# HG changeset patch # User Alessio Caiazza # Date 1258110329 -3600 # Node ID c4ed9b3873273082324a80e4a6deb0a6717ce240 # Parent 40d45ba2de5632b84a3e103640912c0df71ae9d6 Riposizionamento delle slide sul firewall. correzione colori e TOC diff -r 40d45ba2de5632b84a3e103640912c0df71ae9d6 -r c4ed9b3873273082324a80e4a6deb0a6717ce240 Presentazione.tex --- a/Presentazione.tex Thu Nov 12 18:50:41 2009 +0100 +++ b/Presentazione.tex Fri Nov 13 12:05:29 2009 +0100 @@ -24,8 +24,8 @@ titleline=true,% Show a line below the frame title. alternativetitlepage=true,% Use the fancy title page. titlepagelogo=logo-lart,% Logo for the first page. -% watermark=licenza_small,% Watermark used in every page. -% watermarkheight=5px,% Height of the watermark. + watermark=licenza_small,% Watermark used in every page. + watermarkheight=2px,% Height of the watermark. %watermarkheightmult=4,% The watermark image is 4 times bigger % than watermarkheight. ]{Torino} @@ -33,6 +33,8 @@ %colori per i box \setbeamercolor{lowercolor}{fg=black,bg=white} \setbeamercolor{uppercolor}{fg=black,bg=chameleongreen2} +\setbeamercolor{section in toc}{fg=chameleongreen3} +\setbeamercolor{structure}{fg=chameleongreen3} \newenvironment{colorblock} {\begin{beamerboxesrounded}[upper=uppercolor,lower=lowercolor,shadow=true]} @@ -151,7 +153,7 @@ \tableofcontents[subsectionstyle=show/shaded/hide,sections={1-3}] \end{column} \begin{column}{0.5\textwidth} -\tableofcontents[subsectionstyle=show/shaded/hide,sections={3-6}] +\tableofcontents[subsectionstyle=show/shaded/hide,sections={4-6}] \end{column} \end{columns} } @@ -1130,35 +1132,78 @@ Registrare i record PTR solo per i server. \end{colorblock} \end{frame} -%\subsection{Il problema del reverse \acs{DNS}} %fold -%\label{sub:il_problema_del_reverse_dns} -%Ogni host raggiungibile su Internet deve avere un hostname ed un record PTR per -%il reverse \ac{DNS}. Questo \`e ci\`o che richiede l'RFC1912\cite{rfc1912} -%in merito ai record IPv4, ma per IPv6? La questione rimane aperta perch\'e -%l'RFC non \`e stato aggiornato dopo la pubblicazione di IPv6 ed il reverse -%\ac{DNS} viene utilizzato solo in alcuni casi. -%Alcune funzionalit\`a di logging lo usano per avere un output più leggibile, senza alcun -%problema nel caso in cui il record non sia presente ed alcuni server di posta -%elettronica, durante una sessione SMTP, verificano attraverso una query inversa -%che il server mittente sia effettivamente chi dichiara di essere e non uno spammer. -% -%Da un punto di vista pratico basterebbe registrare i record PTR solo per i -%server di posta, ma la discussione rimane comunque aperta nella comunit\`a. -%Gli \ac{ISP} per IPv4 solitamente generano in modo automatico i record \ac{DNS} -%per tutti gli indirizzi che ricevono dal \ac{RIR}, ma dato l'elevato numero di -%indirizzi presenti gi\`a in un prefix da 64 bit, che dovrebbero assegnare ad ogni -%cliente, questa strada risulta impercorribile. -%Un'altra possibilità è la generazione dei record PTR al momento stesso della -%query \ac{DNS}; tuttora non sono noti plugin di BIND per questa funzionalità -%e si tratta comunque di una strategia rischiosa in quanto esporrebbe ad attacchi -%di tipo \ac{DDOS}. -% -%Se si scegliesse di generare staticamente a priori tutti i record AAAA e PTR -%è mandatorio l'uso di un server DHCP per assegnare indirizzi in un intervallo -%ristretto. Per la generazione dei record si può utilizzare lo script ruby sviluppato -%durante il lavoro di tesi e disponibile in appendice \ref{lst:dns_gen}. -% subsection il problema del reverse dns (end) -% section dns (end) + +\subsection{Firewall} +\begin{frame} +\frametitle{Firewall} +\begin{colorblock}{IPv4 e NAT $\rightarrow$ IPv6 e \texttt{Global Unicast}} +\tikzstyle{na} = [baseline=-.5ex] +\tikzstyle{every picture}+=[remember picture] + +\begin{columns} +\column{.5\textwidth} +\tikzstyle{net}+=[on chain=going below] +\tikzstyle{lnet}+=[on chain=going right] + +\begin{tikzpicture}[start chain,every join/.style={<->,thick},node distance=3mm] + \node [net] (net) {\pgfuseimage{nuvola}}; + \node [net,join,label=180:\tiny Router] (asbr) {\pgfuseimage{router}}; + \node [subnet, right of=net, yshift=+.7cm,lnet,join] { \begin{tikzpicture}[ node distance=1cm] + \node [] (c1) {\pgfuseimage{schermo}}; + \node [right of=c1] (c2) {\pgfuseimage{schermo}}; + \node [right of=c2] (c3) {\pgfuseimage{schermo}}; + + \node [subnet,below of=c2,yshift=-.15cm,xshift=.1cm] (nat) { \begin{tikzpicture}[ node distance=1cm] + \node [] (n1) {\pgfuseimage{schermo}}; + \node [right of=n1] (n2) {\pgfuseimage{schermo}}; + \end{tikzpicture}}; + \node [left of=nat,xshift=-.25cm,label=-90:\tiny NAT] (natter) {\pgfuseimage{case}}; + \end{tikzpicture} }; +%label + \node at (net) [anchor=center] {\tiny Internet}; +\end{tikzpicture} +\column{.5\textwidth} +\begin{itemize}[<+->] +\item I computer dietro al NAT\tikz[na] \node[coordinate] (nat_txt) + {}; sono ``automaticamente protetti'' + +\item In IPv6 invece avranno un indirizzo \texttt{global unicast}, \`e + necessario ``proteggerli'' installando un firewall sul NAT. +\end{itemize} +\end{columns} + + +%collegamenti +\begin{tikzpicture}[overlay] + \path[->]<1> (nat_txt) edge [bend left,olink] (natter); +% \path[->]<3> (tb) edge [bend right,olink] (6to4); +\end{tikzpicture} +\end{colorblock} + + +\end{frame} + +\begin{frame} + \frametitle{Firewall - \texttt{ip6tables}} + \setbeamercovered{invisible} + \begin{columns} + \begin{column}{.55\textwidth} + \includegraphics[]{chains} + \end{column} + \begin{column}{.45\textwidth} + \pause + \begin{colorblock}{Le catene di \texttt{ip6tables}} + I pacchetti in ingresso attraversano una lista di regole. + + Se il destinatario del pacchetto non \`e il firewall si utilizza + la catena di \texttt{FORWARD}. Bloccando tutte le nuove + connessioni nella catena di \texttt{FORWARD} si ottiene un + livello di ``protezione'' paragonabile al NAT IPv4. + \end{colorblock} + \end{column} +\end{columns} + +\end{frame} % section automatismi_e_routing (end) @@ -1360,74 +1405,6 @@ \end{colorblock} \end{frame} -\subsection{Firewall} -\begin{frame} -\frametitle{Firewall} -\begin{colorblock}{IPv4 e NAT $\rightarrow$ IPv6 e \texttt{Global Unicast}} -\tikzstyle{na} = [baseline=-.5ex] -\tikzstyle{every picture}+=[remember picture] - -\begin{columns} -\column{.5\textwidth} -\tikzstyle{net}+=[on chain=going below] -\tikzstyle{lnet}+=[on chain=going right] - -\begin{tikzpicture}[start chain,every join/.style={<->,thick},node distance=3mm] - \node [net] (net) {\pgfuseimage{nuvola}}; - \node [net,join,label=180:\tiny Router] (asbr) {\pgfuseimage{router}}; - \node [subnet, right of=net, yshift=+.7cm,lnet,join] { \begin{tikzpicture}[ node distance=1cm] - \node [] (c1) {\pgfuseimage{schermo}}; - \node [right of=c1] (c2) {\pgfuseimage{schermo}}; - \node [right of=c2] (c3) {\pgfuseimage{schermo}}; - - \node [subnet,below of=c2,yshift=-.15cm,xshift=.1cm] (nat) { \begin{tikzpicture}[ node distance=1cm] - \node [] (n1) {\pgfuseimage{schermo}}; - \node [right of=n1] (n2) {\pgfuseimage{schermo}}; - \end{tikzpicture}}; - \node [left of=nat,xshift=-.25cm,label=-90:\tiny NAT] (natter) {\pgfuseimage{case}}; - \end{tikzpicture} }; -%label - \node at (net) [anchor=center] {\tiny Internet}; -\end{tikzpicture} -\column{.5\textwidth} -\begin{itemize}[<+->] -\item I computer dietro al NAT\tikz[na] \node[coordinate] (nat_txt) {}; sono ``automaticamente protetti'' - -\item In IPv6 invece avranno un indirizzo \texttt{global unicast}, \`e necessario ``proteggerli'' installando un firewall sul NAT. -\end{itemize} -\end{columns} - - -%collegamenti -\begin{tikzpicture}[overlay] - \path[->]<1> (nat_txt) edge [bend left,olink] (natter); -% \path[->]<3> (tb) edge [bend right,olink] (6to4); -\end{tikzpicture} -\end{colorblock} - - -\end{frame} - -\begin{frame} - \frametitle{Firewall - \texttt{ip6tables}} - \setbeamercovered{invisible} - \begin{columns} - \begin{column}{.55\textwidth} - \includegraphics[]{chains} - \end{column} - \begin{column}{.45\textwidth} - \pause - \begin{colorblock}{Le catene di \texttt{ip6tables}} - I pacchetti in ingresso attraversano una lista di regole. - - Se il destinatario del pacchetto non \`e il firewall si utilizza la catena di \texttt{FORWARD}. Bloccando tutte le nuove connessioni nella catena di \texttt{FORWARD} si ottiene un livello di ``protezione'' paragonabile al NAT IPv4. - \end{colorblock} - \end{column} -\end{columns} - -\end{frame} - - \section{Implementare IPv6} \subsection{Tunnel Broker} @@ -1649,8 +1626,8 @@ \section*{Riferimenti Bibliografici} \begin{frame} \frametitle{\refname} - \begin{thebibliography}{9} - \bibitem{Hagen06} Silvia Hagen + \begin{thebibliography}{Hagen06} + \bibitem{Hagen06} S.~Hagen \newblock IPv6 Essentials, 2nd Ed. \newblock \emph{O'Reilly}, 2006 \end{thebibliography}