Tevens elke bedrijfsPC direct op het internet niet erg veilig

Presentatie over: "Tevens elke bedrijfsPC direct op het internet niet erg veilig"— Transcript van de presentatie:

1 Tevens elke bedrijfsPC direct op het internet niet erg veilig
Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn. Tevens elke bedrijfsPC direct op het internet niet erg veilig Om een heel netwerk op Internet te zetten via het LAN is een systeem bedacht Deze werkwijze maakt het mogelijk om via 1 IP adres een heel netwerk op het internet te zetten. Dit heet NAT (Network Address Translation)

2 Network Address Translation
Static NAT one-to-one-mapping. Je hebt zodoende een echt IP-adres nodig voor iedere host van je netwerk Dynamic NAT ieder ongeregistreerd adres heeft een geregistreerd adres uit een pool van adressen NAT overload alle ongeristreerde adressen maken gebruik van één geregistreerd adres

3 Network Address Translation:
Een lokaal netwerk gebruikt slechts één publiek IP adres, voor zover het de buitenwereld betreft. Ieder toestel in het lokale netwerk krijgt een privaat adres toegewezen. rest van Internet lokaal netwerk (bvb., huis netwerk) /24 Alle datagrammen die het lokale netwerkverlaten hebben het zelfde bron NAT IP adres: , verschillende bron poort nummers Datagrammen met bron of doel in dit netwerk hebben /24 adres als bron, doel (als gewoonlijk)

4 Network Address Translation
NAT translatie tabel WAN-kant adres LAN-kant adres 1: host zendt datagram naar , 80 2: NAT router verandert datagram bronadres van , 3345 naar , 5001, update de tabel , , 3345 …… …… S: , 3345 D: , 80 1 S: , 80 D: , 3345 4 S: , 5001 D: , 80 2 S: , 80 D: , 5001 3 4: NAT router verandert datagram doeladres van , 5001 naar , 3345 3: Antw komt aan doeladres: , 5001

5 DA BA DA BA DA NAT tabel Protocol Interne lokale IP adres: poort Interne globale IP Externe globale IP TCP :1723 :1492 :23 :1723 :1723 :1024 :1024 :23

6 PROGRAMMERING ip nat pool globalnet 170.168.2.1. 170.168.2.1
netmask ip nat inside source list 1 pool globalnet overload ! interface Ethernet 0/0 ip address ip nat inside interface Serial 0/0 ip address ip nat outside access-list 1 permit BA DA BA Protocol Interne lokale IP adres: poort Interne globale IP Externe globale IP TCP :1723 :1492 :23 :1723 :1723 :1024 :1024 :23 PROGRAMMERING

7 NAT Port forwarding Eenvoudiger gezegd:
Het kan voorkomen dat een bedrijf zelf een webserver heeft staan Een mogelijkheid is dan hiervoor een apart IP adres aan te vragen, aangezien de router op het huidige IP adres staat. Nadeel is natuurlijk wel dat dit extra kosten meebrengt Een andere mogelijkheid is om al het INKOMENDE verkeer van de webserver (al het inkomende verkeer op poort 80, de WWW poort) door te sturen naar de webserver. Zo is het mogelijk op het interne LAN servers te hebben die met 1 of meer poorten gelijk op het buitennetwerk staat (virtueel gezien dan) Eenvoudiger gezegd: De router zal een directe link leggen tussen het Internet en de Webserver op poort 80

8 NAT Port forwarding Voorbeeld
Tikt in Virtuele link op poort 80 (poort 80 verzoek) Antwoord op poort 80 De ROUTER heeft het IP adres van niet de webserver En dus krijgt de PC de site van het bedrijf te zien

9 Firewalls Een firewall zorgt ervoor dat ongewenst verkeer vanaf het Internet niet op het LAN terecht komt, maar deze zorgt er ook voor dat bepaalde gegevens niet op het Internet komen. Een firewall kan worden gezien als een filter, alles wat er niet door mag word eruit gefilterd De meeste tegenwoordige routers hebben een ingebouwde firewall functie Als er op een netwerk bijvoorbeeld geen IRC (Chat) naar het internet mag worden gebruikt, is het mogelijk om de uitgaande IRC poort (6667) dicht te zetten voor verkeer. De instelbare firewall regels zijn erg flexibel, het is bijvoorbeeld mogelijk om een bepaalde Interne IP range alleen maar toegang tot het chatten te geven. Een ander voorbeeld is dat een bepaalde IP range niet op de webserver mag kijken en dus wordt geblokkeerd

10 TCP- en UDP-poorten Werking
Eén enkele computer kan meerdere sessies tegelijkertijd onderhouden die verbonden zijn met verschillende andere computers. Elke sessie wordt gedefinieerd met een bepaalde poortnummer. Al deze sessies worden dan via multiplexing door dezelfde netwerkaansluiting gestuurd.

11 TCP- en UDP-poorten Werking
In TCP en UDP is een poort een 16-bit-waarde. Er zijn dus in principe mogelijke TCP- of UDP-poorten. Een bepaald soort programma's (server of daemon genaamd) kan luisteren op een bepaalde poort, dit betekent wachten tot ze een aanvraag krijgen op die poort. Vervolgens kunnen ze op deze aanvraag reageren, bijvoorbeeld door het verzenden van een antwoord aan het programma dat de aanvraag heeft gestuurd. Een webserver werkt op deze manier, met name door te luisteren op TCP-poort 80 (HTTP).

12 TCP- en UDP-poorten Poort types
Bekende poorten: Gaande van 0 tot en met 1023, worden gebruikt voor fundamentele applicaties en worden toegekend door IANA. Geregistreerde poorten: Gaande van 1024 tot en met 49151, worden gebruikt door applicaties en moeten geregistreerd worden bij IANA. Dynamisch geassigneerde poorten: Gaande van tot en met 65535, worden dynamisch toegekend voor de duur van een bepaalde sessie en mogen vrij gebruikt worden.

13 TCP- en UDP-poorten Vaak gebruikte poorten
Een aantal vaak gebruikte poortnummers zijn: 21/TCP : FTP (File Transfer Protocol) 22/TCP : SSH 23/TCP : Telnet 25/TCP : SMTP (Simple Mail Transfer Protocol) 53/UDP : DNS (Domain Name Service) 53/TCP : (idem) 80/TCP : HTTP (Hyper Text Transfer Protocol) 110/TCP: POP3 (Post Office Protocol versie 3) 119/TCP: NNTP (Network News Transfer Protocol) 443/TCP: HTTPS