960 likes | 1.2k Vues
Prof. Edgard Jamhour. Redes TCP/IP. Endereçamento Internet e Intranet. Internet = REDE TCP/IP. Topologia Física da Internet. Infra-estrutura de Comunicação. 200.0.0.1. PROVEDOR. INTERNET BACKBONES. clientes. PROVEDOR. Servidor Web. 10.0.0.1. PROVEDOR.
E N D
Prof. Edgard Jamhour Redes TCP/IP
Infra-estrutura de Comunicação 200.0.0.1 PROVEDOR INTERNET BACKBONES clientes PROVEDOR Servidor Web 10.0.0.1 PROVEDOR Informação e Dados Disponibilizados 10.0.0.1 clientes
Padrões da Internet • Conceito: Documentação referentes a protocolos, padrões e políticas, publicadas para permitir que diferentes fabricantes forneçam produtos compatíveis com a internet.
Padrões na Internet • IAB: (The Internet Architecutre Board). • IETF: (The Internet Engineering Task Force). Grupo de trabalho que identifica, prioriza e endereça assuntos considerados de curto prazo, incluindo protocolos, arquitetura e operações de serviços. • RFC: (Request for Comment). Denominação dada aos documentos que especificam padrões e serviços para Internet e para a arquitetura TCP/IP. • IANA (The Internet Assigned Numbers Authority). Organização internacional responsável por coordenar a distribuição de endereços IP entre as diversas redes de computadores que se conectam a Internet. • ISOC (The Internet Society).
Endereços na Internet • Conceito: A atribuição de endereços IP para os computadores que se conectam a Internet é coordenada por autoridades de abrangência mundial, de maneira a evitar a duplicação e a má distribuição de endereços.
Conexão de Intranets com a Internet • Tipos de hosts numa empresa: • Hosts acessíveis apenas internamente. • Hosts acessíveis tanto internamente quanto externamente. • As regras para atribuições de endereços IPs com diferentes graus de conectividade com o mundo externo são definidas pela RFC 1918. • Hosts categoria 1: • Hosts que se comunicam APENAS INTERNAMENTE. • Hosts categoria 2: • Hosts que se comunicam INDIRETAMENTE com o mundo externo. • Hosts categoria 3: • Hosts que se comunicam DIRETAMENTE com o mundo externo.
Motivação – Falta de IP’s e Segurança • Desperdício de IP’s: • MIT tem 16,843,008. • USC tem 16,911,360. • General Electric tem 17,206,528. • IBM tem 17,542,656. • AT&T tem 19,800,320 • O Brazil tem mais de 65% de seus endereços já utilizados.
Endereços na Intranet: RFC 1918 REGRA: • A RFC 1918 recomenda que os roteadores em redes que não estiverem usando um espaço de endereço privado, especialmente aqueles provedores de serviço Internet, devem configurar seu roteadores para rejeitar a informação de roteamento sobre as redes privadas (Feb, 1996).
Classes de Endereçamento ENDEREÇOS FRIOS (CATEGORIA 1) 1 REDE CLASSE A: 10.0.0.0 a 10.255.255.255 16 REDES CLASSE B: 172.16.0.0 a 172.31.255.255 256 REDES CLASSE C: 192.168.0.0 a 192.168.255.255
Servidor Proxy • O Proxy é geralmente implementado através de um computador com duas interfaces de rede, uma conectada a rede interna e a outra a rede externa. • Quando uma aplicação cliente necessita acessar informações de um servidor externo, ele efetua o pedido ao servidor proxy. • O servidor proxy contata o servidor externo e retorna o resultado ao cliente. INTERNET INTRANET IP FRIO IP QUENTE
Servidor Proxy • O Proxy = Gateway de aplicação • Para funcionar o proxy analisa o conteúdo do protocolo da aplicação. COMPUTADORES INTERNOS NA EMPRESA ACESSO AS REDES EXTERNAS IP FRIO IP QUENTE INTRANET INTERNET
IPF-A IPQ-D IPF-C IPQ-E dados dados 3 2 1 PROXY Rede Interna Rede Não Protegida IP frio ROUTER IP quente servidor IPF-D IPQ-E Internet IPF-C IPQ-D IPF-B IP quente IPF-A
IPF-A IPQ-D IPF-C IPQ-E dados dados Problemas com o Proxy • Como o proxy determina o endereço do destinatário? IPQ-D IPF-C IPF-A ? IPQ-E IP QUENTE IP FRIO
Proxy depende da Aplicação Cada protocolo da camada de aplicação formada seu cabeçalho de maneira diferente. Endereço Aplicações DADOS Protolco de Aplicação HTTP, FTP, SMTP, etc aplicação Seqüência de empacotamento TCP, UDP transporte IP pacote Data Link Ethernet, Token Ring, FDDI, etc quadro Física física
O Proxy Depende da Aplicação • Numa rede conectada através de Proxy, os serviços disponibilizados pelos usuários são limitados aos serviços que o Proxy é capaz de compreender. PROXY HTTP PROXY FTP PROXY SMTP IP FRIO IP QUENTE INTERNET INTRANET
Socks Proxy • Um proxy pode ser configurado de duas maneiras: • A) Em cada aplicação cliente • Browser, FTP, etc. • B) No sistema operacional • Substituindo o driver de sockets. • Neste caso, o cliente e o proxy conversam através de um protocolo denominado Socks. Aplicação Aplicação Socks Sockets TCP UDP WinSock IP
Procolo Socks • A versão corrente do protocolo SOCKs é 5.0 • RFC1928: suporta TCP , UDP e autenticação • As implementações atuais, entretanto, estão na versão 4 • Suporta apenas TCP. • Algumas soluções proprietárias suportam também ICMP. CONNECT: IP_Destino, Porta_Destino, UserID IP destino, Porta Destino PORTA Server PORTA Socks Proxy Cliente Socks
Outras Funções do Proxy • Os proxys podem executar ainda as funções de: • Autenticação • Cache • Restrição de Acesso: Por conteúdo, IP, Hora do Dia, etc. Banco de Dados PROXY
NAT: Network Address Translation • Permite traduzir endereços privados em endereços registrados. • Seu funcionamento é definido pela RFC 1631 • A função de NAT é geralmente executada por: • ROTEADORES, FIREWALLS OU APLICATIVOS INSTALADOS EM COMPUTADORES COM DUAS PLACAS DE REDE • EM TODOS OS CASOS, OS CLIENTES SÃO CONFIGURADOS PARA UTILIZAR O DISPOSITIVO DE NAT COMO ROTEADOR.
Tipos de NAT • Traduções: • One-TO-Many (Dinâmico) • Traduzir vários IP’s para um único • Funcionamento similar ao Proxy (mais usual) • Many-TO-Many (Estático) • Traduzir um grupo de IP’s para outro grupo de IP’s IPf1 IPf1 IPQ1 IPf2 IPQ1 IPf2 IPQ2 IPQ3 IPf3 IPf3
200.17.98.24 IP_INTERNET APLICAÇÃO IP_INTERNET APLICAÇÃO 192.168.0.? IP_INTERNET 192.168.0.? APLICAÇÃO IP_INTERNET 200.17.98.24 APLICAÇÃO NAT: Implementado em Roteadores ou Firewalls 192.168.0.10 192.168.0.11 192.168.0.12 INTERNET REDE INTERNA 192.168.0.254 200.17.98.24
LIMITAÇÕES DO NAT • NAT permite apenas que clientes internos acessem servidores externos: • Um computador com IP privado funcionará apenas como cliente. • Além da troca dos IPs, muitos parâmetros precisam ser recalculados: • IP checksum e TCP checksum • Estas operações diminuem a velociade do roteador.
LIMITAÇÕES DO NAT • O NAT não funcionará em protocolos onde o IP apareça em um campo do protocolo de aplicação se: • O protocolo de aplicação não for conhecido pelo dispositivo de NAT. • O protocolo de aplicação estiver criptografado. • O NAT utiliza tabelas internas para mapear conexões ativas: • Tabelas grandes levam a baixo desempenho. • As entradas das tabelas tem um tempo de vida pré-determinado. • Se a resposta não retornar nesse tempo, a entrada é eliminada.
TIPOS DE NA • NAT Estático • Mapeia um Endereço IP em Outro • O número de Endereços Privados é igual ao Número de Nedereços Públicos • Converte apenas endereços IP • NAT Dinâmico • Mapeia um Endereço IP público em vários endereços Privados • Utiliza informação das portas UDP e TCP para fazer o mapeamento. • Usualmente chamado de • PAT: Port Address Translation (PAT) ou • NAPT: Networ and Address Port Translation
NAPT (Network Address and Port Translation) client Private IP:Port 10.0.0.1:1024 10.0.0.2:1024 10.0.0.3:1025 Public IP:Port 200.0.0.1:1025 200.0.0.1:1026 200.0.0.1:1027 reply request 1024 Server 10.0.0.1 NAPT 1025 1026 1024 1027 Internet 10.0.0.2 200.0.0.1 Public IP 1025 10.0.0.3
PAT = IP Masquerading = NAPT • O mapeamento é feito pela porta de Origem. Caso a porta de origem já tenha sido utilizada, o Roteador escolhe uma outra porta livre. IPA 1030 IPR - 1030 IPR 1030 IPR - 1050 IPA 1030 – IPR 1030 1040 IPR - 1040 IPB 1040 – IPR 1040 IPB IPB 1030 – IPR 1050
Soluções Reversas • Existem soluções de Proxy e NAT reversos, utilizados para permitir que computadores com IP frio funcionem como servidores. IP_A Proxy NAT IP_R 8001 80 IP_B 8002 80
Host Categoria 3 • Hosts categoria 3 precisam ser protegidos por filtros de pacotes (firewall) para não ficarem expostos a rede externa.
Arquitetura Cliente-Servidor • As categorias de Hosts se aplicam tanto a clientes quanto a servidores.
Filtragem de Pacotes • A filtragem de pacotes é feita com base nas informações contidas no cabeçalho do pacotes e das informações sobre as portas. PORTA PORTA IP IP PORTA PORTA PORTA PORTA PORTA IP IP PORTA PORTA PORTA IP PORTA PORTA IP PORTA PORTA IPorigem IPdestino Portaorigem Portadestino PACOTE
Relação entre as categorias e os termos Internet, Intranet e Extranet? Extranet WAN Privada??? (categoria 1 ou 3) WWW e TCP/IP Internet Intranet WAN Pública (categoria 3) LAN (categoria 1)
Tecnologia de Tunelamento • Criptografia baseada em chaves Extranets = VPN (Virtual Private Networks) EMPRESA FILIAL REDE B REDE A
TUNELAMENTO • Tunelamento é o princípio de colocar uma estrutura de informação dentro da outra. • Por exemplo, o tunelamento nível 3 consiste em colocar um pacote dento do outro. PACOTE INTERNO QUADRO PACOTE EXTERNO IPQUENTE IPQUENTE IPFRIO IPFRIO DADOS EVENTUALMENTE CRIPTOGRADO
IPF1 IPF4 DADOS IPF1 IPF4 DADOS IPQ1 IPQ2 IPF IPF DADOS Exemplo IPF1 IPF2 IPF3 IPF4 IPF IPF REDE A REDE B IPQ1 IPQ2 TODO O PACOTE, INCLUINDO O CABEÇALHO É CRIPTOGRAFADO. XXXXXXXXXXXXXXXX
DNS - Domain Name Service • Padrão Aberto para Resolução de Nomes Hierárquicos • Agrupa nomes em domínios. • A árvore de nomes é armazenada num banco de dados distribuído. • Especificações do DNS • RFCs 1033, 1034, 1034, 1101, 1123, 1183 e 1536. • Expecificações da Internet Task Force • Berkeley Internet Name Domain (BIND) • Implementação desenvolvida na Berkley University para a versão 4.3 SD Unix
Serviço DNS Serviço DNS Servidor DNS Nome? IP Nome? IPB um ou mais servidores armazenam um banco de dados distribuídos
Nome de Domínio • Os nomes Hierárquicos utilizados pelo DNS são chamados FQDN: • Fully Qualified Domain Name • Exemplo: • www.pucpr.br • www: nome do host • pucpr: nome de domínio • br: nome de domínio • Nome de domínio: • Coleção de HOSTS ou de outros domínios.
Árvore de nomes RAIZ br br Pucpr pucpr ufpr Ufpr www ppgia www ppgia www www FOLHA
Banco de Dados Distribuídos • No serviço DNS, os nomes estão armazenados em ZONAS. Zonas são arquivos textos que contém os nomes de um ou mais domínios. br RAIZ ZONA .br ZONA pucpr.br ZONA ufpr.br pucpr ufpr ppgia www www www