Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
vuoi
o PayPal
tutte le volte che vuoi
DHCPOFFERIP.3
L'host accetta una delle proposte e manda un messaggio in cui DHCPREQUEST richiede la configurazione, specificando il server.
Il server risponde con DHCPACK specificando i parametri di configurazione.
Packet Filter e Firewall
Il firewall è una combinazione di dispositivi di rete: Packet Filter, DHCP e Proxy. È un filtro software/hardware che serve a proteggersi da accessi indesiderati provenienti dall'esterno della rete. Può essere semplicemente un programma installato sul PC, che protegge quest'ultimo da attacchi esterni, oppure può essere una macchina dedicata che filtra tutto il traffico da e per una rete locale. È composto da:
- Packet Filter: dispositivo di rete che permette/blocca l'invio di pacchetti da/verso determinati indirizzi. Protegge la rete dal traffico "vagante". Filtra i pacchetti seguendo politiche stabilite. La maggior parte delle configurazioni non permettono pacchetti per porte non standard IANA.
→Stateful Packet Inspection mantiene il contesto dei pacchetti sia nel trasporto che nello strato applicativo. Adatta dinamicamente le specifiche dei filtri.
- →Application Layer Gateway o Proxy controlla la comunicazione a livello applicativo. Monitora le connessioni, ovvero analizza il contenuto dei protocolli applicativi e adatta dinamicamente specifiche dei filtri.
Un firewall può essere implementato come:
- →Packet filter si interpone un router fra la rete locale ed Internet. Sul router si configura un filtro sui datagrammi IP da trasferire attraverso le varie interfacce. Il filtro scarta i datagrammi sulla base di indirizzi IP, tipi di servizi a cui il datagramma è destinato e interfacce di provenienza o destinazione.
- →Proxy server nella rete protetta l'accesso ad Internet è consentito solo ad alcuni host. Si interpone un server apposito detto proxy server per realizzare la comunicazione per tutti gli host. Il proxy server evita un flusso
Un unico indirizzo IP pubblico del gateway NAT. Tipicamente la direzione della connessione è da rete privata verso rete pubblica. Il NAT si preoccupa di effettuare la conversione inversa quando arrivano le risposte, e lo fa registrando le corrispondenze in corso in una tabella. In generale non è possibile contattare dalla rete pubblica un host sulla rete privata, solo configurazioni esplicite del NAT lo permettono.
Full Cone NAT: I pacchetti uscenti determinano un mapping temporaneo di qualsiasi host può rispondere all'indirizzo:porta mappato. Sono scartati solo i pacchetti entranti diretti verso un pubblico indirizzo:porta non mappato con uno locale.
Port Restricted Cone NAT: Come il Full Cone NAT ma la mappatura tiene conto della destinazione, ovvero vengono scartati tutti i pacchetti provenienti da host (e opzionalmente porte) i quali non siano stati preventivamente contattati da un host locale.
Symmetric NAT: Come il Port Restricted Cone NAT ma diverso mapping.
Per diverse destinazioni. I pacchetti entranti sono scartati se non esiste una mappatura appropriata.
5.8.4 VPN (Virtual Private Network)
Aziende e/o enti di dimensioni medio/grandi in genere hanno necessità di interconnettere in maniera sicura sedi sparse sul territorio e distanti tra loro. Soluzione tradizionale: utilizzo di linee dedicate da affittare direttamente presso gli operatori (reti private) molto costoso. Alternativa più economica è l'utilizzo di tunnel sicuri attraverso reti pubbliche (reti private virtuali). Consiste nel flusso di pacchetti autenticati (con contenuto informativo criptato) incapsulati in pacchetti tradizionali.
5.8.5 IPv6 (in quanto non è ancora adottata in modo estensivo)
Dati i vari problemi di IPv4, gli obiettivi della nuova versione (IPv6) sono:
- Supportare molti miliardi di host.
- Semplificare il routing.
- Meccanismi di sicurezza aggiuntivi.
- Qualità di servizio elevata (multimedialità).
- Gestire meglio broadcast.
e multicast.
- Consentire mobilità.
- Fare tutto ciò consentendo future evoluzioni e garantire compatibilità con ilpassato.
Caratteristiche principali di IPv6
- Indirizzi più lunghi: 16 byte.
- Semplificazione intestazione obbligatoria: meno campi di IPv4, niente fram-mentazione, lunghezza minima comunque 10 righe.
- Possibilità di diversi headers opzionali.
- Meccanismi di sicurezza aggiuntiva e qualità di servizio elevata.
Capitolo 6
ROUTING
6.1 Instradamento delle reti IP
Tra le funzioni di IP vi è anche l’instradamento, che consiste nel:
- Decidere che percorso un datagramma deve seguire per raggiungere la desti-nazione della sorgente.
- Utilizza le PCI dei datagrammi, in particolare l’indirizzo di destinazione.
- Determina il comportamento della funzione di commutazione nei nodi.
Figura 6.1: Nodo di commutazione a pacchetto.Store-and-Forward Il pacchetto entrante è verificato e memorizzato. Si estrag-gono le informazioni
di instradamento dall'intestazione (indirizzo, priorità e classe di servizio). Si confrontano queste informazioni con la tabella di instradamento, identificando una o più uscite su cui inviare il pacchetto. Il pacchetto è inserito nella coda relativa all'uscita prescelta, in attesa dell'effettiva trasmissione. Ma la domanda che sorge è: come popolare la tabella di instradamento?
Metodi di instradamento:
Flooding ("inondazione"): Ogni nodo ritrasmette su tutte le porte di uscita ogni pacchetto ricevuto. Prima o poi un pacchetto viene sicuramente ricevuto da tutti i nodi della rete e quindi anche da quello a cui è effettivamente destinato. Tutte le strade possibili sono percorse, il primo pacchetto che arriva a destinazione ha fatto la strada più breve possibile. L'elaborazione associata è pressoché nulla. Molto adatto quando si desidera inviare una certa informazione a tutti i nodi della rete, ma può causare proliferazione dei pacchetti.
Soluzione:
Un nodo di rete (broadcasting). Problema: non ritrasmette il pacchetto nella direzione dalla quale è giunto. Ad ogni pacchetto viene associato un identificativo unico e ciascun nodo mantiene in memoria una lista con gli identificativi dei pacchetti già trasmessi. Sfrutta inoltre un contatore del tempo di vita (TTL) di un pacchetto per evitare che giri all'infinito.
Deflection routing (Hot potato): Altra soluzione per la gestione dell'instradamento. Quando un nodo riceve un pacchetto lo ritrasmette sulla linea di uscita avente il minor numero di pacchetti in attesa di essere ritrasmessi. È adatto a reti in cui i nodi di commutazione dispongono di spazio di memorizzazione molto limitato, oppure se si desidera minimizzare il tempo di permanenza dei pacchetti nei nodi. I pacchetti possono essere ricevuti fuori sequenza, inoltre alcuni pacchetti potrebbero ricorrere all'infinito in un certo ciclo all'interno della rete. Inoltre non tiene conto della destinazione.
finale del pacchetto. Soluzione si deve prevedere un meccanismo per limitare il tempo di vita dei pacchetti.
Routing Shortest Path: Soluzione più utilizzata attualmente. Si assume che ad ogni collegamento della rete possa essere attribuita una lunghezza, ovvero un numero che serve a caratterizzare il peso di quel collegamento nel determinare la funzione di costo del percorso totale di trasmissione. L'algoritmo cerca la strada di lunghezza minima fra ogni mittente e ogni destinatario, applicando algoritmi di calcolo dello shortest path (Bellman-Ford e Dijkstra). L'implementazione può avvenire in modalità:
- Centralizzata: un solo nodo esegue i calcoli per tutti.
- Distribuita preferita: ogni nodo esegue i calcoli per sé.
Sincrona: tutti i nodi eseguono gli stessi passi dell'algoritmo nello stesso istante.
Asincrona: i nodi eseguono lo stesso passo dell'algoritmo in momenti diversi.
6.1.2 Routing Shortest Path nel mondo
- Quando i nodi di rete vengono accesi conoscono solamente la configurazione delle loro interfacce (statica o dinamica). Con queste informazioni popolano la tabella di instradamento iniziale. Per implementare il Routing Shortest Path verso una qualsiasi destinazione devono utilizzare:
- Uno o più protocolli di routing per scambiarsi informazioni ed apprendere la topologia della rete.
- Uno o più algoritmi per il calcolo degli SP sulla base delle informazioni ottenute.
- Routing Distance Vector Basato su Bellman-Ford, nella versione distribuita e asincrona. Implementa meccanismi di dialogo per far sì che ogni nodo scopra i suoi vicini e ne calcola la distanza da se stesso. Ad ogni passo, ogni nodo invia ai propri vicini un vettore (Distance Vector - DV) contenente la stima della sua distanza da tutti gli altri nodi della rete. È un protocollo semplice che richiede convergenza lenta, partenza lenta, problema di stabilità e poche risorse.
- Problemi (possibili conteggi)
all’infinito dovuti a cicli).
Figura 6.2: Esempio di applicazione dell’algoritmo di Routing Distance Vector.
Problemi del Routing Distance Vector
All’inizio le tabelle dei singoli nodi contengono solo l’indicazione del nodo stesso a distanza 0. Da qui in poi lo scambio dei distance vector permette la creazione di tabelle sempre più complete. L’algoritmo converge al più dopo un numero di passi pari al numero di nodi della rete. Più la rete è grande, più il tempo è lungo, e se lo stato della rete cambia prima del tempo di convergenza dell’algoritmo, abbiamo un risultato imprevedibile e si ritarda la convergenza, oltre al rischio di creare cicli infiniti. Però, esistono alcuni meccanismi migli
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
