connetività ed Internet

Internet

Se invece dal nostro lato abbiamo una rete locale, il modem con il protocollo PPP dovrà essere contenuto in un router che connetta la rete simulata dal PPP con la nostra rete locale sull'altra scheda.
Se dal nostro lato del modem c'è un singolo PC che gestisce il protocollo PPP, configureremo la scheda di rete simulata con l'opportuno indirizzo IP, comunicatoci dal provider che stagrave dall'altra parte del filo ed imposteremo come default gateway l'IP dell'altro estremo del filo.

Internet

Abbiamo visto che Internet è una rete di reti. Nella nostra scuola abbiamo una rete locale, ma per connetterci alla più vicina rete dobbiamo usare un cavo telefonico.
Per far transitare dati su di un cavo telefonico occorre un modem (telefono analogico o ADSL) oppure un terminal adapter (ISDN).
Ma un cavo telefonico con due modem ai capi non è una rete locale. Per trasformare questa connessione in una rete locale occorre utilizzare il Point to Point Protocol (PPP) che simula due schede di rete al posto dei modem.

Internet

Ovviamente in questo caso gli indirizzi IP delle nostre macchine dovranno essere pubblici e conosciuti dal router che stà all'altro capo del cavo.

NAT e virus

una volta che una macchina della nostra rete sia stata compromessa, essa potrà poi connettersi all'esterno, creando una testa di ponte per un eventuale attaccante.
Inotre una macchina compromessa può infettare le altre macchine della rete, sfruttando le porte aperte e gli errori del sistema operativo.
Una volta attivato il NAT, tutte le connessioni che provengono dall'interno vengono rimbalzate sull'esterno a cura del router, con il suo indirizzo IP
L'unico indirizzo IP conosciuto dalla rete è di fatto l' indirizzo IP del router

NAT e virus

Le chiamate dell'esterno potranno quindi giungere solo al router
Le macchine interno sono quindi protette da tutti gli attacchi che dall'esterno cercano di entrare nella nostra macchina, come gli ultimi virus che attaccano la nostra macchina entrando da porte lasciate aperte dal software (il servizio di internet update oppure errori di programmazione del sistema operativo).
Naturalmente non saremo protetti da tutti quei virus che entrano visualizzando pagine con Internet Explorer o scaricando messaggi con Outlook, che sfruttano insicurezze di questi software oppure mandando in esecuzione file contenenti virus.

Configurazione Interfaccia

Dobbiamo ora configurare l'interfaccia fastethernet 0 con il comando:
A questo punto potremo impostare l'IP, abilitare l'interfaccia ed uscire dalla configurazione dell'interfaccia:

Per prima cosa dovremo passare dal Modo Standard al Modo Privilegiato con il comando:Router>enable

Configurazione Interfaccia Dobbiamo quindi passare in Modo Configurazione Generale con il comando:Router#configure terminal Configurazione Password e Telnet Ora che l'interfaccia di rete è configurata, dobbiamo aggiungere una password per il modo privilegiato e per l'accesso tramite telnet, in modo da poter continuare la programmazione da una qualsiasi macchina della nostra rete. Per assegnare una password alla modalità privilegiata, daremo il comando:Router(config)#enable password password Passeremo quindi a configurare una password per ile linee virtuali per l'accesso con telnet:Router(config)#line vty 0 4 Router(config-line)#password password Router(config-line)#exit Configurazione Password e Telnet Potremo ora uscire dalla configurazione e salvare le impostazioni fatte:Router(config)#exit Router#write memory NAT - proxy e fixup Per ottenere questo occorrono dei piccoli programmi che intercettino questi tipi di protocollo e che operino sui contenuti trasmessi per correggerli, consentendo poi le corrette connessioni Questi programmi sono spesso chiamati proxy o fixup. Alcuni protocolli richiedono che l'altro estremo apra una connessione verso la macchina di partenza oppure trasmettono informazioni sulla connessione NAT - proxy e fixup Naturalmente la nuova connessione deve essere fatta con il router/firewall, che poi la trasferirà alla macchina originale e le informazioni sulla connessione devono essere modificate per non far girare su Internet indirizzi della rete locale. Configurazione del NAT Se abbiamo un solo indirizzo Internet valido, dovremo assegnare alla nostra rete degli IP privati. Configurazione del NAT Ci collegheremo ora in telnet al router e lo programmeremo con i seguenti comandi:Router>enable Router#configure terminal Router(config)#ip nat pool external-nat-pool 172.16.0.2 172.16.0.2 netmask 255.255.255.0 Router(config)#access-list 7 permit 192.168.1.0 0.0.0.255 Router(config)#ip nat inside source list 7 pool external-nat-pool overload Router(config)#interface fastEthernet 0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface async 5 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#exit Router#write memory Internet - NAT Naturalmente il router dovrà mantenere una tabella dei mittenti reali in base alla porta. Per non confondersi, il router potrà anche modificare il porta di origine del pacchetto, ad esempio nel caso che due macchine interne usino la stessa porta per comunicare. Se invece il nostro provider ci ha concesso un solo indirizzo IP, e noi vogliamo connettere una rete ugualmente, la rete dovrà essere creata con indirizzi privati Internet - NAT L'unica macchina che possiede un IP valido e riconosciuto da Internet sarà l'estremo della connessione PPP (il router). Questa operazione prende il nome di Network Address Translation o NAT. La modifica della porta da alcuni produttori viene indicata separatamente come Port Address Translation o PAT. Altri produttori indicano questa tecnica come Single User Account o SUA. Inoltre i pacchetti che giungono da Internet non potranno avere come destinazione le gli indirizzi IP nostre macchine, che sono privati e non noti a nessuno. Internet - NAT Quando il destinatario del pacchetto risponderà al router, esso modificherà anche il pacchetto ricevuto, sostituendo il destinatario originale a sï¿½ stesso, quindi lo invierà al destinatario reale. In questo caso il router dovrà ricevere le richieste dalla rete locale e modificare ogni pacchetto, ponendosi come mittente al posto del mittente reale del pacchetto Configurazione dell'interfaccia esterna Configurazione dell'interfaccia esterna Ora configureremo l'interfaccia seriale corrispondente alla porta AUX per la connessione (dedicated), con l'incapsulamento ppp e imposteremo l'indirizzo IP:Router(config)#interface async 5 Router(config-if)#async mode dedicated Router(config-if)#ip address 172.16.0.2 255.255.255.0 Router(config-if)#encapsulation ppp Router(config-if)#no shutdown Router(config-if)#exit Ora potremo connetterci da una qualunque macchina della rete, attraverso telnet al router, per continuare la configurazione. Configurazione dell'interfaccia esterna Da una console di una macchina Linux potremo dare il comando:salvi@compaq:~$ telnet 192.168.1.220 Ci verrà chiesta la password che abbiamo impostato. La immetteremo. Ci troveremo ora in modalità normale. NAT Inverso Naturalmente, le prote non ocnfigrate saranno gestite dal router, che potrà rispondere se ha servizi su quelle porte, oppure non accetterà le connessioni. In questo secondo caso più porte potranno essere configurate per connettersi a più server diversi, suddividendo il carico di lavoro dei server. Una volta attivato il NAT, come abbiamo visto nessuna connessione giunge più dall'esterno alle nostre macchine NAT Inverso Occorre programmare il router in modo che, quando riceve una chiamata dall'esterno, la trasferisca, modificando opportunamente gli indirizzi nei pacchetti, ad una determinata macchina interna. In alternativa, se il router riceve una chiamata su di una carta porta, trasferisce solo questa chiamata al server configurato. Occorre in questo caso impostare il Reverse NAT (o Source NAT). NAT Inverso Se noi volessimo avere, nella nostra rete interna, un server accessibile ad Internet, ad esempio per ospitare il sito Web della scuola, avremmo quindi dei problemi. Questa traduzione può essere fatta per ogni porta, nel qual caso il nostro server sarà completamente esposto ad Internet e sostituirà di fatto il router per ogni chiamata dall'esterno. Verifica NAT Se ora proviamo, dalla macchina esterna, a cercare di raggiungere il nostro web server interno, il percorso non verrà trovato (verificare con traceroute) Se invece cercheremo di onnetterci al router, vedremo il sito amministrativo del router stesso. Verifica NAT Questa configurazione prevede di:Creare un gruppo di indirizzi pubblici da usare per uscire Creare una access list che consenta indichi come permessi gli indirizzi interni privati Abilitare il NAT tra gli indirizzi dell'access list e quelli del gruppo esterno, abilitando più indirizzi interni ad utilizzare l'indirizzo esterno Indicare che l'interfaccia Ethernet è l'interfaccia interna Indicare che l'interfaccia seriae è l'interfaccia esterna Verifica NAT A questo punto, se dalle macchine interne andiamo a visualizzare la pagina http://10.0.155.155/callerip.php l'IP visalizzato sarà 172.16.0.2, vale a dire quello del router. Programmazione del router Una volta connessi al router, possiamo configurare l'interfaccia di rete. I router Cisco posseggono diversi livelli, che si distinguono dal prompt: Router&g;t; = Modo standard Router# = Modo privilegiato Router(config)# = Modo configurazione globale Router(config-if)# = Modo configurazione interfaccia Router(config-line)# = Modo configurazione linea Programmazione del router L'esempio di configurazione di questa lezione sarà fatto con un router Cisco 1720. Quando il router è totalemente non programmato non è raggiungibile né attraverso la rete locale (non configurata) né tantomeno da Internet. Generalmente, in queste condizioni è necessario connettersi tramite un cavo seriale ed un emulatore di terminale come minicom o hyperterminal Configurazione della Default Route Da una macchina esterna è anche possibile visualizzare le pagine WEB su di una machina interna dotata di server Web (ricordarsi di disabilitare Proxy nei browser). Possiamo ad esempio aprire la pagina http://10.0.155.155/callerip.php che indicherà l'IP della nostra macchina come IP chiamante. Configurazione della Default Route A questo punto non ci resta che impostare la default route (il router dove inviare i pacchetti per il resto della rete Internet), abilitare il routing e salvare la configurazione:Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.0.1 Router(config)#ip routing Router(config)#exit Router#write memory A questo punto la nostra rete è connessa ad Internet tramite il nostro router. I computer devono avere IP reali. Potremo Connetterci ad un srver esterno ed esso vedrà la nostra macchina. [any material that should appear in print but not on the slide]