 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci in scala mondiale  Un privato che progetta una rete deve dare degli indirizzi interni statici ed accordarsi con l’esterno affinchè essi siano univoci  Per eliminare ogni difficoltà, gli indirizzi privati vengono dati con una certa libertà ma, quando si va su internet pubblica, la NAT trasforma questi indirizzi in pubblici a seconda di quelli che vengono dati dal privider locale tramite DHCP

 Due host della stessa rete vogliono collegarsi sulla stessa porta; tramite NAT acquistano lo stesso indirizzo ip pubblico ma figurano con porte di partenza differenti. Al ritorno, il router deve fare il processo inverso e dare ai pacchetti indirizzi privati differenti a seconda delle porte dei destinatari che non sono mai cambiate durante tutto il collegamento.  Il NAT offre un servizio di sicurezza perché gli host privati non figurano all’esterno mai con il loro indirizzo ip privato impedendo a host esterni di poter accedere ad essi. La presenza del nat è però un nere in più per il router e rallenta leggermente lo scambi dei dati.

 Firewall: muro di fuoco  È un sistema hardware - software che permette la protezione della rete interna oppure, evita che dalla rete interna possano partire dati dannosi per host remoti  L’interno di una rete può essere esposta a rischi dovuti ad accessi indesiderati o alla installazione di software dannoso

 Ingress firewall: vengono controllati i collegamenti incoming, i servizi offerti dall’esterno  Egress firewall: sono controllati i collegamenti outgoing, quelli che vanno verso l’esterno  Personal firewall: proteggono il singolo host sia verso l’interno che verso l’esterno. Un personal firewall può essere un semplice programma installato sul pc che protegge i dati; il traffico è permesso dallesterno verso l’interno ma non viceversa. In una azienda è impensabile avere dei personal firewall. Dei personal firwall più comuni, ci sono quelli inclusi con il sistema operativo

 Network firewall: sono i firewall che vengono interposti tra l’intera rete internet e la LAN.  In genere sono utilizzati nelle aziende e permettono la circolazione solo di un certo tipo di traffico sia verso l’interno che verso l’esterno  A seconda del livello nel quale vengono eseguiti i controlli si distinguono in:  Packet filtering router: livello di rete  Circuit gateway: livello di trasporto  Proxy server: livello di applicazione

 Packet filter router: valuta sei i pacchetti possono transitare in base al tipo di protocollo, dll’indirizzo della sorgente e del destinatario. Analizza quindi:  IP mittente e destinatario  MAC address mittente e destinatario  Numero della porta verso cui è destinato il pacchetto  Protocollo da utilizzare Il firewall si basa su un algoritmo di scelta dove sono elencati i criteri di proibito (deny) e quelli di accettazione (permit) I pacchetti possono essere:  Accept/ allow  Deny  Discard/reject

 ACL: Access Control List. Le regole sono elencate in tabelle e i controlli sono fatti a livello 3 o anche negli header del livello 4.  Le ACL possono essere inserite anche nei semplici router e nei router firewall  L’amministratore di rete gestisce le tabelle ACL  Ogni singolo criterio di ACL è detto ACE (Access Control Entry)  La sintassi per esprimere una ACL è molto variegata; si possono stabilire dei criteri nei router cisco che fungono da firewall o nelle macchine con un kernel linux  L’ACE di un ACL esprime: o Obiettivo-cosa fare del pacchetto o Interfaccia e regola – se la regola è applicata in input o in output o Specifiche – tipo di indirizzo, n di porta, protocollo. o Le regole sono riportate con un ordine; prime regole sono le più restrittive.

 Gli apparati sui quali gira un processo firewall sono detti bastion host; essi sono particolarmente attrezzati  Tra i tentativi di intrusione si ricorda:  Ip spoofing, tecnica per cui si tenta di accedere ai servizi di una rete falsificando l’identità dei pacchetti tramite la modifica dell’indirizzo IP  DoS Denial of Service – il servizio viene messo in difficoltà sottoponendolo a stress eccessivo. Un esempio è l’uso distorto di ping. Un programma pirata invia una quantità di pacchetti IMCP con indirizzo sorgente modificato e indirizzo destinatario di broadcast. Se il router non è impostato per far fronte, i pacchetti vengono inoltrati su tutta la rete, alcuni host rispondono e la rete si intasa.

 Firewall di seconda generazione, effettuano il filtraggio non sul singolo pacchetto ma su tutta la connessione  Se la connessione viene accettata, viene posta in una tabella di stato in modo che, alla connessione successiva non viene effettuato l’analisi  Nella tabella di stato, per ogni connessione vengono memorizzati i seguenti dati:  Identificazione del collegamento  Indirizzi ip sorgente e destinatario  Interfacce di rete utilizzate  Lo stato di connessione (handshaking o fase iniziale, established, closing)

Source address Surce port Dest addressDest port state handshaking estblished estblished closed

 Il proxy è un processo applicativo come il NAT e il firewall  È un processo del livello 7  Il processo proxy deve essere avviato su una piattaforma ad alte prestazioni per poter fornire i servizi promessi  L’applicazione firewall su proxy approfondisce l’analisi di contenuto dei pacchetti oltre al controllo dei pacchetti e delle connessioni

 Un host privato, per poter usufruire del servizio proxy, deve essere configurato attraverso un protocollo del livello 7 e comunicare attraverso la porta TCP  L’host privato accede al proxy che si connette con l’host della rete pubblica.  Il proxy colloquia con l’host pubblico al posto del client privato  Il proxy un progamma che viene eseguito dal gateway

Firewall Proxy Rete interna Internet