Networking

Tunnel SSH

by Networking 0 Comments

La necessità di utilizzare un tunnel SSH per connettersi ad apparati remoti è spesso dettata dall’avere dei collegamenti sicuri verso servizi che potrebbero presentare dei problemi di sicurezza.

Se per esempio abbiamo un apparato dotato di interfaccia web al quale vogliamo connetterci in sicurezza possiamo farlo creando un tunnell ssh attraverso il quale far passare il traffico.

In questa breve guida useremo un client ssh per ambiente windows di nome putty.exe ed il browser mozilla firefox.

Prima di tutto configuriamo il client ssh per la creazione del tunnel, dopo aver lanciato il client inserire l’indirizzo IP al quale vogliamo collegarci, modificando, se necessario la porta:

putty.exe

Selezioniamo dal menu in basso a sinistra la voce SSH e quindi la voce Tunnels ed inseriamo i seguenti valori:

Source port 17222 (inserire una porta qualsiasi) – Selezionare Dynamic – Premere Add

putty

Quindi premere il tasto Open ed inserire le credenziali di accesso, dopo aver ottenuto l’accesso lasciare la finestra aperta e configurare il browser per il collegamento attraverso il tunnel.

Apriamo Firefox e selezionare Strumenti –> Opzioni –> Avanzate.

Nel menù avanzate selezionare Rete à Impostazioni, configurare i valori come segue:

  • Selezionare “Configurazione manuale dei proxy”
  • Alla voce Host SOCKS inserire 127.0.0.1 e porta 17222 (stessa porta inserita in putty.exe)

firefox avanzate

Quindi selezionare OK.

Ora tutto il traffico web verrà instradato verso il tunnel.

WILDCARD MASK

by Networking Tags: , , 0 Comments

La gestione del traffico IPv4 basato sul filtraggio di indirizzi IP non può prescindere dal concetto di WILDCARD MASK, una sequenza di 32 bit che indica quali bit dell’indirizzo IP devono essere considerati per applicare le regole di filtro.

La wildcard mask si presenta in maniera simile alla subnet mask ma con regole del tutto diverse. Mentre la subnet mask identifica la network e la parte host dell’indirizzo, la wildcard mask utilizza i bit 0 e 1 per identificare i singoli indirizzi IP o ad un gruppo di essi in un modo molto più flessibile rispetto alla rigidità della subnet mask.

Le regole che la wildcard segue sono le seguenti:

  • Bit a 0 – il corrispondente bit dell’indirizzo IP viene controllato
  • Bit a 1 – il corrispondente bit dell’indirizzo IP viene ignorato

Vediamo un esempio:

Indirizzo IP        192.168.001.000              11000000.10101000.00000001.00000000

Wildcard mask   000.000.000.255              00000000.00000000.00000000.11111111

Applicando la maschera 0.0.0.255 all’IP 192.168.1.0 si ottiene una selezione di tutti gli IP che hanno i primi tre byte posti a 192.168.1, l’ultimo byte viene ignorato.

A prima vista sembrerebbe il complementare della subnet mask, infatti il risultato dell’esempio precedente è la network 192.168.1.0 255.255.255.0. In realtà la wildcard mask permette di superare il concetto di network identificando l’indirizzo IP o i gruppi di indirizzi IP in base ai singoli bit degli stessi.

Supponiamo, per esempio, di voler selezionare tutti gli indirizzi dispari della network 192.168.1.0/24. Con la subnet mask  tale compito sarebbe impossibile, mentre con la wildcard mask:

  • Fisso i primi tre byte della 0 così da verificare il matching di essi con 192.168.1
  • Considerato che tutti gli indirizzi dispari finiscono con l’ultimo bit dell’ultimo byte a 1 dovrò considerare l’ultimo byte della maschera in modo che garantisca il matching dell’ultimo bit quindi 11111110. Avrò quindi la wildcard mask pari a 0.0.0.254 che applicata all’indirizzo 192.168.1.1 selezionerà tutti gli indirizzi dispari della rete 192.168.1.0, applicata all’indirizzo 192.168.1.2 selezionerà tutti gli indirizzi pari della medesima rete.

192.168.001.001 –> 00000001                                                                          192.168.001.002 –> 00000010

000.000.000.254 –> 11111110           controlla solo l’ultimo bit dell’Ip            000.000.000.254 –> 11111110

Facciamo un altro esempio per meglio chiarire il concetto:

supponiamo di voler selezionare gli ip della rete 192.168.1.0/24 il cui ultimo byte va da 4 a 7 cioè da 192.168.1.4 a 192.168.1.7

.4 –> 00000100

.7 –> 00000111

Si nota facilmente che gli ultimi due bit identificano, variando, il range di ip che ci interessa, quindi la wildcard mask da utilizzare dovrà ignorare il controllo sugli ultimi due bit lasciando fissi gli altri, pertanto la wildcard mask da utilizzare sarà 0.0.0 con ultimo byte pari a 00000011 cioe’ .3

In conclusione 192.168.1.4 0.0.0.3 seleziona gli indirizzi IP nel range 192.168.1.4 – 192.168.1.7.

 

IPV6 o IP New Generation

by Networking Tags: , , , , , , , 0 Comments

IPv6 nasce con lo scopo di superare i diversi limiti insiti al protocollo IPv4. L’utilizzo di indirizzi di tipo IPv4 introduce alcune problematiche che, anche se oramai assuefatti dall’uso quotidiano, hanno notevoli ripercussioni in termini di prestazioni e sicurezza.

L’Esaurimento degli indirizzi IPv4 è forse il problema più grosso che il mondo del networking sta ormai da tempo affrontando. Nonostante i circa 4,3 miliardi di indirizzi IPv4 disponibili, solo 3,7 miliardi sono quelli usabili numero decisamente insufficiente per gestire il sempre crescente fabbisogno di connettività. L’introduzione della NAT, tecnologia comunemente utilizzata nel mondo IPv4 a causa della carenza di indirizzi e necessaria per condividere lo stesso IP pubblico tra diversi host, spesso introduce problematiche in applicazioni che richiedono una connettività end-to-end.

Nel 1990 IETF per superare le limitazioni derivanti dall’utilizzo del protocollo IPv4 definisce una nuova versione del protocollo IP, la versione 6 o new generation.

L’apparente complessità della rappresentazione dell’indirizzamento IPv6 viene velocemente superata dalle moltiplici semplificazioni ed ottimizzazioni introdotte e che apportano notevoli migliorie a livello funzionale. Vediamo, di seguito, alcune delle principali novità introdotte:

  • Aumento del numero di indirizzi l’indirizzo IP passa da 32 bit a 128 bit quindi si passa da circa 4,7 miliardi di indirizzi a 3,4 x 1038 indirizzi, un numero enorme, basti pensare che se con l’IPv4 possiamo avere 0,000007 indirizzi per ogni m2 di superficie terrestre, con l’IPv6 ne abbiamo 655.571 miliardi di miliardi.
  • Miglioramento Gestione Pacchetti l’header è stato notevolmente semplificato riducendo il numero di campi. E’ stato Inoltre introdotto un supporto per applicazioni Real-Time.
  • NAT non necessario Grazie alla grande quantità di indirizzi IP disponibili non è più necessaria l’implementazione della NAT.
  • Sicurezza IPv6 supporta nativamente autenticazione e privacy.
  • Header A differenza dell’header IPv4 che è composto da 20 byte (che diventavano 60 byte in caso di utilizzo degli option fields) e 12 campi fondamentali, l’Header IPv6 è composto da 40 byte (in gran parte dovuti all’aumento delle dimensioni dell’indirizzo sorgente e destinatario) ed 8 campi dei quali 3 derivanti dal vecchio Header IPv4.

header IPv6

In giallo sono riportati i campi ereditati da IPv4 ma rinominati.

Version       (4 bit) indica la versione del protocollo che per IPv6 è 0110.

Traffic Class (8 bit) Equivalente al DS (Differentiated Service) dell’IPv4 è composto da DSCP (6 bit) + ECN (2 bit).

Flow Label (20 bit) Indica il flusso di pacchetti. Creato per applicazioni critiche (Real time) può essere usato per indicare ai routers di mantenere i medesimi percorsi per i pacchetti con uguale valore di campo in modo da evitare il riordino dei pacchetti a destinazione.

Payload Length (16 bit) Come per IPv4 rappresenta la lunghezza dell’intero pacchetto.

Next Header (8 bit) Identifica generalmente il tipo di protocollo di livello transport che è utilizzato dal payload. Il campo è utilizzato in alternativa per indicare il tipo di extension header che segue. Per esempio il valore 59 indica nessun next header, il valore 58 indica next header di tipo ICMPv6, il valore 50 indica Encapsulation Security Payload (ESP), ecc.

Hop Limit (8 bit) Equivalente al campo TTL dell’IPv4. Il valore di questo campo viene decrementato ogni volta che il pacchetto attraversa un hop. Quando arriva al valore zero il pacchetto viene scartato.

Source Address (128 bit) Indirizzo Sorgente

Destination Address (128 bit) Indirizzo Destinazione