Network Address Translator Scopi e Problematiche

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

Indirizzamento LAN e ARP
Il livello di trasporto
Elaborazione del Book Informatico
Italo Losero S tray B ytes strane cose succedono nelle reti....
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
INTERNET FIREWALL Bastion host Laura Ricci.
IL NOSTRO LABORATORIO. Di INFORMATICA..
5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
4-1 Mobilità in Internet Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
I modelli di riferimento OSI e TCP/IP
Sistemi e Tecnologie della Comunicazione
La rete del futuro nellautonomia scolastica Sezione propedeutica I fondamentali e concetti di TCP/IP.
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
Secure Shell Giulia Carboni
Programmazione su Reti
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
RETI E INTERNET.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Reti di Calcolatori IL LIVELLO RETE.
Reti di Calcolatori IL LIVELLO RETE.
ICMP - PING - TRACEROUTE
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
Sistemi di elaborazione dellinformazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 - Gestione degli indirizzi Ernesto Damiani Lezione 4 – NAT.
Il modello di riferimento OSI
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Modulo n – U.D. n – Lez. n Nome Cognome – titolo corso.
TCP/IP.
Le reti di calcolatori ©Apogeo 2004.
Informatica Lezione 9 Scienze e tecniche psicologiche dello sviluppo e dell'educazione (laurea triennale) Anno accademico:
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
L’architettura a strati
IPSec Fabrizio Grossi.
Indirizzi IP e Subnet mask
Nemesi Creazione e pubblicazione di una rivista online tramite l’utilizzo di Java Message Service.
Certificati e VPN.
1 Luigi Vetrano Esercitazione di Reti di Calcolatori A.A
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 1 – Assegnazione.
Livello 3 Network (Rete)
Infrastruttura per la gestione distribuita di un sistema di prenotazione Progetto di: Fabio Fabbri Matricola
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Sistemi di elaborazione dell’informazione Modulo 2 - Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 3 –
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Servizi Internet Claudia Raibulet
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Reti II Stefano Leonardi
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 3 -Instradamento statico Ernesto Damiani Lezione 2 – ICMP.
UNITA’ 04 Uso Sicuro del Web.
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Informatica Lezione 8 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.
Sistemi e Tecnologie della Comunicazione
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Corso "RouterOS in Pratica"
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET PROTOCOL SUITE FACOLTA’ DI INGEGNERIA Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Docente: Prof. Pasquale Daponte Tutor:
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
II PROVA Svolgimento tramite protocollo ISO/OSI. I LIVELLO : LIVELLO FISICO Scelta del mezzo fisico; tenere conto degli standard IEEE Procedura di codifica.
Tecnologie di Sicurezza in Internet APPLICAZIONI Nozioni preliminari AA Ingegneria Informatica e dell’Automazione.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Transcript della presentazione:

Network Address Translator Scopi e Problematiche Corso di Infrastrutture e servizi per reti geografiche - 01GQB di Vincenzo Buttazzo e Marco Vallini NAT - Terminology and Considerations – rfc 2663 Traditional NAT – rfc 3022 NAT - Protocol Translation – rfc 2766 Architectural Implications of NAT – rfc 2993

Network Address Translator Scopi e Problematiche NAT - Terminology and Considerations – rfc 2663 Introduzione Cos’è il NAT Tipologie di NAT Problematiche operazionali Limitazioni Realm Specific IP e Realm Specific Address IP

Network Address Translator Scopi e Problematiche Introduzione Il NAT è nato per: Far comunicare contemporaneamente più host con la rete pubblica, utilizzando un ristretto numero di indirizzi IP Risolve il classico problema delle aziende che non possono disporre di un notevole numero di indirizzi pubblici. Tenendo conto che: Il processo deve essere trasparente Garantire una certa sicurezza agli host della rete privata

Network Address Translator Scopi e Problematiche Cos’è il NAT NAT è l’acronimo di Network Address Translation e permette di: Associare un insieme di indirizzi privati con uno o più indirizzi pubblici Eseguire il routing (instradamento) in modo trasparente attraverso la traduzione degli indirizzi Rendere pubblica la rete globale all’interno di quella privata ma non viceversa (può assicurare un ‘primitivo’ livello di sicurezza)

Network Address Translator Scopi e Problematiche Tipologie di NAT (1) A seconda delle applicazioni, è possibile adottare quattro tipologie differenti: Traditional NAT o Outbound NAT (il più diffuso, comprende Basic NAT e NAPT) Bi-directional NAT o Two-Way NAT Twice NAT Multihomed NAT

Network Address Translator Scopi e Problematiche Tipologie di NAT – Traditional NAT (2) Caratteristiche: Sessioni unidirezionali: inizializzate dalla rete interna verso quella esterna Gli indirizzi della rete esterna sono pubblicati all’interno ma non viceversa Esistono due variazioni: Basic NAT: un insieme di indirizzi pubblici sono associati uno ad uno a quelli degli host privati NAPT: un insieme di indirizzi privati sono associati ad un indirizzo pubblico fruttando il meccanismo delle porte

Network Address Translator Scopi e Problematiche Tipologie di NAT – Bi-directional NAT (3) Caratteristiche: Le sessioni possono essere inizializzate sia dall’interno verso l’esterno che viceversa Gli indirizzi possono essere associati in modo statico e dinamico per consentire l’accesso dall’esterno: Utilizzando anche servizi DNS Introducendo applicazioni DNS-ALG

Network Address Translator Scopi e Problematiche Tipologie di NAT – Twice NAT (4) Variazione del NAT Caratteristiche: Sia l’indirizzo sorgente che quello di destinazione sono modificati Necessario per risolvere problemi di sovrapposizione di indirizzi: ovvero Utilizzo sulla rete privata di indirizzi pubblici assegnati ad un’altra organizzazione

Network Address Translator Scopi e Problematiche Tipologie di NAT – Multihomed NAT (5) Scopo: Introdurre un sistema di ridondanza dei NAT Problematiche: Mantenere aggiornate ed allineate le informazioni di stato nei diversi dispositivi Rendere il passaggio da un dispositivo all’altro automatico e trasparente per l’utente Soluzione: Condividere la stessa configurazione tra più device differenti

Network Address Translator Scopi e Problematiche Problematiche operazionali (1) 1. Traduzione dei payload: Il NAT non procede alla traduzione del payload dei pacchetti, quindi se contengono indirizzi IP  necessario gestire la problematica 2. Sicurezza end-to-end: Il NAT non permette l’integrità di controllo del protocollo IPsec 3. Applicazioni specifiche: FTP, SNMP, DNS Il servizio FTP utilizza i comandi per stabilire le porte e gli indirizzi all’interno del control session payload

Network Address Translator Scopi e Problematiche Problematiche operazionali (2) Nei casi delle applicazioni DNS, SNMP, FTP, esiste una soluzione al problema della traduzione degli indirizzi e di alcuni parametri contenuti nel payload: Application Level Gateway (ALG): applicazioni che integrano il NAT, modificando i payload attraverso l’utilizzo delle informazioni presenti sul NAT.

Network Address Translator Scopi e Problematiche Limitazioni (1) Applicazioni con controllo interno delle sessioni Debugging e gestione dell’indirizzamento Considerazioni sulla sicurezza

Network Address Translator Scopi e Problematiche Limitazioni (2) Applicazioni con controllo interno delle sessioni I dispositivi NAT operano con l’assunzione che ogni sessione sia indipendente. Per le applicazioni che utilizzano uno o più controlli di sessione, es. H.323:  Si deve utilizzare un ALG

Network Address Translator Scopi e Problematiche Limitazioni (3) Debugging e gestione dell’indirizzamento Con il NAT, lo stesso indirizzo pubblico può essere associato in tempi diversi ad indirizzi privati diversi Risultato: Ogni studio basato sull’indirizzo globale e sulle porte non può essere efficace! Un host della rete privata che ‘abusa’ di un servizio della rete pubblica non può essere identificato all’interno della rete locale!

Network Address Translator Scopi e Problematiche Limitazioni (4) Considerazioni sulla sicurezza Alcuni ‘warning’ sulla sicurezza: Le sessioni UDP non sono sicure: la risposta ad un datagramma può provenire da un indirizzo diverso da quello target Le sessioni multicast basate su UDP non sono sicure I dispositivi NAT possono essere obiettivi degli attacchi di tipo SYN flood o ping flood (attacchi tipo DoS)  introdurre meccanismi di protezione tipo sever Internet-based

Network Address Translator Scopi e Problematiche Limitazioni (5) Considerazioni sulla sicurezza Soluzioni: Integrare i dispositivi NAT con i firewall Se esistono dispositivi ALG, questi devono trovarsi all’interno dello stesso ‘dominio di sicurezza’: Un ALG intercetta il traffico in transito per l’host Può modificare il contenuto dei payload Può essere sfruttato per raggiungere informazioni sensibili

Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (1) Protocollo che rappresenta un’alternativa al NAT Cos’è: Protocollo che permette di schermare gli indirizzi di rete privata utilizzano un solo indirizzo pubblico, senza le limitazioni del NAT Vantaggi rispetto al NAT: Preserva l’integrità dei pacchetti end-to-end: Rende possibile l’introduzione di meccanismi di sicurezza come IPsec Utilizzo di applicazioni di tipo ‘streaming media’, per esempio: videoconferenze, telefonate …

Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (2) Protocollo che rappresenta un’alternativa al NAT Perché sostituire il NAT con RSIP: Lo stretto legame con lo schema di indirizzamento del NAT introduce una compatibilità verso il basso Adatto al networking basato sulle policy (politiche per gestire ed assegnare le risorse di una rete)

Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (3) Protocollo che rappresenta un’alternativa al NAT Struttura e componenti di RSIP: la struttura è di tipo ‘challenge-response’ (sollecito-risposta) Due componenti: RSIP Client: richiede un indirizzo al server RSIP Server: fornisce un indirizzo, porte, lease time (periodo di affitto dell’indirizzo), tipo di tunnel

Network Address Translator Scopi e Problematiche

Network Address Translator Scopi e Problematiche Realm Specific IP (RSIP) (4) Protocollo che rappresenta un’alternativa al NAT Esistono due varianti al RSIP: Realm Specific Address IP (RSA-IP): utilizza un indirizzo pubblico per ogni host che si vuole collegare all’esterno Realm Specific Address and Port IP (RSAP-IP): utilizza un indirizzo pubblico per tutti gli host che si vogliono collegare all’esterno. (simile al NAPT, meccanismo delle porte)

Network Address Translator Scopi e Problematiche Traditional NAT – rfc 3022 Caratteristiche del Basic NAT Caratteristiche del NAPT Fasi di traduzione di una sessione Elementi traducibili di un pacchetto Problematiche Limitazioni

Network Address Translator Scopi e Problematiche Traditional NAT L’ambito di utilizzo è quello di un ambiente SOHO (Small Office Home Office)

Network Address Translator Scopi e Problematiche Caratteristiche del Basic NAT Nel Basic NAT, gli indirizzi privati degli host sono associati uno ad uno agli indirizzi pubblici disponibili, assegnati dall’autorità competente (es. IANA) Se il numero degli host della rete locale che si voglio connettere alla rete esterna è minore o uguale al numero degli indirizzi pubblici in possesso dell’organizzazione:  tutti i nodi possono comunicare simultaneamente Altrimenti Solo alcuni nodi possono comunicare simultaneamente oppure Si adotta lo switch-over: tecnica che permette di passare dalla configurazione Basic NAT a quella di NAPT

Network Address Translator Scopi e Problematiche Caratteristiche del NAPT (Network Address Port Translation) Consente di: Condividere un unico indirizzo pubblico tra più host privati Multiplando più sessioni Sfruttando le diverse porte associate ad ogni sessione Più precisamente: HOST NAPT ROUTER Esiste una corrispondenza (Local IP Address, local TCP/UDP Port Number) (Registered IP Address, Assigned TCP/UDP Port Number)

Network Address Translator Scopi e Problematiche Fasi di traduzione per la sessione La traduzione di una sessione si articola in tre fasi: Associazione dell’indirizzo Basic NAT: l’indirizzo privato è associato ad un indirizzo pubblico NAPT: gli indirizzi privati sono associati ad un unico indirizzo pubblico sfruttando il meccanismo delle porte Address lookup e traduzione: si procede ad individuare la sessione del pacchetto e si procede alla traduzione degli indirizzi Rilascio dell’indirizzo associato: quando l’ultima sessione termina, viene rilasciata l’associazione

Network Address Translator Scopi e Problematiche Elementi traducibili di un pacchetto Gli elementi traducibili sono: Manipolazione degli header IP, TCP, UDP e ICMP Adattamento dei checksum Modifica dei pacchetti di errore ICMP Supporto per FTP Supporto per DNS

Network Address Translator Scopi e Problematiche Manipolazione degli header IP, TCP, UDP e ICMP IP: Basic NAT: si modificano gli indirizzi NAPT: si modificano gli indirizzi TCP/UDP: Basic NAT: aggiornamento del checksum nell’header NAPT: estendere le modifiche alle porte ICMP: Basic NAT: nessuna modifica, gli header non contengono indirizzi IP NAPT: è necessario correggere gli header ed i relativi checksum

Network Address Translator Scopi e Problematiche Adattamento dei checksum Le modifiche riguardano il singolo pacchetto  operazioni intensive Quindi Si deve utilizzare un algoritmo efficiente Modifica dei pacchetti di errore ICMP Sono necessarie tre modifiche: Indirizzo IP contenuto dell’IP header incapsulato nel payload Checksum dell’header IP Checksum del messaggio ICMP

Network Address Translator Scopi e Problematiche Supporto per FTP E’ necessario utilizzare un ALG per: Controllare payload Intercettare parametri Correggere le sequenze e gli acknowledge dei pacchetti TCP, utilizzando una tabella specifica Supporto per DNS Anche in questo caso è necessario l’utilizzo di un ALG

Network Address Translator Scopi e Problematiche Problematiche del Traditional NAT Suddivisione tra indirizzi locali e globali: l’indirizzo deve essere esclusivamente privato o pubblico Raccomandazioni sullo spazio di indirizzamento privato: esistono tre tipologie di indirizzi utilizzabili all’interno di una rete privata, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 Swicth-over tra Basic NAT e NAPT: il passaggio improvviso dalla configurazione Basic NAT a NAPT da parte di un’applicazione può provocare problemi  Deve essere gestito in modo trasparente

Network Address Translator Scopi e Problematiche Limitazioni Privacy e sicurezza: rende difficile l’individuazione di un particolare host e quindi del debugging Risposte ARP e NAT: problematiche se un router con NAT abilitato è connesso direttamente ad una LAN. Infatti, potrebbe non fornire risposte ARP per gli host della sua sottorete  gli host della sottorete diventano irraggiungibili Traduzione dei pacchetti TCP/UDP frammentati in NAPT: la traduzione può fallire perché solo il primo frammento contiene intestazioni TCP/UDP necessarie per associare il pacchetto alla sessione.

Network Address Translator Scopi e Problematiche Implementazioni Sono disponibili molte implementazioni, sia commerciali che con licenza GNU.

Network Address Translator Scopi e Problematiche Corso di Infrastrutture e servizi per reti geografiche - 01GQB di Vincenzo Buttazzo e Marco Vallini NAT - Terminology and Considerations Traditional NAT NAT - Protocol Translation Architectural Implications of NAT

Network Address Translator Scopi e Problematiche Architectural Implications of NAT Introduzione Il modello End2End Vantaggi derivanti dall'uso dei NAT Problemi con i NAT Scenari Considerazioni sulla sicurezza

Network Address Translator Scopi e Problematiche I redattori della prima raccomandazione sui NAT scrissero: “I NAT possiedono alcune caratteristiche negative che li rendono inappropriati per soluzioni a lungo termine e potrebbero renderli inappropriati anche per soluzioni a breve termine”. Malgrado questo hanno avuto una grande diffusione in Internet

Network Address Translator Scopi e Problematiche Ci sono due correnti di pensiero: I NAT sono utili e bisogna continuare ad usarli. Hanno dimostrato la trasparenza per le applicazioni principali di Internet (Web, eMail) Non sono una soluzione definitiva perché non perfettamente trasparenti. Sono un artificio senza un futuro solido

Network Address Translator Scopi e Problematiche Probabilmente la realtà si pone a metà strada In ogni caso il problema sarà risolto con l'introduzione di Ipv6 E' certo che contrastano con alcuni principi di Internet

Network Address Translator Scopi e Problematiche Il modello End-to-End Le proprietà fondamentali di questo modello sono: Fate-sharing Rete senza stato Intelligenza periferica

Network Address Translator Scopi e Problematiche Fate-sharing Ovvero la condivisione del destino Lo stato di una comunicazione è determinato solo dai due punti estremi La comunicazione si interrompe solo se si “guasta“ uno di questi due punti

Network Address Translator Scopi e Problematiche Rete senza stato La comunicazione non richiede la memorizzazione di informazioni di stato all'interno della rete In caso di guasto di un nodo della rete le informazioni di stato ivi contenute dovrebbero essere spostate su un'altro nodo, cosa di difficilmente realizzabile in modo efficiente

Network Address Translator Scopi e Problematiche Intelligenza periferica Tutte le informazioni sulla comunicazione sono contenute negli estremi In caso contrario i nodi centrali dovrebbero gestire un numero elevato di comunicazioni Se la rete cresce, i nodi centrali finiscono per essere sottodimensionati rispetto al lavoro che devono fare

Network Address Translator Scopi e Problematiche I NAT infrangono i principi End-to-End di Internet Diminuisce la flessibilità della rete Alcune applicazioni non possono essere usate (IPsec, DNSsec, altre che richiedono un indirizzo globale...)

Network Address Translator Scopi e Problematiche I vantaggi dei NAT Maschera i cambi di ISP o i cambi degli indirizzi dell'ISP Sono utili per assegnare indirizzi globali a utenti ad accesso intermittente Facile installazione grazie all'interfaccia nota

Network Address Translator Scopi e Problematiche I vantaggi dei NAT Si evitano reti locali con indirizzi globali a lunghezza variabile Applicazioni che non richiedono l'integrità del pacchetto IP non hanno bisogno di modifiche Possono svolgere la funzione di Firewall per le connessioni in ingresso ...inoltre...

Network Address Translator Scopi e Problematiche Eliminando nodi che non sono attivi in un determinato istante riduce la richiesta di indirizzi pubblici e si prolunga la vita di IPv4 e si facilita il lavoro di routing Lo spazio di indirizzamento della rete privata potrà essere molto più ampia del numero di indirizzi pubblici a disposizione Si possono realizzare le server-farm

Network Address Translator Scopi e Problematiche Problemi con i NAT Spezzano il modello End-to-End e quindi riducono la flessibilità di Internet Creano un'ulteriore nodo da cui dipende la connessione Impediscono meccanismi di sicurezza a livello IP

Network Address Translator Scopi e Problematiche Permettono l'assegnazione arbitraria degli indirizzi in ambito locale. Può essere causa di collisioni quando si fondono due reti Le versioni a Livello 4 aumentano la complessità quando nella rete privata sono presenti server pubblici Alcuni prodotti possono implementare NAT senza definirsi come tali

Network Address Translator Scopi e Problematiche I NAT ipotizzano che ogni sessione sia indipendente dalle altre, cosa che con FTP e H.323 non è vera Non prevedono che l'indirizzo IP sia in punti diversi dall'intestazione (in questo caso serve un Application Layer Gateway, un dispositivo di Livello 7)

Network Address Translator Scopi e Problematiche Usando i NAPT (NAT di Livello 4) associano un terminale locale con una porta (nota) dell'indirizzo pubblico. Ciò può essere motivo di rallentamento della rete in questione

Network Address Translator Scopi e Problematiche Scenari Singolo punto di rottura Complessità degli ALG Violazioni degli stati di TCP Gestione simmetrica degli stati

Network Address Translator Scopi e Problematiche Singolo punto di rottura Se L'AD1 è un NAT: le connessioni in corso vengono interrotte e quelle successive passeranno da AD2

Network Address Translator Scopi e Problematiche Singolo punto di rottura Le connessioni possono essere recuperate solo se AD1 passa tempestivamente le informazioni all'AD2 Se gli AD fossero dei normali router si adatterebbero alla mutata situazione automaticamente e senza ripercussioni sulle comunicazioni in corso

Network Address Translator Scopi e Problematiche Complessità degli ALG I NAT/ALG possono mascherare l'eterogeneitàdi software presente in reti locali (es.per aggiornamenti) che comunicano tra di loro

Network Address Translator Scopi e Problematiche Complessità degli ALG Due Host richedono un servizio al Web Server in tempi diversi comunicando attraverso un NAT

Network Address Translator Scopi e Problematiche L'Host A esegue una richiesta e di disconnette L'Host B esegue una richiesta casualmente sulla stessa porta locale di quella precedente eseguita dall'Host A e il NAT gli assegna lo stesso indirizzo Al Web Server risulterà la stessa tupla TCP (IP+Porta locale/remota) in meno di 4 minuti, ovvero una situazione irregolare

Network Address Translator Scopi e Problematiche Un nuovo tentativo di B andrà a buon fine E' una situazione irregolare occasionale Il problema non può essere risolto

Network Address Translator Scopi e Problematiche Gestione simmetrica degli stati I dispositivi a stati come i NAT pongono meno problemi se i pacchetti attraversano lo stesso nodo in entrambi i versi

Network Address Translator Scopi e Problematiche I Router 1 e 2 utilizzano il NAT 1 per accedere alla rete pubblica Se si rompe X1 l'Host B invierà attraverso il NAT2 Le riposte però continueranno a passare per il NAT1 e non raggiungeranno l'Host B Senza NAT il problema non si pone La ridondanza di NAT è INUTILE

Network Address Translator Scopi e Problematiche Se si rompe X2 e l'Host D tenta di raggiungere l'Host B Le richieste passeranno da NAT2 Le risposte passeranno da NAT1 La comunicazione non è possibile

Network Address Translator Scopi e Problematiche Se si rompono X1 e X2 L'Host B può raggiungere l'Host D L'Host A non può raggiungere l'Host D La situazione è caotica: A e B possono raggiungere la rete pubblica (attraverso NAT diversi), ma solo B raggiunge D

Network Address Translator Scopi e Problematiche Considerazioni sulla sicurezza I NAT e i NAPT tendono ad abbassare la sicurezza media della rete perché hanno una funzione protettiva senza la robustezza dei firewall Impedisce sistemi di sicurezza come IPsec

Network Address Translator Scopi e Problematiche IPsec prevede l'integrità del pacchetto IP, ma i NAT devono modificarlo, quindi: Non è possibile proteggere l'IP dell'intestazione con cifrature Non possibile i certificati d'autenticazione che contengono l'indirizzo IP perché questo cambia

Network Address Translator Scopi e Problematiche L'Encrypted Quick Mode contiene anch'esso l'indirizzo IP e il numero di porta Anche il Revised Mode a chiave pubblica codificata contiene l'identità del peer I NAT pongono seri ostacoli alla diffusione di queste tecnologie

Network Address Translator Scopi e Problematiche Sistemi come TSL, SSL, SSH possono essere utilizzati perché non utilizzano l'IP come identificatore Altre applicazioni richiedono la cifratura del pacchetto TCP/IP

Network Address Translator Scopi e Problematiche Corso di Infrastrutture e servizi per reti geografiche - 01GQB di Vincenzo Buttazzo e Marco Vallini NAT - Terminology and Considerations Traditional NAT NAT - Protocol Translation Architectural Implications of NAT

Network Address Translator Scopi e Problematiche NAT-PT Network Address Translation – Protocol Translation Introduzione Basic-NAT-PT - Connessione da IPv6 verso IPv4 NAPT-PT - Connessione da IPv6 verso IPv4 NAPT-PT - Connessione da IPv4 verso IPv6 Uso di DNS-ALG per l'assegnamento degli indirizzi Assegnamento di indirizzi V4 per connessioni entrant Vulnerabilità Assegnamento di indirizzi V4 per connessioni uscenti Problematiche derivanti dall'uso di NAT-PT

Network Address Translation Protocol Translation IPv4 è virtualmente sfruttato oltre il suo limite di indirizzamento IPv4 impedisce tecniche di routing aggressivo IPv4 è vecchio (inizi anni '70) IPv6 ha uno spazio di indirizzamento più ampio IPv6 permette nuove tecniche di routing

Network Address Translation Protocol Translation Occorre gestire il periodo di transizione per collegare la nuova rete IPv6 alla vecchia rete IPv4 Ci sono diverse soluzioni: Macchine Dual-Stack Tunneling NAT-PT

Network Address Translation Protocol Translation NAT-PT è semplice e richiede pochi adattamenti dei dispositivi esistenti Si basa su tecnologie esistenti: NAT per la traduzione degli indirizzi SIIT per la traduzione tra IPv4 e IPv6 e viceversa Traduce indirizzi come un NAT, ma traduce anche il protocollo

Network Address Translation Protocol Translation Come per i NAT ne esistono due categorie BASIC-NAT-PT associa un indirizzo IPv4 a un host IPv6 in modo univoco NAPT-PT associa più indirizzi IPv6 a un solo indirizzo IPv4 sfruttando il livello 3 (TCP/UDP)

Network Address Translation Protocol Translation Basic-NAT-PT Associa un indirizzo V4 a un host V6 in modo statico o dinamico Statico – L'associazione non cambia nel tempo Dinamico – L'associazione viene stabilita ad ogni sessione

Network Address Translation Protocol Translation Scenario: Un host V6 deve mandare un pacchetto a un host V4 con BASIC-NAT-PT Intestazione generata dal Nodo-A SA=FEDC:BA98::7654:3210 DA=PREFIX::132.146.243.30 Dopo la modifica del NAT-PT SA=120.130.26.10 DA=132.146.243.30 Risposta modificata dal NAT-PT SA=PREFIX::132.146.243.30 DA=FEDC:BA98::7654:3210

Network Address Translation Protocol Translation NAPT-PT Permettono di associare più indirizzi IPv6 a un'unico IPv4 modificando la porta TCP/UDP Un solo indirizzo V4 potrà servire a 63k connessioni TCP e 63k connessioni UDP. Servono molti meno indirizzi V4 Non può essere applicato per le connessioni entranti su porte note.

Network Address Translation Protocol Translation Scenario: Un host V6 deve mandare un pacchetto a un host V4 con NAPT-PT Intestazione generata dal Nodo-A SA=FEDC:BA98::7654:3210 / Porta TCP=3017 DA=PREFIX::132.146.243.30 / Porta TCP=23 Dopo la modifica del NAT-PT SA=120.130.26.10 / Porta TCP=1025 DA=132.146.243.30 / Porta TCP=23 Risposta modificata dal NAT-PT SA=PREFIX::132.146.243.30 / Porta TCP=23 DA=FEDC:BA98::7654:3210 / Porta TCP=3017

Network Address Translation Protocol Translation Scenario: Un host V4 deve mandare un pacchetto a un host V6 con NAPT-PT Intestazione generata dal Nodo-C SA=132.146.243.30 / Porta TCP=1025 DA=120.130.26.10 / Porta TCP=80 Dopo la modifica del NAT-PT SA=PREFIX::132.146.243.30 / Porta TCP=1025 DA=FEDC:BA98::7654:3210 / Porta TCP=80 Al nodo A vengono inoltrati tutti i pacchetti ricevuti sulla porta 80

Network Address Translation Protocol Translation Uso di DNS-ALG per l'assegnamento degli indirizzi Anche i pacchetti DNS devono entrare nella rete Ipv6 Serve un ALG (Application Level Gateway) che traduca opportunamente i pacchetti DNS

Network Address Translation Protocol Translation Assegnamento di indirizzi V4 per connessioni entranti Il NAT-PT riceve un pacchetto DNS (Porta 53) 1. Per le richieste di risoluzione da Nome a Indirizzo del nodo: modifica della richiesta da tipo 'A' a tipo 'AAAA' o 'A6' 2. Per le richieste di risoluzione da Indirizzo a Nome del nodo: sostituzione della stringa "IN- ADDR.ARPA" con la stringa "IP6.INT" e dell'indirizzo V4 che precede la detta stringa con il corrispondente indirizzo V6

Network Address Translation Protocol Translation Allo stesso modo dovrà essere trattata la risposta del DNS nella rete V6 e diretta ai DNS della rete V4: 1. Traduzione dei record di tipo 'AAAA' o 'A6' in record di tipo 'A'. Se la risoluzione dell'indirizzo è completa è necessario tradurre solo i record di tipo 'A6' 2. Traduzione dell'indirizzo V6 risolto dal DNS con l'indirizzo V4 assegnato dal NAT-PT. Nel caso in cui il NAT-PT non ha ancora assegnato nessun IPv4 all'indirizzo V6 risolto dal DNS della rete V6 ne viene assegnato uno

Network Address Translation Protocol Translation Richiesta DNS dalla rete V4 IPv6-A AAAA FEDC:BA98::7654:3210 Il DNS-ALG modifica il pacchetto IPv6-A A 120.130.26. e inizializza la sessione Pacchetto inviato dal Nodo C SA=132.146.243.30 / Porta TCP=1025 DA=120.130.26.1 / Porta TCP=80 Traduzione da parte del NAT basandosi sui dati di sessione SA=PREFIX::132.146.243.30 / Porta TCP=1025 DA=FEDC:BA98::7654:3210 / Porta TCP=80 Il sistema è suscettibile ad attacco DOS!

Network Address Translation Protocol Translation Assegnamento di indirizzi V4 per connessioni uscenti I DNS della rete V6 possono contenere informazioni sugli indirizzi della rete V4 (ma non vicecersa) In caso contrario è necessario attraversare il NAT Risposta del DNS della rete V4 IPv4-C A 132.146.243.30 Traduzione del DNS-ALG IPv4-C AAAA PREFIX::132.146.243.30 oppure IPv4-C A6 PREFIX::132.146.243.30

Network Address Translation Protocol Translation I NAT-PT pongono gli stessi problemi dei NAT. I NAT-PT sono incompatibili col protocollo DNSSEC (DNS secure)

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.