FORTIC2 Moduli 5 e 6: Conoscenze fondamentali sulle reti Hardware di rete QUARTA PARTE – indirizzi IP - Maggio ‘06 Alessandro Memo Indirizzi IP sono ampi 32 bit si rappresentano con 4 numeri interi compresi tra 0 e 255, divisi da punti 192.168.3.16 vengono attribuiti a tutte le interfacce si: NIC, bridge, router no: hub, switch ogni interfaccia ha un indirizzo univoco servono per instradare i pacchetti tra LAN diverse A. Memo / UniPD 2006 INSTRADAMENTO A. Memo / UniPD 2006 INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 MACH1 IPH2 MACH2 Switch B H7 0100101 01 S0 H8 da H1 ad H2 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (1) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 MACH1 IPH2 MACH2 Switch B H7 0100101 01 S0 H8 da H1 ad H2 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (2) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 MACH1 IPH8 MACRE0 Switch B H7 0100101 01 S0 H8 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 da H1 ad H8 (1) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 MACH1 IPH8 MACRE0 Switch B H7 0100101 01 S0 H8 da H1 ad H8 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (2) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 IPH8 MACRS0 MACRxx Switch B H7 0100101 01 S0 H8 da H1 ad H8 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (3) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 IPH8 MACRxx MACRxx Switch B H7 0100101 01 S0 H8 da H1 ad H8 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (4) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 IPH8 MACRxx MACRS0 Switch B H7 0100101 01 S0 H8 da H1 ad H8 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (5) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 MACRE0 IPH8 MACH8 Switch B H7 0100101 01 S0 H8 da H1 ad H8 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (6) INSTRADAMENTO H1 Router A S0 LAN 1 H2 Switch A H3 E0 H4 S0 DATI IPH1 H6 MACRE0 IPH8 MACH8 Switch B H7 0100101 01 S0 H8 da H1 ad H8 E0 H9 LAN 2 Router B A. Memo / UniPD 2006 (7) Indirizzi IP i 32 bit dell’indirizzo IP vanno divisi tra: campo rete (Network prefix), identifica univocamente la rete a cui appartiene l’host campo utente (Host number), identifica univocamente l’host all’interno della rete con un Network Prefix molto grande avrò poche reti nel mondo, ciascuno con un numero grande di possibili host con un Network Prefix molto piccolo avrò molte reti nel mondo, ma ciascuna con un numero molto basso di possibili host. A. Memo / UniPD 2006 Indirizzi IP Si predispongono almeno tre classi di indirizzi: classe A, per poche reti molto numerose classe B, per molte reti medie classe C, per tantissime reti molto piccole La distinzione tra le classi si effettua in base ai primi bit dell’indirizzo A. Memo / UniPD 2006 classi di indirizzi IP Rete di classe A : 126 reti con 16.777.214 host network host 0 Rete di classe B : 16.382 reti con 65.534 host network 1 0 host Rete di classe C : 2.097.150 reti con 254 host 1 1 0 network 1 1 1 0 1 1 1 1 0 8 bit host multicast address usi futuri 8 bit A. Memo / UniPD 2006 8 bit 8 bit indirizzi IP particolari Networkprefix Hostnumber mittente o destinatario Indirizzo della rete specifico tutti 0 nessuno Indirizzo di broadcast diretto specifico tutti 1 destinatario tutti 1 tutti 1 destinatario 127 qualsiasi destinatario Indirizzo di broadcast limitato (alla stessa rete) Indirizzo di loopback A. Memo / UniPD 2006 IP – Classe A Rete di classe A : 126 reti con 16.777.214 host network host 0 8 bit 8 bit 8 bit 8 bit network: 0nnnnnnn bin = da 00000001 a 01111110 dec = da 1.hhh.hhh.hhh a 126.hhh.hhh.hhh host: hhhhhhhh.hhhhhhhh.hhhhhhhh bin = da 00000000.00000000.00000001 a 11111111.11111111.11111110 dec = da nnn.0.0.1 a nnn.255.255.254 A. Memo / UniPD 2006 IP – Classe B Rete di classe B : 16.382 reti con 65.534 host network 1 0 8 bit 8 bit host 8 bit 8 bit network: 10nnnnnn.nnnnnnnn bin = da 10000000.00000001 a 10111111.11111110 dec = da 128.1.hhh.hhh a 191.254.hhh.hhh host: hhhhhhhh.hhhhhhhh bin = da 00000000.00000001 a 11111111.11111110 dec = da nnn.nnn.0.1 a nnn.nnn.255.254 A. Memo / UniPD 2006 IP – Classe C Rete di classe C : 2.097.150 reti con 254 host 1 1 0 network 8 bit 8 bit host 8 bit 8 bit network: 110nnnnn.nnnnnnnn.nnnnnnnn bin = da 11000000.00000000.00000001 a 11011111.11111111.11111110 dec = da 192.0.1.hhh a 223.254.254.hhh host: hhhhhhhh bin = da.00000001 a.11111110 dec = da nnn.nnn.nnn.1 a nnn.nnn.nnn.254 A. Memo / UniPD 2006 Sauddivisione degli indirizzi IP Suddivisione dello spazio IP in classi di indirizzi A. Memo / UniPD 2006 Indirizzi IP, esercizi Specificare se i seguenti indirizzi sono indirizzi di Host, indirizzi di rete o indirizzi di broadcast diretti 192.168.1.0 131.13.7.0 200.100.10.1 142.16.0.0 192.168.1.254 129.66.8.255 100.111.0.10 142.16.255.255 Dato il seguente indirizzo di host: 39.2.6.8 determinare l’indirizzo di rete ed il broadcast della rete dell’host dato. A. Memo / UniPD 2006 Indirizzamento IP full-class LAN 1 Router B LAN 4 E0 H1-H20 193.1.2.0 20 host E1 193.1.1.0 E1 ISP S0 Router A LAN 2 E0 H21-H40 193.1.3.0 E2 20 host 193.1.4.0 LAN 5 Router C E1 E0 LAN 3 H41-H60 193.1.5.0 20 host A. Memo / UniPD 2006 LAN 2 LAN 1 Host IP address Subnet Mask Default Gateway Host IP address Subnet Mask Default Gateway H1 193.1.2.1 255.255.255.0 193.1.2.254 H21 193.1.3.1 255.255.255.0 193.1.3.254 H2 193.1.2.2 255.255.255.0 193.1.2.254 : : : : H3 193.1.2.3 255.255.255.0 193.1.2.254 H40 193.1.3.4 255.255.255.0 193.1.3.254 H4 193.1.2.4 255.255.255.0 193.1.2.254 E0/A 193.1.3.254 255.255.255.0 --------------- H5 193.1.2.5 255.255.255.0 193.1.2.254 H6 193.1.2.6 255.255.255.0 193.1.2.254 H7 193.1.2.7 255.255.255.0 193.1.2.254 Host IP address Subnet Mask Default Gateway H8 193.1.2.8 255.255.255.0 193.1.2.254 H41 193.1.5.1 255.255.255.0 193.1.5.254 H9 193.1.2.9 255.255.255.0 193.1.2.254 : : : : H10 193.1.2.10 255.255.255.0 193.1.2.254 H60 193.1.5.4 255.255.255.0 193.1.5.254 H11 193.1.2.11 255.255.255.0 193.1.2.254 E0/C 193.1.5.254 255.255.255.0 --------------- H12 193.1.2.12 255.255.255.0 193.1.2.254 H13 193.1.2.13 255.255.255.0 193.1.2.254 H14 193.1.2.14 255.255.255.0 193.1.2.254 Host IP address Subnet Mask Default Gateway H15 193.1.2.15 255.255.255.0 193.1.2.254 E1/B 193.1.1.254 255.255.255.0 --------------- H16 193.1.2.16 255.255.255.0 193.1.2.254 E1/A 193.1.1.253 255.255.255.0 --------------- H17 193.1.2.17 255.255.255.0 193.1.2.254 H18 193.1.2.18 255.255.255.0 193.1.2.254 H19 193.1.2.19 255.255.255.0 193.1.2.254 Host IP address Subnet Mask Default Gateway H20 193.1.2.20 255.255.255.0 193.1.2.254 E2/A 193.1.4.254 255.255.255.0 --------------- E0/B 193.1.2.254 255.255.255.0 --------------- E1/C 193.1.4.253 255.255.255.0 --------------- LAN 3 LAN 4 LAN 5 A. Memo / UniPD 2006 Problemi dell’IP classful scarsa flessibilità dell’indirizzamento interno alle grandi organizzazioni vengono assegnati blocchi di indirizzi che non si adeguano alle esigenze delle aziende uso inefficiente dello spazio di indirizzi l’esistenza di tre classi di indirizzi di dimensioni prestabilite determina spreco di indirizzi tabelle di instradamento molto pesanti per la presenza di molte reti Soluzione: subnetting A. Memo / UniPD 2006 Subnetting Mask Indirizzo di Classe C 1 1 0 network host maschera di sottorete (subnet mask) tutti 1 1 1 0 network tutti 0 subnet host Esempio: IP address = 193.207.121.240 subnet mask = 11111111.11111111.11111111.11100000 oppure /27 oppure 255.255.255.224 A. Memo / UniPD 2006 Subnetting Vi sono almeno 2 tipi di subnetting: subnetting statico tutte le sottoreti ricavate dalla stessa rete hanno la stessa Subnet Mask: semplice da implementare, facile da gestire, ma grandi sprechi per reti piccole subnetting a lunghezza variabile (VLSM) le sottoreti ricavate dalla stessa rete possono avere Subnet Mask diverse; utilizzo migliore dello spazio degli indirizzi IP A. Memo / UniPD 2006 Indirizzi IP utili detto S il numero di bit di sottorete ed H il numero di bit per gli host in cui è stato scomposto il campo host originale: una sottorete può contenere massimo 2S-2 host c’è anche il defaul gateway … in passato si potevano utilizzare 2H-2 sottoreti dal 1995 (RFC1878) si possono utilizzare tutte (2H sottoreti) [ma non ancora in tutti i router !!!] ATTENZIONE: per uniformità, negli esercizi adotteremo sempre la tecnica più restrittiva (2H-2) A. Memo / UniPD 2006 Indirizzi IP utili L’operazione di suddivisione in sottoreti è solo logica e non fisica: un segmento fisico può contenere host di sottoreti diverse, ma per comunicare tra loro devono usare un router host della stessa sottorete possono essere contenuti in segmenti distinti, purché della stessa LAN A. Memo / UniPD 2006 Esercizio subnetting statico Dato l’indirizzo di rete 192.168.0.0, dividere questa rete in due sottoreti di pari dimensioni, utilizzando un’appropriata subnet mask. Calcolare inoltre gli indirizzi di broadcast e di rete delle due nuove sottoreti. Dati di partenza della rete data: indirizzo della rete: 192.168.0.0 subnet-mask: 255.255.255.0 (11111111.11111111.11111111.00000000) indirizzo di broadcast: 192.168.0.255 Per ottenere due sottoreti utili, dobbiamo prendere in prestito due bit della parte host. Essendo la rete di classe C, la parte di rete è composta dai primi 3 byte, mentre quella host dal quarto. Quindi la subnetmask è 11111111. 11111111.11111111.11000000 che nella notazione decimale diventa 255.255.255.192 A. Memo / UniPD 2006 Esercizio Con questa subnet-mask si creano 4 sottoreti, di cui solo 2 utili: •192.168.0.0 (.00hhhhhh) = inutilizzabile (per scelta di progetto) •192.168.0.64 (.01hhhhhh) = prima sottorete utile ID sottorete: 192.168.0.64 (.01hhhhhh) IP utili: da 192.168.0.65 (.01000001) a 192.168.0.126 (.01111110) Broadcast sottorete: 192.168.0.127 (.01111111) •192.168.0.128 (.10hhhhhh) = seconda sottorete utile ID sottorete: 192.168.0.128 (.10hhhhhh) IP utili: da 192.168.0.129 (.10000001) a 192.168.0.190 (.10111110) Broadcast sottorete: 192.168.0.191 (.10111111) •192.168.0.192 (.11hhhhhh) = inutilizzabile (per scelta di progetto) A. Memo / UniPD 2006 Esercizio subnetting statico LAN 1 Router A Dato l’indirizzo di rete 196.100.0.0 pianificare gli indirizzi IP di tutti i dispositivi in figura creando le opportune sottoreti. E2 H1-H20 E0 50 host E1 LAN 2 E2 Router B E0 H1-H30 30 host E1 LAN 3 E2 E0 E1 Router C A. Memo / UniPD 2006 H1-H20 60 host Soluzione LAN 1 Router A E2 H1-H20 E0 50 host E1 LAN 4 E2 LAN 2 Router B E0 LAN 6 H1-H30 30 host E1 LAN 5 LAN 3 E2 E0 E1 Router C A. Memo / UniPD 2006 H1-H20 60 host 000hhhhh 001hhhhh 010hhhhh 011hhhhh 100hhhhh 101hhhhh 110hhhhh 111hhhhh non utilizzabile subnet ID IP utili subnet broadcast subnet ID IP utili subnet broadcast subnet ID IP utili subnet broadcast subnet ID IP utili subnet broadcast subnet ID IP utili subnet broadcast subnet ID IP utili subnet broadcast non utilizzabile 196.100.0.32 da 196.100.0.33/27 a 196.100.0.62/27 196.100.0.63 196.100.0.64 da 196.100.0.65/27 a 196.100.0.94/27 196.100.0.95 196.100.0.96 da 196.100.0.97/27 a 196.100.0.126/27 196.100.0.127 196.100.0.128 da 196.100.0.129/27 a 196.100.0.158/27 196.100.0.159 196.100.0.160 da 196.100.0.161/27 a 196.100.0.190/27 196.100.0.191 196.100.0.192 da 196.100.0.193/27 a 196.100.0.224/27 196.100.0.223 A. Memo / UniPD 2006 Altro esempio di piccola Azienda dati forniti dal provider: sottorete utile: 64 indirizzi IP da 193.27.11.192 a 193.27.11.255 subnetmask: 255.255.255.192 A. Memo / UniPD 2006 Soluzione (1) dati della rete assegnata: IP: 193.27.11.192 11000001.00011011.00001011.11000000 Subnet_mask 255.255.255.192 11111111.11111111.11111111.11000000 11000001.00011011.00001011.11000000 11000001.00011011.00001011.11000001 11000001.00011011.00001011......... 11000001.00011011.00001011.11111110 11000001.00011011.00001011.11111111 A. Memo / UniPD 2006 net address ip utili net broadcast Soluzione (2) sottoreti interne LAN1 si devono realizzare 4 sottoreti, quindi servono 3 bit di riporto: LAN2 193.27.11.11ssshhh per ogni sottorete ci sono a disposizione 23-2=6 IP utili 193.27.11.11000hhh 193.27.11.11001hhh 193.27.11.11010hhh 193.27.11.11011hhh 193.27.11.11100hhh 193.27.11.11101hhh 193.27.11.11110hhh 193.27.11.11000hhh inutilizzabile (*) LAN0 LAN1 LAN2 LAN3 non utilizzata non utilizzata inutilizzabile (*) A. Memo / UniPD 2006 LAN3 LAN0 Soluzione (3) 193.27.11.200/29 193.27.11.200 193.27.11.205/29 193.27.11.206/29 193.27.11.207 11001hhh 11001000 11001101 11001110 11001111 LAN0 subnet ID IP router interno IP router ISP subnet broadcast 193.27.11.206/29 193.27.11.205/29 193.27.11.200/29 A. Memo / UniPD 2006 Soluzione (4) 193.27.11.208/29 193.27.11.208 193.27.11.213/29 193.27.11.214/29 193.27.11.215 11010hhh 11010000 11010101 11010110 11010111 LAN1 subnet ID IP server IP router interno subnet broadcast 193.27.11.214/29 193.27.11.213/29 193.27.11.208/29 A. Memo / UniPD 2006 Soluzione (5) 193.27.11.216/29 193.27.11.216 193.27.11.217/29 193.27.11.218/29 193.27.11.221/29 193.27.11.222/29 193.27.11.223 11011hhh 11011000 11011001 11011010 11011101 11011110 11011111 LAN2 subnet ID IP host H1 IP host H2 IP server IP router interno subnet broadcast 193.27.11.221/29 193.27.11.217/29 193.27.11.218/29 193.27.11.222/29 193.27.11.216/29 A. Memo / UniPD 2006 Soluzione (6) 193.27.11.224/29 193.27.11.224 193.27.11.225/29 193.27.11.226/29 193.27.11.227/29 193.27.11.228/29 193.27.11.229/29 193.27.11.230/29 193.27.11.231 11011hhh 11011000 11011001 11011010 11011001 11011010 11011101 11011110 11011111 LAN3 subnet ID IP host H1 IP host H2 IP host H3 IP host H4 IP server IP router interno subnet broadcast 193.27.11.229/29 193.27.11.225/29 193.27.11.226/29 193.27.11.227/29 193.27.11.229/29 A. Memo / UniPD 2006 193.27.11.230/29 193.27.11.228/29 Soluzione reti LAN 193.27.11.214/29 LAN1 LAN0 193.27.11.200/29 193.28.1.205/29 193.27.11.213/29 193.28.1.206/29 193.27.11.208/29 193.27.11.218/29 193.27.11.230/29 193.27.11.217/29 193.27.11.226/29 LAN2 193.27.11.216/29 193.27.11.225/29 193.27.11.221/29 193.27.11.229/29 193.27.11.222/29 193.127.11.224/29 LAN3 193.27.11.227/29 193.27.11.228/29 A. Memo / UniPD 2006 Soluzione (3) suddividere il secondo blocco in due fette uguali: (C) e (D) network mask 200.25.28.0/22 = 11001000.00011001.000111oo.oooooooo 200.25.28.0/23 = 11001000.00011001.0001110o.oooooooo 200.25.30.0/23 = 11001000.00011001.0001111o.oooooooo per l’Azienda D nuova network mask per l’Azienda C A. Memo / UniPD 2006 Indirizzi pubblici e privati IANA ha suddiviso gli indirizzi IP in: • registrati o pubblici, se vengono attribuiti formalmente e forniti staticamente o dinamicamente dall’ISP • privati, solo ad uso interno, di valore compreso tra 10.0.0.0 - 10.255.255.255 1 rete di classe A 172.16.0.0 - 172.31.255.255 16 reti di classe B 192.168.0.0 - 192.168.255.255 255 reti di classe C A. Memo / UniPD 2006 traduzione degli indirizzi gateway indirizzo IP registrato (PUB) host A 1 indirizzo IP privato (PRI) 1= 2= 3= 4= 2 3 4 richiesta da host A (PRI) a gateway (PRI) per sito B (PUB) richiesta da gateway (PUB) ad sito B (PUB) risposta da sito B (PUB) a gateway (PUB) risposta da gateway (PRI) a host A (PRI) A. Memo / UniPD 2006 Tecniche di traduzione La traduzione di indirizzi può avvenire in diversi modi: UNIVOCO, un indirizzo privato per ogni indirizzo fisico, e questa associazione può essere (NAT): statica (usato in genere per i server) dinamica NON UNIVOCO, in base alla coppia IP-PortNumber, con tecnica NAT-PAT, detta anche NAPT (Network Address Port Traslation) o IP Masquerading; permette di condividere un indirizzo pubblico tra molti utenti con indirizzi privati A. Memo / UniPD 2006 NAT/PAT 1 # 1 2 3 4 5 6 7 8 interno 192.168.0.1 gateway host A 192.168.0.1 Tabella dinamica NAT 8 sorgente 192.168.0.1 29011 207.11.3.18 1025 207.11.3.18 1025 207.11.3.18 1025 88.16.2.5 80 88.16.2.5 80 88.16.2.5 80 88.16.2.5 80 2 7 192.168.0.254 207.11.3.18 TCP TCP TCP TCP TCP TCP TCP TCP esterno 29011 TCP 88.16.2.5 3 1025 TCP sito web 6 internet 4 destinazione 88.16.2.5 80 88.16.2.5 80 88.16.2.5 80 88.16.2.5 80 207.11.3.18 1025 207.11.3.18 1025 192.168.0.1 29011 192.168.0.1 29011 A. Memo / UniPD 2006 5 TCP TCP TCP TCP TCP TCP TCP TCP 88.16.2.5 commenti invio dall’host traduzione aggiorna NAT tabel invio al sito risposta del sito consulta NAT tabel traduzione arriva all’host Limiti del NAT/PAT NAT: mancanza della connessione diretta tra gli end-point malfunzionamento delle applicazioni che veicolano indirizzi IP al loro interno (anche il TCP) in IPSec occorre ricalcolare il checksum PAT: impossibilità di associare dall’esterno il solo indirizzo IP pubblico a più host (gaming multi player o più server web interni) entrambi: collo di bottiglia per il traffico (criticità per i guasti) A. Memo / UniPD 2006 Sicurezza: firewall un firewall è un dispositivo che governa il traffico tra due reti distinte, permettendo solo quello autorizzato e registrando eventuali tentativi di effrazione l’autorizzazione deriva dall’identificazione e accettazione degli utenti/sistemi che effettuano la richiesta e dalla congruità delle relative risposte INTERNET router di accesso rete interna servizi extranet servizi pubblici A. Memo / UniPD 2006 Sicurezza: autenticazione la distribuzione degli accessi ad Internet va regolamentata con uno schema di autenticazione personalizzata bloccano le richieste non autorizzate esempio di autenticazione interna: INTERNET 4 router di accesso 4 1 server di autenticazione TACACS/ RADIUS 2 3 A. Memo / UniPD 2006 Firewall un firewall può operare a livello rete (packet filtering) a livello trasporto (circuit gateway) a livello applicazione (application) basandosi sui contenuti Livello Applicazione Livello Trasporto Livello Rete Livello Collegamento Dati Livello Fisico A. Memo / UniPD 2006 Firewall: classificazioni screening router firewall computer-based firewall firewall dedicati e/o integrati firewall interno host firewall screened host gateway classificazione in base alle tecnologie di filtraggio classificazione in base all’architettura esterna static packet filter firewall stateful firewall NAT per IP masquerading application firewall A. Memo / UniPD 2006 Screening router firewall pacchetto software aggiunto al S.O. del router generalmente costoso (patch aggiuntiva) consuma risorsa hardware intercetta attacchi semplici (scrematura a livello IP) riduce il lavori di altri firewall ultima riga: permit all rete interna INTERNET DMZ A. Memo / UniPD 2006 server pubblici Computer-based firewall pacchetto software aggiunto al S.O. del server di condivisione degli accessi generalmente poco costoso generalmente l’hardware è sufficiente attaccabile non solo come firewall, ma anche tramite il S.O. che lo ospita ultima riga: deny all rete interna Dual Homed gateway INTERNET DMZ A. Memo / UniPD 2006 server pubblici Firewall integrati e/o dedicati dispositivi autonomi indipendenti S.O. minimo (e quindi più sicuro) generalmente più costoso avviamento e manutenzione minimizzati richiede aggiornamenti (flash o patch) router SOHO = router + DHCP + NAT/PAT + firewall rete interna INTERNET DMZ A. Memo / UniPD 2006 server pubblici Firewall interno posizionato tra router esterno e rete interna blocca con più sicurezza gli accessi alla rete interna rete interna INTERNET DMZ server pubblici A. Memo / UniPD 2006 Host firewall pacchetto software installato nei client garantisce una protezione più dettagliata ed approfondita, ma limitata al solo client che lo ospita mancanza di un coordinamento delle politiche di sicurezza rete interna INTERNET DMZ A. Memo / UniPD 2006 server pubblici DMZ DeMilitarized Zone, zona accessibile dall’esterno, contenente servizi pubblici il firewall impedisce anche che traffico prodotto dalla DMZ entri nella rete interna nella DMZ può essere installato anche un host con funzioni di application firewall controlla le richieste all'interno delle sessioni applicative cerca di respingere attacchi via browser e HTTP opera a livello applicazione gli host della DMZ vengono chiamati Bastion Host A. Memo / UniPD 2006 Screened host gateway pacchetto software installato in un host della rete DMZ (bastion host) lo screening router impedisce il traffico diretto tra rete esterna e rete interna il bastion host governa il traffico a livello applicativo traffico INTERNET rete interna consentito DMZ traffico A. Memo / UniPD 2006 server pubblici Caratteristiche di un firewall prestazioni di filtraggio esigenze di calcolo complessità di filtraggio vs volume di traffico scelta e limitazione delle regole A. Memo / UniPD 2006 Static packet filter firewall tipicamente attivo nei router opera a livello rete, in base a: indirizzo IP indirizzo della porta protocollo indipendente dalle applicazioni configurazione difficile facilmente aggirabile costo contenuto, prestazioni buone A. Memo / UniPD 2006 Stateful firewall (dynamic) come il packet statico, ma basato sullo stato dei vari livelli il primo pacchetto di una connessione IP passa attraverso tutte le regole, se ne ha il permesso il firewall identifica la connessione e permette il passaggio a tutti i suoi pacchetti in entrambe le direzioni prestazioni migliori del packet statico A. Memo / UniPD 2006 NAT per IP Masquerading la NAT permette di connettere più computer ad Internet usando un host con un solo indirizzo IP pubblico come effetto gli host interni vengono mascherati all’esterno A. Memo / UniPD 2006 Application firewall gateway effettua filtraggio a livello applicazione un proxy è un application firewall gateway, e può offrire connettività caching auditing sicurezza e privacy spesso svolge anche funzioni di IDS (Intrusion Detection System) A. Memo / UniPD 2006 Riassumendo classful subnetting FLSM subnetting VLSM aggregazione classless CIDR NAT/PAT A. Memo / UniPD 2006
Scarica
