Sicurezza e Gestione delle Reti (di telecomunicazioni)

Documenti analoghi
Gestione delle Reti di Telecomunicazioni

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Reti di Telecomunicazione Lezione 8

Il Mondo delle Intranet

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Dal protocollo IP ai livelli superiori

Progettare un Firewall

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

Sicurezza delle reti 1

Crittografia e sicurezza delle reti. Firewall

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Contesto: Peer to Peer

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

Prof. Filippo Lanubile

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

Elementi sull uso dei firewall

Firewall e Abilitazioni porte (Port Forwarding)

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

La sicurezza delle reti

Sicurezza applicata in rete

Tecnologie e Protocolli per Internet 1 Introduzione al NAT Network Address Translation

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Il routing in Internet Exterior Gateway Protocols

Reti di Telecomunicazione Lezione 6

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Gestione degli indirizzi

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

Introduzione alle applicazioni di rete

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

Cognome Nome Matricola Tempo a disposizione per lo svolgimento: 1 ora e 20 min Avvertenza: Si usi lo spazio dopo ogni quesito per lo svolgimento.

Access Control List (I parte)

Gestione degli indirizzi

Reti di Comunicazione e Internet

Livello Trasporto Protocolli TCP e UDP

Sicurezza e Gestione delle Reti (di telecomunicazioni)

Sicurezza architetturale, firewall 11/04/2006

Indirizzamento privato e NAT

Reti di calcolatori. Lezione del 10 giugno 2004

Lo scenario: la definizione di Internet

Sicurezza nelle reti

GLI APPARATI PER L INTERCONNESSIONE DI RETI LOCALI 1. Il Repeater 2. L Hub 2. Il Bridge 4. Lo Switch 4. Router 6

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it

Connessione di reti private ad Internet. Fulvio Risso

NAT NAT NAT NAT NAT NAT. Internet. Internet. router. router. intranet. intranet. Internet. Internet. router. router. intranet. intranet.

Corso di Applicazioni Telematiche

Topologia delle reti. Rete Multipoint: ogni nodo è connesso agli altri tramite nodi intermedi (rete gerarchica).

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Transmission Control Protocol

Cos è. Protocollo TCP/IP e indirizzi IP. Cos è. Cos è

Stampe in rete Implementazione corretta

COMPLESSO SCOLASTICO INTERNAZIONALE GIOVANNI PAOLO II. Pianificazione di reti IP (subnetting)

Sicurezza delle reti. Monga. Ricognizione. Scanning Breve ripasso socket Network mapping Port Scanning NMAP. Le tecniche di scanning

10. Stratificazione dei protocolli

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Gli indirizzi dell Internet Protocol. IP Address

Programmazione in Rete

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Reti di Calcolatori. Il software

Introduzione alla rete Internet

Il firewall Packet filtering statico in architetture avanzate

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 7 Febbraio 2005, ore 15.00

Corso avanzato di Reti e sicurezza informatica

Vlan Relazione di Sistemi e Reti Cenni teorici

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)


Zeroshell: VPN Lan-to-Lan. Il sistema operativo multifunzionale. creato da

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Modelli di rete aziendale port forward PAT PAT NAT + PAT NAT table

Lezione 1 Introduzione

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...

12.5 UDP (User Datagram Protocol)

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Modulo 8. Architetture per reti sicure Terminologia

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti private virtuali (VPN) con tecnologia IPsec

Protocolli di Comunicazione

Corso di recupero di sistemi Lezione 8

Internet. Internet. Internet Servizi e Protocolli applicativi. Internet. Organizzazione distribuita

Internet. Introduzione alle comunicazioni tra computer

TCP/IP. Principali caratteristiche

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Antonio Cianfrani. Extended Access Control List (ACL)

Motivazioni Integrazione dei servizi Vantaggi e problemi aperti. Architettura di riferimento

Reti diverse: la soluzione nativa

Il client deve stampare tutti gli eventuali errori che si possono verificare durante l esecuzione.

Configurazione WAN (accesso internet)

Transcript:

Sicurezza e Gestione delle Reti (di telecomunicazioni) Tommaso Pecorella tommaso.pecorella@unifi.it Corso di Studi in Ingegneria Elettronica e delle Telecomunicazioni Corso di Studi in Ingegneria Informatica Facoltà di Ingegneria Università degli Studi di Firenze Lezione 07, NAT aa. 2010/11 This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 1 / 33

Gli elementi del management Problema Gli indirizzi IP sono costosi e pochi Non sempre si vuole far vedere la struttura interna di una Intranet NAT e NAPT mascherano un indirizzo tramite un proxy a livello IP. Si trasforma un indirizzo sorgente (IP number e port) in un altro indirizzo. Il server NAT viene visto all esterno come la sorgente della comunicazione. Il NAT è trasparente per l utente interno. Si usa uno spazio di indirizzi non routable (RFC 1918) Class Private Address Range A 10.0.0.0-10.255.255.255 B 172.16.0.0-172.31.255.255 C 192.168.0.0-192.168.255.255 T. Pecorella (DET) SGRtlc 07 - aa 2010/11 2 / 33

NAT Statico mapping uno-a-uno tra ind. esterni ed interni, uso molto limitato, può servire in congiunzione ad un firewall, non risolve il problema di scarsità degli indirizzi, molto facile da implementare. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 3 / 33

NAT Dinamico mapping dinamico tra ind. interni ed esterni, risolve il problema di scarsità degli indirizzi, richiede un server stateful. Problema: e se due host interni usano la stessa porta? T. Pecorella (DET) SGRtlc 07 - aa 2010/11 4 / 33

NAPT - Network Address and Port Translation mapping dinamico tra ind. interni ed esterni, porte dinamiche risolve il problema di scarsità degli indirizzi, richiede un server stateful più complesso del NAT. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 5 / 33

NAPT e IPsec Timete Danaos et dona ferentes Il NAT implica un ricalcolo dei checksum IP e TCP... come l IPsec. Le due cose possono interferire molto male, portando ad un completo blocco delle comunicazioni. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 6 / 33

NAPT e IPsec La modalità ESP ha problemi analoghi alla modalità AH. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 7 / 33

NAPT e IPsec how to Soluzione: fare PRIMA il NAT e POI applicare IPsec (o farli insieme). In ogni caso: Un host dietro ad un NAT non può cominciare una comunicazione IPsec. La co-locazione di NAT e IPsec è un potenziale pericolo per la sicurezza. Nota: si potrebbe fare un tunnel IP-over-IP... ma fa schifo. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 8 / 33

NA[P]T - funzionamento Il NAT nasce nel 1994 (RFC 1631) come un metodo per alleviare il problema della scarsità di indirizzi IPv4 L RFC 2776 del 2000 definisce il Network Address Translation Protocol Translation (NAT-PT) T. Pecorella (DET) SGRtlc 07 - aa 2010/11 9 / 33

NA[P]T - idea di base In Internet i pacchetti non routable non sono trasportati (i router li scartano!) perché l indirizzo IP NON E UNIVOCO! Quindi serve una traslazione da indirizzo non-routable a un indirizzo routable = NAT! T. Pecorella (DET) SGRtlc 07 - aa 2010/11 10 / 33

NA[P]T - operazioni Operazioni di un NAT: Arriva un pacchetto sull interfaccia interna Si cerca un binding, c è? SI si trasla il pacchetto e si fa il forward NO si crea un binding e si fa il forward Arriva un pacchetto sull interfaccia esterna Si cerca un binding, c è? SI si trasla il pacchetto e si fa il forward NO si scarta il pacchetto Allo scadere di un timer Si cancella il binding Binding: associazione {IP, Proto, Port}(int) <=> {IP, Proto, Port}(ext) T. Pecorella (DET) SGRtlc 07 - aa 2010/11 11 / 33

NAT RFC 1631 Si varia solo l indirizzo IP. Funziona ma non risolve la scarsità di indirizzi. Il numero di indirizzi necessari è pari al numero di PC che vogliono usare contemporaneamente lo stesso protocollo. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 12 / 33

NAT RFC 2776 Si varia l indirizzo IP -e- la porta sorgente. Funziona. Il numero di connessioni contemporanee (bindings) è pari circa a 64000 (well-known ports escluse). T. Pecorella (DET) SGRtlc 07 - aa 2010/11 13 / 33

NAT binding PROBLEMA: cosa è un binding? Binding: associazione {IP, Proto, Port}(int) <=> {IP, Proto, Port}(ext) E in realtà composto da Binding e Filter Binding Associa indirizzo/porta interna a indirizzo/porta esterna Esegue la funzione interno <=> esterno Filter Decide se e quali pacchetti dall esterno vanno ritradotti Filter Il comportamento del filter genera differenti comportamenti del NAT Alcuni sono voluti, altri... no T. Pecorella (DET) SGRtlc 07 - aa 2010/11 14 / 33

NAT binding PROBLEMA: cosa è un binding? Binding: associazione {IP, Proto, Port}(int) <=> {IP, Proto, Port}(ext) E in realtà composto da Binding e Filter Binding Associa indirizzo/porta interna a indirizzo/porta esterna Esegue la funzione interno <=> esterno Filter Decide se e quali pacchetti dall esterno vanno ritradotti Filter Il comportamento del filter genera differenti comportamenti del NAT Alcuni sono voluti, altri... no T. Pecorella (DET) SGRtlc 07 - aa 2010/11 14 / 33

NAT binding TCP e UDP sono differenti... TCP, stateful Il binding è aggiornato in base a un timer che varia a seconda dello stato della connessione e della dimensione della CWIN UDP, stateless Il binding è basto solo su un timer e sulla conoscenza del comportamento dell applicazione (i.e., porte utilizzate) Nel TCP il NAT ha di solito comportamento symmetric, ossia binding e filter sono basati sulla quintupla {protocollo, IP e porte sorgente-destinazione}. Comportamento logico, ma... Le comunicazioni devono partire dall interno Non è possibile fare una callback, quindi PASSIVE FTP. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 15 / 33

NAT binding Quello che va bene per il TCP non è detto che vada bene per l UDP! TCP: uno stream è definito da una quintupla. Il demultiplexing è definito a livello di TCP UDP: il demultiplexing è fatto a livello applicativo. Una singola applicazione può usare una sola socket in uscita per due stream diversi con destinatari diversi (il TCP non lo permette). Serve un diverso comportamento del NAT nel caso di UDP T. Pecorella (DET) SGRtlc 07 - aa 2010/11 16 / 33

NAT binding Il comportamento del NAT per l UDP è gestito da come il Filter viene eseguito nel caso di UDP. Esistono 4 diversi behaviour: 1 Symmetric NAT 2 Full Cone NAT 3 Restricted Cone NAT 4 Port Restricted Cone NAT In base a come si comporta il NAT alcuni applicativi possono o meno funzionare, in parte o del tutto. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 17 / 33

Symmetric NAT (UDP) Esattamente come il symmetric NAT del TCP Non funzionano i programmi che hanno bisogno di referral & handover (es. MSN) T. Pecorella (DET) SGRtlc 07 - aa 2010/11 18 / 33

Full Cone NAT Il Filter non fa nulla... Ottimo, ma TUTTI e TUTTO raggiungeranno il sorgente (anche i malintenzionati, si può fare persino un port scanning). T. Pecorella (DET) SGRtlc 07 - aa 2010/11 19 / 33

Restricted Cone NAT Il Filter è basato sull IP del destinatario. Limitante, MSN ad esempio non funziona (il mulo neppure). T. Pecorella (DET) SGRtlc 07 - aa 2010/11 20 / 33

Port Restricted Cone NAT Il Filter è basato sulla PORTA del destinatario. Ora va meglio, funzionano quasi tutti i programmi UDP, anche se con delle limitazioni. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 21 / 33

Hairpin? E se volessi raggiungere un host nella mia stessa rete? L operazione si chiama hairpin e può comportare o meno l uso di indirizzi esterni Potrebbe non essere supportato! T. Pecorella (DET) SGRtlc 07 - aa 2010/11 22 / 33

Tipi di NAT - STUN Come si scopre il tipo di NAT? Il NAT tenta di adattarsi all applicazione, ma le applicazioni tentano di adattarsi al tipo di NAT! Rosenberg, J., Weinberger, J., Huitema, C., and R. Mahy, STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs), RFC 3489, March 2003. Lo STUN è un protocollo request-reply: WTF of address/port this packet came from? TYVM. Due porte sul client, due porte -e- due indirizzi IP sul server. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 23 / 33

NAT - STUN T. Pecorella (DET) SGRtlc 07 - aa 2010/11 24 / 33

STUN - funzionamento ATTENZIONE! Il NAT può essere non deterministico, ossia cambiare il suo comportamento a seconda della disponibilità delle risorse oppure... Potrebbero esserci più NAT nel path sorgente / destinazione, nel qual caso la classificazione non è rigorosa e il comportamento non è prevedibile. Il secondo livello di NAT potrebbe non avere lo stesso comportamento del primo. oppure... T. Pecorella (DET) SGRtlc 07 - aa 2010/11 25 / 33

NAT - classificazione Back to basis: binding, filtering e timers Come viene fatto il binding? Come vengono aggiornati i filters? Quando vengono riavviati timers? Questo qui come si classifica?!?!?! T. Pecorella (DET) SGRtlc 07 - aa 2010/11 26 / 33

NAT - Binding Endpoint independent Il NAT riusa il binding per tutte le sessioni provenienti dalla stesso IP/porta, l IP/porta esterno non è valutato. E come un Full Cone NAT. Endpoint address dependent Il NAT riusa il binding per tutte le sessioni provenienti dalla stesso IP/porta verso lo stesso IP esterno (la porta non si considera). E come un Restricted Cone NAT. Endpoint address and port dependent Si usa la quintupla IP/porta sorgente/destinazione (e il protocollo). E come un Symmetric NAT. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 27 / 33

NAT - Port Binding Port preservation Il NAT può tentare di mantenere a porta di origine. Se due host interni usano la stessa porta di origine, uno avrà la porta cambiata, uno no. Port overloading Il NAT fa port preservation in maniera aggressiva, un secondo tentativo di binding fa scadere il binding esistente. Port multiplexing Il NAT si occupa di fare il demultiplexing. All esterno i pacchetti appaiono come se provenissero dallo stesso IP/porta, il NAT farà il demultiplexing corretto. MA se due host interni volessero mandare due stream allo stesso host/porta esterno non sarebbe possibile il demultiplexing. In questo caso uno dei due stream avrebbe assegnata una porta diversa. E un comportamento non deterministico. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 28 / 33

NAT - Timer Refresh Bidirectional Il timer è rinfrescato dai pacchetti in entrambi i sensi. Outbound Solo i pacchetti dall interno verso l esterno rinfrescano il timer. E necessario usare un keep-alive. Inoltre il timer potrebbe essere per-session o per-binding (nel caso di riuso del binding per più sessioni). Inbound Solo i pacchetti dall esterno verso l interno rinfrescano il timer. Anche in questo caso è necessario un keep-alive. Transport Protocol state Come nel TCP, ma si potrebbero usare altre informazioni. Nota: il Transport Protocol State dà la possibilità di fare attacchi DOS T. Pecorella (DET) SGRtlc 07 - aa 2010/11 29 / 33

NAT - External Filtering Endpoint independent Non filtra o scarta pacchetti. Full Cone NAT. Endpoint address dependent Filtra i pacchetti che non provengono dall IP originario del binding. Restricted Cone NAT. Endpoint address and port dependent Filtra i pacchetti che non provengono dall IP/porta originario del binding. Port Restricted Cone NAT o Symmetric NAT. Il Filter può avere un timer separato simile a quello del Binding! T. Pecorella (DET) SGRtlc 07 - aa 2010/11 30 / 33

NAT - considerazioni Applicazioni P2P Tentano di aggirare i NAT, ma così facendo si creano spesso problemi di sicurezza. Bucare può significare aprire un numero di porte arbitrario. ICMP Rischia di fallire miseramente, perché nel payload sono spesso contenute informazioni relative all IP/porta originante. Stessi problemi che con l IPsec. IP fragmentation Vanno ricostruiti i pacchetti (o mantenute informazioni dal primo frammento) perché nei frammenti successivi manca l header TCP/UDP... ma potrebbe essere un attacco a frammentazione! E se poi il primo frammento arriva fuori sequenza? Altri protocolli possono avere gli stessi problemi. Il NAT può tentare di modificare il contenuto stesso del payload. T. Pecorella (DET) SGRtlc 07 - aa 2010/11 31 / 33

NAT e UPnP - IGD Timeo Danaos et dona ferentes. Virgilio, Eneide (II, 49) Universal Plug and Play (UPnP) Set di protocolli e procedure per la definizione e l annuncio di device e servizi. A UPnP compatible device from any vendor can dynamically join a network, obtain an IP address, announce its name, convey its capabilities upon request, and learn about the presence and capabilities of other devices. [Wikipedia] Internet Gateway Device (IGD) Standardized Device Control Protocol Permette ad un device UPnP di scoprire l indirizzo esterno di un NAT e di creare binding/filters per i suoi servizi in maniera automatica. E implementato in Windows... Pros: funziona tutto magicamente... TROPPO Cons: le porte del NAT sono aperte in maniera incontrollata e potrebbero sovrascrivere binding esistenti... come per la porta 80!! T. Pecorella (DET) SGRtlc 07 - aa 2010/11 32 / 33

Copyrights Le immagini sono tratte da articoli apparsi su: The Internet Protocol Journal - ISSN 1944-1134 http://www.cisco.com/web/about/ac123/ac147/about_ cisco_the_internet_protocol_journal.html T. Pecorella (DET) SGRtlc 07 - aa 2010/11 33 / 33

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back