Indirizzamento privato e NAT

(1)

Indirizzamento privato e NAT

Indirizzamento

Indirizzamento privato privato e NAT

e NAT

(2)

Contenuti del corso Contenuti del corso

Æ La progettazione delle reti Æ La progettazione delle reti

Æ Il routing nelle reti IP Æ Il routing nelle reti IP

Æ Il collegamento agli Internet Service Provider e problematiche di sicurezza

Æ Il collegamento agli Internet Service Provider e problematiche di sicurezza

Æ Analisi di traffico e dei protocolli applicativi

Æ Analisi di traffico e dei protocolli applicativi

Æ Multimedialità in rete Æ Multimedialità in rete

Æ Tecnologie per le reti future Æ Tecnologie per le reti future

(3)

Contenuti del corso Contenuti del corso

Æ La progettazione delle reti Æ La progettazione delle reti

Æ Il routing nelle reti IP Æ Il routing nelle reti IP

Æ Il collegamento agli Internet Service Provider e problematiche di sicurezza

Æ Il collegamento agli Internet Service Provider e problematiche di sicurezza

Æ Analisi di traffico e dei protocolli applicativi

Æ Analisi di traffico e dei protocolli applicativi

Æ Multimedialità in rete Æ Multimedialità in rete

Æ Tecnologie per le reti future Æ Tecnologie per le reti future

(4)

Argomenti della lezione Argomenti della lezione

Î Reti aziendali e

indirizzamento IP Î Reti aziendali e

indirizzamento IP

Î Network Address Translation Î Network Address Translation

(5)

Internet e indirizzi IP Internet e indirizzi IP

Ente centrale che gestisce

l’assegnazione degli indirizzi IP su scala mondiale

Ente centrale che gestisce

l’assegnazione degli indirizzi IP su scala mondiale

IANA (Internet

IANA (Internet Assigned Numbers Assigned Numbers Authority

Authority))

(6)

Internet e indirizzi IP Internet e indirizzi IP

Î Delega altri enti su base

continentale (Europa: RIPE) Î Delega altri enti su base

continentale (Europa: RIPE)

Î Garantisce l’unicità degli indirizzi su Internet

Î Garantisce l’unicità degli indirizzi su Internet

Î Assegna gli indirizzi a lotti di intere sottoreti

Î Assegna gli indirizzi a lotti di intere sottoreti

Lo IANA:

(7)

Indirizzi IP pubblici Indirizzi IP pubblici

Î Un ente potrebbe acquistare

dallo IANA una o più sottoreti IP per collegare a Internet la LAN

Î Un ente potrebbe acquistare

dallo IANA una o più sottoreti IP per collegare a Internet la LAN

La scarsità di indirizzi IP pubblici rende tale acquisto assai oneroso La scarsità di indirizzi IP pubblici rende tale acquisto assai oneroso ÎÎ

Î Soluzione ormai improponibile per gli utenti finali di Internet

Î Soluzione ormai improponibile per gli utenti finali di Internet

(8)

Indirizzi IP pubblici Indirizzi IP pubblici

Necessari per i sistemi che devono essere raggiungibili da tutti gli host di Internet Necessari per i sistemi che devono essere raggiungibili da tutti gli host di Internet

Î Server Web per e-commerce Î Server Web per e-commerce

Î Server di posta elettronica (POP3, SMTP)

Î Server di posta elettronica (POP3, SMTP)

Î Server di database e sistemi per applicazioni B2B

Î Server di database e sistemi per applicazioni B2B

(9)

Internet e intranet Internet e intranet

Per realizzare una

Per realizzare una intranetintranet non ènon è necessario disporre di indirizzi necessario disporre di indirizzi

ufficiali assegnati dallo IANA ufficiali assegnati dallo IANA

Tecniche per l’internetworking tra Internet e una rete intranet con

indirizzi privati

Tecniche per l’internetworking tra Internet e una rete intranet con

indirizzi privati

(10)

Indirizzi IP per uso privato Indirizzi IP per uso privato

Indirizzi IP validi (RFC 1918) Indirizzi IP validi (RFC 1918) ÎÎ

Possono essere assegnati solamente agli host di una intranet

ÎÎ

Indirizzi riutilizzabili, non hanno significato a livello globale

ÎÎ

(11)

Indirizzi IP per uso privato Indirizzi IP per uso privato

Appartengono alle seguenti reti:

Î Rete 10 (classe A)

da 10.0.0.0 a 10.255.255.255 Î Rete 10 (classe A)

da 10.0.0.0 a 10.255.255.255 Î Parte della rete 172 (classe B)

da 172.16.0.0 a 172.31.255.255 Î Parte della rete 172 (classe B)

da 172.16.0.0 a 172.31.255.255 Î Rete 192 (classe C)

da 192.168.0.0 a 192.168.255.255 Î Rete 192 (classe C)

da 192.168.0.0 a 192.168.255.255

(12)

Indirizzi IP di loopback Indirizzi IP di loopback

Permette di provare

il funzionamento del software senza usare realmente la rete Permette di provare

il funzionamento del software senza usare realmente la rete La rete 127.0.0.0 (di classe A)

è usata dai sistemi operativi come rete di “loopback”

La rete 127.0.0.0 (di classe A) è usata dai sistemi operativi come rete di “loopback”

(13)

Esempio

(effettua il ping su se stesso):

# ping 127.0.0.1 Esempio

(effettua il ping su se stesso):

# ping 127.0.0.1

Indirizzi IP di loopback

(14)

Internetworking Internetworking

Gli indirizzi delle reti private non

possono essere annunciati dai router collegati a Internet

Gli indirizzi delle reti private non

possono essere annunciati dai router collegati a Internet

L’accesso ad Internet per una rete L’accesso ad Internet per una rete

intranet

intranet con indirizzi IP privati con indirizzi IP privati richiede l’uso di tecniche avanzate richiede l’uso di tecniche avanzate

(15)

NAT NAT

Network Address Translation Network Address Translation

RFC 1631, 2663 RFC 1631, 2663

Offre connettività a Internet per le reti con indirizzamento privatoOffre connettività a Internet per le reti con indirizzamento privato

(16)

NAT: vantaggi NAT: vantaggi

Limita il numero di indirizzi IP pubblici necessari per collegare una LAN a Internet

ÎÎ

Mantiene inalterata la

configurazione degli host Mantiene inalterata la

configurazione degli host ÎÎ

(17)

NAT: vantaggi NAT: vantaggi

Î Non modifica il funzionamento

dei protocolli e delle applicazioni della rete intranet

Î Non modifica il funzionamento

dei protocolli e delle applicazioni della rete intranet

Î Flessibilità elevata grazie allo spazio di indirizzi privati molto esteso

Î Flessibilità elevata grazie allo spazio di indirizzi privati molto esteso

(18)

NAT: vantaggi NAT: vantaggi

Riduzione dei costi di accesso a Internet

ÎÎ

Maggiore sicurezza per i calcolatori della rete locale Maggiore sicurezza per i calcolatori della rete locale ÎÎ

(19)

NAT NAT

192.168.1.2 192.168.1.2

Internet Internet router

router

indirizzi privati indirizzi privati

indirizzi ufficiali indirizzi ufficiali

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

192.168.1.3 192.168.1.3

intranet intranet

(20)

NAT: funzionalità NAT: funzionalità

Corrispondenza biunivoca tra

indirizzi esterni e interni (Static NAT)

Corrispondenza biunivoca tra

indirizzi esterni e interni (Static NAT)

ÎÎ

Traduzione dinamica degli

indirizzi di origine (Dynamic NAT) Traduzione dinamica degli

indirizzi di origine (Dynamic NAT) ÎÎ

Traduzione dinamica delle porte di origine (Port Address

Translation, o IP masquerading) Traduzione dinamica delle porte di origine (Port Address

Translation, o IP masquerading) ÎÎ

(21)

IP masquerading IP masquerading

Î Permette di condividere una

singola connessione a Internet per più calcolatori di una intranet

Î Permette di condividere una

singola connessione a Internet per più calcolatori di una intranet

Î Utilizza un solo indirizzo IP pubblico Î Utilizza un solo indirizzo IP pubblico

Î Traduce in modo dinamico

gli indirizzi e le porte di origine del flusso di dati

Î Traduce in modo dinamico

gli indirizzi e le porte di origine del flusso di dati

Caso tipico nelle reti aziendali Caso tipico nelle reti aziendali

(22)

IP masquerading IP masquerading

Alcuni sistemi operativi offrono tale funzionalità in modo nativo (Windows ME/2000/XP, Linux) Alcuni sistemi operativi offrono tale funzionalità in modo nativo (Windows ME/2000/XP, Linux) Utilizzato nel caso degli accessi xDSL o ISDN per piccole LAN

Utilizzato nel caso degli accessi xDSL o ISDN per piccole LAN

(23)

NAT: esempio di funzionamento NAT: esempio di

funzionamento

(24)

NAT NAT

L’host 192.168.1.1 (client) L’host 192.168.1.1 (client)

deve contattare un server web deve contattare un server web

su Internet su Internet

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

(25)

NAT NAT

Il client invia al default router un Il client invia al default router un

pacchetto IP avente:

SIP 192.168.1.1 SPort 30231/TCP SIP 192.168.1.1 SPort 30231/TCP

DIP 62.41.244.2 DPort 80/TCP DIP 62.41.244.2 DPort 80/TCP

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

(26)

NAT NAT

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

62.41.244.2

Il router, prima di inoltrarlo, Il router, prima di inoltrarlo,

modifica l’indirizzo sorgente:

192.168.1.1

192.168.1.1 ⇒⇒ 158.109.1.253158.109.1.253

(27)

NAT NAT

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

62.41.244.2

Il router, prima di inoltrarlo, Il router, prima di inoltrarlo,

modifica la porta sorgente:

30231/TCP

30231/TCP ⇒⇒ 1024/TCP1024/TCP

(28)

NAT NAT

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

62.41.244.2

Il router inserisce un record Il router inserisce un record nella Dynamic NAT table per nella Dynamic NAT table per

tenere traccia del flusso di tenere traccia del flusso di

dati uscente dati uscente

(29)

NAT NAT

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

Dynamic NAT table Dynamic NAT table

Int address

Int address Ext addressExt address

158.109.1.253 158.109.1.253 192.168.1.1

192.168.1.1

Int port

Int port Ext portExt port

1024/TCP 1024/TCP 30231/TCP

30231/TCP

AgeAge 62.41.244.2

(30)

NAT NAT

Il router inoltra il pacchetto Il router inoltra il pacchetto

modificato al next hop router modificato al next hop router

e quindi al server Web e quindi al server Web

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

(31)

NAT NAT

Il server

Il server risponderisponde al client al client con un

con un pacchetto aventepacchetto avente:: SIP 62.41.244.2

SIP 62.41.244.2 SPortSPort 80/TCP80/TCP DIP 158.109.1.253

DIP 158.109.1.253 DPortDPort 1024/TCP1024/TCP

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

(32)

NAT NAT

Il router riceve il pacchetto Il router riceve il pacchetto e consulta la Dynamic NAT e consulta la Dynamic NAT

table alla ricerca di eventuali table alla ricerca di eventuali

regole di traduzione da applicare a ritroso regole di traduzione da applicare a ritroso

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

(33)

NAT NAT

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

Dynamic NAT table Dynamic NAT table

Int address

Int address Ext addressExt address

158.109.1.253 158.109.1.253 192.168.1.1

192.168.1.1

Int port

Int port Ext portExt port

1024/TCP 1024/TCP 30231/TCP

30231/TCP

AgeAge

(34)

NAT NAT

Il router prima di inoltrare Il router prima di inoltrare

il pacchetto ne modifica il pacchetto ne modifica

l’indirizzo IP di destinazione:

158.109.1.253

158.109.1.253 ⇒⇒ 192.168.1.1192.168.1.1

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

(35)

NAT NAT

Il router prima di inoltrare Il router prima di inoltrare

il pacchetto ne modifica il pacchetto ne modifica

la porta TCP di destinazione:

1024/TCP

1024/TCP ⇒⇒ 30231/TCP30231/TCP

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

(36)

NAT NAT

62.41.244.2

router

192.168.1.1 192.168.1.1

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

Il client riceve il pacchetto Il client riceve il pacchetto

correttamente!

(37)

NAT: funzionalità NAT: funzionalità

Porte TCP e UDP esterne usate dal router per la Port Address Translation (PAT): 1024 ÷ 4999

(RFC 2663)

Porte TCP e UDP esterne usate dal router per la Port Address Translation (PAT): 1024 ÷ 4999

(RFC 2663)

Ogni flusso TCP o UDP uscente dalla rete intranet genererà

una nuova entry nella

Dynamic NAT table del router Ogni flusso TCP o UDP uscente dalla rete intranet genererà

una nuova entry nella

Dynamic NAT table del router

(38)

NAT: funzionalità NAT: funzionalità

Un client della rete interna:

Può connettersi a qualunque server della rete Internet Può connettersi a qualunque

server della rete Internet

Non risente dalla traduzione di indirizzo e di porta effettuati

dal default router

Non risente dalla traduzione di indirizzo e di porta effettuati

dal default router

(39)

NAT e sicurezza NAT e sicurezza

La sicurezza dei nodi interni è perciò intrinsecamente

garantita

La sicurezza dei nodi interni è perciò intrinsecamente

garantita

La traduzione non può aver luogo se il flusso ha origine dall’esterno verso un nodo interno

(40)

NAT: entry statiche

NAT: entry

statiche

(41)

NAT e servizi interni NAT e servizi interni

Per rendere raggiungibile un

server della rete interna occorre

“forzare” la traduzione

Per rendere raggiungibile un

server della rete interna occorre

“forzare” la traduzione ÎÎ

Si fa inserendo un’entry statica nella tabella del router

(Static NAT)

Si fa inserendo un’entry statica nella tabella del router

(Static NAT) ÎÎ

Può abbassare il livello di sicurezza della rete interna!

ÎÎ

(42)

NAT NAT

router

192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

Static NAT table Static NAT table

Ext address

Ext address Int addressInt address

192.168.1.100 192.168.1.100 158.109.1.253

158.109.1.253

Ext port

Ext port Int portInt port

80/TCP 80/TCP 80/TCP

80/TCP

(43)

router

192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

NAT NAT

Ext address

192.168.1.100 192.168.1.100 158.109.1.253

158.109.1.253

Ext port

80/TCP 80/TCP 80/TCP

80/TCP

(44)

router

192.168.1.100 192.168.1.100

192.168.1.254 192.168.1.254

158.109.1.253 158.109.1.253

NAT NAT

Ext address

192.168.1.100 192.168.1.100 158.109.1.253

158.109.1.253

Ext port

80/TCP 80/TCP 80/TCP

80/TCP

(45)