Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


NAT E FIREWALL - ipv4 e ipv6, Schemi e mappe concettuali di Informatica

NAT E FIREWALL - ipv4 e ipv6, cos'è la NAT, diverse tipologie di NAT, cos'è Firewall, diverse tipologie, proxy, NAT e sicurezza

Tipologia: Schemi e mappe concettuali

2022/2023

In vendita dal 06/07/2023

giuliamaestri1
giuliamaestri1 🇮🇹

5

(3)

71 documenti

1 / 10

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
pf3
pf4
pf5
pf8
pf9
pfa

Anteprima parziale del testo

Scarica NAT E FIREWALL - ipv4 e ipv6 e più Schemi e mappe concettuali in PDF di Informatica solo su Docsity!

IPV

Introdotto nel 1978, IPv4 ha standardizzato il modo in cui i computer su Internet comunicano

tra loro. È un protocollo senza connessione, il che significa che i dati possono essere inviati

senza richiedere alle parti di stabilire una connessione diretta e ha bisogno solo di quantità

minime di memoria. IPv4 mette a disposizione oltre 4 miliardi di indirizzi univoci, che all'epoca della sua introduzione sembravano più che sufficienti, ma oggi, dopo 40 anni, la situazione è molto cambiata. Ora che un numero sempre maggiore di dispositivi rimane connesso online, il protocollo IPv4 si sta avvicinando al suo limite.

IPV

IPv6 (Internet Protocol versione 6) è uno standard aggiornato per l'identificazione dei computer su Internet. Come IPv4, assegna a ogni dispositivo un identificatore univoco, che tuttavia è stato regolato per adattarsi al numero crescente di computer attualmente connessi a Internet. Grazie a IPv6, il numero di indirizzi IP possibili passa dai 4 miliardi di IPv4 a 340 trilioni di trilioni di trilioni. IPv6 è scritto come una stringa di cifre esadecimale a 128 bit e un tipico indirizzo IPv6 si presenta così: 2001:0ab8:85a2:0000:0000:8a3e:0370:

IPv6 è stato ottimizzato per rimanere sempre al passo con la rete Internet modernizzata di

oggi.

Qual è la differenza tra gli indirizzi IPv4 e IPv6?

La differenza tra questi due formati di indirizzi sta nel fatto che gli indirizzi IPv6 sono più lunghi e formattati in modo diverso, quindi esistono più configurazioni di indirizzi IPv6 univoci possibili. IPv4 è un sistema a 32 bit che utilizza una stringa di numeri separati da punti, mentre IPv6 è un sistema a 128 bit che usa sequenze alfanumeriche separate da due punti.

Ecco un esempio dei due diversi indirizzi:

IPv4: 213.0.113. IPv6: 2001:0000:4136:e378:8000:63bf:3fff:fdd

NAT (Network Address Translation)

La NAT è una tecnica usata per sostituire nell’intestazione di un pacchetto IP o un indirizzo o una sorgente o destinazione, con un altro indirizzo. Nel suo impiego più diffuso NAT viene usato per permettere ad una rete che usa una classe di indirizzi privati di accedere ad Internet usando uno o più indirizzi pubblici. NAT è stato ideato nel momento in cui ci si è accorti che lo spazio di indirizzamento IPv non era più sufficiente per soddisfare la crescente richiesta di indirizzi, cosa che non era stata immaginata o pianificata al momento della sua creazione. Inizialmente NAT si pensò fosse una soluzione temporanea, presto soppiantata da IPv6, invece il ritardo nello sviluppo di IPv6 e la rapida crescita dell’accesso ad Internet hanno di fatto reso il NAT una pratica molto comune. NAT viene implementato nei router di una rete STUB (Con il termine stub network

nell'informatica si identifica una rete locale in cui esiste un solo router NAT. In questo tipo di

rete tutto il traffico diretto all'esterno deve necessariamente passare per l'unico NAT

presente: rete che ha solo una via d’accesso e una d’uscita).

Il router può essere configurato con uno o più indirizzi IP pubblici e l’insieme di indirizzi viene

chiamato pool.

Quindi, ogni volta che un dispositivo vuole accedere alla rete esterna (ad esempio connettersi ad un web server) il router NAT converte il suo indirizzo privato con uno degli indirizzi pubblici che ha a disposizione nel pool. Così facendo dall’esterno tutto il traffico in entrata ed in uscita viene visto come se fosse generato da dispositivi che hanno come indirizzo IP uno degli indirizzi configurati nel pool. Il NAT fornisce i seguenti vantaggi:

  • Consente ad un'organizzazione di utilizzare un numero di indirizzi IP pubblici inferiore al numero degli host;
  • Riduce i costi di accesso ad Internet;
  • Garantisce più sicurezza per i computer della rete locale che rimangono “nascosti” dietro i pochi indirizzi pubblici utilizzati. NAT prevede che internamente allo header del pacchetto IP avvenga una sostituzione dell’indirizzo IPv4 nel momento in cui avviene il passaggio del pacchetto dalla rete interna a quella esterna, e viceversa, tenendo traccia della sostituzione effettuata in una tabella di conversione affinché venga individuato in modo corretto lo host coinvolto nella comunicazione.

NAT: sicurezza e amministrazione

L’implementazione del NAT sul confine tra LAN e WAN crea automaticamente una forma di protezione tra la rete privata e quella pubblica. Infatti il NAT consente solo le comunicazioni che hanno origine dalla rete interna, e un computer esterno non può chiedere una connessione a un computer interno alla LAN poiché non troverebbe la corrispondenza nella

tabella NAT. La corrispondenza nella tabella dall'esterno avviene con una riga scritta

quando parte la richiesta dall'interno.

Un altro vantaggio dell'utilizzo del NAT riguarda il fatto che è possibile cambiare gli indirizzi IP privati dei nodi, poiché essi vengono schermati all'esterno, ed è inoltre possibile scalare

(cioè aumentare le dimensioni della rete, il numero di host connessi) senza dover richiedere

ulteriori indirizzi pubblici. NAT STATICO Un NAT statico prevede che l’associazione tra indirizzo IP privato e dispositivo sia fissa; in pratica, ogni volta che ci si collega a Internet, i dispositivi vengono sempre identificati con lo

stesso IP privato. Questo è molto utile quando è necessario che un dispositivo sia visibile

dall’esterno, ad esempio se si dispone di un server locale a cui si vuole accedere anche

quando si è fuori casa, o se si utilizzano telecamere di videosorveglianza controllabili da remoto. Solitamente è possibile configurare un NAT come statico direttamente dal pannello di controllo del router. NAT DINAMICO Con un NAT dinamico, invece, le associazioni tra indirizzo IP privato e dispositivo possono variare a seconda delle esigenze. Quando un dispositivo collegato alla rete locale invia una richiesta a un server remoto, il NAT assegna uno degli indirizzi IP a disposizione, solitamente seguendo un semplice ordine numerico: ad esempio, potrebbe assegnare l’IP 192.168.1.1 al primo dispositivo che si connette, 192.168.1.2 al secondo, e così via. In questo modo diventa impossibile accedere ai dispositivi connessi alla rete locale da remoto, ma proprio per questo si ottiene una maggiore sicurezza.

A livello di prestazioni entrambe le soluzioni sono sostanzialmente equivalenti, quindi la

scelta di una o dell’altra deve essere fatta in base alle proprie esigenze. Per un uso normale,

il NAT dinamico è probabilmente la soluzione migliore, in quanto più sicura: è infatti solitamente l’impostazione predefinita dei router.

NAT e sicurezza

Come accennato, un NAT dinamico tende a essere più sicuro di un NAT statico, in quanto diventa molto più difficile poter accedere ai dispositivi locali da remoto. Non si tratta comunque di una soluzione pensata specificamente per la sicurezza della navigazione. Anche se il NAT controlla tutto il traffico in entrata e in uscita, infatti, non è in grado di proteggere da attacchi informatici più sofisticati, come quelli che fanno affidamento sul phishing o sul social engineering.

Firewall

Un firewall (termine inglese dal significato originario di parete refrattaria, muro

tagliafuoco, muro ignifugo; in italiano anche parafuoco o parafiamma) è un componente

passivo di difesa perimetrale di una rete informatica, garantendo una protezione in termini di sicurezza informatica della rete stessa. Con esso si tende ad identificare in modo generico tutta una serie di funzioni e di apparecchiature che servono a proteggere un determinato dominio o rete privata (es. da LAN privata ad Internet nel suo complesso). Un personal firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall’esterno della rete. Può essere semplicemente un programma installato sul proprio PC che

  • Protegge quest’ultimo da attacchi esterni;
  • Protegge la rete da attacchi generati da potenziali virus presenti su PC. Oppure può essere una macchina dedicata che filtra tutto il traffico proveniente da e diretto a una rete locale.

Classificazione dei Firewall

  • Stateless firewall o packet filter firewall;
  • Stateful firewall o circuit-level gateway;
  • Application firewall o proxy firewall o application gateway. Stateless firewall o packet filter firewall

Access Control List: lista ordinata di regole (access control entry)

associata alle risorse di un sistema informatico che stabilisce quali utenti o

processi possono accedervi e compiere operazioni specificate

 Filtraggio semplice e leggero, ma non garantisce un'elevata sicurezza.  Analizza ogni pacchetto che lo attraversa singolarmente, senza tenere conto dei pacchetti che lo hanno preceduto.  Vengono considerate solo alcune informazioni contenute nell'header del pacchetto.  Il filtraggio, basato solo sulle informazioni dei primilivelli del modello OSI, non permette al firewall di rilevare gli attacchi su livelli superiori.

 Vulnerabile ad attacchi quali IP spoofing (Contraffazione dell’indirizzo sorgente).

Vantaggi

  • Economico.
  • Può essere realizzato sia con struttura hardware che software.
  • E' un meccanismo trasparente che non ostacola il normale utilizzo della rete. Svantaggi
  • Non è sempre facile impostare, testare e gestire le regole di filtro di una tabella di instradamento ed errori in queste fasi potrebbero essere fatali per la sicurezza del sistema.
  • Sono difficili da configurare e da gestire.
  • Peggiorano le prestazioni dei dispositivi in cui sono implementati.

Stateful firewall o circuit-level gateway. Questo tipo di Firewall esegue dei controlli a livello di sistema operativo, quindi a un livello superiore a quello con packet filter. I Firewall gateway di circuito sono composti da due software: uno sulle singole macchine

della rete interna detto libreria socks, e uno che risiede sulla macchina del gateway detto

programma di relay.

Svolge lo stesso tipo di filtraggio dei packet filter firewall e + tiene traccia delle connessioni e del loro stato + blocca tutti i pacchetti che non appartengono ad una connessione attiva, a meno che non ne creino una nuova.  Non rileva gli attacchi nei livelli OSI superiori al quarto ed è sensibile agli attacchi DoS che ne saturano la tabella dello stato.

 Previene gli attacchi di tipo IP spoofing, ma comporta una maggiore difficoltà nella

formulazione delle regole.  Rispetto ai packet filter firewall, offre una maggiore sicurezza e un controllo migliore sui protocolli applicativi che scelgono casualmente la porta di comunicazione, ma è più pesante dal punto di vista delle performance. Vantaggi

  • I controlli vengono fatti ad un livello di sistema operativo.
  • La libreria socks può essere collegata a diverse applicazioni (telnet, ftp,ecc..).
  • Il meccanismo di sicurezza è ben nascosto all'utente. Svantaggi
  • Forma e contenuto di questa libreria variano da sistema operativo a sistema operativo di conseguenza possono nascere problemi di portabilità. Potrebbe essere difficile trovare una versione socks compatibile con tutti i sistemi operativi.
  • Occorre che ogni browser della rete interna venga ricompilato con la libreria socks. Nel caso di reti di grandi dimensioni questa operazione può risultare molto complessa e costosa. Alcuni browser sono però venduti già con il supporto socks, quindi non è necessaria la ricompilazione.
  • Permette di eseguire servizi di auditing (controllo delle connessioni), in quanto è in grado di eseguire analisi accurate del traffico in ingresso e In uscita, mentre le stesse operazioni richiederebbero complesse analisi di tutte le reti esterne accessibile, se

eseguite su sistemi packet filter.

  • In genere è una struttura facilmente configurabile e gestibile anche dal software del client. Svantaggi
  • Ogni applicazione richiede uno specifico proxy.
  • Il software del gateway di applicazione può essere molto complesso, può quindi accadere che contenga errori non rilevati che potrebbero mettere a repentaglio il funzionamento del Firewall.