La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.

PubblicatoRenata Tedesco Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: " Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci."— Transcript della presentazione:

1

2  Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci in scala mondiale  Un privato che progetta una rete deve dare degli indirizzi interni statici ed accordarsi con l’esterno affinchè essi siano univoci  Per eliminare ogni difficoltà, gli indirizzi privati vengono dati con una certa libertà ma, quando si va su internet pubblica, la NAT trasforma questi indirizzi in pubblici a seconda di quelli che vengono dati dal privider locale tramite DHCP

3

4

5  Due host della stessa rete vogliono collegarsi sulla stessa porta; tramite NAT acquistano lo stesso indirizzo ip pubblico ma figurano con porte di partenza differenti. Al ritorno, il router deve fare il processo inverso e dare ai pacchetti indirizzi privati differenti a seconda delle porte dei destinatari che non sono mai cambiate durante tutto il collegamento.  Il NAT offre un servizio di sicurezza perché gli host privati non figurano all’esterno mai con il loro indirizzo ip privato impedendo a host esterni di poter accedere ad essi. La presenza del nat è però un nere in più per il router e rallenta leggermente lo scambi dei dati.

6  Firewall: muro di fuoco  È un sistema hardware - software che permette la protezione della rete interna oppure, evita che dalla rete interna possano partire dati dannosi per host remoti  L’interno di una rete può essere esposta a rischi dovuti ad accessi indesiderati o alla installazione di software dannoso

7  Ingress firewall: vengono controllati i collegamenti incoming, i servizi offerti dall’esterno  Egress firewall: sono controllati i collegamenti outgoing, quelli che vanno verso l’esterno  Personal firewall: proteggono il singolo host sia verso l’interno che verso l’esterno. Un personal firewall può essere un semplice programma installato sul pc che protegge i dati; il traffico è permesso dallesterno verso l’interno ma non viceversa. In una azienda è impensabile avere dei personal firewall. Dei personal firwall più comuni, ci sono quelli inclusi con il sistema operativo

8

9  Network firewall: sono i firewall che vengono interposti tra l’intera rete internet e la LAN.  In genere sono utilizzati nelle aziende e permettono la circolazione solo di un certo tipo di traffico sia verso l’interno che verso l’esterno  A seconda del livello nel quale vengono eseguiti i controlli si distinguono in:  Packet filtering router: livello di rete  Circuit gateway: livello di trasporto  Proxy server: livello di applicazione

10  Packet filter router: valuta sei i pacchetti possono transitare in base al tipo di protocollo, dll’indirizzo della sorgente e del destinatario. Analizza quindi:  IP mittente e destinatario  MAC address mittente e destinatario  Numero della porta verso cui è destinato il pacchetto  Protocollo da utilizzare Il firewall si basa su un algoritmo di scelta dove sono elencati i criteri di proibito (deny) e quelli di accettazione (permit) I pacchetti possono essere:  Accept/ allow  Deny  Discard/reject

11  ACL: Access Control List. Le regole sono elencate in tabelle e i controlli sono fatti a livello 3 o anche negli header del livello 4.  Le ACL possono essere inserite anche nei semplici router e nei router firewall  L’amministratore di rete gestisce le tabelle ACL  Ogni singolo criterio di ACL è detto ACE (Access Control Entry)  La sintassi per esprimere una ACL è molto variegata; si possono stabilire dei criteri nei router cisco che fungono da firewall o nelle macchine con un kernel linux  L’ACE di un ACL esprime: o Obiettivo-cosa fare del pacchetto o Interfaccia e regola – se la regola è applicata in input o in output o Specifiche – tipo di indirizzo, n di porta, protocollo. o Le regole sono riportate con un ordine; prime regole sono le più restrittive.

12  Gli apparati sui quali gira un processo firewall sono detti bastion host; essi sono particolarmente attrezzati  Tra i tentativi di intrusione si ricorda:  Ip spoofing, tecnica per cui si tenta di accedere ai servizi di una rete falsificando l’identità dei pacchetti tramite la modifica dell’indirizzo IP  DoS Denial of Service – il servizio viene messo in difficoltà sottoponendolo a stress eccessivo. Un esempio è l’uso distorto di ping. Un programma pirata invia una quantità di pacchetti IMCP con indirizzo sorgente modificato e indirizzo destinatario di broadcast. Se il router non è impostato per far fronte, i pacchetti vengono inoltrati su tutta la rete, alcuni host rispondono e la rete si intasa.

13  Firewall di seconda generazione, effettuano il filtraggio non sul singolo pacchetto ma su tutta la connessione  Se la connessione viene accettata, viene posta in una tabella di stato in modo che, alla connessione successiva non viene effettuato l’analisi  Nella tabella di stato, per ogni connessione vengono memorizzati i seguenti dati:  Identificazione del collegamento  Indirizzi ip sorgente e destinatario  Interfacce di rete utilizzate  Lo stato di connessione (handshaking o fase iniziale, established, closing)

14

15

16 Source address Surce port Dest addressDest port state 192.168.0.161050192.168.1.3380handshaking 192.168.0.131250192.168.1.2325estblished 192.168.0.561120192.168.1.10443estblished 192.168.0.201230192.168.1.2080closed

17  Il proxy è un processo applicativo come il NAT e il firewall  È un processo del livello 7  Il processo proxy deve essere avviato su una piattaforma ad alte prestazioni per poter fornire i servizi promessi  L’applicazione firewall su proxy approfondisce l’analisi di contenuto dei pacchetti oltre al controllo dei pacchetti e delle connessioni

18  Un host privato, per poter usufruire del servizio proxy, deve essere configurato attraverso un protocollo del livello 7 e comunicare attraverso la porta TCP  L’host privato accede al proxy che si connette con l’host della rete pubblica.  Il proxy colloquia con l’host pubblico al posto del client privato  Il proxy un progamma che viene eseguito dal gateway

19 Firewall Proxy Rete interna Internet

Scaricare ppt " Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci."

Presentazioni simili

Prof. Carla Fanchin – L.S. Tron

Prof. Carla Fanchin – L.S. Tron
1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì

1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
00 AN 1 Firewall Protezione tramite firewall.

00 AN 1 Firewall Protezione tramite firewall.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
INTERNET FIREWALL Bastion host Laura Ricci.

INTERNET FIREWALL Bastion host Laura Ricci.
Amministratore di sistema di Educazione&Scuola

Amministratore di sistema di Educazione&Scuola
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Organizzazione di una rete Windows 2003

Organizzazione di una rete Windows 2003
Laurea Triennale in Infermieristica

Laurea Triennale in Infermieristica
Il firewall di Linux: IPTables 19 Settembre 2005.

Il firewall di Linux: IPTables 19 Settembre 2005.
Organizzazione di una rete Windows 2000. Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.

Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione

Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
PPPoE significa Point-to-Point Protocol over Ethernet ovvero protocollo punto a punto operante su Ethernet, una nuova alternativa per le connessioni.

PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Rete Wireless per Informatica Grafica

Rete Wireless per Informatica Grafica
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Struttura dei sistemi operativi (panoramica)

Struttura dei sistemi operativi (panoramica)
Routing Gerarchico Gli algoritmi proposti non sono pratici:

Routing Gerarchico Gli algoritmi proposti non sono pratici:
AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.

AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Reti di Calcolatori IL LIVELLO RETE.

Reti di Calcolatori IL LIVELLO RETE.

Presentazioni simili

Annunci Google