CentrodiCompetenza perl'opensourcedella RegioneUmbria GNU/LinuxUser GroupPerugia NetworkingLinux PaoloGiardini AIPPrivacyOfficer EucipCertifiedInformaticsProfessional Consulenteperlasicurezzadelleinformazioni SocioAIP OPSI AIPSI CLUSIT ISSA FORMEZ ConsiglioDirettivoGNU/LUGPerugia CentrodiCompetenzaperl'OpenSource Perugia,25febbraio2008
WhoisPaoloGiardini Consulenteperlasicurezzadelleinformazioni EucipCertified EuropeanCertificationofInformaticsProfessionals MembrodelComitatoEsecutivodelCCOSdellaRegioneUmbria SocioFondatoreeConsiglieredelGNU/LUGPerugia PrivacyOfficerAIP AssociazioneInformaticiProfessionisti ResponsabileRelazioniOPSI OsservatorioNazionalePrivacyeSicurezza Informatica SocioCLUSIT AssociazioneItalianaperlaSicurezzaInformatica SocioAIPSIAssociazioneItalianaProfessionistiSicurezzaInformatica SocioISSAInformationSystemSecurityAssociation Iscrittoall'AlboConsulentieDocentiFORMEZ DipartimentodellaFunzione Pubblica ThawteWebofTrustNotary SocioILSItalianLinuxSociety
Sommario reteereti:laneinternet infrastruttura:ethernet,wi fi,hub,switch,router,gateway,firewall lasuitetcp/ipediprotocolli:telnet,ssh,http,https,pop,smtp indirizzoipenetmask,configurareunaretelocale,configurareuna connessione(pppoeconf) comandilinux:ifconfig,route,ping,traceroute,dhclient,netstat,tcpdump, whois filediconfigurazione:/etc/network/interfaces, /etc/resolv.conf,/etc/hosts iservizidnsedhcp wireless:configurazioneesicurezza
Reteereti CosaNONèunarete? Computerchenoncomunicano
Reteereti Cosaèunarete? 10101001 Computerchecomunicanoe condividonorisorse
Internet Internetèunaretecompostadacomputerinterconnessi. Una"retedireti".
Internet Percollegarmiadinternethobisogno diconfigurareilmiopcperchè utilizziunarete. Vedremocomefunzionaunarete,e qualisonogliapparatichela compongono. Parleremoinoltredicomeconfigurare unpcperlavorareinreteequali sonoicomandilinuxper configurare,analizzareegestireuna rete.
Ethernet Ethernetèunprotocollodiretealivello dicollegamento.ilsuoscopoèquellodi trasferireinformazioniattraverso connessioniviacavo,incapsulandoibit inpacchettidilunghezzavariabile chiamatiframe,codificatonellostandard IEEE802.3.Ognihostdeveessere equipaggiatoconunaschedadirete costruitasecondoquestostandard. Ognischedavieneidentificataper mezzodiuncodiceunivoco (toricamentenonesistonodueschede conlostessocodice)chiamatoindirizzo MAC(MediaAccessControl)di lunghezza6byte.
Wi Fi Wi Fi,abbreviazionediWirelessFidelity, èunterminecheindicadispostitiviche possonocollegarsiaretilocalisenzafili (WLAN)basatesullespecificheIEEE 802.11.Glihostdotatidischedawi fisi colleganoadunapparatodettoaccess Pointchetrasmetteidativiaradio. Questocomportanotevoliproblemidi sicurezzainquantochiunqueconuna sempliceschedawi fipuòconnettersi adunaccesspointnonadeguatamente protettoedavereaccessocosìaccesso allaretelocaleedallesuerisorse.
HubeSwitch Unhubèundispositivohardwareche svolgeilcompitodiconcentratore. Quandoricevedeidatidaunaqualsiasi dellesueportenonfanient'altroche inoltrarlisututtelealtre;proprioper questosidicechelavorainbroadcast. Questofattoèmoltoimportante,in quanto,conl'aumentodeipccollegatiin unhubdiminuiscelabandadisponibile vistocheunsingolodatodeveessere inviatoatuttelealtreporte.proprioper questoèsconsigliatousaredeglihubse bisognacollegarefraloropiùdi8pc.
HubeSwitch Loswitchèundispositivopiù "intelligente"dell'hub,inquantoèin gradodiinstradareipacchettididatiin manierapointtopoint.questoè possibileperchèloswitch,alsuo interno,haunatabelladituttigliindirizzi delleschedediretecollegateequando gliarrivaunpacchettosachièil destinatarioeloinviasoloalui.questo permettedirisolvereilproblemadel broadcastchesi verificavaneglihub,aumentandole prestazionidellarete.
Router Ilrouterèundispositivodiretechesioccupa diinstradarelecomunicazionisullereti.la caratteristicafondamentaledeirouterèchela funzionediinstradamentoèbasatasugli indirizzidilivello3(rete)"ip"delmodelloosi, adifferenzadelloswitchcheinstradasulla basedegliindirizzidilivello2(collegamento) "MAC"sonoqundiingradodimemorizzarele rottenonpersingolicalcolatorimaperintere reti.unavoltaistruitisullaretenellaquale lavoranosonoingradodiapprendendere, scambiandosiinformazionifradiloro,seuna reteèraggiugibileomenoequalepercorso siamiglioreperfarlo. SonoidispositivifondamentalidiInternet.
Gateway Ilgateway(dall'inglese,portone, passaggio)èundispositivodireteche operaallivellodireteesuperioridel modelloiso/osi. Ilsuoscopoprincipaleèquellodi veicolareipacchettidireteall'esterno dellaretelocale(lan).danotareche gatewayèunterminegenericocheindica ilserviziodiinoltrodeipacchettiverso l'esterno;ildispositivohardwareche porteràaterminequestocompitoè tipicamenteunrouter.
Firewall IlFirewall(termineinglesepermuro tagliafuoco)serveadimplementare misuredisicurezzaseparando fisicamentedueopiùreti.graziealla suaposizione,èilpassaggioobbligato dituttiipacchettiintransitoche possonopertantoessereesaminati secondodeterminateregole preimpostate,inbaseallequali potrannoesserpresedecisionicomefar passareomenoilpacchettoodattivare specificieventi.
TCP/IP LasuiteTCP/IPèilgruppodiprotocollisu cuisibasainternet.tramitequestiprotocolli èpossibilefargiungereipacchettididatia destinazione,verificarnelacorrettezza, individuareproblemidiconnessione.i protocollidibasesonoiltransmission ControlProtocol(TCP)el'InternetProtocol (IP)mafannopartedellasuite,perfarealcuni esempi,udp,http,ftp,edecinedialtri protocolli.ilmodelloiso/osivieneusatoper spiegareleinterazionifraivaristrati(layer) edhaalcunesimilitudiniconilmodello TCP/IPcheperòrisultadipiùsemplice applicazionepratica. A p p l i c a t i transport o n internet Network access
IndirizzoIPeNetmask L'indirizzoIPèilcodicecheidentificaun computerall'internodiunaretetcp/ip. E'compostoda4numeriseparatidaun punto.lopotremmodefinireanalogoad unindirizzopostale.dasoloservera poco,cinecessitaanchelanetmask cheèuncodicesimileall'indirizzoip cheindicalaretediappartenenza. Inoltreabbiamobisognodiconoscere anchel'indirizzodelgateway,ovvero dellaportatramitelaqualeinostri pacchettipotrannousciredallanostra retelocaleeraggiungereunhostposto suinternet. Trattoda:http://www.ebruni.it
ifconfig Perconfigurareunaschedadireteservonoalcuneinformazioni:indirizzoIPda assegnare,netmask,gateway,serverdns. Ifconfigèilcomandoconilqualesiconfiguradashellunaschedadirete root:~#ifconfigeth1192.168.1.50netmask255.255.255.0up Comando interfaccia IndirizzoIP netmask Attivalascheda (downperspegnerla)
route Ilcomandoroutepermettedidefiniregliinstradamentiattraversoleinterfaccedi reteconfigurateprecedentemente. Inpraticaserveadimpostareilgateway. Route nmostralatabelladiroutingattuale paolo@kubuntu:~$route n KernelIProutingtable DestinationGatewayGenmaskFlagsMetricRefUseIface 192.168.2.00.0.0.0255.255.255.0U000eth0 0.0.0.0192.168.2.2130.0.0.0UG000eth0 Perconfigurareildefaultgateway routeadddefaultgwindirizzo_ip_gw Pereliminarelaroutedidefault routedeldefault
/etc/resolv.conf IlDNS,ovveroDomainNameSystemèilserviziochepermettediassociareun indirizzoipadunaurl(uniformresourcelocator),l'indirizzowebad esempiorichiedendoloadserverspecializzatichegestisconoildatabase distribuito.seilserverinterrogatononhal'informazionerichestaècomunque incontattoconaltridnsserverchepossonofornirla. InLinuxlaconfigurazionediqualeDNSserverinterrogarevienemantenutanel fil/etc/resolv.confchehaquestastruttura: paolo@kubuntu:~$cat/etc/resolv.conf searchlocaldomain nameserver151.99.125.1 nameserver212.216.112.112 Possiamoinserirefinoa3DNS,laricercaverràeffettuatasequenzialmentesul secondoedeventualmentesulterzonelcasoilprimononrisponda.
/etc/hosts /etc/hostsèunsemplicefileditestochecontienenomidihostedindirizzi.quando uncomputercercadiconnettersiadunaltro,primadieffettuareunarichiestaad unserverdnscercanelfile/etc/hostssehagiàl'informazionechegliserve. Questopuòservireperassegnaredeglialiasalivellolocale,perindirizzarea computerlocaliconnessiinlan,permemorizzaregliindirizziusatidifrequente riducendolanecessitàdieffettuarerichiesteesterne,oppureperesigenzedi sicurezza. Leinformazioniin/etc/hostssononelseguienteformato: [IndirizzoInternet][nomehostufficiale][alias1][alias2]... Adesempio: 10.0.0.1myRealHostname.example.commyRealHostnamefoobar1
/etc/network/interfaces Ilfileditesto/etc/network/interfaces contienelaconfigurazionedellarete.se vieneimpostato,alsuccessivoriavviodel pclaretesaràconfigurata automaticamente. Dopoaveremodificatomanualmente laconfigurazione,perapplicarla lanciareilcomando: #/etc/init.d/networking restart /etc/network/interfaces: #/etc/network/interfaces #theloopbackinterface autolo ifaceloinetloopback #seconfiguratamanualmente autoeth0 ifaceeth0inetstatic address192.168.1.42 netmask255.255.255.0 broadcast192.168.1.255 gateway192.168.1.1 #seconfigurataviadhcp autoeth2 ifaceeth1inetdhcp
Dhcpedhclient Oltrechemanualmenteèpossibile paolo@kubuntu:~$sudodhclient effettuarelaconfigurazionedellaretein Password: modoautomaticomedianteiservizi offertidaserverdhcp(dynamichost ListeningonLPF/eth0/00:0c29:5c:dd:d7 SendingonLPF/eth0/00:0c:9:5c:dd:d7 ConfigurationProtocol)impostando SendingonSocket/fallback DHCPDISCOVERoneth0to255.255.255.255port67 correttamenteilfile interval6 /etc/network/interfaceoppuretramiteil DHCPOFFERfrom192.168.2.213 comandodhclientcheinviainmodalità DHCPREQUESToneth0to255.255.255.255port67 broadcastunarichiestaallaqualeil DHCPACKfrom192.168.2.213 boundto192.168.2.67 renewalin20041 serverrispondeconl'offertadiun seconds. indirizzoip.sel'offertavieneaccettatail pcsiconfiguraautomaticamenteanche conglialtriparametriprevisti(dns serverprimarioesecondario,gateway, proxy)
Configurarelaschedadirete PerconfigurarelaschedadiretetramiteinterfacciagraficainKubuntudamenu cliccaresusystemsettings,quindisunetworksettings,infinesunetwork Connectionsimpostandoindirizzo,netmask,gateway,serverDNS.
Configurarelaschedadirete SeladistribuzioneinstallateèUbuntusipuòutilizzarel'interfacciagraficadi NetworkManagerilcuiusoèintuitivounavoltaappresiiconcettidibase.
ConfigurareInternet PerconfigurareunaconnessionetramitemodemADSLconschedaethernetsi usailprogrammapppoeconf.dopoaverconfiguratolaschedadirete,aprite unashellelanciateilcomando: sudopppoeconf Bastarisponderealledomande(schedaEthernetdausare,nomeutentee password,abilitazionedellaconnessioneall avvio)perconfigurarela connessione,attivadidefault. Perdisabilitareeriattivarealconnessioneusarerispettivamenteicomandi: poffnome connessione ponnome connessione
ping Pingèunprogrammadisponibilesuiprincipalisistemioperativichemisurail tempo,espressoinmillisecondi,impiegatodaunoopiùpacchettiicmp(internet ControlMessageProtocol)araggiungereunaltrocomputeroserverinrete(sia essainternetolan)edaritornareindietroall'origine.èutilizzatopereffettuare testdiagnosticidelleconnessioni TecnicamentepinginviaunpacchettoICMPdiechorequesterimaneinattesadi unpacchettoicmpdiechoresponseinrisposta.solitamenteinfattilapartedi sistemaoperativodedicataallagestionedellereti(stackdirete)èprogrammata perrispondereautomaticamenteconunpacchettoechoresponseallaricezione diunpacchettodiechorequest,anchesenonèinfrequentetrovareserverche nonrispondonoalpingperpresuntimotividisicurezza. sh:~$ping192.168.1.1(inviapacchettinostop) sh:~$ping c4192.168.1.1(inviailnumerodipacchettiimpostato)
traceroute Tracerouteèilprogrammachepermettediindividuareilpercorsocheipacchetti direteeffettuanopergiungereadestinazione.permettedieffettuare trobleshootingedanalisidirete. paolo@kubuntu:~$traceroute tracerouteto(195.110.150.4),30hopsmax,40bytepackets 1192.168.2.213(192.168.2.213)2.094ms1.438ms1.416ms 2192.168.100.1(192.168.100.1)100.673ms98.366ms102.746ms 3host37 63 static.40 88 b.business.telecomitalia.it(88.40.63.37)147.061 ms96.002ms96.035ms 4r pg19 vl11.opb.interbusiness.it(80.17.208.194)96.066ms102.584ms132.202ms 5host245 8 static.20 80 b.business.telecomitalia.it(80.20.8.245)127.031 ms*197.761ms 6r rm197 vl4.opb.interbusiness.it(151.99.29.215)126.106ms114.403ms 111.798ms 785.36.9.134(85.36.9.134)108.355ms147.523ms120.620ms 8mclink nap.namex.it(193.201.28.5)106.853ms105.453ms112.575ms 9net128 076.mclink.it(195.110.128.76)108.853ms115.359ms112.650ms 10net128 076.mclink.it(195.110.128.76)110.464ms123.145ms113.136ms
netstat Inognipcsonoattiviservizicheutilizzano,siainentratacheinuscita,delle connessionipercomunicareconaltrihost,odanchesolopercomunicarefra processilocali. Peraverelostatodelleconnessioniinstauratesiutilizzailcomandonetstatche utilizzatoconleopportuneopzionidàtutteleinformazioninecessarie. paolo@kubuntu:~$netstat naptu (Notallprocessescouldbeidentified,non ownedprocessinfo willnotbeshown,youwouldhavetoberoottoseeitall.) ActiveInternetconnections(serversandestablished) ProtoRecv QSend QLocalAddressForeignAddressState PID/Programname tcp00127.0.0.1:22080.0.0.0:*listen tcp00127.0.0.1:13020.0.0.0:*listen tcp00127.0.0.1:6310.0.0.0:*listen tcp00127.0.0.1:250.0.0.0:*listen tcp00192.168.2.67:1675195.110.150.4:80 ESTABLISHED6114/konquerorkBH9h tcp600:::80:::*listen tcp600:::22:::*listen udp000.0.0.0:680.0.0.0:*
tcpdump Tcpdumpèunprogrammaperildebugdelleretidicomputerchefunzionasotto rigadicomando.consenteall'utentediintercettareevisualizzaretcp/ipealtri pacchettichevengonotrasmessioricevutiattraversolarete. paolo@kubuntu:~$sudotcpdump ieth0 HTTPS 13:08:22.589533IP192.168.2.67.4628>www.mclink.it.https:.ack3802win4151<nop,nop,timestamp16104283887098048> 13:08:22.592146IPwww.mclink.it.https>192.168.2.67.4628:P3802:3929(127)ack845win33304<nop,nop,timestamp38870980481610332> 13:08:22.592187IP192.168.2.67.4628>www.mclink.it.https:.ack3929win4151<nop,nop,timestamp16104293887098048> 13:08:22.594830IPwww.mclink.it.https>192.168.2.67.4628:P3929:3966(37)ack845win33304<nop,nop,timestamp38870980511610332> 13:08:22.594885IP192.168.2.67.4628>www.mclink.it.https:.ack3966win4151<nop,nop,timestamp16104303887098051> ARP 13:08:29.618220arpwho has192.168.2.111tell192.168.2.213 13:08:31.817310arpwho has192.168.2.111tell192.168.2.213 DNS 13:08:21.209041IP192.168.2.67.1084>ns4.tin.it.domain:16006+A?www.mclink.it.(31) 13:08:21.213242IP192.168.2.67.1085>ns4.tin.it.domain:11874+A?www.mclink.it.(31) 13:08:21.218268IP192.168.2.67.1087>ns4.tin.it.domain:18354+AAAA?www.mclink.it.(31) 13:08:21.219921IP192.168.2.67.1088>ns4.tin.it.domain:20204+AAAA?www.mclink.it.(31) 13:08:21.222271IP192.168.2.67.1089>ns4.tin.it.domain:30268+AAAA?www.mclink.it.(31) 13:08:21.329512IPns4.tin.it.domain>192.168.2.67.1084:160061/2/2Awww.mclink.it(121) 13:08:21.338568IPns4.tin.it.domain>192.168.2.67.1085:118741/2/2Awww.mclink.it(121) POP 14:32:54.639628IP192.168.2.37.1516>mail.mclink.it.pop3:S3362781374:3362781374(0)win65535<mss1460,nop,nop,sackOK> 14:32:54.643345IP192.168.2.37.1517>mail.mclink.it.pop3:S3556746626:3556746626(0)win65535<mss1460,nop,nop,sackOK> 14:32:54.783179IPmail.mclink.it.pop3>192.168.2.37.1516:S2790936118:2790936118(0)ack3362781375win65535<mss1460,sackOK,eol> 14:32:54.784616IP192.168.2.37.1516>mail.mclink.it.pop3:.ack1win65535 14:32:54.790036IPmail.mclink.it.pop3>192.168.2.37.1517:S408272726:408272726(0)ack3556746627win65535<mss1460,sackOK,eol> 14:32:54.791945IP192.168.2.37.1517>mail.mclink.it.pop3:.ack1win65535 NETBIOS 14:36:29.059984IP192.168.2.37.netbios dgm>192.168.2.255.netbios dgm:nbtudppacket(138) 14:36:29.060130IP192.168.2.37.netbios ns>192.168.2.255.netbios ns:nbtudppacket(137):query;request;broadcast 14:36:29.809459IP192.168.2.37.netbios ns>192.168.2.255.netbios ns:nbtudppacket(137):query;request;broadcast 14:36:30.559423IP192.168.2.37.netbios ns>192.168.2.255.netbios ns:nbtudppacket(137):query;request;broadcast
whois Whoisèuncomandocheinterrogaildatabasedell'autoritàcheassegnainomidi dominiopermostrareleinformazionirelative.serveadidentificareilproprietario diunsitoolasottoreteassegnata.e'uncomandosolitamenterutliizzatoinfase dianalisidiunarete. paolo@kubuntu:~$whois ********************************************************************* *Pleasenotethatthefollowingresultcouldbeasubgroupof* *thedatacontainedinthedatabase.* ** *Additionalinformationcanbevisualizedat:* *http://www.nic.it/cgi bin/whois/whois.cgi* ********************************************************************* Domain:solution.it Status:ACTIVE Created:1996 10 0300:00:00 LastUpdate:2007 12 2800:02:12 ExpireDate:2008 12 12
wireless Perconfigurareunaschedadiretewirelessservonoalcuneinformazioniinpiù rispettoaquantoservaperunaschedaethernet.oltreadindirizzoip, netmask,gateway,serverdnssideveconoscereancheilnomedellarete wireless(essid)elaeventualechiavewep/wpa. Ilcomandoiwconfigsenzaparametrivisualizzaleschedediretewireless installatenelsistema. Nelcasochelanostraschedanonvengariconosciutaautomaticamentedal sistemasaràpossibileutilizzareidriverperwindowstramiteilmodulo ndiswrapper. Sidovràperprimacosainstallarendiswrapperperpoicaricareildriver.inf dellaschedadirete,quindiattivarlo(neilinklaguidaallaprocedura). Inognicasodovremovederelanostraschedawirelesselencatanell'outputdel comando.
iwconfig Ilcomandoiwconfigserveaconfigurareuna schedawirelesscorrettamenteinstallata. Icomandivannodaticoniprivilegidiroot. ifup[nomescheda] iwconfigwlan0modemanaged iwconfigwlan0channel11 (senecessarioimpostareun canale) iwconfigwlan0essid[networkname] iwconfigwlan0key[chiavehex] Aquestopuntovaimpostatalaconfigurazione dell'indirizzoip,delgatewayedelserverdns comegiàvistoperunaschedaethernet.
Sicurezzawireless LareteWi Fidiperseèinsicuradato chegliapparatiesconodifabbrica senzalemisuredisicurezzaattivate echeraramentegliutenti conosconoirischietantomenole semplicioperazioniperporvi almenoinparterimedio. Perrenderesicuraunaretewireless esistonovarietecniche,nessunadi esseèsicuraal100%mapossono dareuncertogradodiprotezione soprattuttosecombinatefraloro.
Sicurezzawireless CifraturaWEP:WiredEquivalentPrivacy64o128bit,praticamenteormai inutileinquantofacilmentecraccabileinpochiminuti,puòserviresoloa tenerefuoridallavostrareteutenticasuali CifraturaWPA WPS2PSK:Wi FiProtectedAccess.PiùrobustadellaWEP, offrebuonaprotezioneselechiavisonoprotettebene. CifraturaLEAP:sistemaproprietariodicifratura,nonoffrebuonaprotezionema èmegliodiwep ControllodelMAC:Inaggiuntaall'autenticazionedelclientmediantechiave crittografatasipuòimpostarel'accesspointinmodochericonoscasolole schedeabilitatetramiteilloroindirizzomac.purtroppoilmacèspoofabile... Separazionedellaretewireless:inunaretelocaleèmegliotenerel'access pointinunasottoreteseparatadaquellautilizzataperillavoro.una eventualecompromissionenonrenderàimmediatamentedisponibile l'accessoallareteedaiserviziprincipali.
Sicurezzawireless CaptivePortal:intercettandotuttiipacchettisiforzailclienthttpavisitareuna specialepaginawebperfornirelecredenzialidiautenticazioneprimadipoter accedereallanavigazione. NOalDHCP:nonrendetefacililecoseadunattaccantefornendoliuna comodaconfigurazioneautomatica SSIDnascosto:configurarel'accesspointpernondivulgareilproprioSSID (identificativo) Spentosenonusato:Senonservono,l'accesspointe/olaschedadireteè megliotenerlispenti: )
Demo simulazionediunaretelocalepermezzodiunamacchinavirtualevmware configurazionepraticadiunaschedaethernet configurazionepraticadiunaschedawireless
Abbiamofinito Domande? Graziedell'attenzione PaoloGiardini pgiar@solution.it
Fontielinkutili http://it.wikipedia.org/wiki/(ricercandolevarievocisitrovanotutteleinfodesiderate) http://www.ebruni.it/docs/la_netmask_spiegata_a_mia_figlia/index.htm http://www.traceroute.org/ http://www.pluto.it/files/ildp/lfs/lfs/6.1.1/chapter07/hosts.html http://www.firenze.linux.it/~piccardi/corso/netadmin/netadmin.html http://www.linuxcommand.org/ http://www.geektools.com/ http://wiki.ubuntu it.org/hardware/dispositivisenzafili/ndiswrapper http://wiki.ubuntu it.org/hardware/dispositivisenzafili/guidawifi
Licenzad'uso Questolavorovienedistribuitosottolicenza CreativeCommons2.5 Sei libero di copiare, distribuire, trasmettere quest'opera e di modificarla a condizione di: attribuirne la paternità all'autore originale,nonusarequest'operaperfinicommerciali,condividerla allostessomodo.