Sicurezza e Gestione delle Reti (di telecomunicazioni)

Sicurezza e Gestione delle Reti(di telecomunicazioni)

Tommaso [email protected]

Corso di Studi in Ingegneria Elettronica e delle TelecomunicazioniCorso di Studi in Ingegneria Informatica

Facolta di IngegneriaUniversita degli Studi di Firenze

Lezione 03, Internetaa. 2010/11

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.

T. Pecorella (DET) SGRtlc 03 - aa 2010/11 1 / 18

Com’e nata Internet

Internet non e nata un giorno a caso... e stato un processo lungo, lento econtrastato.Bisogna capire come e perche si e venuta a creare se vogliamo capire cos’e ecome sopravvive.

idee rivoluzionarieComunicazioni a pacchetto - Leonard Kleinrock, 1961“Galactic Network” - J.C.R. Licklider del MIT agosto 1962...

Idee rivoluzionarie che hanno rivoluzionato il mondo. C’e qualcosa che nontorna, ma cosa?


Internet - storia

Internet “nasce” intorno agli anni ’60, prima con idee, poi con pesantifinanziamenti da parte del Dipartimento della Difesa americano (DoD).

Nasce quindi come rete finanziata dai militari, ma essendo un progetto diricerca, viene reso aperto.

Il come e perche Internet abbia sbaragliato la concorrenza di tutti i modelli direte presenti al tempo e un complesso problema che coinvolge:

1 fattori economici2 fattori tecnologici3 “ease of use”4 utilizzatori finali5 politica

linkhttp://en.wikipedia.org/wiki/Internet


http://en.wikipedia.org/wiki/Internet

Internet - storia

Nella storia di Internet si ritrovano i pattern fondamentali di una rete ditelecomunicazioni.

1 target (user-driven o provider-driven)2 finanziamento dello startup3 riposizionamento del target4 concorrenza da parte di altri

modelli di retemodelli di businness

5 evoluzione tecnologica dei servizi

Mi aspetto che conosciate la storia di Internet, non voglio stare a rispiegarla(di nuovo).


Internet - storia

Pietre miliari:

fino alla fine degli anni ’70Evoluzione tecnologica “di base”, concorrenza da parte di reti a modelloverticale.

anni ’80-’90Apertura al mass-market, sviluppo dei servizi, concorrenza sui servizi e,conseguentemente, sulla rete stessa.

oggiSegnali di ritorno a concezioni “verticali”. Possibile morte della rete aperta.

Rete verticale: una rete che e studiata per trasportare uno o piu servizi e lacui evoluzione e conseguente ai servizi stessi. In una rete verticale non c’eseparazione netta tra il fornitore dei servizi e quello del trasporto.


Internet - was ist das

Internet e uno dei rarissimi esempi di rete in cui c’e una separazione quasiperfetta tra fornitori di servizi e quelli del trasporto... ma e frutto del caso(quasi). E’ dovuto alla sua origine “accademica” e al fatto che non e nata pervendere un servizio.

Basata sui protocolli TCP/IPComprende anche molti altri protocolli (UDP, ICMP, ARP, RIP, OSPF,protocolli di livello applicativo...), e formati (RFC 822, MIME...).E una rete di “sotto-reti”

collega piu di 110.000 sotto-reti (1997)piu di 50 milioni di calcolatori (1997)

Standardizzata con RFC (Request For Comment)Collegamenti fisici tra host e router basati su: LAN, MAN, canali puntopunto in fibra o in cavo coassiale, reti X.25, ISDN, ponti radio, FrameRelay, ATM, SLIP, PPP, . . . sistema apertoEsistono realizzazioni TCP/IP anche per reti non standard


Internet - mappe

http://www.caida.org/research/topology/as_core_network/http://www.opte.org/maps/


http://www.caida.org/research/topology/as_core_network/

http://www.opte.org/maps/

Internet - mappe

http://www.caida.org/research/topology/as_core_network/http://www.opte.org/maps/


http://www.caida.org/research/topology/as_core_network/

http://www.opte.org/maps/

Internet - struttura

Internet e una inter-rete, consente a sistemi terminali (host) appartenentia sotto-reti eterogenee di scambiare InformazioniNon possiede un organismo centralizzato dotato di poteri di controllo.Lo sviluppo tecnologico si basa sul contributo degli utenti della retestessa.E’ basata sulla pila protocolli TCP/IPL’interconnessione tra sotto-reti e un paradigma fondamentale, ma... none prevista traduzione dei protocolli

ImportanteC’e separazione amministrativa e di management tra le diverse sotto-reti che,nel modello, non sono tenute ad una gestione integrata !

LE SOTTO-RETI NON SONO LE “SUBNETS” A CUI SIAMO ABITUATI, SONO ICOSIDDETTI “AUTONOMOUS SYSTEM” (AS). Ne riparleremo.


Internet - terminologia

D’ora in avanti i seguenti termini saranno fondamentali:

SubnetUn segmento di rete basata su TCP/IP delimitato dai suoi confini di routing.E’ identificabile a livello Network da una coppia Indirizzo/Subnet Mask,oppure da un indirizzo espresso secondo notazione CIDR.Rule of thumb: la subnet finisce con un router, due subnets non possonocomunicare se non attraverso un router.

Autonomous System (AS)Il concetto di AS e di tipo amministrativo, e si riflette solo sul routing.

Within the Internet, an autonomous system (AS) is a collection ofconnected Internet Protocol (IP) routing prefixes under the control ofone or more network operators that presents a common, clearlydefined routing policy to the Internet (cf. RFC 1930, Section 3).


Internet - struttura

La pila protocollare TCP/IP e situata a livello Network (e superiori)i protocolli TCP/IP assumono che le sotto-reti non eseguano nessunafunzione a parte quella di trasferimento delle unita informativeesiste la possibilita di duplicazione delle funzioni tra strati TCP/IP e stratiprotocollari specifici di una sotto-rete

Le entita di Internet sono gli Host e i Router/Gateway

Host (L7)sono le sorgenti e le destinazioni delle informazionisono univocamente riconosciuti nella rete (indirizzo IP)

Router/Gateway (L3 o L7)Nodi intermedi, instradano i pacchetti IP tra le sotto-retihanno un interfaccia per ogni sotto-rete a cui sono connessi


Principio di Interconnessione

L’Host sorgente1 forma il pacchetto IP diretto all’host di destinazione2 determina se l’host di destinazione si trova sulla sua stessa sotto-rete

se la subnet e la stessa, si determina l’indirizzo MAC dell’host didestinazionese la subnet e diversa, si determina l’indirizzo IP e l’indirizzo MAC del routerverso cui inviare il pacchetto

3 consegna il pacchetto alla rete che lo manda al destinatario (router ohost)

Si noti che:Passo 0: si e gia fatta una traduzione dell’indirizzo alfanumerico in unindirizzo IP.Passo 1: si ha un indirizzo L3.Passo 2: si decide in base a informazioni L3 che tipo di routing e (direttoo indiretto).Passo 3: si “traduce” l’indirizzo L3 in un indirizzo L2 (MAC).


Routing for dummies

Un routerElabora l’indirizzo dei pacchetti IP e determina la subnet in cui si trova l’hostdi destinazione

1 se l’host di destinazione si trova in una delle subnets a cui il router edirettamente connesso affida il pacchetto alla subnet per la consegna

2 altrimenti determina il router successivo verso cui instradare il pacchetto;-{))

Una subnetTrasferisce i pacchetti IP incapsulandoli nelle proprie unita dati e utilizzando ipropri protocolli

K.I.S.S.: Keep It Simple and Stupid. Abbiamo nascosto un po’ di dettagli...


Pila protocollare

La pila protocollare Internet e semplice (rispetto alla ISO/OSI):

L7 Application: supporta le applicazioni direte (ftp, smtp, http, etc.)

L4 Transport: trasferimento dati host-host(tcp, udp, etc.)

L3 Network: instradamento deidatagrammi dalla sorgente alladestinazione (IP, ICMP, ARP, RARP, etc.)

L2 Data Link: trasferimento dati traelementi di rete vicini (ppp, ethernet,etc.)

Application

Transport - TCP, UDP

Network - IP

Data Link

Physical

LLC

MAC

Middleware - PPP, etc.


Indirizzamento

In Internet esistono 3 livelli di identificazione di un “indirizzo”

Indirizzo MAC (quello della scheda di rete)e (solitamente) prefissato

Indirizzo numerico (IP Address) es:150.217.8.24e assegnato in base al tipo di rete a cui si appartiene (subnet) dal gestoredella rete

Indirizzo alfanumerico es: lenst.det.unifi.ite libero (basta che sia mappato in un NameServer)

Attenzione (banale diagramma UML)

1..*0..*Alphanumeric IP 1..*1..* MACDNS ARP


Indirizzamento

Indirizzi alfanumerici e indirizzi MAC non sono cosı interessanti (per noi).Viceversa gli indirizzi IP sono importanti.

Un indirizzo IP (IP Address) identifica un hostse un host e connesso a piu di una rete (multi-homed) avra un indirizzoIP per ogni reteUn indirizzo IP e unico in tutta la reteha una lunghezza di 32 bitsL’indirizzo IP e assegnato ad una macchina su base “geografica”, ovveroin base alla rete a cui e agganciataIn origine (1981) era formato da due partiNet Id: identificativo della subnetHost Id: identificativo di host all’interno della subnetIP Address = Net Id . Host Id

La divisione tra Net Id e Host Id non era fissa, ma dipendeva dalla classedell’indirizzo.


Indirizzamento

La struttura di indirizzamento a due livelli gerarchici era sufficiente nella faseiniziale di Internet

Nel 1984 e stato aggiunto un terzo livello gerarchico: il livello di Sottorete(Subnet)Si utilizzano alcuni bit dell’Host Id per codificare il Subnet Id0 7 8 15 16 31

0 Net ID Subnet ID + Host ID Classe A

10 Net ID Subnet ID + Host ID Classe B

110 Net ID S + H ID Classe C

Il routing avviene sulla Net ID


Indirizzamento

Originariamente si usavano le classi per identificare la Net ID e, quindi, ilrouting, ma era inefficiente !

Un router avrebbe dovuto avere una tabella di routing pari a:27 − 2 + 214 − 2 + 221 − 2 = 2.113.658

CIDR: Classless Interdomain RoutingLa notazione e: x.x.x.x/y. Es: 150.217.8.0/24

Due indirizzi che differiscono di un solo bit vengono “accorpati”:150.217.8.0/24 + 150.217.9.0/24 = 150.217.8.0/23


Routing Table

In un router la tabella di routing comprende diversi parametri:

lenst:/home/pecos# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface10.8.0.2 * 255.255.255.255 UH 0 0 0 tun010.4.0.1 * 255.255.255.255 UH 0 0 0 tun1192.168.21.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0150.217.8.0 * 255.255.255.0 U 0 0 0 eth0192.168.2.0 10.4.0.1 255.255.255.0 UG 1 0 0 tun110.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0192.168.11.0 * 255.255.255.0 U 0 0 0 eth2default detfw.det.unifi 0.0.0.0 UG 0 0 0 eth0

Se due “Destination” hanno lo stesso “Gateway” (e la stessa “Iface”) allorapossono essere accorpate (si modifica la “Genmask”).Per identificare la destinazione di un pacchetto occorre scoprire la entry amassima verosimiglianza.

DestIP && RTMaski == RTDestIPi

se e vero, allora la entry i ha rank pari al numero di bit a uno della RTMask.Si sceglie la entry a rank maggiore.


Documents

Sicurezza e Gestione delle Reti (di telecomunicazioni)