prof. Paolo Latella

martedì 18 luglio 2017

Le porte in informatica


Le porte, in informatica nell'ambito delle reti di calcolatori, sono lo strumento utilizzato per realizzare la multiplazione delle connessioni a livello di trasporto, ovvero per permettere ad un calcolatore di effettuare più connessioni contemporanee verso altri calcolatori, facendo in modo che i dati contenuti nei pacchetti in arrivo vengano indirizzati al processo che li sta aspettando.
Il termine è la traduzione dell'inglese port, nella accezione derivante dal latino porta: apertura, portale, oblò; il termine che in italiano si traduce in porto deriva invece dal latino portus.
In particolare il termine porta è mutuato direttamente da quello di porta fisica di connessione tra cavi di un calcolatore o di un qualunque altro dispositivo elettronico, ma di fatto nell'ambito della trasmissione dei dati durante una connessione non c'è altra porta fisica oltre a quella di aggancio del connettore del cavo. Nell'ambito delle reti di telecomunicazioni il termine porta indica quindi solamente una porta virtuale o logica e può essere vista banalmente come un'etichetta (label) che identifica e discrimina il traffico dati di una connessione da quello di un'altra.
Tutti i processi di rete tra i vari terminali di rete necessitano dunque di una porta per l'instaurazione, l'esecuzione ed il completamento del servizio preposto.

Caratteristiche

Le porte sono numeri (in TCP e UDP sono a 16 bit per un totale di 216 - 1= 65 535 porte possibili) utilizzati per identificare una particolare connessione di trasporto tra quelle al momento attive su un calcolatore. I pacchetti appartenenti ad una connessione saranno quindi identificati dalla quadrupla [<indirizzo IP sorgente>, <indirizzo IP destinazione>, <porta sorgente>, <porta destinazione>]. I pacchetti nella direzione opposta avranno ovviamente sorgente e destinazione scambiati.

Mentre la porta di destinazione è l'identificativo univoco del processo applicativo, la porta di sorgente è assegnata casualmente in maniera tale da identificare univocamente la connessione da parte del mittente col destinatario eventualmente tra più computer all'interno di una rete locale.
Il livello di trasporto (tipicamente realizzato dal sistema operativo) associa a ciascuna porta utilizzata un punto di contatto (ad esempio, una socket), utilizzato da uno (o più) processi applicativi per trasmettere e/o ricevere dati.
Per poter inviare con successo un pacchetto con una certa porta di destinazione, ci deve essere un processo che è "in ascolto" su quella porta, ovvero che ha chiesto al sistema operativo di ricevere connessioni su quella porta. L'operazione di impegnare una porta TCP o UDP da parte di un processo è detta "bind", dal nome della chiamata di sistema unix che la realizza.
La porta sorgente utilizzata in una connessione viene scelta dal calcolatore che inizia la connessione tra una di quelle al momento non impegnate.
In Internet, c'è una convenzione per cui ad alcuni numeri di porta sono associati determinati protocolli di livello applicativo. Ad esempio, se voglio contattare il serverHTTP eventualmente in esecuzione su un certo calcolatore, so che devo tentare di stabilire una connessione verso la porta 80 (vedi lista di porte standard).

Tipi di porte

I numeri di porta sono classificabili in tre gruppi:

  • le porte conosciute sono assegnate dall'Internet Assigned Numbers Authority (IANA), sono quelle inferiori a 1024, e sono generalmente utilizzate a livello di sistema operativo o di processi di sistema. In genere rimangono in ascolto su queste porte applicazioni con funzioni di server. Alcuni esempi possono essere le applicazioni che utilizzino protocolli FTP (21), SSH (22), TELNET (23), SMTP (25) e HTTP (80). Sono dette porte ben note.
  • Le porte registrate invece sono spesso utilizzate come riferimento fra applicazioni, come una specie di accordo.
  • Le porte dinamiche invece sono tutte le altre, liberamente utilizzabili da tutte le applicazioni utente, salvo l'occupazione contemporanea da parte di qualche altro processo.

Sicurezza

Supervisionare le porte in ascolto cioè aperte è di estrema importanza sul fronte della sicurezza informatica per evitare attacchi informatici che nel caso più grave possono portare al controllo completo del computer. Per visualizzare le porte aperte sul proprio computer è necessario un programma di scansione delle porte (port scanning) e dei relativi servizi collegati ad esse. Le porte normalmente più vulnerabili sono:

  • Servizi di loginTelnet (23/TCP), SSH (22/TCP), NetBIOS (139/TCP), ecc.
  • Posta: SMTP (25/TCP), POP (109/TCP e 110/TCP), IMAP (143/TCP), ecc.
  • WebHTTP (80/TCP) e SSL (443/TCP), tranne quelle verso i server web esterni. Si dovrebbero bloccare anche le porte HTTP comuni (8000/TCP, 8080/TCP, 8888/TCP e così via)
  • Piccoli servizi: porte prima delle 20/TCP e 20/UDP, time (37/TCPe 37/UDP)

fonte:https://it.wikipedia.org/wiki/Porta_(reti)

lunedì 17 luglio 2017

Cos'è il NAT e come funziona

INTERNET
Quando un dispositivo connesso ad una LAN deve comunicare con “l'esterno” (tanto in uscita, quanto in ingresso) c'è la necessità di “nattare” le vie di comunicazione. Ecco come funziona
Nell'ambito delle reti informatiche, il network address translation (abbreviato in NAT e traducibile in italiano con “traduzione degli indirizzi di rete”) è un meccanismo che permette di modificare l'indirizzo IP dei pacchetti in transito attraverso apparati di rete – come router o firewall – all'interno di una comunicazione in corso tra due o più nodi della rete.

Il principio del network address translation

Il meccanismo del NAT è diventato fondamentale nel momento in cui gli indirizzi IP del protocollo IPv4 hanno cominciato a scarseggiare. L'aumento esponenziale dei dispositivi connessi alla Rete ha fatto sì che gli indirizzi disponibili in questo spazio di rete (4 miliardi e 300 milioni circa) si esaurissero in fretta. Il NAT è stato quindi utilizzato per poter nascondere dietro un unico indirizzo pubblico decine e decine di indirizzi privati (e quindi altrettanti device). Nonostante l'introduzione del protocollo IPv6, questa tattica di “mascheramento” degli indirizzi privati è molto utilizzata sia per semplice comodità sia perché capace di garantire un certo numero di vantaggi.
Il NAT utilizza un gateway con almeno un'interfaccia connessa alla rete interna e almeno un'interfaccia di rete connessa al web (e quindi all’esterno della LAN). Grazie a questo “portale”, tutti i dispositivi connessi alla LAN potranno accedere a Internet utilizzando, e quindi “consumando”, un singolo indirizzo IP pubblico: quello del gateway stesso. In questo caso il gateway si occupa di fare una traslazione – o traduzione – degli indirizzi IP dei pacchetti in transito attraverso il router stesso: quando un terminale della rete interna effettua una richiesta verso Internet, l'indirizzo IP di partenza risultante sarà quello, pubblico, del gateway stesso e non quello privato del dispositivo che effettua la richiesta; nel caso di pacchetti in entrata, invece, il gateway si occupa di reindirizzare il traffico verso i dispositivi di destinazione appartenenti alla rete modificando l’IP di destinazione di conseguenza.


Il NAT in pratica

Nella pratica, il network address translation si riduce a tre casi principali: un dispositivo della rete locale che si connette al web; un dispositivo esterno alla LAN che cerca di comunicare con un dispositivo interno alla LAN; due dispositivi della LAN che comunicano tra di loro.
Da LAN ad Internet. In questo caso il NAT si risolve nel “mascheramento” degli indirizzi dei pacchetti originati dalla LAN (tramite traslazione statica o dinamica a seconda del numero di dispositivi appartenenti alla rete locale, come spiegato in seguito) in modo che l'unico indirizzo ad apparire in Internet sia l'IP pubblico assegnato dall'ISP (acronimo di Internet service provider, fornitore dei servizi Internet) al router.
Da Internet alla LAN. Con le tecniche di port forwarding e port triggering si permette a dispositivi esterni alla LAN (siano essi dei server appartenenti alla Rete mondiale o dispositivi di altre LAN) di comunicare con alcuni nodi della rete locale. Se, ad esempio, un agente di commercio deve connettersi al server del magazzino o mandare in stampa un ordinativo con la stampante di rete dell'ufficio, basterà nattare il traffico in arrivo dall'esterno verso le porte di comunicazione utilizzate in maniera esclusiva dal server o dalla stampante.
Comunicazione interna alla LAN. In quest'ultimo caso non ci sono particolari difficoltà comunicative tra i vari nodi. Così come accade nella navigazione sul web, i due nodi non avranno bisogno né di traslare il proprio indirizzo, né di utilizzare particolari tecniche per superare ostacoli o barriere opposte dal gateway. I dispositivi potranno comunicare liberamente, scambiando pacchetti dati in maniera diretta.

La rete aziendale su Internet

Un esempio classico della prima casistica elencata si risolve nell'esempio della rete locale domestica o di un ufficio di piccole-medie dimensioni che vuole connettersi al web. In questo caso uno dei computer connessi alla LAN aziendale deve inviare una richiesta al gateway del router o del firewall per poter avere accesso a Internet. Il gateway agisce quindi da "portale" verso l'esterno, creando un ponte comunicativo tra la rete privata e Internet. In questo processo l'indirizzo IP privato del computer in locale viene tradotto nell'IP pubblico, in modo che le richieste di connessione inviate ai server sembrino essere originate da un unico indirizzo, e cioè dal gateway stesso.


La traduzione degli indirizzi (la addess translation descritta sopra) può avvenire in due modalità differenti. Una traduzione 1 a 1 – detta traslazione statica –, nella quale ad un singolo indirizzo IP privato (ad esempio 192.168.0.1) viene collegato un singolo indirizzo pubblico (ad esempio 79.85.254.200); oppure una traduzione 1 a molti – detta traslazione dinamica –, dove un singolo indirizzo IP pubblico è condiviso tra più indirizzi IP appartenenti alla rete locale. Nel primo caso il dispositivo di rete è collegato in maniera trasparente al web (il suo unico indirizzo IP privato è associato direttamente e univocamente ad un preciso indirizzo pubblico ed è pertanto facilmente identificabile e quindi direttamente contattabile anche da un nodo esterno alla rete locale) ma non risolve il problema della penuria di indirizzi IP pubblici. Nel caso della traslazione dinamica è molto utilizzata la tecnica della traslazione della porta (abbreviata in PATport address translation), che consiste nell’attribuire una porta sorgente di rete differente ad ogni singolo canale di scambio dati instaurato tra l’interno e l’esterno della LAN.



Questa metodologia di lavoro offre all'utente un ulteriore livello di sicurezza. Gli indirizzi IP della rete privata non compariranno mai tanto per i pacchetti in uscita, quanto per i pacchetti in entrata (essendo questi sempre mascherati, ovvero modificati durante il passaggio attraverso il gateway): per il resto dalla rete tutte le richieste sembreranno pervenire dall'indirizzo IP del gateway, nascondendo di fatto il nodo della rete locale che effettivamente ha fatto richiesta di quella certa informazione. Un osservatore esterno, quindi, non sarà mai in grado di determinare quale dispositivo della LAN abbia effettuato la richiesta, né quanti siano i dispositivi che compongono la LAN. A meno di impostazioni di reindirizzamento particolari, un utente esterno alla LAN non riuscirà ad accedere al singolo dispositivo di rete interno ma sarà costretto a “fermarsi” allo sbarramento opposto dal router e, più in generale, dal gateway di quella particolare rete locale.

Dal web alla rete locale

Il percorso appena descritto può avvenire anche al contrario: un PC connesso alla Rete esterna che tenta di accedere ad una risorsa della LAN (una stampante di rete o un server). Anche in questo caso la gestione del processo è affidata al gateway, che si occupa di analizzare le richieste in ingresso e dirigerle verso la risorsa cercata. Per fare in modo che ciò avvenga, il traffico generato da questa richiesta deve essere indirizzato verso una porta di comunicazione specifica del router, in modo che raggiunga la risorsa di rete associata a quella porta senza alcun tipo di filtro che ne rallenti lo scambio di dati o renda difficoltosa la comunicazione.


Questa operazione è detta di port forwarding e permette di stabilire che tutti i dati transitanti attraverso una porta del gateway (ad esempio la porta 80, utilizzata dai browser per la navigazione nel web) siano destinati al nodo ben preciso facente parte della rete locale (individuato, ad esempio, dall'IP 192.168.0.192). Per mettere in atto questa tecnica è dunque necessario agire sul router, stabilendo una regola interna di reindirizzamento. Accedendo alle impostazioni del dispositivo e successivamente alla sezione NAT o port forwarding, si dovrà stabilire "manualmente" il percorso da seguire, indicando quale sia l'IP privato verso il quale indirizzare tutto il traffico che passa da una determinata porta di rete del router.

Questo tipo di comunicazione, però, espone la LANa possibili attacchi da parte di hacker e altri "pirati della rete". Una volta stabilita la regola, infatti, la porta resta aperta anche se non è in corso alcuna comunicazione telematica. Per ovviare a questa problematica si preferisce utilizzare il port triggering, una sorta di port forwarding condizionale che attiva e apre la porta solo in caso di comunicazione attiva. Un altro metodo, utilizzato soprattutto da società di dimensioni medio-grandi, consiste nel creare una connessione VPN all'interno della quale i due dispositivi possano scambiare dati e informazioni al riparo da occhi indiscreti. Una rete VPN crea una sorta di tunnel all'interno della Web dove far transitare dati e informazioni in completa sicurezza.
fonte: http://www.fastweb.it/internet/cos-e-il-nat-e-come-funziona/


NAT Inverso


Una volta attivato il NAT, come abbiamo visto nessuna connessione giunge più dall'esterno alle nostre macchine
Se noi volessimo avere, nella nostra rete interna, un server accessibile ad Internet, ad esempio per ospitare il sito Web della scuola, avremmo quindi dei problemi.
Occorre in questo caso impostare il Reverse NAT (o Source NAT).
Occorre programmare il router in modo che, quando riceve una chiamata dall'esterno, la trasferisca, modificando opportunamente gli indirizzi nei pacchetti, ad una determinata macchina interna.
Questa traduzione può essere fatta per ogni porta, nel qual caso il nostro server sarà completamente esposto ad Internet e sostituirà di fatto il router per ogni chiamata dall'esterno.
In alternativa, se il router riceve una chiamata su di una carta porta, trasferisce solo questa chiamata al server configurato.
In questo secondo caso più porte potranno essere configurate per connettersi a più server diversi, suddividendo il carico di lavoro dei server.
Naturalmente, le prote non ocnfigrate saranno gestite dal router, che potrà rispondere se ha servizi su quelle porte, oppure non accetterà le connessioni.

fonte: http://www.salvi.mn.it/stefano/corsi/index.php?action=show&show=39&menu=3&id=252

tabella di routing (tabella d'instradamento)



In informatica una tabella di routing (tabella d'instradamento) è un database, memorizzato in un router, che elenca le rotte di destinazione di una data rete e in molti casi una metrica di tale rotta[1] (e.g. legata alla distanza). La tabella di routing contiene informazioni sulla topologia della rete immediatamente circostante. La costruzione della tabella di routing è l'obiettivo dei protocolli di routingLe rotte statiche sono elementi della tabella di routing definiti in maniera non automatica, in genere fissate da un operatore.

Descrizione[modifica | modifica wikitesto]

Ogni volta che un nodo di una rete deve inviare dati ad un altro nodo, deve prima sapere dove inviarli. Se il nodo di invio non è connesso direttamente al nodo di destinazione, invierà il dato al gateway della rete di appartenenza, che poi stabilisce come indirizzare il "pacchetto" dati alla destinazione corretta. Ogni gateway ha quindi bisogno di tenere traccia delle rotte necessarie all'instradamento dei pacchetti di dati e, per questo motivo, si utilizza una tabella di routing. Una tabella di routing è quindi un database che tiene traccia dei percorsi.
Con il routing hop-by-hop, ciascuna tabella di routing elenca, per tutte le destinazioni raggiungibili, l'indirizzo del dispositivo successivo lungo il percorso verso tale destinazione. Supponendo che le tabelle di routing siano coerenti, il semplice algoritmo di inoltro pacchetti per il prossimo hop di destinazione è sufficiente quindi a fornire i dati per raggiungere qualsiasi punto di una rete. Hop-by-hop è la caratteristica fondamentale di IP Internetwork Layer[2].
La funzione principale di un router è di trasmettere un pacchetto verso la sua rete di destinazione(l'indirizzo IP di destinazione del pacchetto). Per fare questo, un router deve cercare le informazioni di instradamento memorizzato nella tabella di routing.
Una tabella di routing è un file di dati in RAM, che viene utilizzata per memorizzare informazioni di rotta sulle reti connesse direttamente e sulle reti remote. La tabella di routing contiene le associazioni Network/Next Hop. Queste associazioni dicono ad un router che una particolare destinazione può essere raggiunta in modo ottimale con l'invio del pacchetto a un router specifico che rappresenta il "next hop" sulla strada verso la destinazione finale.
Una rete connessa direttamente è una rete che è collegata direttamente ad una delle interfacce del router. Quando una interfaccia del router è configurata con l'indirizzo di rete (indirizzo IP e subnet mask), l'interfaccia diventa un host collegato su quella rete. L'indirizzo di rete dell'interfaccia è inserito nella tabella di routing come una rete connessa direttamente. Quando un router inoltra un pacchetto a un host, tale host è sulla stessa rete del router (rete connessa direttamente).
Una rete remota è una rete che non è collegato direttamente al router. In altre parole, una rete remota è una rete che può essere raggiunto solo inviando il pacchetto a un altro router. Reti remote vengono aggiunte alla tabella di routing utilizzando un protocollo di routing dinamico o configurando rotte statiche. I percorsi dinamici sono le rotte per reti remote apprese automaticamente dal router, utilizzando un protocollo di routing dinamico. Le rotte statiche sono le rotte configurate manualmente da un amministratore di rete.
La necessità di registrare percorsi da un gran numero di dispositivi e lo spazio di archiviazione limitato rappresento una sfida importante nella costruzione di tabella di routing. In Internet, la tecnologia di aggregazione indirizzo attualmente dominante è uno schema chiamato CIDR (Classless Inter-Domain Routing).
Le tabelle di routing sono inoltre un aspetto chiave per determinate operazioni di sicurezza, come ad esempio uRPF (unicast reverse path forwarding)[3]. In questa tecnica, che ha diverse varianti, il router guarda, nella tabella di routing, l'indirizzo di origine del pacchetto. Se non esiste nessun percorso all'indietro verso l'indirizzo sorgente, il pacchetto si presume essere malformato o coinvolti in un attacco alla rete ed è rimosso.

Contenuti della tabelle di routing

La tabella di routing è costituito da almeno tre campi di informazione:

  1. l'ID di rete: cioè la sotto-rete di destinazione;
  2. costo/metrica: cioè il costo o metrica del percorso attraverso cui il pacchetto deve essere inviato (Le metriche possono essere basate su informazioni quali la larghezza di banda, numero di hop, costo del percorso, il ritardo, carico, Maximum Transmission Unit, affidabilità e costi di comunicazione);
  3. salto successivo: Il salto successivo o gateway, è l'indirizzo della stazione successiva in cui il pacchetto deve essere inviato sulla strada verso la sua destinazione finale.

Note

^ Routing table, The Linux Information Project, 09.10.2005. URL consultato il 07.04.2015.

Routing Information Protocol (RIP)


HOP : La trasmissione di un file o di un messaggio da un punto a un altro della rete. Questa operazione costituisce l'anello di una catena di trasmissione che portano da un punto di partenza conosciuto fino al destinatario. E' il sistema di propagazione delle informazioni usato su UUCPNET e su FidoNet. Nelle reti locali e geografiche, si definisce come hop anche la tratta che separa tra loro due nodi d'instradamento (router) visto che per arrivare a destinazione ciascun pacchetto dovrà compiere tanti salti quanti sono i router intermedi. (a cura di Roberto Mazzoni)

Routing Information Protocol (RIP) è un protocollo di routing di tipo Distance Vector, che impiega il numero di hop come metrica. RIP evita i routing loop adottando un limite massimo di hop dalla sorgente verso la destinazione. Il numero massimo di hop consentito è 15. Questo numero di hop limita in ogni caso il diametro della rete consentito da RIP. Un numero di hop equivalente a 16 viene considerato come metrica infinita per indicare le rotte inaccessibili che non verranno installate in tabella di routing.
RIP implementa lo split horizon, route poisoning and holddown timer per evitare di annunciare false informazioni di routing. Queste sono alcune caratteristiche che RIP adotta per incrementare la stabilità. È anche possibile utilizzare l'algoritmo RMTI (Routing Information Protocol con Metric-based Topology Investigation) per far fronte al problema del count-to-infinity. In questo modo è possibile rilevare ogni possibile loop con una spesa di calcolo inferiore.
In origine ogni router RIP inviava aggiornamenti completi ogni 30 secondi. A quel tempo le tabelle di routing erano ridotte e di conseguenza la banda impiegata per gli aggiornamenti. Con la crescita delle reti è risultato evidente che sarebbe potuto esserci un picco di traffico non indifferente ogni 30 secondi, anche nel caso in cui i router fossero avviati in maniera asincrona. Si credeva che, a fronte di un boot asincrono, gli updates di routing sarebbero stati differenziati nel tempo. Sally Floyd e Van Jacobson hanno dimostrato nel 1994 che, senza leggere variazioni dei timer di update, dopo un lasso di tempo i timer si sincronizzavano automaticamente.
Nella maggior parte degli scenari attuali, RIP non viene utilizzato come prima scelta poiché convergenza e scalabilità sono qualitativamente inferiori rispetto a EIGRPOSPF o IS-IS (questi ultimi due sono protocolli link-state) e (senza RMTI) avere un limite di hop limita parecchio la dimensione di utilizzo della rete. Tuttavia RIP è facile da configurare a causa dei pochi parametri rispetto ad altri protocolli di routing.
RIP utilizza UDP come protocollo di trasporto, sulla porta riservata 520.

Caratteristiche

RIP è stato sviluppato nel 1988 come parte di ARPANET e usa l'algoritmo Bellman-Ford. La struttura del protocollo è basata su parole di 32 bit e il pacchetto può avere dimensione variabile fino a 512 byte. RIP è un protocollo di routing distance-vector che impiega il conteggio dei numeri di salti (hop count) come metrica di routing. Il massimo numero di hop permessi è 16. Ogni router RIP trasmette di default, ogni 30 secondi, la propria tabella di routing completa a tutti i vicini direttamente collegati, generando grandi quantità di traffico di rete su reti a bassa capacità trasmissiva. Oltre a questo è possibile che ci si avvalga di Triggered Update per inviare dati in momenti differenti da quelli del broadcast.

Lavora sopra il livello di rete della suite TCP/IP, usando UDP sulla porta 520 per trasportare i relativi dati. Seppur a livello fisico esso sia a tutti gli effetti un protocollo di livello applicazione esso è comunemente considerato un protocollo di livello 3 (rete): il fatto di utilizzare UDP come protocollo dati è infatti una mera comodità dal punto di vista dell'implementazione del protocollo stesso e non una necessità per il suo funzionamento; il protocollo di fatto non interagisce con l'utente, ma serve per trasportare informazioni utili a livello di rete.
Opzionalmente può utilizzare un meccanismo di ottimizzazione denominato split horizon il cui scopo è quello di evitare che, in presenza di determinate topologie di rete, si creino dei routing-loop. Per evitare che variazioni continue della topologia di rete (si pensi ad esempio ad un cavo difettoso) generi un eccessivo traffico utile alla fase di aggiornamento, si è introdotto il concetto di Hold Down, con il quale due variazioni successive dello stesso elemento possono essere ritardate fino a 60 secondi. Per evitare di inviare pacchetti troppo grandi, non si possono inserire in un pacchetto più di 25 righe relative alla tabella di routing.
In molti ambienti di rete RIP non è la prima scelta tra i protocolli di routing poiché il tempo di convergenza è lungo e ha una scalabilità della rete modesta se confrontato con OSPF o IS-IS, inoltre il basso numero di hop supportati limita severamente la grandezza della rete. D'altra parte, è molto facile da configurare ed è implementato anche nei router di fascia bassa.

Versioni

Ci sono 3 versioni di RIP: RIPv1, RIPv2 e RIPng.

  • RIPv1, definito da (RFC 77), usa il routing "classful". Gli aggiornamenti delle tabelle di routing non contengono la maschera di sottorete rendendo impossibile la creazione di sottoreti di dimensione differente all'interno della stessa classe di rete. Non viene supportata nessuna forma di autenticazione, lasciando RIPv1 vulnerabile ad attacchi;
  • RIPv2, è stato sviluppato nel 1994 e definito da (RFC 2453), include il trasporto delle informazioni sulla maschera di sottorete, supportando così il Classless Inter-Domain Routing, CIDR. Per garantire la sicurezza degli aggiornamenti sono disponibili 2 metodi: autenticazione semplice con testo in chiaro e MD5, (RFC 2082). Per mantenere la retrocompatibilità il limite di hop count rimane a 15;
  • RIPng, (RFC 2080), è una estensione del protocollo originale RIPv1 per supportare IPv6; utilizza UDP sulla porta 521 e non 520, e così può convivere sullo stesso host con una versione per IPv4 (cfr RFC 2080 pag 4).

fonte: https://it.wikipedia.org/wiki/Routing_Information_Protocol

Autonomous System, AS

In informatica e telecomunicazioni un sistema autonomo (Autonomous System, AS), in riferimento ai protocolli di routing, è un gruppo di router e reti sotto il controllo di una singola e ben definita autorità amministrativa.

Un'autorità amministrativa si contraddistingue sia in base a elementi informatici (specifiche policy di routing), sia per motivi amministrativi.

Esempio di sistema autonomo può essere quello che contraddistingue gli utenti di un unico provider oppure, più in piccolo, quello che costituisce la rete interna di un'azienda.
All'interno di un sistema autonomo i singoli router comunicano tra loro, per scambiarsi informazioni relative alla creazione delle tabelle di routing o tabelle di instradamento, attraverso un protocollo IGP (Interior Gateway Protocol).
L'interscambio di informazioni tra router appartenenti a sistemi autonomi differenti avviene attraverso un protocollo BGP (Border Gateway Protocol) e punti di interscambio fisici tra i diversi sistemi (NAP).
Ogni AS che utilizza la rete pubblica deve essere registrato presso il rispettivo RIRAfriNICAPNICARINLACNIC o RIPE. Ciascun AS è inoltre identificato da un numero univoco a 16 bit o 32 bit.
In pratica, ad ogni AS viene assegnato un numero di indirizzi IP pubblici, che possono essere distribuiti.

fonte: https://it.wikipedia.org/wiki/Sistema_autonomo

venerdì 14 luglio 2017

Come accedere da remoto al computer di casa

Permette di accedere a qualunque risorsa presente all'interno della rete domestica da un qualunque computer connesso a Internet
La protezione della LAN di casa (acronimo di Local Area Network “rete locale”) è questione di primaria importanza per tutti gli utenti che hanno a cuore la protezione dei propri dati. È all'interno della rete domestica, infatti, che trovano “domicilio” tutti i nostri dispositivi di rete (computer desktop e laptop, smartphone, tablet, dischi di rete, NAS e molti altri ancora) e il loro preziosissimo carico di informazioni (file e documenti contenenti dati sensibili e informazioni personali come i dati di accesso alla posta elettronica, ai social network, le credenziali dell'Internet banking,…). Per questo vale la pena perdere un po' di tempo per alzare solide barriere a difesa della LAN e della rete Wi-Fi e monitorarne l'andamento per capire se qualcuno vi si è introdotto abusivamente.
A volte, però, può far comodo lasciare aperta una “porta di servizio” che permetta di accedere alla LAN solo nel caso in cui alcune specifiche condizioni siano rispettate. Normalmente, il firewall interno del modem router blocca ogni accesso non consentito alle risorse di rete: in gergo tecnico si dice che le porte del router sono “chiuse”. Di conseguenza, qualunque tentativo di inviare pacchetti a uno dei dispositivi connessi alla rete sarà bloccato a meno che non sia stata stabilita una regola di firewall che consenta lo scambio di informazioni. Grazie al port forwarding l'utente potrà lasciare aperte una o più porte del proprio modem router Wi-Fi e avere accesso alle proprie risorse di rete anche se si trova a centinaia di chilometri di distanza.


Che cos'è l'accesso remoto

Nell'ambito delle reti informatiche l'accesso remoto (detto anche “desktop remoto” o, in inglese, remote desktop) è una tipologia di connessione che si effettua tra due o più computer sfruttando le risorse messe a disposizione da una rete di estensione geografica superiore (come una WAN o la rete Internet globale). Grazie a questo meccanismo, uno dei due computer avrà libero accesso alle risorse – informatiche e di rete – dell'altro computer: potrà dunque consultare file e cartelle salvate sul disco rigido del computer stesso, utilizzare una stampante di rete collegata al computer cui si è avuto accesso e così via. Più in generale, l’utente del computer connesso via remote desktop potrà comportarsi esattamente come se si trovasse effettivamente davanti al computer remoto a cui è collegato.

Perché l'accesso remoto

L'accesso remoto può trovare applicazione nei settori più disparati dell'informatica. Si può utilizzare per offrire assistenza tecnica a distanza su prodotti software o hardware (uno dei casi più frequenti di desktop remoto); per accedere a file e cartelle salvate sul disco rigido del computer di casa o di ufficio anche se ci si trova a centinaia di chilometri di distanza; per stampare documenti di grandi dimensioni dalla stampante dell'ufficio centrale mentre ci si trova nella sede distaccata dell'azienda; accedere e gestire database contenenti informazioni riguardanti il lavoro e non solo: le possibilità dell'accesso remoto sono infatti molto ampie.

Come effettuare l'accesso remoto

La configurazione del router Wi-Fi per permettere l'accesso remoto al computer e alla LAN potrebbe non essere alla portata di tutti. La procedura, infatti, prevede dei passaggi per i quali è richiesta una conoscenza approfondita di alcuni concetti informatici e di telecomunicazioni. Tutto gira attorno al port forwarding, l'operazione che permette di indirizzare il traffico generato da un nodo della Rete verso una porta di comunicazione specifica del router, in modo che raggiunga la risorsa di rete associata a quella porta senza alcun tipo di filtro che ne rallenti lo scambio di dati o renda difficoltosa la comunicazione.



  • Port forwarding. Prima di cominciare, è necessario individuare il servizio web cui si intende accedere anche dall'esterno della LAN e scoprire quale sia la porta associata al servizio, così da poterla configurare e permettere il port forwarding. Nel caso si volesse attivare un piccolo server web domestico, ad esempio, si dovrebbe aprire la porta 80; nel caso di una connessione SSH si tratterà della porta 22 e così via. Il portale portforward.com mette a disposizione una lista piuttosto esaustiva di tutti i servizi web e delle porte comunicative utilizzate in ingresso e in uscita. Individuata la porta, si dovrà accedere alla sezione del router dove impostare le regole di connessione per il port forwarding, così da consentire l'accesso remoto al proprio PC o uno dei servizi di rete della propria LAN. La voce del menu di configurazione da consultare a questo scopo cambia da router a router e da produttore a produttore: alcuni la inseriscono all'interno della sezione NAT & QoS; in altri casi è possibile trovarla come sezione a sé stante con il nome di Port ForwardingForwarding o Virtual Server. Al netto di alcune minime differenze – anche in questo caso dipendenti dal produttore – le voci della maschera di configurazione sono le stesse per tutti i router in commercio: Application (il nome del servizio che si intende rendere accessibile anche all'esterno; inserito liberamente dall'utente, può essere lungo e descrittivo quanto si vuole); Port to (la porta da sbloccare all'interno della LAN e relativa al servizio da “liberare”); Port from (è la porta dell'IP esterno e pubblico; solitamente corrisponde alla porta interna, la Port to di cui in precedenza, ma potrebbero crearsi dei conflitti nel caso in cui i tentativi di accesso dall'esterno siano più di uno); Protocol(permette di scegliere se la connessione debba utilizzare il protocollo TCP o UDP); IP address (l'IP privato del computer o del servizio web da rendere disponibile anche all'esterno)


  • Port range forwarding e DMZAlcuni router, dotati di un firmware avanzato con funzionalità semi-professionali, mettono a disposizione dell'utente alcuni strumenti che facilitano l'accesso remoto alla LAN. Grazie al Port range forward, ad esempio, si potranno aprire più porte contemporaneamente: funziona come il port forwarding appena descritto, ma anziché indicare una sola porta si indichrà un range di porte da aprire (ad esempio tutte le porte dalla 21 alla 80). DMZ, invece, è un'abbreviazione per demilitarized zone (“zona demilitarizzata”) ed è un modo semplice per aprire all'istante tutte le porte del router: sarà sufficiente abilitarla (“enable”) e indicare l'indirizzo IP interno della risorsa da rendere pubblica per garantire l'accesso a qualunque tipologia di servizio di rete disponibile nella LAN



  • Prenotazione DHCP. Qualche problema per il remote desktop potrebbe arrivare dal DHCP (Dynamic Host Configuration Protocol), il protocollo di rete che assegna automaticamente un indirizzo IP interno a ogni dispositivo di rete collegato alla LAN. Anche se, solitamente, i dispositivi collegati “stabilmente” mantengono l’indirizzo IP assegnato, potrebbe accadere che il “domicilio” della stampante di rete, del NAS o del server web cambino, ad esempio in occasione di un riavvio del router. Per evitare che ciò accada senza dover disabilitare il DHCP, si può sfruttare la “Prenotazione DHCP” (detta anche “DHCP reservation” o “Server reservation” all'interno del menu DHCP Server): questo servizio permette di legare un particolare dispositivo di rete – identificato per mezzo dell'indirizzo MAC – sempre al medesimo indirizzo IP della LAN. In questo modo si avrà la certezza che il “domicilio” della risorsa di rete resti lo stesso sino a che non si modificherà la prenotazione DHCP stabilita in precedenza e si potrà pertanto impostare il port forwarding in tutta tranquillità
  • DNS personalizzato. Altro scoglio da superare è quello legato alla mutevolezza dell'indirizzo IP esterno (a seconda della tipologia di connessione Internet di casa e del contratto sottoscritto con l'operatore telefonico, può cambiare ogni volta che si accende il modem router) e dalla natura numerica dell'indirizzo IP esterno (ad esempio, 79.35.243.192). L'indirizzo IP esterno, infatti, è necessario per accedere da remoto a uno dei servizi della propria LAN: corrisponde al “domicilio virtuale” della rete domestica e la identifica univocamente all'interno di Internet. Questi ostacoli possono essere aggirati attivando un DNS dinamico(dynamic DNS) e legandolo al proprio “domicilio” virtuale: questo permetterà di creare un indirizzo alfanumerico che possa essere facilmente ricordato a memoria e, soprattutto, immutabile. Molti router supportano nativamente alcuni servizi di DNS dinamico: sarà sufficiente creare un account gratuito su uno di questi portali (DynDNS o No IP, ad esempio) e riportare le credenziali nell'apposita sezione del router: in questo modo tutto sarà gestito in modo automatico dal firmware del proprio dispositivo.

    Fonte articolo: http://www.fastweb.it/internet/come-accedere-da-remoto-al-computer-di-casa/
    Copyright © CULTUR-E