Corso di
Reti di Calcolatori e Comunicazione Digitale
Prof. Sebastiano Pizzutilo Dipartimento di Informatica
CdS in INFORMATICA e COMUNICAZIONE DIGITALE
a.a. 2012-13
Università degli Studi di Bari - Aldo Moro
Le Intranet
Intranet…
u
È una rete privata basata sulle stesse tecnologie di Internet.
u
È sinonimo di comunicazione e collaborazione.
u
È un sistema client-server
.u
Rappresenta una soluzione ideale per la condivisione delle informazioni.
u
Offre il vantaggio di poter operare contemporaneamente sullo stesso progetto.
u
È un modo di lavorare, modulare e versatile, in presenza di una rete di PC.
Intranet è un termine che descrive l'implementazione di tecnologie Internet all'interno di una organizzazione invece che per collegamenti all'Internet globale esterno.
Oggi le Intranet sono divenute degli enterprise portal: un punto di accesso alle diverse applicazioni di una organizzazione o, nel caso dei modelli più avanzati, un modello che integra i vari sistemi e li fa comunicare tra di loro: sistemi di gestione del bilancio, del personale, sistemi di gestione dei servizi per gli utenti esterni, strumenti di e- learning, ecc…
Università di Bari Informatica e com.dig.
Corso di reti A.A.2012-13
Internet e intranet
intranet
ISP desktop computer:
backbone
☎
intranet
intranet
intranet intranet
intranet
desktop computer: desktop computer:
desktop computer:
desktop computer:
Funzionalità di una Intranet
La tecnologia Intranet viene impiegata tipicamente per le seguenti applicazioni:
• Pubblicazione di documenti aziendali
• Accesso a directory per le ricerche di dati
Il rapido accesso ad elenchi telefonici aziendali e simili fonti d'informazione. Questi dati possono essere presentati in un sito Web .Ciò significa che, utilizzando gli stessi meccanismi di accesso standard, le informazioni possono essere rese disponibili più diffusamente e in modo più semplice.
• Pagine aziendali/dipartimentali/individuali
Le culture delle aziende stanno cambiando rapidamente, al punto che persino i singoli reparti mirano ad adottare 'dichiarazioni d'intenti' proprie
• Semplici applicazioni di Groupware.
Con il supporto dei moduli HTML, i siti possono fornire fogli per petizioni, sondaggi e semplici scheduling.
• Distribuzione del software
Gli amministratori possono servirsi dell'Internet per fornire a richiesta software e programmi di aggiornamento agli utenti della rete aziendale.
• Posta elettronica
Con la tendenza verso l'uso di prodotti di E-mail Intranet, che utilizzano metodi standard e
Componenti di una Intranet
I principali componenti tecnologici che vengono usati per l’INTRANET, sono:
Ø Protocollo di comunicazione
La capacità di collegamento e comunicazione tra reti e desktop individuali.
Ø Trasferimento di file
La capacità di trasferire file 'punto a punto'.
Ø Posta elettronica
La capacità di fornire comunicazioni dirette 'punto a punto' tra individui e gruppi.
Ø Web Browsing
La capacità di accedere, a richiesta, ad informazioni su base 'uno a molti'.
Ø Emulazione del terminale
La capacità di accedere ad applicazioni infrastrutturali esistenti.
Ø Utilizzo di sistemi hardware eterogenei e indipendenti.
Ø Bassi costi d’implementazione.
Ø Programmi di navigazione (browser) gratuiti.
Ø Completa integrazione con i servizi Internet.
Ø Facilità e semplicità di accesso alle pagine pubblicate con linguaggio HTML.
Ø Elevata capacità di trasmissione in un sistema interno.
Tipologie-Vantaggi-Svantaggi
Intranet chiuse
Non possono avere accesso dall’esterno in quanto non collegate o essendo protette con sistemi Firewall chiusi che impediscono il traffico in entrata.
Intranet aperte
Sono sistemi aperti verso l’esterno, collegate ad altre Intranet o a reti più ampie (WAN, MAN, Intranet) attraverso dei router.
Ø Se l’installazione di un server Web per Intranet non è una operazione molto complessa, diverso è il discorso per la sua amministrazione.
Ø È sicuramente necessaria una conoscenza adeguata del linguaggio HTML Ø Se affidata a persona diversa dal System Administrator, l’amministrazione
della Intranet deve essere effettuata in stretta collaborazione tra le due figure.
Servizi di rete in una intranet
I servizi di rete più usati in una intranet sono i servizi che permettono la condivisione delle risorse e la protezione della intranet:
NAT
NFS
NIS
……
Indirizzi privati
Nella RFC 1918 - Address Allocation for Private Internets la IANA (Internet Assigned Numbers Authority) ha riservato i tre blocchi di indirizzi per le reti IP private, ovvero reti IP che non sono interconnesse ad Internet.
Il primo blocco (10.0.0.0/8) rappresenta un'intera classe A. Il secondo blocco (172.16.0.0/12) è costituito dall'insieme di 16 reti di classe B contigue. Il terzo blocco (192.168.0.0/16) rappresenta 255 reti di classe C contigue.
Classe Network Address Range
A da 10.0.0.0 a 10.255.255.255 (10.0.0.0/8)
B da 172.16.0.0 a 172.31.255.255 (176.16.0.0/12)
C da 192.168.0.0 a 192.168.255.255 (192.168.0.0/16)
Network Address Translation (NAT)
• Tecnica per il filtraggio di pacchetti IP con sostituzione degli indirizzi (o
network masquerading)• Definito nella RFC 1631 per permettere a reti IP private l’accesso a reti IP pubbliche tramite un apposito gateway che modifica gli indirizzi IP (del sorgente e del destinatario) dei pacchetti in transito sul sistema (router o firewall).
intranet
NAT – Conversione di indirizzo sorgente
Il NAT può fornire una semplice conversione di indirizzo IP o conversioni contemporanee di indirizzi IP e numero di porta per presentare all’esterno le macchine di una rete interna con l’indirizzo e la porta del gateway.
L’host interno 192.168.10.1 vuole contattare un web server pubblico 193.204.101.140 Il client interno dalla porta 3123 contatta il gateway NAT 192.168.10.254.
Il gateway 192.168.10.254 modifica l’IP sorgente con l’IP del gateway 138.16.101.140:1025 e come destinatario conserva l’IP del web server 137.204.191.140:80.
Il gateway inoltra il pacchetto della richiesta web con i nuovi indirizzi sorgente e destinazione e memorizza queste informazioni nella propria tabella NAT dinamica .
Il server web risponde al gateway con il proprio indirizzo sorgente e con l’indirizzo destinatario del gateway, il quale , in base alla tabella NAT provvede a girare al client 192.168.10.1 la pagina html ricevuta.
Intranet
NAT gatewayRete pubblica
Server web
192.168.10.1
192.168.10.2 192.168.10.3
192.168.10.254 138.16.101.140:
1025
138.16.101.140
193.204.101.140:80
NAT con IPTABLES
Il kernel Linux implementa funzionalità di NAT tramite il pacchetto applicativo IPTABLES
• Il NAT è definito nella tabella “nat”
• IPTABLES definisce nella tabella “nat” le catene
– PREROUTING: contiene le regole da usare per sostituire l’indirizzo di destinazione dei pacchetti in arrivo (Destination NAT o DNAT)
– POSTROUTING: contiene le regole da usare per sostituire l’indirizzo di origine dei pacchetti in uscita (Source NAT o SNAT)
– OUTPUT: contiene le regole da usare per sostituire l’indirizzo di destinazione dei pacchetti generati localmente (DNAT)
• Se un pacchetto non soddisfa nessuna regola, viene applicata la regola di default, o “policy”, di quella catena
• La policy “ACCEPT” vuol dire assenza di conversione
IPTABLES: firewall + NAT
Network File System (NFS)
NFS è un insieme di applicazioni client-server per la condivisione in rete di file system
– Server NFS: su di esso risiede fisicamente il disco in cui è presente il file system condiviso
– Client NFS: vede i file system condivisi dal server come se fossero file system locali
Esempio:
1. il server “esporta” il file system /home
2. i client “montano” il file system remoto nella loro directory / home
3. ciascun utente può accedere da qualunque client alla stessa home directory
Utilizzo tipico di NFS
Per grandi organizzazioni conviene centralizzare e condividere file system contenenti informazioni o applicazioni utilizzate da numerosi utenti /home /var/mail /usr /bin /sbin
Server NFS: demoni
I demoni NFS da attivare sono – mountd
– nfsd – statd – lockd – rquotad
• Tipicamente i demoni vengono avviati nell’ordine opportuno da appositi
script come nfs e nfslock
Server NFS: configurazione
/etc/exports contiene l’elenco dei file system da esportare quando si avvia il servizio, con le opzioni e i permessi relativi
[root@nfs-srv root]# cat /etc/exports /home1 192.185.10.0/255.255.255.0(rw) /home2 192.185.11.0/255.255.255.0(rw) /usr 192.185.10.0/255.255.254.0(ro) /var/log 192.185.10.1(rw,no_root_squash)
Server NFS: esportazione manuale
Il comando exportfs permette di esportare file system quando il servizio è già avviato, senza modificare /etc/exports
• exportfs permette anche di disabilitare una esportazione attiva [root@nfs-srv root]# exportfs –v -u 192.185.12.0/24:/home [root@nfs-srv root]# exportfs –v -o rw 192.185.12.0/24:/home3
Integrazione con reti Microsoft
Le reti Microsoft, cioè basate su sistemi Windows, utilizzano, per la condivisione di informazioni e risorse, il protocollo SMB
(Server Message Block)
• SMB a sua volta fa uso dell'interfaccia di rete NetBIOS (Network Basic Input-Output System)
• Con il pacchetto applicativo SAMBA, una macchina Linux è in
grado di utilizzare SMB e quindi può accedere alle risorse
condivise in una rete Microsoft e, a sua volta, mettere a
disposizione della rete risorse proprie
Server SAMBA
Le risorse condivisibili da un server SAMBA possono essere – file system;
– stampanti;
– elenco delle macchine appartenenti alla stessa rete MS-Windows (master browser);
– informazioni per l'autenticazione di utenti di un “dominio” MS-Windows (domain controller);
Un dominio MS-Windows può esseregestito da sistemi Linux grazie a SAMBA
• I demoni attivi su un server SAMBA sono
– smbd fornisce ai client i servizi di condivisione di file system e stampanti e si occupa dell’autenticazione degli utenti che accedono alle share – nmbd gestisce la distribuzione dell’elenco delle risorse condivise
Tipicamente questi demoni vengono avviati nell’ordine opportuno da un apposito script come smb
Network Information Service
NIS è un insieme di applicazioni client-server per la gestione centralizzata di alcuni servizi amministrativi di rete
• Tipicamente usato per la gestione centralizzata degli utenti – Server NIS: mantiene le informazioni sugli account utenti – Client NIS: reperisce le informazioni sugli account utenti dal
server
Un utente che ottiene un account sul server NIS può
accedere a qualunque client NIS
Dominio NIS
Un “dominio” NIS è un insieme di sistemi connessi alla stessa LAN che condividono le informazioni contenute negli stessi database NIS (chiamati “mappe”)
– In un dominio NIS deve esserci sempre un server NIS principale (detto “master server”)
– In un dominio NIS possono esserci altri server NIS secondari (detti “slave server”)
– Gli slave server mantengono una copia delle mappe del master server, sincronizzandosi quando avvengono dei cambiamenti – Gli slave server sono utili per condividere il carico di richieste
e per sostituire il master in caso di guasto
RPC e Portmapper nel NIS
NIS utilizza le “Remote Procedure Calls” (RPC), una modalità per eseguire applicazioni da remoto
• Il demone “Portmapper”, in ascolto sulla porta 111 UDP e TCP, fornisce al client le informazioni necessarie per eseguire l’applicazione richiesta sul server, cioè il numero di porta da contattare
• Per interrogare un portmapper, si usa il comando – rpcinfo –p per l’host locale
– rpcinfo –p host per l’host remoto host
Configurazione di un master server NIS
• Impostazione del nome del dominio NIS tramite il comando nisdomainname
• File di configurazione: /etc/ypserv.conf /var/yp/securenets [root@nis-srv root]# cat /var/yp/securenets
# Esempio di file /var/yp/securenets
# consente la connessione dal localhost (necessario) 255.255.255.255 127.0.0.1
# consente la connessione dalla rete 192.185.10.0/24 255.255.255.0 192.185.10.0
Mappe NIS
• Le mappe NIS sono copie (codificate in formato DBM) dei file amministrativi contenuti sul server
• Ad esempio, dal file /etc/passwd si generano le mappe – /var/yp/labreti/passwd.byname
– /var/yp/labreti/passwd.byuid
• dal file /etc/group si generano – /var/yp/labreti/group.byname – /var/yp/labreti/group.bygid
• da /etc/shadow si genera
– /var/yp/labreti/shadow.byname
Attivazione di un master server NIS
1. Impostazione del nome del dominio nisdomainname labreti
2. Avvio del demone ypserv 3. Creazione delle mappe NIS:
/usr/lib/yp/ypinit –m
4. Per permettere agli utenti dei client di cambiare la propria password, sul master server deve essere in funzione anche il demone yppasswdd
Configurazione di un client NIS
• Impostazione del nome del dominio NIS tramite il comando nisdomainname
• File di configurazione: /etc/yp.conf [root@nis-cl root]# cat /etc/yp.conf
# /etc/yp.conf - ypbind configuration file
# Valid entries are
#domain NISDOMAIN server HOSTNAME
# Use server HOSTNAME for the domain NISDOMAIN.
#domain NISDOMAIN broadcast
# Use broadcast on the local net for domain NISDOMAIN
#ypserver HOSTNAME
# Use server HOSTNAME for the local domain. The
Attivazione di un client NIS
1. Impostazione del nome del dominio nisdomainname laboretidip
2. Avvio del demone ypbind 3. Verifica del funzionamento ypwhich
ypwhich -m
ypcat passwd.byname
Servizi di Firewall e NAT (IPTABLES)
Un Firewall è un “filtro” software che serve a proteggersi da accessi indesiderati provenienti dall’esterno, cioè da Internet.
Può essere semplicemente un
programma installato sul proprio PC che protegge quest’ultimo da attacchi esterni.
Tipicamente usato in accessi domestici a larga banda (ADSL, FTTH).
Oppure può essere una macchina
dedicata che filtra tutto il traffico da
e per una rete locale Internet
IPTABLES
• Il kernel Linux implementa funzionalità di firewall tramite il pacchetto applicativo IPTABLES
• IPTABLES definisce nella tabella “filter” tre gruppi di regole di controllo, chiamate
“catene”
– INPUT: contiene le regole per i pacchetti in arrivo al firewall e destinati all’host locale – OUTPUT: contiene le regole per i pacchetti in uscita dal firewall e originati dall’host locale – FORWARD: contiene le regole da usare per i pacchetti in arrivo al firewall e destinati ad
altri host
Regole di IPTABLES
• Quando un pacchetto viene processato da una catena, esso è soggetto alle regole specificate in essa, secondo l’ordine di inserimento
• Una regola può stabilire di scartare (DROP), rifiutare (REJECT) o di accettare (ACCEPT) un pacchetto in base a – Interfaccia di rete coinvolta
– Indirizzo IP di origine – Indirizzo IP di destinazione – Protocollo (TCP, UDP, ICMP) – Porta TCP o UDP di origine – Porta TCP o UDP di destinazione – Tipo di messaggio ICMP
• Se un pacchetto non soddisfa nessuna regola, viene applicata la regola di
default, o “policy”, di quella catena
INTRANET e DMZ
Il termine DMZ (DeMilitarized Zone), indica una parte di una rete locale destinata a fornire servizi all'esterno: ad esempio un server Web, un server di posta elettronica o simili e per questo sottoposta a criteri di sicurezza meno stringenti rispetto alla parte restante della LAN.
I nodi di rete della "Intranet" sono protetti da un firewall che impedisce l'accesso dall'esterno per motivi di sicurezza.
I due server che invece devono consentire l'accesso esterno vengono collocati in un'area DMZ non protetta dal firewall o, più
frequentemente, anch'essa protetta, ma con criteri diversi.
Un altro esempio di servizio nella Intranet
SharePoint è un nuovo servizio offerto da Office XP.
Semplifica l’attività di gestione di una Intranet, e ne aumenta in modo considerevole le potenzialità.
É uno utile per i lavori di gruppo, dove è necessario che gli utenti comunichino tra loro (anche se remoti).
Si installa come estensione di un server web di una Intranet.
Necessita di W2K, di Internet Information Server e del motore del database SQL.
SharePoint si trova nella cartella SHAREPT del CD di FrontPage
o di Office XP
