La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Reti Private - NAT Reti Private: VPN e NAT Reti II Stefano Leonardi.

Presentazioni simili


Presentazione sul tema: "Reti Private - NAT Reti Private: VPN e NAT Reti II Stefano Leonardi."— Transcript della presentazione:

1 Reti Private - NAT Reti Private: VPN e NAT Reti II Stefano Leonardi

2 Reti Private - NAT-2 Reti private  Rete privata: gruppo di nodi (server, host router) inaccessibili al traffico di altri gruppi  Implementazione tipica: affitto di linee tra i nodi della rete privata  Vantaggi potenziali  Riuso degli indirizzi  Riservatezza

3 Reti Private - NAT-3 Reti private: vantaggi  Per “l’impresa”: - sicurezza - flessibilità nella gestione dell’indirizzamento:  ampia disponibilità di indirizzi  gestione privata dell’univocità  Per la comunità:  risparmio di indirizzi

4 Reti Private - NAT-4 Rete completamente isolata  In questo caso la rete e’ completamente inaccessibile dall’esterno Linea dedicata Rete privata

5 Reti Private - NAT-5 Reti ibride  Linee dedicate connettono i diversi gruppi di nodi che formano la rete privata  Indirizzi IP pubblici  Alcuni o tutti i gruppi sono connessi al resto di Internet  Possibilta’ di riservatezza. Es.:  Traffico privato su linee dedicate  Traffico da/verso il resto di Internet su linee condivise

6 Reti Private - NAT-6 Reti ibride - esempio  La Sottorete 1 puo’ comunicare con la Sottorete 2 in modo riservato usando la linea dedicata  L’accesso a Internet avviene attraverso i router R1 e R2  La rete usa indirizzi IP validi Internet Linea privata dedicata Sottorete 1 Sottorete 2 R1 R2

7 Reti Private - NAT-7 Reti virtuali private (VPN)  Reti completamente private o ibride costose  Es.: affitto o installazione linee dedicate  Uso di Internet per la connessione tra sottoreti non offre riservatezza  Rete virtuale privata (VPN)  Non usa linee dedicate  Traffico da/verso nodi della rete privata criptato

8 Reti Private - NAT-8 Tecniche per il VPN  Crittografia  Datagrammi cifrati alla sorgente e decifrati a destinazione  Tunneling  datagrammi cifrati incapsulati in datagrammi IP standard come parte dati  Unica parte visibile: intestazione del datagramma esterno  Parte dati contiene il datagramma originario cifrato  Indirizzi IP sorgente e destinazione originali cifrati

9 Reti Private - NAT-9 Es.: Datagram da Host1 a Host2  Datagramma D1 da Host1 a Host2  D1 cifrato da R1 --> D2  D2 giunge a R2 e viene decifrato --> D1  D1 e’ consegnato a Host2 Internet Sottorete 1 R1 R2 Host1 Host2 Sottorete 2 Cifratura Decifratura D1 D2 D1

10 Reti Private - NAT-10 Esempio - cont.  H2 non e’ cifrato  Indirizzi IP in H2 sono quelli di R1 ed R2 rispettivamente  Indirizzi di Host1 e Host2 contenuti in H1 e percio’ cifrati Parte dati di D1 H1 Cifratura D1 cifratoH2 D2

11 Reti Private - NAT-11 Es.: tabella di routing di R1  La entry di default indica che il Datagram e’ inviato a Internet senza cifratura e tunneling Internet R1 Rete R2 R4 Rete R R Tunnel verso R3 defaultRouter di ISP Destinazione Next hop

12 Reti Private - NAT-12 Indirizzi privati  La specifica CIDR prevede alcuni blocchi di indirizzi riservati all’uso su inter-reti private non direttamente connesse a Internet  Indirizzi non instradabili  Un datagram destinato a un indirizzo privato viene riconosciuto da un router di Internet

13 Reti Private - NAT-13 Indirizzi privati - cont.  Blocchi di indirizzi privati  /8  /12  /16  /16  Piu’ sottoreti di Internet possono usare questi blocchi di indirizzi, purche’ non siano accessibili dall’esterno  Una VPN spesso usa indirizzi privati per i nodi interni

14 Reti Private - NAT-14 Terminologia  stub domain: una rete in cui viaggiano pacchetti provenienti o destinati alla rete stessa ma nessun pacchetto in transito  address realm: una rete in cui gli indirizzi identificano univocamente gli host all’interno di essa – realm diversi potrebbero avere indirizzi sovrapposti – Internet è un realm – un realm può essere connesso ad altri realm... con precauzione!  public/global/external network: idirizzi ottenuti da IANA  private/local network: idirizzi non ottenuti da IANA

15 Reti Private - NAT-15  Le due sottoreti della VPN usano blocchi di indirizzi privati  R1 ed R2 hanno bisogno di due indirizzi globablmente validi per il tunneling VPN con indirizzi privati Internet R2R3 Internet / /

16 Reti Private - NAT-16 Vantaggi/svantaggi  Servono meno indirizzi globali  Problema: gli host delle sottoreti locali non hanno accesso a Internet  Per avere accesso a Internet serve un indirizzo IP globale  Soluzioni  Application gateway  NAT: Network Address Translation - traduzione degli indirizzi di rete

17 Reti Private - NAT-17 Application gateway  H esegue programmi applicativi (appl. gateway) per ogni servizio disponibile (es. HTTP, FTP)  Inoltra verso Internet le richieste dalla rete interna e verso questa le risposte da Internet Internet H /

18 Reti Private - NAT-18 Svantaggi  Occorre avere un Application gateway per ogni servizio di rete  L’application gateway lavora al livello applicativo con corrispondente rallentamento dei servizi  Limita il numero di servizi disponibili a quelli stabiliti dal gestore di rete

19 Reti Private - NAT-19 NAT - Network Address Translation  Il NAT permette un accesso a livello IP  Requisiti  Singola connessione a Internet  Almeno un indirizzo IP valido  L’uso di Application Gateway permette agli host l’accesso a determinati servizi ma non a livello IP

20 Reti Private - NAT-20 NAT - funzionamento base Traduzione per i Datagram da/verso  IP sorgente di D1: >  IP destinazione di D2: >  D.: come fa R a capire che D2 e’ diretto a ? Internet R Router NAT D1 D2

21 Reti Private - NAT-21 Problemi implementativi  Tutti i pacchetti in arrivo ad R da Internet hanno lo stesso indirizzo di destinazione (es.: )  Come distinguere la destinazione all’interno della rete locale?  Es.: D2 e’ la risposta a D1, quindi la destinazione reale di D2 e’  Soluzioni  Tabelle  NAT multi-indirizzo  NAT con mappatura delle porte

22 Reti Private - NAT-22 Tabelle di traduzione NAT  Servono ad instradare datagrammi in ingresso all’host interno corretto  Si ricordi che tutti i datagrammi in arrivo al router NAT hanno lo stesso IP di destinazione  Si basano sulla seguente assunzione:  Se l’host interno H invia un datagramma all’host di Internet A allora i datagrammi provenienti da A sono diretti a H  Funziona se al piu’ 1 host interno puo’ inviare datagrammi allo stesso host globale

23 Reti Private - NAT-23 Tabelle NAT - esempio  comunica con  comunica con Internet R Router NAT ProvenienzaDest. host Tabella di traduzione di R

24 Reti Private - NAT-24 Inizializzazione delle tabelle NAT  Binding statico:  Manuale: definizione delle corrispondenze tra IP esterni ed indirizzi privati.  Datagram in uscita: la prima volta che R riceve un datagram da per crea l’entry ( , ) nella tabella NAT - soluzione piu’ usata. Non permette l’inizio della comunicazione da parte di un Host esterno  Binding dinamico:  Inizializzazione basata sui nomi di dominio. R risponde con il proprio indirizzo quando rileva la richiesta di risoluzione di un nome di dominio interno alla rete

25 Reti Private - NAT-25 Inizializzazione delle tabelle NAT, cont.  Svantaggio principale: al massimo 1 macchina locale puo’ accedere a una stessa macchina su Internet  La comunicazione può iniziare dall’esterno solo con la configurazione manuale o con la richiesta di risoluzione di un nome di dominio

26 Reti Private - NAT-26 NAT multi-indirizzo  L’interfaccia esterna del router NAT ha piu’ indirizzi globali associati  Gli indirizzi globali sono assegnati a rotazione come indirizzi sorgente dei datagrammi uscenti  K indirizzi globali permettono fino a K connessioni di host interni con la stessa macchina su Internet

27 Reti Private - NAT-27 Es.: NAT multi-indirizzo (K=2)  e comunicano con  comunica con Internet R Router NAT ProvenienzaDest. host Tabella di traduzione di R IP global dest

28 Reti Private - NAT-28 Modifica dei pacchetti IP

29 Reti Private - NAT-29 NAT con mappatura delle porte  Il router NAT individua le destinazioni (interne) dei datagrammi provenienti da Internet anche in base al protocollo di trasporto  Usato quando i datagrammi trasportano segmenti TCP o UDP  Usa anche i numeri di porta  Necessita’ di estendere le entry della tabella di traduzione NAT

30 Reti Private - NAT-30 Es.: Mappatura delle porte  e hanno ciascuno una connessione HTTP verso  Gli altri host hanno connessioni TCP verso altre macchine non mostrate in figura Internet R Router NAT

31 Reti Private - NAT-31 Esempio - tabella NAT  Tabella NAT  Le prime due righe corrispondono alla figura precedente  Manca colonna protocollo di trasporto (TCP in tutti i casi) Indirizzo privato Porta privata Indirizzo esternoPorta esterna Porta NAT

32 Reti Private - NAT-32 Esempio - cont.  Il router NAT mantiene un numero di porta NAT distinto per ciascuna connessione  Due host locali potrebbero scegliere lo stesso numero di porta privata  La macchina individua le due connessioni corrispondenti alle prime due righe della tabella precedente cosi’: ( , 14003, , 80) ( , 14010, , 80)

33 Reti Private - NAT-33 Modifica pacchetti TCP

34 Reti Private - NAT-34 Interazione con altri protocolli  Il NAT interagisce con i protocolli di strati superiori e con ICMP  Il NAT deve:  Modificare gli header IP  Modificare i numeri di porta TCP e UDP  Ricalcolare i checksum (perche’ gli header cambiano)  Gestire esplicitamente messaggi ICMP (es. ping)  Traduzione di numeri di porta in sessioni FTP

35 Reti Private - NAT-35 Interazione tra NAT e FTP  Client contatta il Server FTP alla porta 21  For il trasferimento dati, la parte Client diventa server e il Server diventa Client  Il processo Client ottiene una porta dal sistema operativo e la comunica al server sul canale di controllo dopo averla tradotta in ASCII  Quindi il processo Client attende di essere contattato dal processo Server  Problema con NAT?

36 Reti Private - NAT-36 Interazione tra NAT e FTP  I Segmenti inviati dal Server al Client recheranno l’indicazione della porta TCP specificata dal Client  Il NAT deve intervenire a livello di flusso di dati e sostituire la porta comunicata dal server con una porta da lui prescelta  L’alterazione del flusso dati ha delle ricadute sui sequence number  In generale tutte le applicazioni che trasferiscono informazioni di livello 3 e 4 come dati devono essere gestite da oportuni gateway per interagire con il NAT.

37 Reti Private - NAT-37 Interazione tra dispositivi NAT R Router NAT Internet Router NAT R2 Due dispositivi NAT e tre domini di indirizzamento Rete 1 Rete 2

38 Reti Private - NAT-38 Interazione tra dispositivi NAT  Studiare i diversi modelli di traduzione degli indirizzi per la comunicazione tra host nelle due reti locali. Ex: contatta I due indirizzi non sono instradabili nel dominio globale Il contatto avviene attraverso i nomi di dominio

39 Reti Private - NAT-39 Tabelle NAT  Binding statico. R1 sostituisce il suo indirizzo ai pacchetti diretti verso Rete 2.  R1 ottiene l’indirizzo IP di R2 in fase di risoluzione del nome di dominio di  I pacchetti hanno come indirizzi sorgente e destinazione R1 ed R2  Non vi è modo di distinguere due comunicazioni tra host di Rete 1 e Host di Rete 2

40 Reti Private - NAT-40 NAT multi-indirizzo R Router NAT Rete 1 Internet R

41 Reti Private - NAT-41 NAT multi-indirizzo  Tutti le comunicazioni da host su Rete 1 ad Host su Rete 2  Se R1risolve gli indirizzi di dominio interni a Rete 2 inviando pacchetti DNS con stesso indirizzo sorgente, ex: , R2 deve rispondere sempre con indirizzi diversi  Se R1 risolve gli indirizzi di dominio interni a Rete 2 inviando pacchetti con diverso indirizzo sorgente, R2 può rispondere sempre con lo stesso indirizzo

42 Reti Private - NAT-42 Tabelle di NAT in caso ProvenienzaDest. host Tabella di traduzione di R1 IP global dest ProvenienzaDest. host Tabella di traduzione di R2 IP global dest

43 Reti Private - NAT-43 Tipica configurazione

44 Reti Private - NAT-44 Esercizio

45 Reti Private - NAT-45 Soluzione

46 Reti Private - NAT-46 Soluzione, cont.

47 Reti Private - NAT-47 Soluzione Ciascuna rotta occupa una riga nelle tabelle di Instradamento. E’ possibile ottenere delle tabelle più piccole utilizzando le tecniche CIDR?


Scaricare ppt "Reti Private - NAT Reti Private: VPN e NAT Reti II Stefano Leonardi."

Presentazioni simili


Annunci Google