| commit 14: | c4ed9b387327 |
| parent 13: | 40d45ba2de56 |
| branch: | default |
Riposizionamento delle slide sul firewall. correzione colori e TOC
- View nolith's profile
-
nolith's public repos »
- redmine-mq-issue4455
- redmine-hg
- evetrader
- hgredmine
- hgredmine-patch
- dns_gen
- yubiruby
- ipv6 - fine del mondo
- redirector
- habtm-with-deferred-save
- avahiserve
- darkcast
- geany-stata
- intro_ipv6
- eveberry-bis
- redmine-bitbucket
- About Me
- home_dir
- ruby-beamer
- CaptureMJPEG
- PortableNotary
- test
- ldap
- macports
- about-me-dev
- Send message
9 months ago
Changed (Δ1.7 KB):
raw changeset »
Presentazione.tex (79 lines added, 102 lines removed)
Up to file-list Presentazione.tex:
24 |
24 |
titleline=true,% Show a line below the frame title. |
25 |
25 |
alternativetitlepage=true,% Use the fancy title page. |
26 |
26 |
titlepagelogo=logo-lart,% Logo for the first page. |
27 |
% watermark=licenza_small,% Watermark used in every page. |
|
28 |
% watermarkheight=5px,% Height of the watermark. |
|
27 |
watermark=licenza_small,% Watermark used in every page. |
|
28 |
watermarkheight=2px,% Height of the watermark. |
|
29 |
29 |
%watermarkheightmult=4,% The watermark image is 4 times bigger |
30 |
30 |
% than watermarkheight. |
31 |
31 |
]{Torino} |
33 |
33 |
%colori per i box |
34 |
34 |
\setbeamercolor{lowercolor}{fg=black,bg=white} |
35 |
35 |
\setbeamercolor{uppercolor}{fg=black,bg=chameleongreen2} |
36 |
\setbeamercolor{section in toc}{fg=chameleongreen3} |
|
37 |
\setbeamercolor{structure}{fg=chameleongreen3} |
|
36 |
38 |
|
37 |
39 |
\newenvironment{colorblock} |
38 |
40 |
{\begin{beamerboxesrounded}[upper=uppercolor,lower=lowercolor,shadow=true]} |
| … | … | @@ -151,7 +153,7 @@ Facoltà di Ingegneria%\\Dipartimento di |
151 |
153 |
\tableofcontents[subsectionstyle=show/shaded/hide,sections={1-3}] |
152 |
154 |
\end{column} |
153 |
155 |
\begin{column}{0.5\textwidth} |
154 |
\tableofcontents[subsectionstyle=show/shaded/hide,sections={ |
|
156 |
\tableofcontents[subsectionstyle=show/shaded/hide,sections={4-6}] |
|
155 |
157 |
\end{column} |
156 |
158 |
\end{columns} |
157 |
159 |
} |
| … | … | @@ -1130,35 +1132,78 @@ 4.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR l |
1130 |
1132 |
Registrare i record PTR solo per i server. |
1131 |
1133 |
\end{colorblock} |
1132 |
1134 |
\end{frame} |
1133 |
%\subsection{Il problema del reverse \acs{DNS}} %fold |
|
1134 |
%\label{sub:il_problema_del_reverse_dns} |
|
1135 |
%Ogni host raggiungibile su Internet deve avere un hostname ed un record PTR per |
|
1136 |
%il reverse \ac{DNS}. Questo \`e ci\`o che richiede l'RFC1912\cite{rfc1912} |
|
1137 |
%in merito ai record IPv4, ma per IPv6? La questione rimane aperta perch\'e |
|
1138 |
%l'RFC non \`e stato aggiornato dopo la pubblicazione di IPv6 ed il reverse |
|
1139 |
%\ac{DNS} viene utilizzato solo in alcuni casi. |
|
1140 |
%Alcune funzionalit\`a di logging lo usano per avere un output più leggibile, senza alcun |
|
1141 |
%problema nel caso in cui il record non sia presente ed alcuni server di posta |
|
1142 |
%elettronica, durante una sessione SMTP, verificano attraverso una query inversa |
|
1143 |
%che il server mittente sia effettivamente chi dichiara di essere e non uno spammer. |
|
1144 |
% |
|
1145 |
%Da un punto di vista pratico basterebbe registrare i record PTR solo per i |
|
1146 |
%server di posta, ma la discussione rimane comunque aperta nella comunit\`a. |
|
1147 |
%Gli \ac{ISP} per IPv4 solitamente generano in modo automatico i record \ac{DNS} |
|
1148 |
%per tutti gli indirizzi che ricevono dal \ac{RIR}, ma dato l'elevato numero di |
|
1149 |
%indirizzi presenti gi\`a in un prefix da 64 bit, che dovrebbero assegnare ad ogni |
|
1150 |
%cliente, questa strada risulta impercorribile. |
|
1151 |
%Un'altra possibilità è la generazione dei record PTR al momento stesso della |
|
1152 |
%query \ac{DNS}; tuttora non sono noti plugin di BIND per questa funzionalità |
|
1153 |
%e si tratta comunque di una strategia rischiosa in quanto esporrebbe ad attacchi |
|
1154 |
%di tipo \ac{DDOS}. |
|
1155 |
% |
|
1156 |
%Se si scegliesse di generare staticamente a priori tutti i record AAAA e PTR |
|
1157 |
%è mandatorio l'uso di un server DHCP per assegnare indirizzi in un intervallo |
|
1158 |
%ristretto. Per la generazione dei record si può utilizzare lo script ruby sviluppato |
|
1159 |
%durante il lavoro di tesi e disponibile in appendice \ref{lst:dns_gen}. |
|
1160 |
% subsection il problema del reverse dns (end) |
|
1161 |
% section dns (end) |
|
1135 |
||
1136 |
\subsection{Firewall} |
|
1137 |
\begin{frame} |
|
1138 |
\frametitle{Firewall} |
|
1139 |
\begin{colorblock}{IPv4 e NAT $\rightarrow$ IPv6 e \texttt{Global Unicast}} |
|
1140 |
\tikzstyle{na} = [baseline=-.5ex] |
|
1141 |
\tikzstyle{every picture}+=[remember picture] |
|
1142 |
||
1143 |
\begin{columns} |
|
1144 |
\column{.5\textwidth} |
|
1145 |
\tikzstyle{net}+=[on chain=going below] |
|
1146 |
\tikzstyle{lnet}+=[on chain=going right] |
|
1147 |
||
1148 |
\begin{tikzpicture}[start chain,every join/.style={<->,thick},node distance=3mm] |
|
1149 |
\node [net] (net) {\pgfuseimage{nuvola}}; |
|
1150 |
\node [net,join,label=180:\tiny Router] (asbr) {\pgfuseimage{router}}; |
|
1151 |
\node [subnet, right of=net, yshift=+.7cm,lnet,join] { \begin{tikzpicture}[ node distance=1cm] |
|
1152 |
\node [] (c1) {\pgfuseimage{schermo}}; |
|
1153 |
\node [right of=c1] (c2) {\pgfuseimage{schermo}}; |
|
1154 |
\node [right of=c2] (c3) {\pgfuseimage{schermo}}; |
|
1155 |
||
1156 |
\node [subnet,below of=c2,yshift=-.15cm,xshift=.1cm] (nat) { \begin{tikzpicture}[ node distance=1cm] |
|
1157 |
\node [] (n1) {\pgfuseimage{schermo}}; |
|
1158 |
\node [right of=n1] (n2) {\pgfuseimage{schermo}}; |
|
1159 |
\end{tikzpicture}}; |
|
1160 |
\node [left of=nat,xshift=-.25cm,label=-90:\tiny NAT] (natter) {\pgfuseimage{case}}; |
|
1161 |
\end{tikzpicture} }; |
|
1162 |
%label |
|
1163 |
\node at (net) [anchor=center] {\tiny Internet}; |
|
1164 |
\end{tikzpicture} |
|
1165 |
\column{.5\textwidth} |
|
1166 |
\begin{itemize}[<+->] |
|
1167 |
\item I computer dietro al NAT\tikz[na] \node[coordinate] (nat_txt) |
|
1168 |
{}; sono ``automaticamente protetti'' |
|
1169 |
||
1170 |
\item In IPv6 invece avranno un indirizzo \texttt{global unicast}, \`e |
|
1171 |
necessario ``proteggerli'' installando un firewall sul NAT. |
|
1172 |
\end{itemize} |
|
1173 |
\end{columns} |
|
1174 |
||
1175 |
||
1176 |
%collegamenti |
|
1177 |
\begin{tikzpicture}[overlay] |
|
1178 |
\path[->]<1> (nat_txt) edge [bend left,olink] (natter); |
|
1179 |
% \path[->]<3> (tb) edge [bend right,olink] (6to4); |
|
1180 |
\end{tikzpicture} |
|
1181 |
\end{colorblock} |
|
1182 |
||
1183 |
||
1184 |
\end{frame} |
|
1185 |
||
1186 |
\begin{frame} |
|
1187 |
\frametitle{Firewall - \texttt{ip6tables}} |
|
1188 |
\setbeamercovered{invisible} |
|
1189 |
\begin{columns} |
|
1190 |
\begin{column}{.55\textwidth} |
|
1191 |
\includegraphics[]{chains} |
|
1192 |
\end{column} |
|
1193 |
\begin{column}{.45\textwidth} |
|
1194 |
\pause |
|
1195 |
\begin{colorblock}{Le catene di \texttt{ip6tables}} |
|
1196 |
I pacchetti in ingresso attraversano una lista di regole. |
|
1197 |
||
1198 |
Se il destinatario del pacchetto non \`e il firewall si utilizza |
|
1199 |
la catena di \texttt{FORWARD}. Bloccando tutte le nuove |
|
1200 |
connessioni nella catena di \texttt{FORWARD} si ottiene un |
|
1201 |
livello di ``protezione'' paragonabile al NAT IPv4. |
|
1202 |
\end{colorblock} |
|
1203 |
\end{column} |
|
1204 |
\end{columns} |
|
1205 |
||
1206 |
\end{frame} |
|
1162 |
1207 |
|
1163 |
1208 |
% section automatismi_e_routing (end) |
1164 |
1209 |
|
| … | … | @@ -1360,74 +1405,6 @@ Otteniamo quindi un tunnel di tipo \text |
1360 |
1405 |
\end{colorblock} |
1361 |
1406 |
\end{frame} |
1362 |
1407 |
|
1363 |
\subsection{Firewall} |
|
1364 |
\begin{frame} |
|
1365 |
\frametitle{Firewall} |
|
1366 |
\begin{colorblock}{IPv4 e NAT $\rightarrow$ IPv6 e \texttt{Global Unicast}} |
|
1367 |
\tikzstyle{na} = [baseline=-.5ex] |
|
1368 |
\tikzstyle{every picture}+=[remember picture] |
|
1369 |
||
1370 |
\begin{columns} |
|
1371 |
\column{.5\textwidth} |
|
1372 |
\tikzstyle{net}+=[on chain=going below] |
|
1373 |
\tikzstyle{lnet}+=[on chain=going right] |
|
1374 |
||
1375 |
\begin{tikzpicture}[start chain,every join/.style={<->,thick},node distance=3mm] |
|
1376 |
\node [net] (net) {\pgfuseimage{nuvola}}; |
|
1377 |
\node [net,join,label=180:\tiny Router] (asbr) {\pgfuseimage{router}}; |
|
1378 |
\node [subnet, right of=net, yshift=+.7cm,lnet,join] { \begin{tikzpicture}[ node distance=1cm] |
|
1379 |
\node [] (c1) {\pgfuseimage{schermo}}; |
|
1380 |
\node [right of=c1] (c2) {\pgfuseimage{schermo}}; |
|
1381 |
\node [right of=c2] (c3) {\pgfuseimage{schermo}}; |
|
1382 |
||
1383 |
\node [subnet,below of=c2,yshift=-.15cm,xshift=.1cm] (nat) { \begin{tikzpicture}[ node distance=1cm] |
|
1384 |
\node [] (n1) {\pgfuseimage{schermo}}; |
|
1385 |
\node [right of=n1] (n2) {\pgfuseimage{schermo}}; |
|
1386 |
\end{tikzpicture}}; |
|
1387 |
\node [left of=nat,xshift=-.25cm,label=-90:\tiny NAT] (natter) {\pgfuseimage{case}}; |
|
1388 |
\end{tikzpicture} }; |
|
1389 |
%label |
|
1390 |
\node at (net) [anchor=center] {\tiny Internet}; |
|
1391 |
\end{tikzpicture} |
|
1392 |
\column{.5\textwidth} |
|
1393 |
\begin{itemize}[<+->] |
|
1394 |
\item I computer dietro al NAT\tikz[na] \node[coordinate] (nat_txt) {}; sono ``automaticamente protetti'' |
|
1395 |
||
1396 |
\item In IPv6 invece avranno un indirizzo \texttt{global unicast}, \`e necessario ``proteggerli'' installando un firewall sul NAT. |
|
1397 |
\end{itemize} |
|
1398 |
\end{columns} |
|
1399 |
||
1400 |
||
1401 |
%collegamenti |
|
1402 |
\begin{tikzpicture}[overlay] |
|
1403 |
\path[->]<1> (nat_txt) edge [bend left,olink] (natter); |
|
1404 |
% \path[->]<3> (tb) edge [bend right,olink] (6to4); |
|
1405 |
\end{tikzpicture} |
|
1406 |
\end{colorblock} |
|
1407 |
||
1408 |
||
1409 |
\end{frame} |
|
1410 |
||
1411 |
\begin{frame} |
|
1412 |
\frametitle{Firewall - \texttt{ip6tables}} |
|
1413 |
\setbeamercovered{invisible} |
|
1414 |
\begin{columns} |
|
1415 |
\begin{column}{.55\textwidth} |
|
1416 |
\includegraphics[]{chains} |
|
1417 |
\end{column} |
|
1418 |
\begin{column}{.45\textwidth} |
|
1419 |
\pause |
|
1420 |
\begin{colorblock}{Le catene di \texttt{ip6tables}} |
|
1421 |
I pacchetti in ingresso attraversano una lista di regole. |
|
1422 |
||
1423 |
Se il destinatario del pacchetto non \`e il firewall si utilizza la catena di \texttt{FORWARD}. Bloccando tutte le nuove connessioni nella catena di \texttt{FORWARD} si ottiene un livello di ``protezione'' paragonabile al NAT IPv4. |
|
1424 |
\end{colorblock} |
|
1425 |
\end{column} |
|
1426 |
\end{columns} |
|
1427 |
||
1428 |
\end{frame} |
|
1429 |
||
1430 |
||
1431 |
1408 |
\section{Implementare IPv6} |
1432 |
1409 |
|
1433 |
1410 |
\subsection{Tunnel Broker} |
| … | … | @@ -1649,8 +1626,8 @@ Otteniamo quindi un tunnel di tipo \text |
1649 |
1626 |
\section*{Riferimenti Bibliografici} |
1650 |
1627 |
\begin{frame} |
1651 |
1628 |
\frametitle{\refname} |
1652 |
\begin{thebibliography}{9} |
|
1653 |
\bibitem{Hagen06} Silvia Hagen |
|
1629 |
\begin{thebibliography}{Hagen06} |
|
1630 |
\bibitem{Hagen06} S.~Hagen |
|
1654 |
1631 |
\newblock IPv6 Essentials, 2nd Ed. |
1655 |
1632 |
\newblock \emph{O'Reilly}, 2006 |
1656 |
1633 |
\end{thebibliography} |