PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER · CCNA, CCNP, CCNA-Security di ENRICO CIPOLLONE ......

Q U A D E R N I P E R L A P R O G E T T A Z I O N E I C T

PROGETTAZIONE E CONDUZIONE DI RETIDI COMPUTERVOLUME IVMANIPOLAZIONI NEL CONTROL-PLANEE DATA-PLANE

Per la preparazione agli esami CISCO,CCNA, CCNP, CCNA-Security

diENRICO CIPOLLONEFRANCESCO CIPOLLONE

VOLUME_4.book Wednesday, April 4, 2012 10:01 AM

Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

5

PIANO DELL’OPERA

VOLUME I - FONDAMENTI DI SWITCHING

PARTE PRIMANATURA E CARATTERISTICHE DELLE INFORMAZIONI

TRASPORTATE IN RETE

CAP. 1 Natura e caratteristiche delle informazioni trasportate da reti TCP-IP

PARTE SECONDASWITCHING

CAP. 2 Ethernet e altri modelli di distribuzione in area locale

CAP. 3 Virtualizzazione e gestione della congestione e tecniche di ridondanza in reti LAN

CAP. 4 Servizi e sicurezza in reti LAN. Sicurezza nelle reti Ethernet

PARTE TERZALE RETI CONDIVISE DEGLI ISP: NATURA E COMPOSIZIONE DEI SERVIZI

CAP. 5 Soluzioni e tecnologie per l’estensione WAN di reti TCP-IP

PARTE QUARTASTRUTTURA, CONFIGURAZIONE, GESTIONE DI MACCHINE DI RETE

CAP. 6 Accesso e configurazione di macchine intermedie in reti TCP-IP

CAP. 7 Network management configurazione di SNMP, NTP, SYSLOG in apparati di reti TCP-IP

VOLUME II - ROUTING BASE

PARTE QUINTAROUTING

CAP. 8 Tecnica di indirizzamento nelle reti TCP-IP

VOLUME_4.book Page 5 Wednesday, April 4, 2012 10:01 AM

6 PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER - VOL. IV

CAP. 9 Principi di routing

CAP. 10 RIP versione 1 e 2

CAP. 11 Il protocollo di routing OSPF single-area

CAP. 12 Il protocollo di routing OSPF multi-area

CAP. 13 Il protocollo di routing EIGRP

VOLUME III - ROUTING BGP

PARTE SESTACONTROL-PLANE: INTERAZIONE DEI CLIENTI CON ISP

E SCAMBI DI INFORMAZIONI TRA ISP

CAP. 14 Border Gateway Protocol

VOLUME IV - MANIPOLAZIONI NEL CONTROL-PLANE E DATA-PLANE

PARTE SETTIMA MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE

E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI

CAP. 15 Tecniche di controllo dei flussi nel control-plane e nel data-plane

CAP. 16 Domini di indirizzamento pubblico e privato e relative traslazioni

CAP. 17 Completamento del control-plane in ambiente complesso: redistribuzione di informazioni tra protocolli di routing

PARTE OTTAVACOMUNICAZIONE SICURA PPTP, IPSEC, TUNNELING, VPN

CAP. 18 Comunicazione Sicura: IPSEC ed altri schemi


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

7

INDICE GENERALE

PIANO DELL’OPERA ...................................................................... 5

PARTE SETTIMAMANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI

CAPITOLO 15

TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE ............................. 21

SEZIONE PRIMA: Filtri L2, L3, L4 .......................................................21

15.1 Il Controllo dei flussi di traffico del control e data plane ................................................................. 21

15.1.1 Struttura di un blocco di controllo .................................... 22

15.1.2 Oggetti controllati .......................................................... 25

15.1.3 I MIB e il protocollo SNMP e demoni NBAR e NETFLOW ................................................................. 26

15.1.4 Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o “don’t care” mask ........ 27

15.2 Uso delle access-list nel data-plane................................... 29

15.2.1 ACL in ambiente Multi Layer Switch ................................ 30

15.2.2 Routed ACLs ovvero ACL su porte no-switchport................. 31

VOLUME_4TOC.fm Page 7 Wednesday, April 4, 2012 10:25 AM


15.2.3 Port ACLs ovvero ACL su porte switchport ........................ 31

15.3 Struttura e tipologia di access-control-list a livello 2 pila OSI ........................................................ 32

15.3.1 Struttura generale........................................................... 32

15.3.2 ARP access-list ............................................................... 35

15.3.2.1 Struttura ..................................................................... 35

15.3.2.2 Permit ARP ................................................................. 35

15.3.3 IP ARP inspection filter VLAN .......................................... 37

15.4 VLAN Maps .................................................................. 37

15.4.1 Struttura ........................................................................ 38

15.4.2 Uso di VLAN-MAP per blocco annunci ARP ....................... 40

15.4.3 Altri esempi di VLAN-MAP............................................... 41

15.5 Definizione ed uso di ACL a Livello 3-4 pila iso-osi............. 41

15.5.1 I range delle numerical access list .................................... 43

15.5.2 Numerical Standard ed extended access-list ...................... 43

15.5.3 Named access-list standard ed extended........................... 48

15.5.4 Turbo-ACL ..................................................................... 50

15.6 Reflexive access-list......................................................... 51

15.7 Uso dell’opzione Time Range per limitare la durata temporale del filtro in base a intervalli di tempo................. 57

15.8 Uso delle downloadable ACL per limitare la durata temporale del filtro in base al rilascio di permessi di accesso ................................................... 58

15.9 La frammentazione e le ACL ............................................ 60

15.10 Applicazione delle ACL: comandi ip access-group e ip access-class ............................................................ 63

15.11 Inbound e outbound access-list: relazione tra filtri e altre operazioni nel router ............................................ 65

15.12 Il comando di show ed i log ............................................ 65


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

9

SEZIONE SECONDA: Router e L3 firewall ............................................67

15.13 Router e firewall ............................................................ 67

15.14 Lo sbilanciamento dei versi di percorrenza delle interfacce con il coefficiente di sicurezza .................. 68

15.15 L’opzione established e sessioni TCP-IP e UDP-IP ....................................................................... 70

15.16 La tabella delle sessioni .................................................. 70

SEZIONE TERZA: Inspection ..............................................................75

15.17 Firewall ed Inspection..................................................... 75

15.18 Uso della modular policy il comando Class Map .............. 78

15.18.1 Comando match con le sue numerose opzioni................... 79

15.18.1.1 (config-cmap) match access-list.......................................79

15.18.1.2 (config-cmap) match any ...............................................80

15.18.1.3 (config-cmap) match destination-address .........................80

15.18.1.4 (config-cmap) match port...............................................80

15.18.1.5 (config-cmap) match source-address ...............................81

15.18.1.6 (config-cmap) match virtual-address ................................82

SEZIONE QUARTA: FTP, HTTP inspect ................................................83

15.19 Class Map FTP .............................................................. 83

15.20 Class Map HTTP ............................................................ 84

15.20.1 (Config-cmap-http-insp) match content .............................. 85

15.20.2 Controllo delle sequenze di caratteri inclusi nel testo .......... 85

15.20.3 Controllo delle massima lunghezza di caratteri inclusi nel testo .............................................................. 86

15.20.4 Controllo della lunghezza dell’header ............................. 89

15.20.5 Controllo della tipi di oggetti trasportati (tipi mime) ............ 89

15.20.6 Controllo sull’uso di istant-messaging, peer-to-peer ............. 90



15.20.7 Controllo sull’uso di specifici comandi .............................. 91

15.20.8 Controllo sull’uso di tecniche di encoding.......................... 91

15.20.9 Controllo sull’uso di una specifica destinazione ................. 92

15.20.10 Controllo sull’uso della massima lunghezza di URL ............. 92

CAPITOLO 16

DOMINI DI INDIRIZZAMENTO PUBBLICO E PRIVATO E RELATIVE TRASLAZIONI .......................................................... 93

SEZIONE PRIMA: Fenomenologia ......................................................93

16.1 Introduzione agli spazi di indirizzamento ......................... 93

16.2 Domini pubblici e privati: analogiacon i piani telefonici ....................................................... 95

16.3 Cosa è una traslazione ................................................... 96

16.4 Ruolo dei demoni NBAR, NETFLOW per l’individuazione delle sessioni ................................................................. 97

16.5 Terminologia del NAT e riferimenti................................... 97

16.6 Tipi di Traslazioni .......................................................... 99

16.6.1 Traslazione IP sorgente Statica: pubblicazione di un server nell’internet ............................................... 100

16.6.2 Traslazione IP sorgente Dinamica................................... 101

16.7 Traslazioni IP sorgente e di Port Address- PAT.................. 101

16.7.1 Traslazioni di destination address .................................. 103

16.8 Stateful NAT ovvero rapporto tra NAT e gruppi active/stand-by............................................... 104

16.8.1 Che cosa è lo SNAT..................................................... 104

16.8.2 Funzionamento dello SNAT: STATEFUL NAT PROTOCOL ... 106

16.9 WLAN-NAT per supporto di indirizzi staticiin ambiente Wlan-pubblico ........................................... 107


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

11

SEZIONE SECONDA: Configurazione di traslazioni ............................110

16.10 IP NAT ....................................................................... 110

16.11 Due applicazioni particolari.......................................... 111

16.11.1 NAT Piggybacking....................................................... 111

16.11.2 Wlan-NAT - Static IP Support ........................................ 112

16.11.3 Configurazione del Wlan-nat ........................................ 113

16.12 IP NAT create flow-entries ............................................. 114

16.13 IP NAT enable ............................................................ 114

16.14 IP NAT inside destination.............................................. 114

16.15 IP NAT inside .............................................................. 116

16.15.1 Traslazione dinamica ................................................... 117

16.15.2 NAT Statico ................................................................ 117

16.15.3 PAT Port Static NAT .................................................... 117

16.16 IP NAT outside source .................................................. 118

16.16.1 NAT dinamico............................................................. 119

16.16.2 NAT statico di host ...................................................... 119

16.16.3 NAT statico di network ................................................. 119

16.16.4 Port Address Traslation ................................................. 119

16.17 IP NAT pool ................................................................ 121

16.18 IP NAT service............................................................. 122

16.19 IP NAT source (rapporto della traslazione con le VRF) ................................................................. 124

16.19.1 Dynamic NAT ............................................................. 125

16.19.2 Static NAT .................................................................. 125

16.19.3 Port Static NAT............................................................ 125

16.19.4 Network Static NAT ..................................................... 125

16.20 IP NAT Stateful id (rapporto della traslazione con i gruppi di ridondanza di default-gateway) ............... 125



16.20.1 Esempio di configurazione completa del processo SNAT....................................................... 126

SEZIONE TERZA: Comandi di riscontro e controllo .............................128

16.21 Translation timeouts (scadenza temporale delle righe).................................................................. 128

16.22 IP NAT log .................................................................. 129

16.23 IP NAT translation max-entries-scadenza delle righe per limite d’uso ............................................ 129

16.24 I comandi Show, Clear, Debugging ............................... 130

16.24.1 Show IP NAT translations ............................................. 130

16.24.2 Esempi di show IP NAT translation ................................. 131

16.24.3 Show IP NAT translation: SNAT ..................................... 133

16.24.4 Wlan-NAT-Show IP nat translations verbose .................... 134

16.24.5 Show IP NAT NVI translations........................................ 134

16.24.6 Show IP NAT statistics................................................... 135

16.24.7 Show IP NAT NVI statistics ........................................... 136

16.24.8 Clear IP NAT translation ............................................... 138

16.24.8.1 Esempi .................................................................... 139

16.24.9 Debug IP NAT ............................................................ 140

16.24.9.1 Esempi di Debug e significato dei campi più importanti ........................................................... 141

SEZIONE QUARTA: Elementi di configurazione avanzata ....................147

16.25 NAT, ACL incoming e outgoing, e tabella di routing....................................................... 147

16.26 NAT e firewall-traslazione e tabella di stato .................... 151

16.27 NAT-PAT ed Inspection ................................................. 155

16.28 NAT Tranversal............................................................ 156


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

13

CAPITOLO 17

COMPLETAMENTO DEL CONTROL-PLANE IN AMBIENTE COMPLESSO: REDISTRIBUZIONE DI INFORMAZIONI TRA PROTOCOLLI DI ROUTING .................. 161

17.1 La omogeneizzazione delle fonti per il control-plane ........ 161

17.1.1 Redistribuzione tra protocolli IGP limiti e applicazioni ............................................................. 162

17.1.2 La Redistribuzione........................................................ 163

17.1.3 Il pericolo di loop ....................................................... 164

17.1.4 La seed-metric e la distanza amministrativa ..................... 166

17.1.5 Strumenti di controllo delle redistribuzioni ....................... 169

17.1.6 Route-map................................................................... 169

17.1.7 Prefix-list ..................................................................... 171

17.1.8 Distribuite-list in (RIP, IGRP, EIGRP, BGP)(distance vector e ibridi) ............................................... 172

17.1.9 Distribuite-list out (RIP, IGRP, EIGRP, BGP)(distance vector e ibridi) ............................................... 173

17.1.10 Distribuite-list delle route-map per OSPF .......................... 174

17.1.11 La configurazione della redistribuzione .......................... 174

17.1.11.1 Passive-interface, passive-interface default ....................174

17.1.11.2 Sintassi del comando redistribute ................................175

17.1.12 Redistribuzione nel protocollo EIGRP .............................. 177

17.1.12.1 Redistribuzione di rotte statiche e connesse ..................178

17.1.12.2 Redistribuzione di rotte RIP redistribuzionedi rotte OSPF ............................................................179

17.1.13 Redistribuzione nel protocollo OSPF............................... 180

17.1.14 Redistribuzione nel protocollo RIP .................................. 181

17.1.15 Uso delle tecniche di controllo nella redistribuzione a più punti .................................................................. 183



17.1.16 Topologia di contatto a più punti tra due aree ................. 183

17.1.17 Topologia di contatto tra un core e due aree laterali ........ 184

17.1.18 Uso della distanza amministrativa .................................. 184

17.1.19 Uso dei tag ................................................................. 185

17.1.20 Uso dei parametri metric-type e metric ........................... 186

17.1.21 Esame di altre tecniche di modifica le control-plane ............................................................ 186

17.2 Creazione di rotte sommario nel control-plane di ambienti complessi ................................................... 187

17.2.1 Rotte sommario in OSPF ............................................... 188

17.2.2 Rotte sommario in EIGRP e RIP ...................................... 189

17.2.3 Default route e sua redistribuzione (comando IP classless) .................................................. 189

17.2.4 Uso del comando redistribute static ................................ 190

17.2.5 Uso del comando default-information originate ................ 190

17.2.6 Uso del comando ip default-network .............................. 191

PARTE OTTAVACOMUNICAZIONE SICURA

PPTP, IPSEC, TUNNELING, VPN

CAPITOLO 18

COMUNICAZIONE SICURA: IPSEC ED ALTRI SCHEMI............... 195

Comunicazione sicura: requisiti ...................................................... 195

SEZIONE PRIMA: Crittografia ..........................................................196

18.1 Principi di crittografia ................................................... 196

18.2 Storia della crittografia moderna: ruolo di algoritmi e chiavi ............................................. 198


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

15

18.3 Le dissimmetrie in matematica come base della crittografia asimmetrica ........................................ 201

18.4 La crittografia moderna: chiave simmetrica ed asimmetrica............................................................ 202

18.4.1 Crittografia simmetrica (a chiave condivisa) .................... 204

18.4.2 Digital Encription Standard e 3DES................................ 205

18.4.3 Advanced Encription standard....................................... 206

18.4.4 Crittografia asimmetrica a chiave pubblica e privata ....... 207

18.4.5 Principi generali di funzioni non invertibili ...................... 209

18.4.6 Uso primario della crittografia asimmetrica ..................... 210

18.4.7 Secondo uso della crittografia asimmetrica:il digest per l’autenticità del testo ................................... 212

18.4.8 Terzo uso della crittografia asimmetrica:la firma e il non ripudio ................................................ 215

18.5 L’architettura delle Certification Authority ........................ 217

18.6 La scalabilità delle architetture di Certification Authority (CA) ....................................... 219

18.7 Lo scambio di Diffie – Hellman per la negoziazione delle chiavi.................................... 219

18.8 Una tipica funzione RSA............................................... 222

18.9 DSS ........................................................................... 225

18.10 Confronto della crittografia simmetrica e asimmetrica e proposta di uso......................................................... 226

SEZIONE SECONDA: Uso di crittografia schema PPTP e TLS ................227

18.11 Applicazione della crittografia alla comunicazione sicura ............................................ 227

18.12 Schema di applicazione end to end senza intermediari:protocollo PPTP per le VPN ........................................... 227

18.12.1 PPTP scenari complessivi di applicazione........................ 228

18.12.2 Cosa fa un PPTP Client ................................................. 231



18.12.3 Come funziona una architettura protocollare PPTP ......................................................... 232

18.12.4 Implementazione della sicurezza nello schema PPTP......... 237

18.12.5 Authentication, l’accreditamento di macchine e di utenti.................................................. 238

18.12.6 Crittografia ................................................................. 238

18.12.7 PPTP Packet Filtering ..................................................... 239

18.12.8 Il protocollo PPTP e i Firewall - Router.............................. 239

18.12.9 Alcuni aspetti critici dello schema PPTP ........................... 239

18.13 Comunicazione sicura come servizio di rete .................... 240

18.13.1 A che livello della pila osi implementare la protezione crittografiche? .......................................... 241

18.13.2 Transport Layer Security (TLS): la sicurezza in rete senza proxy..................................... 244

18.13.2.1 TLS: funzionamento ................................................... 245

18.13.2.2 TLS Handshake Protocol ............................................ 247

18.13.2.3 TLS Protocolli impiegati ............................................. 250

18.13.3 TLS e RFC.................................................................... 250

18.13.4 TLS in azione: HTTPS .................................................... 251

18.13.5 TLS in azione: Secure Remote Login................................ 254

18.13.6 TLS in azione Secure-ftp ................................................ 255

SEZIONE TERZA: IPsec VPN peer-to-peer ..........................................256

18.14 La scalabilità della vpn-ipsec e gli schemi di implementazione ...................................................... 256

18.14.1 Schemi di collegamento ................................................ 256

18.14.2 I limiti della VP-IPsec: il punto di vista del service provider ............................... 260

18.14.3 Procedura complessiva di una comunicazione sicura IPsec-VPN peer-to-peer .................................................. 260


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

17

18.14.4 Costruzione di architettura IPsec scalabili: le Security association. La costruzione dal database dei security parameters da applicare nelle trasformazioni .................................. 263

18.14.5 Il Security Policy Index per ciascun flusso monodirezionale ......................................................... 264

18.14.5.1 IKE1 fase 1: ISAKMP Internet Security Association Key Management Protocol ........................................265

18.14.5.2 IKE fase 1 scambio di Diffie Hellman ..........................266

18.14.5.3 IKE fase 1 l’autenticazione ........................................266

18.14.6 Riassunto dei comandi per IKE fase 1autenticazione pre-share............................................... 266

18.14.7 IKE1 esempio .............................................................. 268

18.14.8 Riassunto dei comandi per IKE 1 con autenticazione mediante uso delle Certification Authority ....................... 269

18.15 IKE fase 2 (IPsec): le regole per la protezione dei dati ...... 271

18.16 Modulo IKE2: I contenitori transform set.......................... 272

18.17 Modulo IKE2: protocollo di Authentication Headerper l’integrità degli header ........................................... 273

18.18 Modulo IKE2: protocollo di Encapsulation Security Payload per l’applicazione della crittografia .......................................................... 274

18.19 Modulo IKE2: Tunnel mode e Transport mode ................. 274

18.20 Modulo IKE2: le Cripto access list .................................. 276

18.21 Modulo IKE2: le Cripto map.......................................... 276

18.22 Applicare Crypto Map alle interfacce fisiche................... 277

18.23 Applicazione della VPN ad interfacce virtuali Uso del Tunneling GRE ................................................. 277

SEZIONE QUARTA: IPsec VPN HUB and spoke ..................................278

18.24 Scenario HUB-spoke: per imporre policies a un intero ambiente con la extended autenticationprocedura complessiva................................................. 278



18.25 Struttura e fasi di una Estended-VPN............................... 281

18.25.1 IKE -1 ed ISAKAMAP autenticazione del peer .................. 282

18.25.2 Autenticazione della macchina e dell’utente .................... 283

18.25.3 Il mode configuration Parametri scaricabili da server a client ......................................................... 283

18.25.4 Il processo di creazione di rotte RRI................................ 283

18.26 IPsec client-server ......................................................... 284

18.27 Implementazione di HUB and spoke extended vpn ........... 284

18.27.1 Lato server................................................................... 284

18.27.2 Lato client.................................................................... 286


PARTE SETTIMA

MANIPOLAZIONI, CONTROLLI, ISPEZIONI NEL CONTROL-PLANE

E DATA-PLANE: ACL, NAT, FIREWALL, REDISTRIBUZIONI


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

21

CAPITOLO 15

TECNICHE DI CONTROLLO DEI FLUSSI NEL CONTROL-PLANE E NEL DATA- PLANE

SEZIONE PRIMA: Filtri L2, L3, L4

15.1 Il Controllo dei flussi di traffico del control e data plane

Ci sono molte ragioni per voler controllare il traffico nel data-plane.

Solo a titolo di esempio non esaustivo si può:

permettere o negare o più in generale regolamentare l’accesso a certe zonedella rete opportunamente individuate;

Figura 15.1Access control-list per il controllo del data plane e degli accessi



permettere o negare o più in generale regolamentare l’accesso a specifichemacchine (accessi alle porte VTY);

implementare diversi privilegi di accesso (permettere cose diverse ai diversiutilizzatori);

selezionare alcune tipologie di traffico per applicare ad esse opportuneregole di priorità (QOS);

raccogliere il traffico in topologie per motivi di documentazione-fattura-zione.

Ci sono molte ragioni per voler controllare il traffico nel control–plane:

Solo a titolo di esempio non esaustivo:

selezionare le rotte che si vogliono trasmettere o bloccare o più in generaleregolamentare la formazione della tabella di instradamento;

modificare i parametri con cui le rotte sono distribuite (es. BGP o redistri-buzione).

Per tutto quanto sopra è necessario dotarsi di una struttura di configurazioneche permetta questo ampio spettro di obiettivi.

Storicamente sono stati introdotti, nei rispettivi contesti, vari metodi di controllo.Ciascun metodo risolve alcune delle tematiche. Non è stato ancora propostoun modello unitario. Qui si vuole esaminare la struttura e le regole di realizza-zione di filtri in modo sistematico ed esaustivo.

Partendo dalle access-list (in sigla ACL) che sono una delle strutture più sem-plici utilizzate, saranno anche esaminate:

route map;

distribuite list;

modular qos infrastructure;

modular queue infrastructure.

15.1.1 Struttura di un blocco di controllo

Nella sua forma generale una ACL prevede due fasi:

- definizione di una regola;

- applicazione della regola:

ad una interfaccia fisica,


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

23

ad un gruppo logico,

all’interno di una più complessa struttura per la creazione di regole dicontrollo (distibute-list, route-map) o di manipolazione sia nel controlplane che nel data plane.

Le due fasi sono collegate tra loro mediante un codice identificativo.

Infatti sarà assegnato un identificativo (numerico o alfanumerico) alla strutturadel filtro che poi sarà richiamato nel comando di applicazione del filtro.

La regola di filtro è costruita mediante una o più condizioni, talvolta indivi-duate con nomi simbolici, seguendo la sequenza logica qui riportata:

Si tratta quindi, nella sua accezione generale, di una sequenza di condizionilogiche (Access-List Entries in sigla ACE) che costituisce una tabella delle veritàche è configurata in modo statico o dinamico nella macchina.

La macchina sottopone il dato oggetto di riscontro (traffico di data planeentrante/uscente o annunci di control plane) ad un confronto con la strutturalogica.

In modo più dettagliato la macchina confronta il dato in esame con lasequenza delle condizioni logiche nell’ordine con cui queste sono stateimmesse.

Ogni confronto produce un esito che è risolutivo ed interrompe la catena deiconfronti.

Condizione logica 1Dato in esame riscontra vero

falso

Condizione logica 2 vero

falso

Condizione logica n vero

falso

Il dato non riscontraNessuna condizione posta

=>Il dato è scartato

Applica un azione sul dato



Figura 15.2Access control-list per il controllo del data plane e degli accessi



Infatti, in caso di condizione logica riscontrata, si applica al dato l’azionedescritta e condizionata dalla ACE ed il processo è terminato senza esaminarele successive condizioni. In caso di condizione logica non riscontrata il datosarà confrontato con la seconda condizione logica e così via fino all’ultimacondizione logica.

Persistendo la situazione di non riscontro di tutte le condizioni logiche previsteed esaurita la sequenza dei confronti si applica al dato una azione preliminar-mente prevista per questa condizione (condizione di last-choice).

L’azione di default prevista nelle varie situazioni in cui le access-list sono richia-mate è quella di procedere in sicurezza alla non trasmissione del dato.

In figura 15.3 è riportato un esempio di un dato che non riscontra nessuna del-le condizioni poste ed è scartato:

Dalle precedenti considerazioni emerge l’importanza delle singole righe e del-la loro sequenzialità.

Proprio per evidenziare l’importanza della giusta sequenza, in figura è infineriportato il percorso all’interno della struttura logica di un dato che riscontra laprima condizione, per evidenziare che le condizioni successive non sarannoesaminate.

Questo accade perché le condizioni poste non hanno tutte lo stesso insiemelogico di appartenenza: è infatti contemporaneamente possibile che un pac-chetto possieda una intestazione IP e, al suo interno, una intestazione UDP eancora un header RTP.

L’oggetto è verdeOggetto di colore ROSSO riscontra vero

falso

L’oggetto e blu vero

falso

L’oggetto è nero vero

falso

Il dato non riscontraNessuna condizione posta

=>Il dato è scartato




Figura 15.3Esempio di

struttura logicae confronti

con le singolerighe


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

25

Questa peculiarità sarà ulteriormente discussa in altri esempi.

15.1.2 Oggetti controllati

Anche da queste considerazioni preliminari si evince che gli oggetti cui questestrutture logiche si applicano sono molti e comprendono:

specifici host, gruppi di host, sottoreti e reti ben individuati con un indirizzodi livello 2,3,4 della pila iso-osi;

oggetti più complessi genericamente detti conversazioni identificate da:

- un chiamante (host, gruppi di host, sottoreti, reti...);

- un chiamato;

- una tipologia di traffico identificata con:

una porta well-known, ovvero un indirizzo di livello superiore al 3;

un indice di qos;

una qualsiasi altra caratteristica che accomuna ad esempio potrebbeessere interessante voler individuare una conversazione voce (hea-der rtp) tra due host oppure tra due gruppi di host per associare que-sto traffico ad una coda a una priorità alta di smaltimento in caso ditraffico congestionato;

potrebbe essere interessante in un processo di redistribuzione indivi-duare tutte le subnets/24 e avente al terzo ottetto un valore pari edassegnare a queste un gateway diverso dalle subnets/24 con valore

Il pacchetto è ipPacchetto ip riscontra vero

falso

Ip pacchetto è udp vero

falso

Il pacchetto è rtp vero

falsoIl dato non riscontra

Nessuna condizione posta=>Il dato è scartato

trasmetti

blocca

blocca

Il dato riscontra=>Il dato è trasmessoLe altre righe sono ignorate

Figura 15.4Logica sequenziale dei riscontri.Il primo blocco determina la decisionedi trasmissione i blocchi successivi non sono riscontrati



dispari. A tutte le subnet con mascherà diversa vietare la redistribu-zione.

Per comprendere a fondo la natura degli oggetti su cui si possono applicare ifiltri bisogna introdurre la Management Information Base (MIB) definita origi-nariamente per motivi di amministrazione remota di macchine e poi usataanche per la costruzione di oggetti complessi a partire dalla base dati median-te operazioni di aggregazione ed elaborazione condotte da programmi di cal-colo attivabili per funzionare in background sugli apparati.

Rimandando all’apposito capitolo per una trattazione esaustiva delle implica-zioni sul controllo degli accessi si richiamano qui per comodità di trattazione.

15.1.3 I MIB e il protocollo SNMP e demoni NBAR e NETFLOW

Il controllo ed il management di macchine di rete è fondato sull’architettura MIBcostituita da:

- un database delle informazioni in cui è riportato e costantemente allineatolo stato delle variabili che costituiscono i processi;

- processi di controllo all’interno di una macchina;

- processi controllati;

- protocollo di comunicazione (spesso architetture client server).

I protocolli di comunicazione sono specializzati per ruoli.

Il protocollo di comunicazione per la trasmissione verso un server remoto delleinformazioni della MIB è SNMP.

Il protocollo ha subito 3 edizioni.

La versione più diffusa è la versione 2.

Allo scopo di minimizzare le attività delle macchine controllate, il protocolloSNMP è basato su alcune operazioni standard svolte tra un server centralizza-to e processi client sulle macchine controllate.

I moduli software, detti agent, presso le macchine client sono rese minime.

Con riferimento alla versione 2 sono disponibili i seguenti comandi:

get-request per ottenere il valore di una singola variabile;

get-next-request questo comando è usato per estrarre valori da tabelle;

get-bulk per estrarre interi blocchi di dati come tabelle;


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

27

set-request scrive un valore nel campo della variabile dichiarata;

response Messaggio di conferma della ricezione di un messaggio(get-request, get-next-request, get-bulk, set-request) inviato da un serveroppure di conferma di un “inform” mandato da un agent.

A differenza di SNMP, il demone Netflow raccoglie informazioni de e verso ilMIB della macchina su cui risiede.

Si comporta quindi come un server locale e usa gli stessi comandi.

Le operazioni di retry sono eseguite ciclicamente o su richiesta.

Gli agent possono essere sollecitati a trasmettere senza alcuna programmazio-ne temporale quando si verifica un determinato evento.

Tale trasmissione può essere organizzata in modo inaffidabile mediante il coman-do Trap (il server non conferma la ricezione del messaggio) o in modo affidabilemediante le inform-request (il server manda conferma di avvenuta ricezione).

L’organizzazione del database MIB è costruita in modo gerarchico.

Ciascuno degli oggetti di un MIB vengono definiti utilizzando un sottoinsiemedella notazione Abstract Syntax Notation One (ASN.1) chiamato “Structure ofManagement Information Version 2 (SMIv2)” descritta nella RFC 2578.

Nella costruzione della nomenclatura dei MIB devono essere previste un grannumero di situazioni che rendono molto complessa la trattazione completadell’argomento.

Qui interessa evidenziare che mediante la lettura dei MIB è possibile costruirediversi oggetti intermedi richiamati nei comandi delle access-list.

15.1.4 Uno strumento tecnico per specificare gli oggetti del confronto: la wildcard mask o “don’t care” mask

Posizione nell’ottetto8 7 6 5 4 3 2 1Potenza sulla scala potenze del 2,7 6 5 4 3 2 1 0Valore del bit sulla scala decimale128 64 32 16 8 4 2 1

0 0 0 0 0 0 0 0considera tutti i bit mask 0

0 0 0 0 0 0 0 1considera i primi 7 bit mask 254

0 1 1 1 1 1 1 1considera solo il primo bit tmask 128

0 1 1 1 1 1 1 0 considera il primo e l’ultimo bit mask 129

1 1 1 1 1 1 1 1ignora tutti i bit mask 255

Figura 15.5Wild-card mask uno strumento per selezionare host o gruppi di host



Gli oggetti su cui applicare filtri ed i modelli di filtro sono piuttosto simili:

nel data plane:

- frame,

- i pacchetti,

- datagrammi individuati come in vario modo mediante l’intestazione(source-destination mac, IP, port),

- le regole con cui si confrontano le frames, i pacchetti o i datagrammi sa-ranno scritte con espressioni simboliche per specificare ad esempio tuttii pacchetti che hanno i primi n-bit dell’indirizzo MAC, IP, sorgente, desti-nazione … coincidenti con …

nel control plane gli annunci che contengono destinazioni individuate conl’indirizzo di rete. In questo caso le regole con cui si effettua il confrontosaranno scritte con espressioni simboliche per raggruppare ad esempiotutti le destinazioni che hanno i primi n-bit coincidenti con quelli dellaregola...

In definitiva la struttura logica dei controlli sui due piani è assolutamente similee fa uso massiccio della scalabilità degli indirizzi IP.

Infatti gli oggetti sono individuati confrontando un indirizzo ip di riferimentocon una maschera detta wild-card mask. Come descritto in figura 15.5 talemaschera ha il valore 1 dove si vuole non considerare il corrispondente bitnell’indirizzo IP ed il valore 0 dove invece il bit deve essere considerato.

Tuttavia nella pratica di implementazione, esiste tuttavia una notevole differen-za di scrittura dei filtri nel control plane e nel data plane.

Ad esempio gli oggetti cui si applicano le regole sono:

nel data-plane:

- un host: 172.30.1.1 wild-card mask 0.0.0.0 può essere sostituita con laparola chiave host;

- una subnet:172.30.0.0 wild-card mask 0.0.255.255

nel control-plane:

- le sole subnet pari con maschera /24 0.0.0.255 255.255.254.0;

- le subnets da 172.30.16.0/24 a 172.30.31.0 /24 172.30.16.0wild-card 0.0.15.0.

In figura 15.6 è rappresentato questo caso notevole di utilizzo dellawild-card mask.


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

29

La wild-card mask è spesso presentata come l’opposto della maschera di subnet-ting.

Il paragone è del tutto improprio anche se per molti casi di pratica utilità sem-bra essere di aiuto.

La subnet mask tuttavia separa nell’indirizzo ip quella parte dell’indirizzo cheaccomuna più macchine (subnet) mentre la wildcard mask seleziona i bit dell’indi-rizzo da considerare per costruire gruppi cui si applica una qualche regola.

Solo in alcuni casi questi ultimi gruppi sono coincidenti con le subnet.

Peraltro nella prassi è invalso l’uso di utilizzare due tecniche opposte per cre-are selezionare i bit degli indirizzi:

nelle subnets gli 1 nella maschera di subnetting;

nei gruppi per ACL gli 0 nella maschera wild-card.

15.2 Uso delle access-list nel data-plane

Per limitare l’estensione dell’argomento, Questo capitolo è dedicato quasiesclusivamente all’uso dei filtri per il controllo del data-plane.

Infatti l’uso di filtri per la gestione del control-plane è ampiamente documentatonei capitoli di routing e di redistribuzione tra protocolli di routing.

Si esamina dapprima l’uso delle diverse tipologie di filtro applicabili alle diver-se tipologie di oggetti configurabili e quindi le tecniche di configurazione delleregole ed alcuni casi speciali.

Il linea generale gli oggetti, costruiti a partire dal MIB, possono essere frames,pacchetti, datagrammi.

L’ambiente dove questa unità di fondo è più evidente sono i multilayer switches.

Nelle altre macchine sono nettamente prevalenti le ACL applicate a pacchettie datagrammi.

Posizione nel terzo ottetto8 7 6 5 4 3 2 1Potenza sulla scala potenze del 2,7 6 5 4 3 2 1 0Valore del bit sulla scala decimale128 64 32 16 8 4 2 1

0 0 0 0 1 1 1 1considerai i bit meno significativi mask 15

Annuncio 172.30.16.0 0.0.15.0

Tutte le subnets /24 da 172.30.16.0 a 172.30.31.0 wild-card 0.0.X.0 per gli ottetti 1,2,4

Figura 15.6Uso della Wild-card mask



15.2.1 ACL in ambiente Multi Layer Switch

Le ACL ed i controlli sul traffico di data-plane configurabili in un MultilayerSwitch possono essere applicate e quindi impattare su oggetti differentiesempio porte fisiche livello 2, porte logiche e VLAN, porte routed.

Per ragioni di didattiche è opportuno considerare le possibili ACL divise per:

routed ACLs per il controllo di accesso all’apparato ma anche per il con-trollo del traffico che è trasmesso da una VLAN all’altra. Queste access-listin nulla differiscono da quelle che sono ampiamente descritte nei capitoliseguenti e che si riferiscono alle access-list che usano oggetti di livello 3 e 4;

access list applicate alle porte di livello 2. Questa ACL sono permesse soloper il traffico entrante nello switch. È ammessa solo una IP-ACL e una macACL per porta;

ACL applicate alle VLAN e VLAN map access-control (bridged and routed).Le VLAN-map possonno essere usate sia per il traffico tra le VLAN che percontrollare il traffico all’interno della stessa VLAN. Possono essere configu-rate per filtrare il traffico IP usando la potenza delle ACL del livello 3-4 mapossono anche essere configurate per filtrare altro traffico non ip usando leACL di livello 2 che prevedono i controlli sui mac-address ma anche sulletipologie di ethertype. La potenza di queste ACL è dovute al fatto che essesono applicate ad una entità logica e non ad una porta fisica.

Possono essere configurate più criteri contemporanei. In questo caso, la prio-rità tra i diversi filtri contemporaneamente presenti rispetta le regole qui diseguito elencate:

in caso di presenza contemporanea di filtro di livello 2 applicati sia alleporte fisiche che alle VLAN i primi hanno la precedenza;

anche in caso di contemporanea presenza di filtri di livello 3 su una portarouted e filtri sulla VLAN i primi prevalgono sui secondi;

in caso di presenza contemporanea di un filtro applicato sulla porta inaccesso e una ACL Livello 3 è configurata sulla porta in uscita sarà eviden-temente applicata la prima e quindi la seconda;

in caso di contemporanea presenza di filtri:

- VLAN map,

input ACL livello 3,

input port ACL.


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

31

I pacchetti entranti su quella porta saranno filtrati dalla input port.

in caso di contemporanea presenza di filtri:

- VLAN map,- input port ACL, - output port ACL.

I pacchetti entranti su quella porta saranno filtrati dalla input port. I pacchettiuscenti subiranno i filtri dalla VLAN map e dal filtro in uscita.

15.2.2 Routed ACLs ovvero ACL su porte no-switchport

Le ACL router sono applicabili alle porte fisiche in cui sia definito il livello 3,alle VLAN in cui sia pure definito il livello 3 e sugli etherchannel di livello 3.

Le ACL possono essere configurate una per interfaccia (fisica o logica) proto-collo e direzione.

Una ACL può essere usata su molte diverse interfacce.

Sono configurabili:

Standard IP access lists che usano il source ip per le definire le regole diconfronto;

Extended IP access lists che usano IP sorgente e destinazione insieme con ilprotocollo dei livelli superiori per definire le regole di confronto.

15.2.3 Port ACLs ovvero ACL su porte switchport

Le Port ACLs sono quella ACL che sono applicate sulle porte switched.

Sono permessi filtri solo sul traffico entrante.

Le tipologie di ACL permesse sono:

Standard IP access lists che usano il source ip per le definire le regole diconfronto;

Extended IP access lists che usano ip sorgente e destinazione insieme conl’header dei livelli superiori per definire le regole di confronto;

MAC extended access lists che usano source e destination MAC addressese protocol ethertype per definire le regole di confronto.

Il funzionamento di queste ultime ACL è del tutto analogo alle altre con la solaconsiderazione che gli oggetti sono individuati dai mac-address.

Le ACL sulle porte sono permesse solo in direzione inbound.



Applicando una ACL ad un trunk la ACL sarà applicata a tutte le VLAN per-messe nel trunk.

Applicando la ACL ad una porta in cui è configurata una VLAN voce la ACLsi applica anche alla VLAN voce.

15.3 Struttura e tipologia di access-control-list a livello 2 pila OSI

15.3.1 Struttura generale

La struttura del filtro è composta secondo le regole generali descritte: unasequenza di righe (ACE) in cui è descritta un’azione (pemit/Deny) che è attua-ta al verificarsi di una condizione.

Gli oggetti di livello 2 su cui applicare i filtri sono individuati, per lo stackTCP-IP, con il mac-address.

Possono essere previsti filtri per altri protocolli.

Le ACL possono essere composte da più righe essendo sempre cogente la rego-la logica generale per cui ogni condizione espressa da una riga (access-listentry ACE) consente di decidere indipendentemente dalle altre righe.

Layout LAYER 2 ACLmac access-list extended name permit {{src-mac mask | any} {dest-macmask | any} [protocol [vlan vlan] [cos value]]}

Parametri per layer 2 acl{ permit | deny} {any | host src-MAC-addr | src-MAC-addr mask} {any | host dst-MAC-addr | dst-MAC-addr mask} [type mask | cos cos | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp]

La ACL esempio contiene righe come quella mostrata in cui il traffico è individuato in funzione del mac sorgente e destinazioneLe righe possono usare anche altre opzioni come deny

Esempio: Mac access-list esempioRouter(config-ext-macl)# permit00aa.00bb.00cc 0.0.0 any

Figura 15.7Layer 2 ACL filtricon controllo dimac address oethertype o cos


Q U

A D

E R

N I

p e

r l

a p

r o

g e

t t a

z i

o n

e I C

T

33

Per creare una regola con più righe, tutte le righe dovranno avere lo stessonome simbolico che individua la regola e che sarà utilizzato per richiamare laregola.

Ogni ACE sarà costituita come la seguente:

mac access-list extended name permit {{src-mac mask | any} {dest-mac mask | any} [pro-tocol [vlan vlan] [cos value]]}

Il significato ed i possibili parametri di ogni ACE sono riassunti nella tabella.

{permit | deny} {any | host src-MAC-addr | src-MAC-addr mask} {any | hostdst-MAC-addr | dst-MAC-addr mask} [type mask | cos cos | aarp | amber | dec-span-ning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsapmask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip |xns-idp]

Il significato dei parametri è riassunto in Tabella 15.2.

Tab. 15.1

Esempio: Mac access-list esempioRouter(config-ext-macl)# permit 00aa.00bb.00cc 0.0.0 any

La ACL esempio contiene righe come quella mostrata in cui il traffico è individuato in fun-zione del mac sorgente e destinazioneLe righe possono usare anche altre opzioni come deny,

Tab. 15.2

any Parola chiave per qualsiasi source o destination MAC address

host src-MAC-addr |src-MAC-addr mask

Per definire un host o un gruppo di host sorgenti di traffico mediante mac-address e maschera

host dst-MAC-addr | dst-MAC-addr mask

Per definire un host o un gruppo di host destinatari di traffico mediante mac-address e maschera

type

Figura 15.8Layer 2 MAC ACL



In definitiva nella riga sono specificati i valori di source e destination, usandol’indirizzamento del livello 2 ed eventuali protocolli cui il filtro deve intendersiapplicato tra tutti i possibili filtri di livello 2.

Una grande importanza nella gestione della sicurezza degli switches hanno leARP ACCESS-LIST sia per il controllo della sorgente di pacchetti ARP (controllodel gratuitous-ARP) in ambiente con abilitato il DHCP (comando arpaccess-list) che in ambente di configurazioni di IP statici (IP ARP inspection filterVLAN).

type mask

(Opzionale) specifica a quali protocolli ethetype (numero esadecimale come specificato nell’header e range. • type esadecimale da 0 a 65535l. • mask maschera di wildcard per includere un range di ethertype.

aarp (Opzionale) specifica l’ethertype AppleTalk Address Resolution Protocol.

amber (Opzionale) specifica EtherType DEC-Amber.

cos cos (Opzionale) Specifica an arbitrary class of service (CoS) number from 0 to 7 to set priority. Filtering on CoS can be performed only in hardware. A warning message appears if the cos option is configured.

dec-spanning (Opzionale) specifica il protocollo dec-spanning tree

decnet-iv (Opzionale) specifica il protocollo DECnet Phase IV protocol.

diagnostic (Opzionale) specifica il protocollo dec--Diagnostic.

dsm (Opzionale) specifica il protocollo dec--DSM.

etype-6000 (Opzionale) specifica il protocollo 0x6000.

etype-8042 (Opzionale) specifica il protocollo 0x8042.

lat (Opzionale) specifica il protocollo dec--LAT.

lavc-sca (Opzionale) specifica il protocollo dec--LAVC-SCA.

lsap lsap-number mask (Opzionale) usa un identificativo LSAP (0 to 65535) con l’incapsula-mento 802.2 per identificare una tipologia di traffico. È prevista anche una maschera qualora si volesse far riferimento ad un range di protocolli

mop-console (Opzionale) specifica il protocollo DEC-MOP Remote Console.

mop-dump (Opzionale) specifica il protocollo DEC-MOP Dump.

msdos (Opzionale) specifica il protocollo DEC-MSDOS.

mumps (Opzionale) specifica il protocollo DEC-MUMPS.

netbios (Opzionale) specifica il protocollo DEC- Network Basic Input/Output System (NETBIOS).

vines-echo (Opzionale) specifica il protocollo Virtual Integrated Network Service (VINES) Echo from Banyan Systems.

vines-ip (Opzionale) specifica il protocollo VINES IP.

xns-idp (Opzionale) specifica il protocollo Xerox Network Systems (XNS) proto-col suite.

Tab. 15.2 (segue)


PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER · CCNA, CCNP, CCNA-Security di ENRICO CIPOLLONE ......

Documents

Transcript of PROGETTAZIONE E CONDUZIONE DI RETI DI COMPUTER · CCNA, CCNP, CCNA-Security di ENRICO CIPOLLONE ......