Dispositivi di rete 10
Docente: Marco Sechi Modulo 1 ROUTER È un dispositivo di rete che si posiziona sul livello 3 del modello OSI. Pertanto un Router (dall'inglese instradatore) è un dispositivo che è in grado di instradare i dati fra reti fisicamente diverse. Un router ha almeno due interfacce di rete, ciascuna connessa su una rete fisicamente differente (altrimenti si utilizza il termine di bridge/switch). Quando il router riceve un pacchetto (per il quale il computer mittente non ha saputo identificare la posizione del destinatario) dobbiamo considerare due casi: Il router risolve l'indirizzo logico del destinatario traducendolo nell'indirizzo hardware di una macchina posta su una delle reti a cui esso è connesso. Esegue l'inoltro del pacchetto verso la rete di destinazione. Il router non sa eseguire la risoluzione. Crea un frame diretto verso il successivo router (next hop) posto su una delle reti cui è connesso. 11
Docente: Marco Sechi Modulo 1 PROXY Un proxy è un dispositivo (sw/hw) che si interpone tra un client ed un server facendo da tramite o interfaccia tra i due. Il client invece di collegarsi al server si collega al proxy al quale invia le richieste. Il proxy a sua volta si collega al server ed inoltra le richiesta del client al server. La risposta ricevuta viene poi inviata al client corrispondente. A differenza del bridge e del router, che lavorano ad un livello ISO/OSI più basso, i proxy lavorano a livello applicativo. Di conseguenza un programma proxy può gestire solo il protocollo applicativo per il quale è stato progettato. Un caso in cui viene spesso usato un proxy è per la navigazione web (denominato proxy HTTP dal nome del protocollo usato). Se non siamo in presenza di situazioni dette di proxy trasparente occorre configurare il client (browser) in modo che questo si colleghi al proxy invece che al server. 12
Docente: Marco Sechi Modulo 1 Un proxy HTTP viene usato per questi motivi: connettività: è possibile configurare un computer in modo che faccia da proxy a tutti gli altri computer della lan. In questo caso un unico computer (il proxy) è connesso ad internet ma tutti gli altri possono accedere ai servizi offerti dalla rete (web, posta, etc.) caching: un proxy può immagazzinare per un certo tempo i risultati delle richieste dei suoi client e se un altro utente effettua le stesse richieste può rispondere senza dover consultare il server originale. Questo consente un miglioramento delle prestazioni ed una riduzione del consumo di ampiezza di banda. monitoraggio: un proxy può tenere traccia di tutte le operazioni effettuate (ad esempio, tutte le pagine web visitate), consentendo statistiche ed osservazioni sull'utilizzo di internet. filtro: un proxy può applicare regole definite dall'amministratore del sistema come limitare l ampiezza di banda utilizzata dai client oppure impedire l accesso a determinati siti. privacy: un proxy può garantire un maggiore livello di privacy mascherando il vero indirizzo IP del client poiché il server vede solo quello del proxy. risparmio di indirizzi IP pubblici: questo punto vale per gli ISP: un proxy consente di limitare il numero di ip pubblici da assegnare ai clienti dell ISP quando questi si connettono ad internet. 13
Docente: Marco Sechi Modulo 1 NETWORK FIREWALL Un network firewall (o perimetrale) è una componente di difesa di una rete informatica, che svolge funzioni di collegamento tra due o più tronconi di rete, garantendo la protezione (in termini di sicurezza informatica) della rete stessa. Usualmente il firewall divide la rete in due sottoreti: una (detta esterna) che comprende l'intera Internet mentre l'altra (detta interna) è costituita dalla LAN che rappresenta l insieme dei computer locali. Tutto il traffico fra la LAN ed Internet transita attraverso il firewall. In alcuni casi è possibile che si crei l'esigenza di creare una terza sottorete detta DMZ (o zona demilitarizzata) adatta a contenere quei sistemi che devono essere isolati dalla rete interna, ma che devono comunque essere protetti dal firewall ed essere raggiungibili dall'esterno (server pubblici). 25
Docente: Marco Sechi Modulo 1 Un firewall può essere realizzato con un semplice computer (con almeno due schede di rete, una per l'input l'altra per l'output) ed un apposito software. Talvolta la funzionalità logica (software) che implementa il firewall è parte del software installato in un router ed in questo caso si parla di router/firewall. Il principio di funzionamento dei network firewall si basa sulla definizione di regole che inibiscono/permettono flussi di traffico. Le regole vengono impostate in base: - all'indirizzo IP sorgente - all'indirizzo IP di destinazione - alla porta attraverso la quale viene erogato il servizio. Le regole devono essere impostate in modo da autorizzare solo il traffico considerato sicuro. Nella stesura delle regole occorre: garantire l accesso solo ai servizi di rete ritenuti necessari verificare che il firewall sia immune da problemi di sicurezza (aggiornamento del firmware) In fase di configurazione del firewall, decidere la politica di default per tutti i servizi di rete: default deny : tutti servizi non esplicitamente permessi sono negati 26 default allow : tutti i servizi non esplicitamente negati sono permessi