Endereçamento Privado Proxy e NAT

Transcrição

1 Endereçamento Privado Proxy e NAT Redes de Computadores II

2 Motivação para o Endereçamento IP Privado Esgotamento de Endereços IPv4 Blocos de endereços /8 disponíveis Previsão inicial de esgotamento 1994

3 Autoridades de Registro de Endereço IANA ARIN RIPE NCC AfriNIC LACNIC APNIC América do Norte Europa, Oriente e Asia Central Africa América Latina e Caribe Ásia e Pacífico RIR: Autoridade de Registro Regional

4 Endereços Privados: RFC 1918 Prefixo Faixa de Endereços Descrição / a / a / a Uma rede de endereços classe A. 16 redes contíguas de endereços classe B. 256 redes contíguas de endereços classe C.

5 IP Privado = Não roteável pela internet origem destino Internet Os roteadores divulgam os endereços IPs de sua rede usando o protocolo de roteamento BGP. MAS, é PROIBIDO divulgar endereços privados

6 Tipos de Hosts (RFC 1918) Categoria I: clientes e servidores sem conexão com a Internet Clientes acessam apenas servidores internos Servidores não são acessíveis pela internet IP privado IP privado IP privado sw sw

7 Tipos de Hosts (RFC 1918) Categoria II: clientes e servidores privados Clientes acessam servidores internos e externos Servidores internos não são acessíveis pela Internet O roteador que conecta a rede a Internet precisa de um tradutor de endereço IP público IP privado IP privado IP público roteador com função de tradução de IP sw NAT Internet IP privado IP público

8 Tipos de Hosts (RFC 1918) Categoria III: servidores públicos Clientes externos podem acessar a servidores Internos Roteadores não precisam de tradutor de IP Essas redes precisam ser protegidas com firewall IP privado IP público IP público NAT sw Internet

9 Topologia mais usual IP privado IP privado IP público IP público sw sw IP privado IP público NAT REGRA: faz NAT para apenas se o IP de origem pertencer a rede /24 Internet

10 Tradutores de Endereço Implementados em Roteadores: NAT (Network Address Translation) NAPT (Network Address and Port Translation) Implementados em Servidores: Proxy de Aplicação Proxy Socks.

11 Mapeamento Estático e Dinâmico Estático: Mapeamentos configurados pelo administrador Um endereço IP privado é sempre mapeado no mesmo IP público Dinâmico. O mapeamento acontece apenas quando o cliente envia o primeiro pacote através do roteador O mapeamento é desfeito quando não for mais usado TCP: dura toda a conexão UDP: expira por falta de uso (3 a 5 min)

12 NAT: Network Address Translation Mapeamento 1 para 1: Cada IP privado é mapeado em um único IP público Mapeamento estático: Se o número IPs públicos = número de IPs privados Mapeamento dinâmico: Se o número IPs públicos < número de IPs privados Pool de endereços públicos IP privado1 NAT IP público1 IP privado2 IP público2 IP privado3 IP público3 TABELA DE MAPEAMENTO IP privado1 = IP público1 IP privado2 = IP público2 IP privado3 = IP público3

13 NAPT: Network Address and Port Translation Mapeamento 1 para muitos: Muitos IP privados no mesmo IP público O mapeamento é dinâmico Apenas 1 IP público é suficiente IP privado1 NAT IP público1: Porta 1 IP privado2 IP público1: Porta 2 IP privado3 IP público1: Porta 3 TABELA DE MAPEAMENTO IP privado2 = IP público1: Porta 1 IP privado2 = IP público1: Porta 2 IP privado3 = IP público1: Porta 3

14 Portas O NAPT traduz a porta de origem usada pela aplicação cliente Atualmente a faixa livre de tradução está entre e Sistemas mais antigos ainda consideram que todas as portas acima de 1024 são dinâmicas.

15 Tipos de NAT O cliente é mantém o mesmo IP público e porta em qualquer comunicação. Qualquer computador externo pode enviar pacotes para um mapeamento existente. Semelhante ao Full Cone, mas apenas hosts externos previamente endereçados (independente da porta) podem usar mapeamentos existentes.

16 Tipos de NAT Semelhante ao Restricted Cone, mas hosts externos se comunicam com o cliente usando apenas a sua porta contatada pelo cliente interno. Utiliza mapeamento de porta e IP diferentes para destinos diferentes. Apenas os hosts externos previamente endereçados podem enviar pacotes ao cliente

17 SNAT e DNAT Interface de Entrada Interface de Saída Pré-Roteamento [DNAT] roteamento Pós-Roteamento [SNAT] decisão sobre o encaminhamento do pacote O NAT pode ter efeito sobre regras de Firewall e QoS

18 Source NAT e Destination NAT Source NAT: SNAT Altera o endereço de origem do pacote Mapeamento dinâmico É implementado após a ação de roteamento (pós-roteamento). Masquerading Destination NAT: DNAT Altera o endereço de destino do pacote Mapeamento estático É implementado antes do roteamento (pré-roteamento). Redirecionamento de Portas Balanceamento de Carga Proxies transparentes

19 Source NAT checksum checksum checksum checksum3 Mapeamento dinâmico dos endereços de origem interno externo O checksum precisa ser recalculado IPv4 Privado IPv4 Público interno externo to

20 NAT (IPTABLES) SNAT para endereço fixo: iptables -t nat -A POSTROUTING -j SNAT -o eth0 --to SNAT com pool de endereços: iptables -t nat -A POSTROUTING -j SNAT -o eth0 --to Masquerading efetua o mapeamento ao IP atribuído a interface iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0

21 Source NAPT Mapeamento dinâmico dos endereços de origem interno externo : : : : : :1026 O checksum precisa ser recalculado IPv4 Privado IPv4 Público interno externo

22 SNAPT no Linux O Linux implementa SNAPT sempre que necessário de forma automática, mas mantém a troca das portas no interior de classes: Portas abaixo de 512 Portas entre 512 and 1023 Portas acima de 1024 Exemplo: altera o endereço de origem para , usando as portas , apenas para TCP iptables -t nat -A POSTROUTING -j SNAT -p tcp -o eth0 --to

23 Destination NAPT Mapeamento estático dos endereços de destino interno externo : : : : : :8080 IPv4 Privado IPv4 Público O domínio é mapeado no endereço do roteador = interno externo

24 DNAT no Linux Pacotes recebidos na porta 8080 são enviados para na porta 80. iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport to :80 Pacotes recebidos na porta 80 são direcionados para 3128 (Proxy Squid) iptables -t nat -A PREROUTING -j REDIRECT -i eth0 -p tcp --dport 80 --to-port 3128 Faz balanceamento de carga de até iptables -t nat -A PREROUTING -j DNAT -i eth0 --to

25 FTP Ativo X Passivo Ativo Passivo

26 Tipos de FTP: Ativo X Passivo O FTP usa uma conexão de comando, e outra para transferência de dados. Duas formas de operação: PORT (Ativo) O cliente conecta-se a porta 21 do servidor FTP pela porta N (>1023) O cliente envia o comando PORT indicado que aguarda uma conexão na porta N+1 O servidor se conecta ao cliente pela porta 20. PASV (Passivo). O cliente conecta-se a porta 21 do servidor FTP O cliente envia um comando PASV indicado que deseja se conectar em modo passivo. O servidor abre uma porta aleatória para receber a conexão de dados, e informa essa porta para o cliente através da conexão de comando.

27 FTP Ativo funciona com (S)NAT? PORT : PORT : 1027 Analisar o protocolo de aplicação requer Deep Packet Inspection DATA interno externo cmd cmd IPv4 Privado data data 20 IPv4 Público

28 Carrier Grade NAT (CGN) Na abordagem convencional, os usuários residenciais (CPE) precisam de pelo menos um IP público. A abordagem CGN permite atribuir endereços IP privados aos usuários e efetuar a conversão no interior da rede do ISP. PERGUNTA: É possível fazer DNAT com CGN?

29 NAT Traversal Conjunto de técnicas que procuram resolver problemas causados pelo NAT. ICE (Interactive Connectivity Establishment): Protocolo de Negociação para NAT traversal A) NAT hole punching Utiliza servidores externos para informar o mapeamento Usado pelo Skype

30 STUN e TURN STUN: Session Traversal Utilities for NAT Conjunto de métodos padronizados para fazer Hole Punching Usado pelo SIP (sinalização do VoIP) e WebRTC (RTC via Javascript) Não funciona com Symmetric NAT TURN: Traversal Using Relays around NAT Extensão do STUN para sportar Symetric NAT

31 upnp IGD upnp: Universal Plug and Play Mecanismo de descoberta e autoconfiguração de dispositivos e serviços de rede upnp IGD: Internet Gateway Device Protocolo que permite efetuar mapeamento de porta automaticamente em roteadores Descobre o endereço público Descobre mapeamentos existentes Cria mapeamentos de porta temporários Considerado potencialmente perigoso, especialmente se o protocolo for habilitado na porta externa Similares: NAT-PMP: NAT Port Mapping Protocol (2005, Apple) PCP: Port Control Protocol (2013, IETF) Importante na Integração IPv4 vs IPv6

32 Exemplos upnp IGP define uma API que pode ser usada por aplicações que precisam escutar novas sessões; GetListOfPortMappings() AddPortMapping() AddAnyPortMapping() Microtorrent Determina portas externas disponíveis e efetua o mapeamento Azureus, Shareazav e Emule Tenta efetuar o mapeamento em uma porta externa fixa

33 NAT X Forwarding Proxy Uma conexão TCP IPv4 Privado NAT IPv4 Network Duas conexões TCP IPv4 Privado Proxy IPv4 Network

34 NAT X Proxy CLIENTE HTTP TCP ROTEAMENTO + NAT SERVIDOR HTTP TCP IP Privado IP Privado IP Público IP Privado Ethernet Ethernet Ethernet Ethernet PROXY DE APLICAÇÃO CLIENTE HTTP HTTP SERVIDOR HTTP HTTP TCP TCP TCP TCP IP Privado IP Privado IP Público IP Privado Ethernet Ethernet Ethernet Ethernet

35 Proxy Aplicação vs Proxy Socks Proxy de Aplicação Utiliza informações dos protocolos da camada de aplicação Suporta apenas protocolos de aplicação conhecidos Proxy SOCKS. Não usa informações da camada de transporte Pode suportar virtualmente qualquer tipo de aplicação, de forma semelhante ao NAT. Aplicação Proxy HTTP HTTP TCP TCP IP Privado IP Público Ethernet Ethernet Proxy Socks TCP/UDP TCP/UDP IP Privado IP Público Ethernet Ethernet

36 Como o proxy determina o endereço do destinatário? No proxy de aplicação: O endereço e a porta do destinatário são descobertos analisando as informações contidas no cabeçalho de aplicação (usualmente HTTP). IP cliente IP Proxy cliente protocolo aplicação... endereço do servidor Proxy IP Proxy IP servidor protocolo aplicação... endereço do servidor servidor No proxy SOCKS: O cliente envia explicitamente uma ordem de redirecionamento antes de submeter o pacote de dados. IP cliente IP cliente IP Proxy IP Proxy Protocolo SOCKS: redirecione ao servidor protocolo de aplicação... dados IP Proxy IP servidor protocolo de aplicação... dados cliente Proxy servidor

37 Proxy de Aplicação Seqüência de empacotamento HTTP, FTP, SSH, etc. TCP, UDP IP Ethernet, PPP, etc. segmento TCP datagrama UDP pacote aplicação quadro HTTP FTP SSH O proxy de aplicação precisa interpretar as informações do protocolo de aplicação (dispositivo de camada 7)

38 Forward Application Proxy GET /~jamhour/tde.html HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n IPv4 Privado Proxy IPv4 Network GET /~jamhour/tde.html HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n

39 HTTP Messages

40 Absolute URI URIs absolutas eram usadas em HTTP 1.0, mas não são necessárias no HTTP 1.1, pois o campo Host foi incluído. Mas quando o proxy é configurado no navegador Web a requisição é alterada, e passa a incluir URI absolutas.

41 Proxy de Aplicação: Deep Packet Inspection SMTP HELO... MAIL FROM... RCPT TO... DATA... CRLF CRLF QUIT... HTTP GET... Host... Accept-Language... Accept-Encoding... User-Agent... Content-Length:... Cada protocolo de aplicação possui uma estrutura diferente, então é impossível fazer um proxy capaz de interpretar qualquer aplicação

42 Proxy Auto-Configuration (PAC) file function FindProxyForURL(url,host) { if(isinnet(host, " ", " ") isinnet(host, " ", " ") url.substring(0, 4) == "ftp:") { return "DIRECT"; } else { return "PROXY :3128"; } }

43 Mapeamento de Conexões pelo Proxy O Proxy move os dados recebidos de um SOCKET para outro Conexão TCP do cliente ao proxy Conexão TCP do proxy até o destino :1024 => : :1024=> : :1024=> : :1025=> : :1025=> : :1026=> :80 IPv4 Privado IPv4 Público Proxy

44 Mapeamento de Conexões pelo Proxy Semelhante ao NAPT, permite compartilhar inúmeros IPs privados com um único IP público. Proxy recebe conexões dos clientes internos em uma porta fixa Proxy abre conexões para servidores externos usando uma porta aleatória O HTTP encerra a conexão com o servidor assim que as informações de uma página Web são recebidas por completo.

45 Outras Funções do Proxy de Aplicação Controle de acesso por login Filtragem de endereços e conteúdo. Cache de objetos Web Filtragem de Virus e Malware Proxy de Aplicação GET Cache HTTP/ OK\r\n GET GET HTTP/ OK\r\n HTTP/ Not Modified\r\n

46 Serviços Adicionais do Proxy 1. Cache de objetos HTTP: armazena objetos mais acessados em cache permite reduzir a banda utilizada do link com a Internet. 2. Autenticação: controla o acesso a Internet através de um pedido de autenticação para usuário. 3. Filtragem de endereços URL: proíbe o acesso a certos endereços na Internet. 4. Filtragem de conteúdo: proíbe a transferência de objetos com certos tipos MIME (video, áudio, executáveis, etc.) 5. Bloqueio e remoção de virus e malware: proibe a entrega de objetos com virus ou algum tipo de malware.

47 Proxy HTTPS: HTTP Connect

48 Proxy Socks user jamhour want connect to :80 request granted user jamhour want bind to :80 bind on :4000 proxy socks IPv4 cliente servidor

49 Versão 4: Suporte apenas ao TCP Versões do SOCKS Versão 5: Suporte a TCP e UDP, e suporte a autenticação

50 Proxy Socks aplicação biblioteca sockets modificada S.O. configuração global para todos os aplicativos TCP UDP proxy SOCKS IP servidor cliente UDP modificado com SOCKS ou TCP + SOCKS TCP ou UDP não modificado IPv4

51 Forward Proxy vs Reverse Proxy Exemplos: Servidor web IPv4 Servidor web roteador firewall Proxy Reverso Servidor web

52 Conclusão IP privado motivado pelo esgotamento de endereços IPv4 no início dos anos 90 poucas limitações para hosts clientes muitas limitante para hosts servidores forma mais segura de se navegar pela Internet NATs uso transparente para os clientes pouco limitantes em relação as aplicações suportadas incapazes de prestar serviços dependentes da camada de aplicação, como cache HTTP Proxy seu uso não é transparente (exige configuração) quebram o modelo cliente-servidor menos escaláveis que os NATs proxies de aplicação podem prestar inúmeros serviços adicionais que melhoram a segurança e o desempenho da rede.