Università degli Studi di Bari - Aldo Moro

CdS in INFORMATICA e COMUNICAZIONE DIGITALE

a.a. 2012-13

Corso di
Reti di Calcolatori e Comunicazione Digitale

Le Intranet

Prof. Sebastiano Pizzutilo

Dipartimento di Informatica

Intranet…

Intranet è un termine che descrive l'implementazione di

tecnologie Internet all'interno di una organizzazione invece che
per collegamenti all'Internet globale esterno.
u  È una rete privata basata sulle stesse tecnologie di Internet.
u  È sinonimo di comunicazione e collaborazione.
u  È un sistema client-server.
u  Rappresenta una soluzione ideale per la condivisione delle informazioni.
u  Offre il vantaggio di poter operare contemporaneamente sullo stesso
progetto.
u  È un modo di lavorare, modulare e versatile, in presenza di una rete di
PC.
Oggi le Intranet sono divenute degli enterprise portal: un punto di accesso alle diverse
applicazioni di una organizzazione o, nel caso dei modelli più avanzati, un modello
che integra i vari sistemi e li fa comunicare tra di loro: sistemi di gestione del bilancio,
del personale, sistemi di gestione dei servizi per gli utenti esterni, strumenti di e-
learning, ecc…

1
 Internet e intranet

desktop computer: desktop computer:

desktop computer:

intranet
☎
intranet

ISP desktop computer:

intranet

intranet
desktop computer: intranet backbone

intranet

Università di Bari
Informatica e com.dig.
Corso di reti A.A.2012-13

Funzionalità di una Intranet

La tecnologia Intranet viene impiegata tipicamente per le seguenti applicazioni:

•  Pubblicazione di documenti aziendali

•  Accesso a directory per le ricerche di dati
Il rapido accesso ad elenchi telefonici aziendali e simili fonti d'informazione. Questi dati
possono essere presentati in un sito Web .Ciò significa che, utilizzando gli stessi meccanismi di
accesso standard, le informazioni possono essere rese disponibili più diffusamente e in modo
più semplice.
•  Pagine aziendali/dipartimentali/individuali
Le culture delle aziende stanno cambiando rapidamente, al punto che persino i singoli reparti
mirano ad adottare 'dichiarazioni d'intenti' proprie
•  Semplici applicazioni di Groupware.
Con il supporto dei moduli HTML, i siti possono fornire fogli per petizioni, sondaggi e
semplici scheduling.
•  Distribuzione del software
Gli amministratori possono servirsi dell'Internet per fornire a richiesta software e programmi di
aggiornamento agli utenti della rete aziendale.
•  Posta elettronica
Con la tendenza verso l'uso di prodotti di E-mail Intranet, che utilizzano metodi standard e
semplici per la diffusione tra gli utilizzatori di documenti testuali, audio, video e di altre risorse
multimediali, la E-mail è un metodo di comunicazione semplice e naturale.

2
 Componenti di una Intranet

I principali componenti tecnologici che vengono usati per l’INTRANET, sono:

Ø  Protocollo di comunicazione
La capacità di collegamento e comunicazione tra reti e desktop individuali.
Ø  Trasferimento di file
La capacità di trasferire file 'punto a punto'.
Ø  Posta elettronica
La capacità di fornire comunicazioni dirette 'punto a punto' tra individui e
gruppi.
Ø  Web Browsing
La capacità di accedere, a richiesta, ad informazioni su base 'uno a molti'.
Ø  Emulazione del terminale
La capacità di accedere ad applicazioni infrastrutturali esistenti.

Tipologie-Vantaggi-Svantaggi

  Intranet chiuse
Non possono avere accesso dall’esterno in quanto non collegate o essendo
protette con sistemi Firewall chiusi che impediscono il traffico in entrata.
  Intranet aperte
Sono sistemi aperti verso l’esterno, collegate ad altre Intranet o a reti più ampie
(WAN, MAN, Intranet) attraverso dei router.
Ø  Utilizzo di sistemi hardware eterogenei e indipendenti.
Ø  Bassi costi d’implementazione.
Ø  Programmi di navigazione (browser) gratuiti.
Ø  Completa integrazione con i servizi Internet.
Ø  Facilità e semplicità di accesso alle pagine pubblicate con linguaggio HTML.
Ø  Elevata capacità di trasmissione in un sistema interno.
Ø  Se l’installazione di un server Web per Intranet non è una operazione molto
complessa, diverso è il discorso per la sua amministrazione.
Ø  È sicuramente necessaria una conoscenza adeguata del linguaggio HTML
Ø  Se affidata a persona diversa dal System Administrator, l’amministrazione
della Intranet deve essere effettuata in stretta collaborazione tra le due
figure.

3
 Servizi di rete in una intranet

I servizi di rete più usati in una intranet sono i servizi che

permettono la condivisione delle risorse e la protezione
della intranet:
  NAT
  NFS
  NIS
  ……

Indirizzi privati

Nella RFC 1918 - Address Allocation for Private Internets la IANA

(Internet Assigned Numbers Authority) ha riservato i tre blocchi di indirizzi
per le reti IP private, ovvero reti IP che non sono interconnesse ad Internet.
Il primo blocco (10.0.0.0/8) rappresenta un'intera classe A. Il secondo
blocco (172.16.0.0/12) è costituito dall'insieme di 16 reti di classe B
contigue. Il terzo blocco (192.168.0.0/16) rappresenta 255 reti di classe C
contigue.

Classe Network Address Range

A da 10.0.0.0 a 10.255.255.255 (10.0.0.0/8)
B da 172.16.0.0 a 172.31.255.255 (176.16.0.0/12)
C da 192.168.0.0 a 192.168.255.255 (192.168.0.0/16)

4
 Network Address Translation
(NAT)
• Tecnica per il filtraggio di pacchetti IP con sostituzione degli indirizzi (o
network masquerading)

• Definito nella RFC 1631 per permettere a reti IP private l’accesso a reti IP
pubbliche tramite un apposito gateway che modifica gli indirizzi IP (del
sorgente e del destinatario) dei pacchetti in transito sul sistema (router o
firewall).
intranet

NAT – Conversione di indirizzo

sorgente
Il NAT può fornire una semplice conversione di indirizzo IP o conversioni contemporanee
di indirizzi IP e numero di porta per presentare all’esterno le macchine di una rete interna
con l’indirizzo e la porta del gateway.
L’host interno 192.168.10.1 vuole contattare un web server pubblico 193.204.101.140
Il client interno dalla porta 3123 contatta il gateway NAT 192.168.10.254.
Il gateway 192.168.10.254 modifica l’IP sorgente con l’IP del gateway 138.16.101.140:1025 e come destinatario
conserva l’IP del web server 137.204.191.140:80.
Il gateway inoltra il pacchetto della richiesta web con i nuovi indirizzi sorgente e destinazione e memorizza queste
informazioni nella propria tabella NAT dinamica .
Il server web risponde al gateway con il proprio indirizzo sorgente e con l’indirizzo destinatario del gateway, il
quale , in base alla tabella NAT provvede a girare al client 192.168.10.1 la pagina html ricevuta.

138.16.101.140
Rete
Intranet 192.168.10.1 NAT gateway pubblica

192.168.10.2 192.168.10.254 138.16.101.140:

1025
192.168.10.3
193.204.101.140:80
Server web

5
 NAT con IPTABLES

Il kernel Linux implementa funzionalità di NAT tramite il pacchetto

applicativo IPTABLES
• Il NAT è definito nella tabella “nat”
• IPTABLES definisce nella tabella “nat” le catene
– PREROUTING: contiene le regole da usare per sostituire l’indirizzo di
destinazione dei pacchetti in arrivo (Destination NAT o DNAT)
– POSTROUTING: contiene le regole da usare per sostituire l’indirizzo di
origine dei pacchetti in uscita (Source NAT o SNAT)
– OUTPUT: contiene le regole da usare per sostituire l’indirizzo di
destinazione dei pacchetti generati localmente (DNAT)
• Se un pacchetto non soddisfa nessuna regola, viene applicata la regola di
default, o “policy”, di quella catena
• La policy “ACCEPT” vuol dire assenza di conversione

IPTABLES: firewall + NAT

6
 Network File System (NFS)

NFS è un insieme di applicazioni client-server per la

condivisione in rete di file system
– Server NFS: su di esso risiede fisicamente il disco in cui è
presente il file system condiviso
– Client NFS: vede i file system condivisi dal server come se
fossero file system locali

Esempio:
1. il server “esporta” il file system /home
2. i client “montano” il file system remoto nella loro directory /
home
3. ciascun utente può accedere da qualunque client alla stessa
home directory

Utilizzo tipico di NFS

Per grandi organizzazioni conviene centralizzare e condividere file system

contenenti informazioni o applicazioni utilizzate da numerosi utenti
/home /var/mail /usr /bin /sbin

Server NFS: demoni

I demoni NFS da attivare sono
– mountd
– nfsd
– statd
– lockd
– rquotad
• Tipicamente i demoni vengono avviati nell’ordine opportuno da appositi
script come nfs e nfslock

7
 Server NFS: configurazione
/etc/exports contiene l’elenco dei file system da esportare quando si avvia il
servizio, con le opzioni e i permessi relativi
[root@nfs-srv root]# cat /etc/exports
/home1 192.185.10.0/255.255.255.0(rw)
/home2 192.185.11.0/255.255.255.0(rw)
/usr 192.185.10.0/255.255.254.0(ro)
/var/log 192.185.10.1(rw,no_root_squash)
Server NFS: esportazione manuale
Il comando exportfs permette di esportare file system quando il servizio è già
avviato, senza modificare /etc/exports
• exportfs permette anche di disabilitare una esportazione attiva
[root@nfs-srv root]# exportfs –v -u 192.185.12.0/24:/home
[root@nfs-srv root]# exportfs –v -o rw 192.185.12.0/24:/home3

Integrazione con reti Microsoft

Le reti Microsoft, cioè basate su sistemi Windows, utilizzano, per la

condivisione di informazioni e risorse, il protocollo SMB
(Server Message Block)
• SMB a sua volta fa uso dell'interfaccia di rete NetBIOS (Network
Basic Input-Output System)

• Con il pacchetto applicativo SAMBA, una macchina Linux è in

grado di utilizzare SMB e quindi può accedere alle risorse
condivise in una rete Microsoft e, a sua volta, mettere a
disposizione della rete risorse proprie
• Per poter funzionare, SAMBA ha bisogno che SMB e NetBIOS
utilizzino TCP/IP

8
 Server SAMBA

Le risorse condivisibili da un server SAMBA possono essere

– file system;
– stampanti;
– elenco delle macchine appartenenti alla stessa rete MS-Windows (master
browser);
– informazioni per l'autenticazione di utenti di un “dominio” MS-Windows
(domain controller);

Un dominio MS-Windows può esseregestito da sistemi Linux grazie a SAMBA

• I demoni attivi su un server SAMBA sono

– smbd fornisce ai client i servizi di condivisione di file system e stampanti
e si occupa dell’autenticazione degli utenti che accedono alle share
– nmbd gestisce la distribuzione dell’elenco delle risorse condivise

Tipicamente questi demoni vengono avviati nell’ordine opportuno da un apposito script

come smb

Network Information Service

NIS è un insieme di applicazioni client-server per la gestione

centralizzata di alcuni servizi amministrativi di rete

• Tipicamente usato per la gestione centralizzata degli utenti

– Server NIS: mantiene le informazioni sugli account utenti
– Client NIS: reperisce le informazioni sugli account utenti dal
server

Un utente che ottiene un account sul server NIS può

accedere a qualunque client NIS

9
 Dominio NIS

Un “dominio” NIS è un insieme di sistemi connessi alla stessa

LAN che condividono le informazioni contenute negli stessi
database NIS (chiamati “mappe”)
– In un dominio NIS deve esserci sempre un server NIS
principale (detto “master server”)
– In un dominio NIS possono esserci altri server NIS secondari
(detti “slave server”)
– Gli slave server mantengono una copia delle mappe del master
server, sincronizzandosi quando avvengono dei cambiamenti
– Gli slave server sono utili per condividere il carico di richieste
e per sostituire il master in caso di guasto

RPC e Portmapper nel NIS

NIS utilizza le “Remote Procedure Calls” (RPC), una modalità

per eseguire applicazioni da remoto
• Il demone “Portmapper”, in ascolto sulla porta 111 UDP e TCP,
fornisce al client le informazioni necessarie per eseguire
l’applicazione richiesta sul server, cioè il numero di porta da
contattare
• Per interrogare un portmapper, si usa il comando
– rpcinfo –p per l’host locale
– rpcinfo –p host per l’host remoto host

10
 Configurazione di un master server
NIS
• Impostazione del nome del dominio NIS tramite il comando
nisdomainname
• File di configurazione: /etc/ypserv.conf
/var/yp/securenets

[root@nis-srv root]# cat /var/yp/securenets

# Esempio di file /var/yp/securenets

# consente la connessione dal localhost (necessario)
255.255.255.255 127.0.0.1
# consente la connessione dalla rete 192.185.10.0/24
255.255.255.0 192.185.10.0

Mappe NIS

• Le mappe NIS sono copie (codificate in formato

DBM) dei file amministrativi contenuti sul server
• Ad esempio, dal file /etc/passwd si generano le mappe
– /var/yp/labreti/passwd.byname
– /var/yp/labreti/passwd.byuid
• dal file /etc/group si generano
– /var/yp/labreti/group.byname
– /var/yp/labreti/group.bygid
• da /etc/shadow si genera
– /var/yp/labreti/shadow.byname

11
 Attivazione di un master server
NIS

1. Impostazione del nome del dominio nisdomainname

labreti
2. Avvio del demone ypserv
3. Creazione delle mappe NIS:
/usr/lib/yp/ypinit –m
4. Per permettere agli utenti dei client di cambiare la
propria password, sul master server deve essere in
funzione anche il demone yppasswdd

Configurazione di un client
NIS
• Impostazione del nome del dominio NIS tramite il
comando nisdomainname
• File di configurazione: /etc/yp.conf
[root@nis-cl root]# cat /etc/yp.conf
# /etc/yp.conf - ypbind configuration file
# Valid entries are
#domain NISDOMAIN server HOSTNAME
# Use server HOSTNAME for the domain NISDOMAIN.
#domain NISDOMAIN broadcast
# Use broadcast on the local net for domain NISDOMAIN
#ypserver HOSTNAME
# Use server HOSTNAME for the local domain. The
# IP-address of server must be listed in /etc/hosts.
ypserver 193.184.10.1

12
 Attivazione di un client NIS

1. Impostazione del nome del dominio

nisdomainname laboretidip
2. Avvio del demone ypbind
3. Verifica del funzionamento
ypwhich
ypwhich -m
ypcat passwd.byname

Servizi di Firewall e NAT

(IPTABLES)

Un Firewall è un “filtro” software

che serve a proteggersi da
accessi indesiderati provenienti
dall’esterno, cioè da Internet.

  Può essere semplicemente un

programma installato sul proprio
PC che protegge quest’ultimo da
attacchi esterni.
  Tipicamente usato in accessi
domestici a larga banda (ADSL,
FTTH).
  Oppure può essere una macchina
dedicata che filtra tutto il traffico da
e per una rete locale Internet

13
 IPTABLES
• Il kernel Linux implementa funzionalità di firewall tramite il pacchetto applicativo
IPTABLES
• IPTABLES definisce nella tabella “filter” tre gruppi di regole di controllo, chiamate
“catene”
– INPUT: contiene le regole per i pacchetti in arrivo al firewall e destinati all’host locale
– OUTPUT: contiene le regole per i pacchetti in uscita dal firewall e originati dall’host locale
– FORWARD: contiene le regole da usare per i pacchetti in arrivo al firewall e destinati ad
altri host

Regole di IPTABLES

• Quando un pacchetto viene processato da una catena, esso è soggetto alle

regole specificate in essa, secondo l’ordine di inserimento
• Una regola può stabilire di scartare (DROP), rifiutare
(REJECT) o di accettare (ACCEPT) un pacchetto in base a
– Interfaccia di rete coinvolta
– Indirizzo IP di origine
– Indirizzo IP di destinazione
– Protocollo (TCP, UDP, ICMP)
– Porta TCP o UDP di origine
– Porta TCP o UDP di destinazione
– Tipo di messaggio ICMP
• Se un pacchetto non soddisfa nessuna regola, viene applicata la regola di
default, o “policy”, di quella catena

14
 INTRANET e DMZ
  Il termine DMZ (DeMilitarized
Zone), indica una parte di una rete
locale destinata a fornire servizi
all'esterno: ad esempio un server
Web, un server di posta elettronica o
simili e per questo sottoposta a criteri
di sicurezza meno stringenti rispetto
alla parte restante della LAN.
  I nodi di rete della "Intranet" sono
protetti da un firewall che impedisce
l'accesso dall'esterno per motivi di
sicurezza.
  I due server che invece devono
consentire l'accesso esterno vengono
collocati in un'area DMZ non
protetta dal firewall o, più
frequentemente, anch'essa protetta,
ma con criteri diversi.

Un altro esempio di servizio nella Intranet

  SharePoint è un nuovo servizio offerto da Office XP.

  Semplifica l’attività di gestione di una Intranet, e ne aumenta in modo
considerevole le potenzialità.
  É uno utile per i lavori di gruppo, dove è necessario che gli utenti
comunichino tra loro (anche se remoti).
  Si installa come estensione di un server web di una Intranet.
  Necessita di W2K, di Internet Information Server e del motore del database
SQL.
  SharePoint si trova nella cartella
SHAREPT del CD di FrontPage
o di Office XP

15
 I servizi di SharePoint

  Raccolta documenti, cartelle personalizzabili, per la

memorizzazione e condivisione di documenti.
  Aree discussioni che permettono ai membri di condurre
discussioni in linea.
  Elenchi standard che consentono ai membri del team di inviare
annunci, descrizioni dei contatti, avvisi di eventi, collegamenti
Internet preferiti, sondaggi per la raccolta di risposte dai membri
e riepiloghi di attività che necessitano di essere eseguite.
  Elenchi personalizzati per la condivisione di qualsiasi tipo di
informazione.

16