é comunque raggiungibile al suo indirizzo IP permanente, anche quando si trova in una rete ospitante. Infatti l'home agent intercetta i pacchetti destinati al nodo mobile e li inoltra verso la rete ospitante in cui si trova il nodo in quell'istante. I nodi che implementano HIP non possono stabilire un'associazione HIP se non conoscono l'indirizzo IP corrente del nodo destinatario. Per questo motivo é stato introdotto il Rendez-vous Server [3], un nodo con la funzione di conoscere sempre l'indirizzo IP aggiornato del nodo mobile. Esso conosce sempre l'ip del nodo poiché quest'ultimo eettua un procedura di registrazione. Mentre un nodo che vuole contattare il Rendez-vous Server ottiene l'indirizzo di quest'ultimo da una semplice query DNS. Nei paragra che seguono analizzeremo nel dettaglio la procedura di registrazione e i parametri dei pacchetti nel base exchange con un RVS. 2.2 Protocollo di registrazione Il nodo mobile si registra presso il Rendez-vous Server seguendo un preciso protocollo [4], implementato come un HIP base exchange ma con dei parametri addizionali. In generale, il nodo presso cui ci si deve registrare ore una lista di servizi (tra cui quello di RVS), usando il parametro REG_INFO nel messaggio R1 o nel messaggio UPDATE. Il nodo richiedente include il parame- 6

10 CAPITOLO 2 tro REG_REQUEST nel messaggio I2 o nel messaggio UPDATE scegliendo il servizio desiderato. Dopo aver ricevuto quest'ultimo messaggio, il server puó autenticare ed autorizzare il richiedente, tramite la sua chiave pubblica. Se l'autenticazione é andata a buon ne viene creata una corrispondenza tra servizio e richiedente. Altrimenti nel messaggio di ritorno é presente il parametro REG_FAILED. Se il richiedente prova a registrarsi per piú servizi contemporaneamente ed alcuni falliscono, i messaggi R2 e UPDATE contengono entrambi i parametri REG_RESPONSE e REG_FAILED. Un esempio é visibile in Figura 2.1. Figura 2.1: Esempio di registrazione L'operazione di refresh é iniziata dal server con un messaggio di UPDATE e viene poi completata come un ri-registrazione, con due ulteriori messaggi di UPDATE. La registrazione puó essere cancellata inviando un messaggio REG_REQUEST o REG_RESPONSE con il valore lifetime posto a zero. 2.3 Funzionamento Una volta eettuata la registrazione presso il Rendez-vous Server, ogni volta che il suo indirizzo IP cambia il nodo mobile deve comunicarlo al RVS. Se é giá presente una associazione HIP tra due nodi allora quello che cambia indirizzo IP puó comunicarlo direttamente all'altro nodo. Infatti l'uso del RVS si limita al contatto iniziale tra due nodi, di cui uno mobile, che non hanno un'associazione HIP preesistente. 7

11 CAPITOLO 2 L'unico pacchetto che passa per il RVS é I1, gli altri vengono scambiati direttamente tra i due nodi. In Figura 2.2 é possibile vedere un esempio di HIP base exchange con un RVS. Figura 2.2: HIP base exchange con RVS Il RVS confronta l'hit destinazione del pacchetto I1 con il proprio, se non coincidono controlla se ci sono associazioni attive per quell'hit. Allora se esiste tale associazione, il RVS sostituisce l'indirizzo destinatario nell'header IP del pacchetto I1 con quello associato all'hit. Inoltre il RVS sostituisce l'indirizzo sorgente in I1 con il proprio, ricalcola la checksum e inoltra I1 all'ip associato all'hit destinatario. In questo meccanismo si puó notare un'importante dierenza con Mobile IP: il Rendez-vous Server é necessario solo per l'inoltro del primo pacchetto, a dierenza dell'home agent che deve inoltrare tutti i pacchetti al nodo mobile. Ció accade perché il Responder invia il pacchetto R1 direttamente all'initiator il quale a questo punto conoscerá l'ip del Responder e potrá comunicare con quest'ultimo direttamente. In ultimo, se il RVS riceve un pacchetto con valore NULL nel campo del Responder HIT, allora interpreta il pacchetto come richiesta di associazione HIP con se stesso Parametri Il nodo Responder deve conoscere l'indirizzo IP dell'initiator per poter rispondere con un messaggio R2. Abbiamo giá visto che il RVS sostituisce il proprio indirizzo a quello sorgente nel pacchetto I1, ma oltre a questo aggiunge un parametro chiamato 8

12 CAPITOLO 2 FROM contenente l'indirizzo del reale sorgente ed anche un parametro RVS HMAC. Risulta chiaro che il Responder conosce l'ip dell'initiator grazie al parametro FROM inserito dal RVS. Il Responder poi aggiunge al pacchetto R2 il parametro VIA che contiene l'indirizzo IP del RVS da cui ha ricevuto il pacchetto I1. Il parametro VIA é pensato proprio per accertare le operazioni di associazione HIP. Il parametro VIA puó contenere indirizzi IP di piú RVS. 9

13 Capitolo 3 Host Identity Protocol for Linux 3.1 Progetto InfraHIP Il progetto InfraHIP [5] é stato creato da Helsinki University of Technology (TKK) e Helsinki Institute for Information Technology (HIIT). Nell'ambito di tale progetto é stato sviluppato HIP for Linux [6] e sono stati approfonditi gli aspetti di HIP relativi alle applicazioni, come ad esempio: API, Rendez-vous Server, sicurezza, end-point multipli in un singolo nodo. HIP for Linux verrá presentato nei paragra seguenti, illustrandone implementazione ed architettura [7]. 3.2 Implementazione di HIPL L'implementazione corrente di HIPL é basata sul kernel Linux standard versione Essa é essenzialmente composta da tre elementi: HIP kernel module; HIP socket handler; User space resolver library; Inoltre é presente hipconf, un semplice user space program, usato per la congurazione degli host. Esistono poi due versioni di HIPL, Kernel Based Version e User Space Version, che verranno in seguito analizzate e confrontate. Mentre nei due sotto-paragra che seguono illustreremo due importanti aspetti di HIPL: Host Identiers e Endpoint Resolution. 10

14 CAPITOLO Host Identiers Gli Host Identiers sono divisi in due categorie: quelli forniti dal sistema operativo e quelli forniti dalle applicazioni. Gli Host Identiers appartenenti alla prima categoria sono conservati sicamente nel le /etc/hip. Le chiavi asimmetriche vengono conservate in le formattati secondo Privacy Enhanced Mail (PEM ). In questo modo un HI locale viene comunicato prendendo la corrispondente chiave privata, codicata con PEM, dal le system. L'HI rappresenta proprio la chiave pubblica, la quale viene dedotta dalla chiave private presa dal kernel Endpoint Resolution Per stabilire una connessione con un nodo in genere le applicazioni di rete usano Fully Qualied Domain Name (FQDN ). Per trovare l'indirizzo IP viene eetutata una query DNS. L'interfaccia che gestisce la risoluzione dei nomi é detta Resolver. Tale interfaccia é composta da una serie di funzioni per permettere alle applicazioni di tradurre gli indirizzi di rete in nomi DNS e viceversa. Le connessioni stabilite con HIP usano gli HIT come endpoint identiers invece che usare gli indirizzi IP. Il kernel deve comunque essere a conoscenza dell'indirizzo IP corrispondente all'hit risolto, in modo tale da poter trasmettere i pacchetti alla giusta destinazione. Il mapping tra HIT e IP é infatti parte integrante del processo di risoluzione dei nomi. Le funzioni di cui sopra vengono chiamate dalle applicazioni fornendo come argomento il nome dell'host, mentre il Resolver effettua la query DNS che fornisce in risposta l'hit e l'ip corrispondente. In seguito, é lo stesso Resolver a passare queste informazioni all'hipl kernel module. L'ultimo passo compiuto dal Resolver é quello di restituire all'applicazione un Endpoint Descriptor oppure un HIT. Nella corrente implementazione di HIPL la risoluzione endpoint é congurata manualmente tramite il le /etc/host/hipl, come vedremo in seguito nella fase di congurazione precedente al testing. 11

15 CAPITOLO HIPL Application Programming Interfaces Le API [8] supportano le funzionalitá di rete di base necessarie alle applicazioni come ad esempio identity resolution e binding to sockets. Figura 3.1: Modello a livelli con API Dal punto di vista di HIP ci sono due tipologie di applicazioni di rete: quelle che usanpo il protocollo HIP in modo esplicito ricorrendo alle API Native e quelle che usano HIP attraverso le API Legacy. In Figura 3.1 si puó vedere il modello a livelli con le API Legacy HIP API I sistemi operativi basati su UNIX utilizzano libc, una libreria standardizzata del linguaggio C, la quale fornisce una interfaccia per le socket. Esiste peró un'altra implementazione chiamata libinet6 appartenente al progetto USAGI [9]. Proprio a questa implementazione si riferiscono le API Legacy le quali permettono alle applicazioni di utilizzare il protocollo HIP in maniera trasparente. In pratica solo la funzione getaddrinfo é stata modicata per permettere questa funzionalitá. Le applicazioni Legacy si servono di una interfaccia per le socket che non viene modicata. Sappiamo che gli indirizzi HIT sono compatibili con le IPv6 API per via del collegamento tra gli indirizzi HIT e quelli IPv6. Si deduce quindi che gli HIT possono essere usati con le socket IPv6. 12

16 CAPITOLO 3 Per abilitare le Legacy API esistono due diversi approcci: trasparente ed esplicito. Il primo viene usato con l'opzione transparent HIP mode ed in questo modo la funzione getaddrinfo restituisce l'hit prima degli indirizzi IPv6. Se il Resolver non riesce a trovare un collegamento tra l'hit e il nome dell'host la funzione restituisce al chiamante l'indirizzo IPv6. I vantaggi di questo approccio sono: la retrocompatibilitá con le applicazioni di rete legacy e il non dover modicare il codice delle applicazioni legacy (con la condizione che esse siano ben collegate con la libreria libinet6). Il secondo approccio invece prevede l'utilizzo di uno speciale ag, detto AI_HIP, il quale viene passato a getaddrinfo che restituisce solo gli HIT quando tale ag é settato. Questa soluzione implica peró la necessitá di introdurre alcune modiche al codice delle applicazioni Native HIP API Le applicazioni che utilizzano le API Native sono di tipo aware ovvero sono applicazioni che hanno un certo grado di controllo sul livello HIP e sugli Host Identiers (possono ad esempio specicare il proprio HI). In questo contesto é stata introdotta la famiglia PF_HIP per le socket API. Per poter usufruire delle API Native la costante PF_HIP deve essere passata come parametro alla funzione della socket. Un concetto molto importante per quanto riguarda queste API é l'endpoint Descriptor (ED) che funge da riferimento per gli HI. Le API Native perfezionano il modello dell'hip namespace. Inoltre il livello applicazione viene ridenito e per identicare le dierenti associazioni usa: ED sorgente, ED destinazione, porto sorgente, porto destinazione e tipo di protocollo di trasporto. L'interfaccia dell'ed é la sruttura sockaddr_ed: s t r u c t sockaddr_ed { unsigned s h o r t i n t ed_family ; in_port_t ed_port ; sa_ed_t ed_val ; } 13

17 CAPITOLO 3 Il campo ed_family é sempre settato a PF_HIP per indicare che la famiglia di socket é di tipo nativo. Mentre il campo ed_port contiene un numero di porto del livello di trasporto. Inne il campo ed_val é un identicatore unico dell'ed contenuto nell'hip kernel module e usato dal kernel per fare riferimento ad ED. L'impiego di questa struttura invece che sockaddr_in é l'unica dierenza introdotta rispetto alle funzioni delle comuni socket API. 3.4 Architettura di HIPL Come giá anticipato nei paragra precedenti, l'implementazione di HIPL prevede due versioni: Kernel Based Version e User Space Version. Nei due paragra che seguono analizzeremo queste due implementazioni e le confronteremo, con particolare attenzione alla Kernel Based Version Kernel Based Version In questa versione le applicazioni fanno uso della resolver library libinet6 giá citata in precedenza. Il Resolver comunica con l'hipl Kernel Module a cui sono inoltrate le chiamate alle socket native dall'hip socket handler. Le applicazioni Legacy si servono delle IPv6 socket API ma impiegano gli indirizzi HIT al posto di quelli IPv6. In Figura 3.2 é illustrata l'architettura di questa implementazione. La gura é divisa in user space e kernel space. Questa seconda sezione contiene il Kernel Module il quale implementa il protocollo HIP. Il Kernel Module si occuperá allora del base exchange, di mantenere le associazioni HIP e delle altre funzioni relative alla mobilitá come ad esempio i messaggi di update. La parte piú importante del Kernel Module é il khipd kernel thread. Questo thread resta in attesa di compiti da eseguire, i quali saranno generati e inoltrati allo stesso thread all'arrivo dei pacchetti HIP. Inoltre il Kernel Module ingloba anche l'hip socket handler. Un altro importante aspetto di questa architettura é la comunicazione tra il kernel space e lo user space che avviene tramite 14

18 CAPITOLO 3 Figura 3.2: Architettura Kernel Based Version speciche socket. In particolare lo user space comunica con l'hip kernel module attraverso la famiglia di socket PF_HIP. I dati scambiati tra user e kernel space sono praticamente dello stesso tipo di quelli racchiusi nei pacchetti HIP e quindi viene riutilizzato proprio lo stesso formato usato per i messaggi del protocollo HIP. Dal lato user space la comunicazione é portata avanti dalla resolver library e dallo strumento hipconf. Dal lato kernel space invece interviene l'hip socket handler. In generale comunque le applicazioni dello user space non comunicano direttamente con il kernel module ma sempre tramite le routines delle API Legacy o Native. HIPL si serve di particolari funzioni, dette hook, sia in input che in output, per bypassare il controllo dei pacchetti nello stack IPv6 ed eventualmente, se necessario, incaricare di tale controllo proprio il kernel module. Le hook functions sono: 1. hip_get_addr; 2. hip_handle_output; 3. hip_get_saddr; 4. hip_get_default_spi_out; 15

19 CAPITOLO 3 5. hip_handle_esp; Le prime due sono impiegate per convertire gli HIT sorgente e destinazione negli IPv6 corrispondenti nel livello IP in output. La terza stabilisce l'hit sorgente di un pacchetto che ha un HIT come indirizzo di destinazione. La quarta funzione di hook trova il valore SPI per i pacchetti ESP in uscita e l'ultima funzione rimpiazza gli IPv6 con gli HIT dei pacchetti in ingresso prima che questi vengano inoltrati al modulo IPsec. In seguito alle operazioni eseguite da quest'ultima funzione hook, il modulo IPsec cerca la corrispondente Security Association e se non ne trova una per l'indirizzo dato come destinazione viene chiamata la seconda hook function che innesca l'hip base exchange. In questo modo si avranno due SA e un'associazione HIP. Le informazione relative all'associazione HIP sono memorizzate nella Host Association Database (HADB) che é una hash table formata da HA entry. Esiste anche un Endpoint Descriptor Database (ED DB) impiegato dall'hip socket handler per conservare gli endpoint descriptor. Ogni ED entry é formata da una struttura sockaddr_ed e dal corrispondente HIT. Altre due importanti componenti della Kernel Based Version sono il Resolver e l'hip socket handler. Il primo si occupa della risoluzione endpoint per applicazioni di rete e della comunicazione al kernel module del mapping degli HI, HIT ed IP. L'HIP socket handler invece si occupa delle chiamate alle API che gli vengono inoltrate quando queste appartengono alla famiglia PF_HIP. Tale componente supporta anche gli ED, ha il compito di convertire in HIT corrispondenti e poi si occupa di inoltrare le chiamate delle API Native al Linux IPv6 Module User Space Version A dierenza della versione appena vista che prevede solo un khipd kernel thread, nella User Space Version si aanca a tale thread uno user space daemon (o piú semplicemente demone). La maggior parte delle operazione relative al protocollo HIP é compiuta da questo demone mentre le funzioni del kernel module sono essenzialmente limitate all'inoltro dei messaggi. Questa implementazione é mostrata in Figura

20 CAPITOLO 3 Figura 3.3: Architettura User Space Version Ci sono delle signicative dierenze nelle strutture dati del kernel rispetto al caso precedente. Per esempio l'hadb é stato rilocato nello user space e quindi una host association entry contiene ora l'hi usato per quella specica associazione. É stato poi aggiunto nel kernel module un database ausiliario chiamato BEETDB usato per abilitare l'integrazione HIP - IPsec. Nella pratica esso replica alcune informazione dell'hadb. Nella versione Kernel Based tutte le funzioni crittograche sono implementate nel kernel ma nella versione User Space si fa riferimento alla libreria OpenSSL per funzioni di crittograa e quindi tutte le operazioni di crittograa in HIP sono eettuate nello user space. Con la User Space Version allora anche gli HI sono conservati nello user space. 17

21 Capitolo 4 Testing 4.1 Procedura di installazione In questo capitolo vedremo prima come installare HIPL, con tutti i requisiti necessari e le varie dipendenze da risolvere. In seguito eettueremo dei test per vericarne le funzionalitá ed in particolare per analizzare il funzionamento del Rendez-vous Server Requisiti e dipendenze La prima cosa da fare é controllare se la versione di Linux utilizzata supporta BEET IPsec [10]. BEET IPsec puó essere installato secondo uno dei seguenti metodi: 1. Installare la versione del kernel o superiore poiché contiene giá il supporto a BEET. La versione corrente del kernel puó essere controllata con il comando uname -a. 2. Modicare il le /etc/init.d/hipl-rewall in modo che contenga l'opzione -i (HIPFW_OP=-bklpFi). In alternativa, dal terminale si puó eseguire il comando hipfw con le stesse opzioni. Ora per risolvere alcune dipendenze bisogna necessariamente digitare da terminale i seguenti comandi: sudo apt get i n s t a l l autoconf automake l i b t o o l make gcc l i b s s l dev sudo apt get i n s t a l l i p t a b l e s dev l i b n e t ip p e r l l i b n e t dns p e r l bzr 18

22 CAPITOLO 4 Tramite i seguenti comandi si acquisiscono altri requisiti e si risolvono altre dipendenze: sudo apt get i n s t a l l xmlto doxygen check l i b c o n f i g 8 dev miredo sudo apt get i n s t a l l f a k e r o o t dpkg dev sudo apt get i n s t a l l netcat6 debhelper d e v s c r i p t s Per quanto riguarda i requisiti di rete, bisogna vericare che il traco relativo ad HIP ed ESP non venga bloccato. Si puó controllare ció usando da terminale il comando iptables -L. Per permettere il passaggio del traco HIP attraverso il rewall bisogna aggiungere le seguenti regole (da terminale, in modalitá root): i p t a b l e s A INPUT p 139 j ACCEPT i p t a b l e s A OUTPUT p139 j ACCEPT i p t a b l e s A INPUT p udp s p o r t j ACCEPT i p t a b l e s A OUTPUT p udp dport j ACCEPT i p t a b l e s A INPUT p 50 j ACCEPT i p t a b l e s A OUTPUT p 50 j ACCEPT i p t a b l e s A INPUT p 58 j ACCEPT i p t a b l e s A OUTPUT p 58 j ACCEPT i p t a b l e s A INPUT s / 8 d / 8 j ACCEPT i p t a b l e s A OUTPUT s / 8 d / 8 j ACCEPT i p 6 t a b l e s A INPUT s : : : / 2 8 d : : : / 2 8 j ACCEPT i p 6 t a b l e s A OUTPUT s : : : / 2 8 d : : : / 2 8 j ACCEPT Installazione Ci sono due diverse modalitá di installazione: 1. Creare un nuovo le etc/apt/sources.list.d/hipl.list. Il le deve contenere la seguente stringa: deb DISTRONAME main e bisogna poi sostituire al valore DISTRONAME il nome della distribuzione in uso (in questo caso verrá usata precise). Basta poi digitare da terminale i seguenti comandi: 19

23 CAPITOLO 4 sudo apt g e t update sudo apt get i n s t a l l h i p l a l l 2. Si scarica dal sito il codice sorgente e si installa eseguendo da terminale: a u t o r e c o n f i n s t a l l. / c o n f i g u r e make make i n s t a l l Una volta completata la procedura avremo installato: HIP Daemon (HIPD) HIP Firewall Utility Daemon (HIPFW) DNS Proxy for HIP Ora possiamo eseguire l'hipd scrivendo da terminale sudo hipd. Figura 4.1: Comando hipconf daemon get hi default Come possiamo vedere nella Figura 4.1, con il comando hipconf daemon get hi default si leggono gli indirizzi HIT ed LSI assegnati durante l'esecuzione del demone. Inoltre si puó vericare che tutto sia andato a buon ne collegandosi all'indirizzo Il messaggio del sito in caso di connessione con HIP é mostrato in Figura

24 CAPITOLO 4 Figura 4.2: Rilevazione di una connessione con HIP Test di prova di un Base Exchange In questo paragrafo vedremo un semplice test in cui due host instaurano un Base Exchange. In Tabella 4.1 sono indicati gli indirizzi IPv4, IPv6 e HIT dei due host utilizzati. Nome Host IPv4 IPv6 HIT Initiator e::1 2001:0013:e87a:b8e4:68c8:258b:0fb4:68b8 Responder e::2 2001:0018:66b5:52d3:e479:7810:8446:133b Tabella 4.1: Indirizzi degli host Initiator e Responder Prima di instaurare la connessione tra i due host é necessario effettuare alcune operazioni. Le operazioni da eseguire da terminale al Responder sono le seguenti: 1. sudo ifcong NOME_INTERFACCIA inet6 add 3e::2/64 2. sudo hipd -b 3. nc6 -l -p 5000 Il primo comando aggiunge all'interfaccia usata dall'host un indirizzo di tipo 3e::xx/64, mentre l'ultimo comando permette all'host di attendere una connessione sulla porta scelta. Le operazioni da eseguire all'initiator sono le seguenti: 1. sudo ifcong NOME_INTERFACCIA inet6 add 3e::1/64 2. modicare il le /etc/hosts aggiungendo : 21

Dimostrazione di HIP nel SO Linux

Dimostrazione di HIP nel SO Linux Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Elaborato finale in Protocolli per Reti Mobili Anno Accademico 2011/2012 Candidato: RAFFAELE OLIVIERO matr. N46000460 Indice Introduzione

Dettagli

Università di Napoli Federico II Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Corso di Protocolli per Reti Mobili

Università di Napoli Federico II Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Corso di Protocolli per Reti Mobili Università di Napoli Federico II Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Corso di Protocolli per Reti Mobili Host Identity Protocol (HIP) IP: punti deboli L'evoluzione di Internet

Dettagli

Problemi legati alla sicurezza e soluzioni

Problemi legati alla sicurezza e soluzioni Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Accesso remoto ad impianti domotici Problemi legati alla sicurezza e soluzioni Domotica

Dettagli

Sicurezza delle reti e dei calcolatori

Sicurezza delle reti e dei calcolatori Sicurezza e dei calcolatori Introduzione a IPSec Lezione 11 1 Obiettivi Aggiungere funzionalità di sicurezza al protocollo IPv4 e IPv6 Riservatezza e integrità del traffico Autenticità del mittente La

Dettagli

Sicurezza nelle reti IP

Sicurezza nelle reti IP icurezza nelle reti IP L architettura IPsec IPsec Proposta IETF per fare sicurezza al livello IP (livello 3) Compatibile con IPv4 e IPV6 (RFC-2401) Permette di Creare VPN su reti pubbliche Fare sicurezza

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link Sicurezza ai livelli di rete e data link Sicurezza a livello applicativo Ma l utilizzo di meccanismi di cifratura e autenticazione può essere introdotto anche ai livelli inferiori dello stack 2 Sicurezza

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

StarShell. IPSec. StarShell

StarShell. IPSec. StarShell IPSec 1 IPSec Applicabile sia a Ipv4 che Ipv6 Obiettivi: Facilitare la confidenzialità, integrità ed autenticazione di informazioni trasferite tramite IP Standard di interoperabilità tra più vendor Protocolli:

Dettagli

Host Identity Protocol

Host Identity Protocol Università degli Studi del Piemonte Orientale Facoltà di Scienze M.F.N. Corso di Laurea Specialistica in Informatica Sistemi Avanzati e Servizi di Rete Host Identity Protocol Relazione per il corso di

Dettagli

Elementi di Sicurezza informatica

Elementi di Sicurezza informatica Elementi di Sicurezza informatica Secure Socket Layer Università degli Studi di Perugia Indice 1 1.Introduzione 2 3 Perché SSL Funzionalità Storia di SSL Introduzione Introduzione Perché SSL; Funzionalità;

Dettagli

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità Chiara Braghin Dalle news 1 Internet ISP Backbone ISP Routing locale e tra domini TCP/IP: routing, connessioni BGP (Border

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Host Identity Protocol

Host Identity Protocol Host Identity Protocol Seminario per il corso di Sicurezza 2004/2005 Guido Vicino Università del Piemonte Orientale Amedeo Avogadro Perché l indirizzo IP non basta più Protocollo TCP/IP formalizzato negli

Dettagli

Secure socket layer (SSL) Transport layer security (TLS)

Secure socket layer (SSL) Transport layer security (TLS) Servizi Sicuri per le comunicazioni in rete Secure socket layer (SSL) Transport layer security (TLS) Applicaz. TTP TCP Applicaz. TTP SSL/TLS TCP SSL: Netscape TLS:RFC 2246 Applicaz. TTPS TCP andshake Change

Dettagli

IP Internet Protocol

IP Internet Protocol IP Internet Protocol Vittorio Maniezzo Università di Bologna Vittorio Maniezzo Università di Bologna 13 IP - 1/20 IP IP è un protocollo a datagrammi In spedizione: Riceve i dati dal livello trasporto e

Dettagli

Protocolli di Comunicazione

Protocolli di Comunicazione Protocolli di Comunicazione La rete Internet si è sviluppata al di fuori dal modello ISO-OSI e presenta una struttura solo parzialmente aderente al modello OSI. L'architettura di rete Internet Protocol

Dettagli

La nascita di Internet

La nascita di Internet La nascita di Nel 1969 la DARPA (Defence Advanced Research Project Agency) studia e realizza la prima rete per la comunicazione tra computer (ARPAnet) fra 3 università americane ed 1 istituto di ricerca.

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Parte II: Reti di calcolatori Lezione 16

Parte II: Reti di calcolatori Lezione 16 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II: Reti di calcolatori Lezione 16 Giovedì 24-04-2014 1 Traduzione degli

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Seconda esercitazione Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Test di connettività ping traceroute Test del DNS nslookup

Dettagli

IpSec è una proposta IETF per fare sicurezza al livello IP RFC 2041, 2042, 2046, 2048

IpSec è una proposta IETF per fare sicurezza al livello IP RFC 2041, 2042, 2046, 2048 Network Security Elements of Network Security Protocols The IpSec architecture Roadmap Architettura di base Modalità tunnel e client ESP, AH Cenni a IKE 2 Informazioni generali IpSec è una proposta IETF

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità ping traceroute netstat Test del DNS nslookup

Dettagli

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006 Gaspare Sala Introduzione Una rete pubblica è un insieme di sistemi indipendenti che si scambiano dati

Dettagli

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15 Sicurezza dei sistemi e delle 1 Mattia Lezione VI: Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

Reti private virtuali (VPN) con tecnologia IPsec

Reti private virtuali (VPN) con tecnologia IPsec Reti private virtuali (VPN) con tecnologia IPsec A.A. 2005/2006 Walter Cerroni Reti private e reti private virtuali Aziende e/o enti di dimensioni medio/grandi in genere hanno necessità di interconnettere

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti Manipolazione indirizzi IP 1 Concetti Reti Rete IP definita dalla maschera di rete Non necessariamente concetto geografico Non è detto che macchine della stessa rete siano vicine 2

Dettagli

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy

Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Laboratorio del corso Progettazione di Servizi Web e Reti di Calcolatori Politecnico di Torino AA 2014-15 Prof. Antonio Lioy Soluzioni dell esercitazione n. 2 a cura di Giacomo Costantini 19 marzo 2014

Dettagli

Politecnico di Bari. Facoltà di Ingegneria Elettronica. Corso di Reti di Telecomunicazioni

Politecnico di Bari. Facoltà di Ingegneria Elettronica. Corso di Reti di Telecomunicazioni Politecnico di Bari Facoltà di Ingegneria Elettronica Corso di Reti di Telecomunicazioni Internet Protocol versione 4 Generalità sulle reti IP... 2 Lo header IP versione 4... 3 Concetti generali sugli

Dettagli

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it

Corso GNU/Linux - Lezione 5. Davide Giunchi - davidegiunchi@libero.it Corso GNU/Linux - Lezione 5 Davide Giunchi - davidegiunchi@libero.it Reti - Protocollo TCP/IP I pacchetti di dati vengono trasmessi e ricevuti in base a delle regole definite da un protocollo di comunicazione.

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Crittografia Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Elementi di crittografia Crittografia: procedimento

Dettagli

Transmission Control Protocol

Transmission Control Protocol Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione

Dettagli

Reti di Comunicazione e Internet

Reti di Comunicazione e Internet Politecnico di Milano Dipartimento di Elettronica e Informazione Reti di Comunicazione e Internet Laboratorio 6. Wireshark e Protocolli Applicativi Agenda della lezione Wireshark Protocolli applicativi:

Dettagli

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI) Reti Architettura a livelli (modello OSI) Prevede sette livelli: applicazione, presentazione, sessione, trasporto, rete, collegamento dei dati (datalink), fisico. TCP/IP: si può analizzare in maniera analoga

Dettagli

Reti di Calcolatori. Master "Bio Info" Reti e Basi di Dati Lezione 2

Reti di Calcolatori. Master Bio Info Reti e Basi di Dati Lezione 2 Reti di Calcolatori Sommario Software di rete TCP/IP Livello Applicazione Http Livello Trasporto (TCP) Livello Rete (IP, Routing, ICMP) Livello di Collegamento (Data-Link) I Protocolli di comunicazione

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Introduzione alle applicazioni di rete

Introduzione alle applicazioni di rete Introduzione alle applicazioni di rete Definizioni base Modelli client-server e peer-to-peer Socket API Scelta del tipo di servizio Indirizzamento dei processi Identificazione di un servizio Concorrenza

Dettagli

TCP: trasmissione Source port [16 bit] - Identifica il numero di porta sull'host mittente associato alla connessione TCP. Destination port [16 bit] - Identifica il numero di porta sull'host destinatario

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

Esercitazione 5 Firewall

Esercitazione 5 Firewall Sommario Esercitazione 5 Firewall Laboratorio di Sicurezza 2015/2016 Andrea Nuzzolese Packet Filtering ICMP Descrizione esercitazione Applicazioni da usare: Firewall: netfilter Packet sniffer: wireshark

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando

Comandi di Rete. Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando Comandi di Rete Principali Comandi di Rete. Verificare, testare ed analizzare da Riga di Comando PING: verifica la comunicazione tra due pc Il comando ping consente di verificare la connettività a livello

Dettagli

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci CORSO DI RETI SSIS Lezione n.2. 2 Novembre 2005 Laura Ricci IL DOMAIN NAME SYSTEM (DNS) Indirizzi IP poco adatti per essere memorizzati da utenti umani è prevista la possibiltà di associare nomi simbolici

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Radius AAA Dato un certo numero di punti di accesso dall esterno alla rete Data una grande quantità di utenti Abbiamo la necessità

Dettagli

SECURE SOCKET LAYER FEDERICO REALI

SECURE SOCKET LAYER FEDERICO REALI SECURE SOCKET LAYER FEDERICO REALI Sommario. In questo articolo vengono esposte le principali caratteristiche del protocollo SSL. Esso è stato introdotto sin dal 1994 e rappresenta una delle soluzioni

Dettagli

Livello Applicazione. Davide Quaglia. Motivazione

Livello Applicazione. Davide Quaglia. Motivazione Livello Applicazione Davide Quaglia 1 Motivazione Nell'architettura ibrida TCP/IP sopra il livello trasporto esiste un unico livello che si occupa di: Gestire il concetto di sessione di lavoro Autenticazione

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete IP Analizziamo con sufficiente dettaglio il sistema denominato IP, usato per consentire a due computer mobili di spostarsi liberamente in altre reti pur mantenendo lo stesso indirizzo IP. In particolare,

Dettagli

Il Mondo delle Intranet

Il Mondo delle Intranet Politecnico di Milano Advanced Network Technologies Laboratory Il Mondo delle Intranet Network Address Translation (NAT) Virtual Private Networks (VPN) Reti Private e Intranet EG sottorete IG IG rete IG

Dettagli

Corso di Sistemi di Elaborazione delle informazioni

Corso di Sistemi di Elaborazione delle informazioni Corso di Sistemi di Elaborazione delle informazioni Reti di Calcolatori Claudio Marrocco Componenti delle reti Una qualunque forma di comunicazione avviene: a livello hardware tramite un mezzo fisico che

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

IPv6 e mobilità. Conferenza GARR_05 6net Workshop Pisa, 12 Maggio 2005. Stefano Lucetti

IPv6 e mobilità. Conferenza GARR_05 6net Workshop Pisa, 12 Maggio 2005. Stefano Lucetti IPv6 e mobilità Conferenza GARR_05 6net Workshop Pisa, 12 Maggio 2005 Stefano Lucetti http://netgroup.iet.unipi.it Gruppo Reti di Telecomunicazioni Dip. di Ingegneria dell Informazione Università di Pisa

Dettagli

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client Esercitazione 3 Sommario Configurazione della rete con DHCP Funzionamento Configurazione lato server Configurazione lato client 2 Sommario Strumenti di utilità arp ping traceroute netstat Test del DNS

Dettagli

Livello cinque (Livello application)

Livello cinque (Livello application) Cap. VII Livello Application pag. 1 Livello cinque (Livello application) 7. Generalità: In questo livello viene effettivamente svolto il lavoro utile per l'utente, contiene al suo interno diverse tipologie

Dettagli

5. Traduzione degli indirizzi di rete in indirizzi fisici: ARP

5. Traduzione degli indirizzi di rete in indirizzi fisici: ARP 5. Traduzione degli indirizzi di rete in indirizzi fisici: ARP 5.1. Introduzione Due macchine si parlano solo se conoscono l'indirizzo fisico di sottorete Due applicazioni si parlano solo se conoscono

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo) iptables passo-passo Prima del kernel 2.0 ipfwadm, dal kernel 2.2 ipchains, dopo il kernel 2.4 iptables Firewall (packet filtering, Nat (Network Address Translation)) NetFilter (layer del kernel per il

Dettagli

Reti di Telecomunicazione Lezione 6

Reti di Telecomunicazione Lezione 6 Reti di Telecomunicazione Lezione 6 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Lo strato di applicazione protocolli Programma della lezione Applicazioni di rete client - server

Dettagli

Ipsec. Il protocollo Internet abilita la comunicazione su un mezzo. consegna del pacchetto. Si parla di servizio best effort

Ipsec. Il protocollo Internet abilita la comunicazione su un mezzo. consegna del pacchetto. Si parla di servizio best effort Il protocollo Internet abilita la comunicazione su un mezzo condiviso tra sistemi che non sono direttamente collegati tra loro Ing. Michela Cancellaro Ipsec Ing. Federica Battisti IP offre un servizio

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Il livello Network del TCP/IP. Il protocollo IP (versione 4)

Il livello Network del TCP/IP. Il protocollo IP (versione 4) Il livello Network del TCP/IP. Il protocollo IP (versione 4) L architettura TCP/IP (il cui nome più preciso è ) è formata da diversi componenti, che si posizionano nello stack dei protocolli a partire

Dettagli

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet Indirizzi Internet e Protocolli I livelli di trasporto delle informazioni Comunicazione e naming in Internet Tre nuovi standard Sistema di indirizzamento delle risorse (URL) Linguaggio HTML Protocollo

Dettagli

Processi in Linux. Igino Corona igino.corona@diee.unica.it. 20 Ottobre 2009

Processi in Linux. Igino Corona igino.corona@diee.unica.it. 20 Ottobre 2009 Sistemi Operativi Processi in Linux Igino Corona igino.corona@diee.unica.it 20 Ottobre 2009 Contenuti della lezione Come funzionano i programmi in Linux? Schema base di esecuzione di un programma Modalità

Dettagli

Linux Network Testing

Linux Network Testing Introduzione agli strumenti per il testing di rete su Linux 6, 13 Novembre 2007 Sommario 1 Introduzione Panoramica sugli strumenti di misura 2 I tool di base per l amministrazione di rete Configurare le

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Per evitare di 14/11/2003 1

Per evitare di 14/11/2003 1 Per evitare di 14/11/2003 1 meno teoria e un po più di pratica 14/11/2003 2 LAN con Server Proxy Sono un Server Proxy 14/11/2003 3 Cosa serve? Componenti hardware e software necessari per costruire una

Dettagli

Elementi di Informatica

Elementi di Informatica Università degli Studi di Catania FACOLTA DI MEDICINA E CHIRURGIA Elementi di Informatica Anno accademico: 2008/2009 Docente: Dr. Angelo Nicolosi angelo.nicolosi@unict.it I protocolli di Internet

Dettagli

VPN. e Sicurezza: IPSec

VPN. e Sicurezza: IPSec VPN e Sicurezza: IPSec Tesina di: Claudio Alberto Pisapia Emanuel Weitschek Indice VPN: rapida introduzione WAN e Intranet: accenni VPDN e ESP VPN: Security Firewall AAA Server Crittografia IPSec Molte

Dettagli

Una Introduzione a TLSv1.0

Una Introduzione a TLSv1.0 ICT Security n. 32 e 34, Marzo/Maggio 2005 p. 1 di 8 Una Introduzione a TLSv1.0 In questa rubrica abbiamo già avuto modo di descrivere protocolli ed applicazioni che sfruttano SSL/TLS (Secure Socket Layer

Dettagli

La sicurezza delle reti

La sicurezza delle reti La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC?

Dettagli

Reti di Calcolatori. Master "Bio Info" Reti e Basi di Dati Lezione 4

Reti di Calcolatori. Master Bio Info Reti e Basi di Dati Lezione 4 Reti di Calcolatori Sommario Software di rete Livello Trasporto (TCP) Livello Rete (IP, Routing, ICMP) Livello di Collegamento (Data-Link) Software di rete Livello Rete (IP, Routing, ICMP) Se i protocolli

Dettagli

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico IP e subnetting Ip IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico come nel caso del MAC Address) una

Dettagli

AdRem Free itools 2006. - L importanza degli strumenti di diagnostica -

AdRem Free itools 2006. - L importanza degli strumenti di diagnostica - AdRem Free itools 2006 - L importanza degli strumenti di diagnostica - Introduzione La capacità di configurare, gestire e risolvere i problemi relativi alle reti TCP/IP è parte fondamentale dell attività

Dettagli

Introduzione allo sniffing

Introduzione allo sniffing Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2007/2008 Introduzione allo sniffing Roberto Paleari 2-4 Settembre 2008 Roberto Paleari Introduzione

Dettagli

Reti di Calcolatori in Tecnologia IP

Reti di Calcolatori in Tecnologia IP Reti di Calcolatori in Tecnologia IP Il Livello Transport e TCP Dott. Marco Bianchi 04/12/2001 1 Agenda Introduzione Indirizzamento Protocolli di livello transport Attivazione e rilascio di una connessione

Dettagli

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I Corso di Laurea in Ingegneria Informatica Corso di Reti di Calcolatori I Roberto Canonico (roberto.canonico@unina.it) Giorgio Ventre (giorgio.ventre@unina.it) Il livello rete in Internet Il protocollo

Dettagli

Protocollo IP e collegati

Protocollo IP e collegati Protocollo IP e collegati Argomenti trattati: formato del pacchetto IP; servizi del protocollo IP; formato degli indirizzi; instradamento dei datagrammi; classi di indirizzi A, B, C, D; indirizzi speciali,

Dettagli

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com NETASQ V9: PKI & Controllo accessi Presentation Marco Genovese Presales engineer marco.genovese@netasq.com Alcuni concetti Alcuni concetti prima di incominciare per chiarire cosa è una PKI e a cosa serve

Dettagli

IP Mobility. Host mobili

IP Mobility. Host mobili IP Mobility Reti II IP Mobility -1 Host mobili! Dispositivi wireless o wired mobili! Connessione alla rete attraverso: " Wireless LAN " Reti cellulari " Reti Satellitari " LAN " Etc.! Una rete di riferimento

Dettagli

Corso di Sicurezza Informatica. Sicurezza Web. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza Web. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza Web Ing. Gianluca Caminiti SSL Sommario Considerazioni sulla Sicurezza del Web Secure Socket Layer (SSL) 3 Brevi Considerazioni sulla Sicurezza del Web Web come

Dettagli

Capitolo 4: Gli indirizzi dell Internet Protocol (IP address)

Capitolo 4: Gli indirizzi dell Internet Protocol (IP address) Capitolo 4: Gli indirizzi dell Internet Protocol (IP address) 4.1 Fondamenti sugli indirizzi dell Internet Protocol Gli indirizzi IP identificano in modo univoco ciascun host su una internet TCP/IP. Un

Dettagli

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli) Sommario Esercitazione 05 Angelo Di Iorio (Paolo Marinelli)! Packet Filtering ICMP! Descrizione esercitazione! Applicazioni utili: " Firewall: wipfw - netfilter " Packet sniffer: wireshark!"#!$#!%&'$(%)*+,')#$-!"#!$#!%&'$(%)*+,')#$-

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Uso di sniffer ed intercettazione del traffico IP

Uso di sniffer ed intercettazione del traffico IP Uso di sniffer ed intercettazione del traffico IP Massimo Bernaschi Istituto per le Applicazioni del Calcolo Mauro Picone Consiglio Nazionale delle Ricerche Viale del Policlinico, 137-00161 Rome - Italy

Dettagli

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori I semestre 03/04 Internet Control Message Protocol ICMP Comunica messaggi di errore o altre situazioni che richiedono intervento Errore di indirizzo o di istradamento Congestione in un router Richiesta

Dettagli

Reti di Calcolatori. Lezione 2

Reti di Calcolatori. Lezione 2 Reti di Calcolatori Lezione 2 Una definizione di Rete Una moderna rete di calcolatori può essere definita come: UN INSIEME INTERCONNESSO DI CALCOLATORI AUTONOMI Tipi di Rete Le reti vengono classificate

Dettagli

Sicurezza della posta elettronica

Sicurezza della posta elettronica Elementi di Sicurezza e Privatezza Lezione 15 Sicurezza della posta elettronica Chiara Braghin chiara.braghin@unimi.it! Sicurezza della posta elettronica 1 Posta elettronica (1) Una mail è un messaggio

Dettagli

Sicurezza a livello IP: IPsec e Linux

Sicurezza a livello IP: IPsec e Linux Sicurezza a livello IP: IPsec e Linux FreeS/WAN Davide Cerri Pluto Meeting 2001 Problematiche di sicurezza Sicurezza può voler dire diverse cose... riservatezza autenticazione integrità disponibilità autorizzazione

Dettagli

Socket API per il Multicast

Socket API per il Multicast Socket API per il Multicast Massimo Bernaschi Istituto per le Applicazioni del Calcolo Mauro Picone Consiglio Nazionale delle Ricerche Viale del Policlinico, 137-00161 Rome - Italy http://www.iac.cnr.it/

Dettagli

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione

Sommario. Introduzione ai firewall. Firewall a filtraggio dei pacchetti. Il firewall ipfw. Definizione e scopo Classificazione Sesta Esercitazione Sommario Introduzione ai firewall Definizione e scopo Classificazione Firewall a filtraggio dei pacchetti Informazioni associate alle regole Interpretazione delle regole Il firewall

Dettagli

OpenVPN: un po di teoria e di configurazione

OpenVPN: un po di teoria e di configurazione OpenVPN: un po di teoria e di configurazione Andrea Lanzi, Davide Marrone, Roberto Paleari Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2006/2007

Dettagli

Gli indirizzi dell Internet Protocol. IP Address

Gli indirizzi dell Internet Protocol. IP Address Gli indirizzi dell Internet Protocol IP Address Il protocollo IP Prevalente è ormai diventato nell implementazione di reti di computer la tecnologia sintetizzata nei protocolli TCP- Ip IP è un protocollo

Dettagli

Reti di Calcolatori. Il software

Reti di Calcolatori. Il software Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla

Dettagli

Internet, così come ogni altra rete di calcolatori possiamo vederla suddivisa nei seguenti componenti:

Internet, così come ogni altra rete di calcolatori possiamo vederla suddivisa nei seguenti componenti: Pagina 1 di 8 Struttura di Internet ed il livello rete Indice Struttura delle reti Estremità della rete Il nucleo della rete Reti a commutazione di pacchetto e reti a commutazione di circuito Funzionalità

Dettagli