Rede de Computadores Conceitos, Topologias e Arquitetura

Transcrição

1 Rede de Computadores Conceitos, Topologias e Arquitetura Engenharia da Computação - 6o período Hélio Marques Sobrinho hmarx@linuxtech.com.br 1 / 159

2 Horários das aulas Quata e Quinta 19:00 às 20:40 2 / 159

3 Bibliografia Referências Computer Networks Unix Network Programming Andrew S. Tanenbaum Richard Stevens Manuais, tutoriais e livros Linux Documentation Projects E muito mais! A Internet! Vejam: 3 / 159

4 Conceitos Rede de computadores Interligação dispositivos computacionais Motivo Compartilhamento de elementos computacionais internet Interconexão de redes Processamento, Memória, Dispositivos e Informação Como os elementos estão conectados Arquitetura Projeto da rede e seus componentes 4 / 159

5 Classificação de Redes Escala LAN - Local Area Networks MAN - Metropolitan Area Networks WAN - Wide Area Networks Escopo WLAN - Wireless Local Area Network SAN Storage Area Network Server Area Network DAN - Desk Area Network PAN - Person Area Network CAN - Campus Area Network... 5 / 159

6 Topologias 6 / 159

7 Arquitetura Tipo de rede Com fio (coaxial, UTP, fibra óptica,...) Sem fio (RF) Elementos de conexão/comunicação Hubs, switches, modems, roteadores, antenas, 7 / 159

8 Rede com cabo coaxial 8 / 159

9 Rede com UTP/STP 9 / 159

10 Rede UTP/STP 10 / 159

11 Redes sem fio Wireless IEEE a, 80211b, 80211g, 80211n,... WiFi, Wi-max, Bluetooth Rádios e antenas 11 / 159

12 Canais em rede b 12 / 159

13 Overlap de canais 13 / 159

14 Propagação do sinal Setorial / parabólica omni 14 / 159

15 Protocolos Protocolos Controle, comunicação e monitoramento Regras Sintaxe e semântica da comunicação Conexão e desconexão Formato de pacotes/mensagens Sequência de transmissão/recepção de pacotes/mensagens Detecção de erros e retransmissão 15 / 159

16 Regras de comunicação 16 / 159

17 Protocolo RS232C? Ethernet? Wireless? TCP/IP? SMB? BSC3? AppleTalk? NCP? HTTP???? ASCII? EBCDIC? UTF-8? ISO ? 17 / 159

18 Protocolo 18 / 159

19 Modelo de referência OSI - ISO OSI Open Systems Interconnection ISO International Organization for Standardization 20 / 159

20 Camada física (1) Definições físicas Mecânicas, ópticas, elétricas e eletromagnéticas Representação da informação Variações das grandezas Tensão, corrente, frequência, fase, / 159

21 Modulação de sinais Phase 22 / 159

22 Representação dos bits 23 / 159

23 RS-232C - DB9 24 / 159

24 RS232-C DB25 25 / 159

25 Conector RJ45 26 / 159

26 Sinais no RJ45 27 / 159

27 Cabeamento padrão TIA/EIA 28 / 159

28 Camada de enlace (2) Controle de fluxo de dados Transmissão dos dados Detecção e correção de erros Controle de acesso ao meio físico 29 / 159

29 Formatação de um pacote 30 / 159

30 Camada de rede (3) Endereços dos nodos Roteamento das informações Controle de qualidade de serviço Pacote IPv4 31 / 159

31 Camada de transporte (4) Transferência transparente das informações Controle de qualidade do enlace Segmentação e remontagem de mensagens Controle de conexão Controle de retransmissão 32 / 159

32 Camada de sessão (5) Gerência de conexão entre aplicações remotas Camada de apresentação (6) Tratamento de representação dos dados Codificação, tamanho de palavras, little/big endian, ASCII,EBCDIC, ISO , UTF8,... Sintaxe e semântica dos nodos 33 / 159

33 Camada de aplicação (7) Interface de serviços e aplicativos para o usuário Serviços multi camadas MPLS : Multi Protocol Level Switch Camadas 2 e 3 ARP : Address Resolution Protocol Camadas 2 e 3 34 / 159

34 Protocolos no modelo OSI 35 / 159

35 NetBios 36 / 159

36 Protocolo SMB 37 / 159

37 Internet Conceito internet = Interconnected Networks Internet = a rede global de computadores Órgãos reguladores ICANN - Internet Corporation for Assigned Names and Numbers IANA - Internet Assigned Numbers Authority IETF - Internet Engineering Task Force IAB - Internet Architecture Board ISOC Internet Society IESG Internet Engineering Steering Group 38 / 159

38 No Brasil CGI.br - Comitê Gestor de Internet Subordinado ao Ministério de Ciência e Tecnologia Registro.br Registro de domínios do TLD.br Alocação de blocos de IPs 39 / 159

39 Padrões da Internet W3C.org World Wide web Consortium HTML CSS Java script Gráficos Áudio Vídeo / 159

40 Domínios 41 / 159

41 O TCP/IP 42 / 159

42 Protocolos no TCP/IP 43 / 159

43 NBT NetBIOS over TCP/IP 44 / 159

44 Configuração do TCP/IP Endereços e nomes IPv4, IPv6 DNS e DNS reverso NetBios,NBT,SPX,NCP,AppleTalk,... Serviços Protocolos e portos Exemplos: HTTP 80, SSH 22, POP3 110,... Roteamentos Regras, máscaras, redirecionamentos 45 / 159

45 Endereçamento IPv4 Número de 32 bits 4 números de 8 bits (0 a 255) formato w.x.y.z = 192* * = * hmarx@athena:~> ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.489 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.379 ms 64 bytes from : icmp_seq=3 ttl=64 time=0.399 ms ping statistics --3 packets transmitted, 3 received, 0% packet loss, time 1998ms rtt min/avg/max/mdev = 0.379/0.422/0.489/0.050 ms hmarx@athena:~> 46 / 159

46 Classes do IPv4 Host Id = 0 é o endereço da rede Host Id = 2IPS -1 é o endereço de broadcast 47 / 159

47 Exemplo /26 HostId tem (32-26) = 6 bits => 26 IPs = 64 IPs Endereços Rede: Nodos: a Broadcast: Máscara: / 159

48 Endereços Privados Não são roteáveis na Internet Devem ser mascarados ou encapsulados 49 / 159

49 Máscaras Notações IP e máscara no formato w.x.y.z IP/N /24 : uma rede ou sub-rede /32 : um IP específico 50 / 159

50 Roteamento IP de destino Gateway Máscara netstat -rn Kernel IP routing table Destination Gateway Genmask Flags UG U U U MSS Window irtt Iface eth0 lo eth0 eth0 Rota default: Genmask = / 159

51 Sub-redes R + H = 32! N bits de HostId são adicionados ao NetId : Gerando assim 2N subclasses com 2 H-N IPs 52 / 159

52 IPv6 Número de 128 bits Representação em hexadecimal Exemplos: ::1/128 fe80::201:2ff:feec:229a 53 / 159

53 Tipos de endereço 54 / 159

54 Exemplos de escopo Loopback ::1/128 Scope:Host Link local Prefixo fe8 a feb MAC 00:01:02:EC:22:9A fe80::201:2ff:feec:229a/64 Scope:Link Sites locais Prefixo fec0::/10 IPv4 compatível 55 / 159

55 Nomes - DNS InterNIC Network Information Center Registrars Brasil: Registro.br Domíno : www. linuxtech.com.br. Resolução:. br com linuxtech } IP: / 159

56 DNS reverso Resolução de Nomes/IPs linuxtech.com.br A PTR ns.linuxtech.com.br. 57 / 159

57 Serviços e Protocolos LDAP ICMP DNS IGMP NIS HTTP RDP WHOIS FTP TCP HTTPS RCP UDP SFTP NTP SCP SMB NCP FINGER NetBIOS RSVP OSPF BGP SMTP POP IMAP NFS e muito mais! 58 / 159

58 Protocolo HTTP 59 / 159

59 Requisição do Browser GET /fac/lpress/demo.htm HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MathPlayer 2.0; SV1;.NET CLR ;.NET CLR ) Host: som.csudh.edu Connection: Keep-Alive 60 / 159

60 Resposta do Servidor WEB HTTP/ OK Content-Length: 142 Content-Type: text/html Last-Modified: Fri, 01 Jul :25:24 GMT Accept-Ranges: bytes ETag: "10041aa57ec51:1c3f" Server: Microsoft-IIS/6.0 MicrosoftOfficeWebServer: 5.0_Pub Date: Fri, 01 Jul :50:19 GMT <html> <head> <title>demonstration page</title> </head> <body> Page to demonstrate the GET verb of the HTTP protocol. </body> </html> 61 / 159

61 MUA : Mail User Agent MTA : Mail Transfer Agent MDA : Mail Delivery Agent 62 / 159

62 Protocolo SMTP S: 220 smtp.example.com ESMTP Postfix C: HELO relay.example.org S: 250 Hello relay.example.org, I am glad to meet you C: MAIL FROM:<bob@example.org> S: 250 Ok C: Cliente S: Servidor C: RCPT TO:<alice@example.com> S: 250 Ok C: RCPT TO:<theboss@example.com> S: 250 Ok C: DATA S: 354 End data with <CR><LF>.<CR><LF> C: From: "Bob Example" <bob@example.org> C: To: "Alice Example" <alice@example.com> C: Cc: theboss@example.com C: Date: Tue, 15 January :02: C: Subject: Test message C: C: Hello Alice. C: This is a test message with 5 header fields and 4 lines in the message body. C: Your friend, C: Bob C:. S: 250 Ok: queued as C: QUIT S: 221 Bye 63 / 159

63 Protocolo POP3 S: <wait for connection on TCP port 110> C: <open connection> S: +OK POP3 server ready C: APOP mrose c4c9334bac560ecc979e58001b3e22fb S: +OK mrose's maildrop has 2 messages (320 octets) C: STAT S: +OK C: LIST S: +OK 2 messages (320 octets) S: S: S:. C: RETR 1 S: +OK 120 octets S: <the POP3 server sends message 1> S:. C: DELE 1 S: +OK message 1 deleted C: RETR 2 S: +OK 200 octets S: <the POP3 server sends message 2> S:. C: DELE 2 S: +OK message 2 deleted C: QUIT S: +OK dewey POP3 server signing off (maildrop empty) C: <close connection> S: <wait for next connection> C: Cliente S: Servidor 64 / 159

64 Servidores de 65 / 159

65 66 / 159

66 Sendmail Histórico de vulnerabilidades Sendmail vulnerabilities in CERT advisories and alerts: "TA06-081A Sendmail Race Condition Vulnerability". US-CERT Alerts. "CA Buffer Overflow in Sendmail". CERT Advisories. Retrieved January 7, "CA Buffer Overflow in Sendmail". CERT Advisories. Retrieved January 7, "CA Remote Buffer Overflow in Sendmail". CERT Advisories. Retrieved January 7, "CA MIME Conversion Buffer Overflow in Sendmail Versions and 8.8.4". CERT Advisories. Retrieved January 7, "CA Sendmail Group Permissions Vulnerability". CERT Advisories. Retrieved January 7, "CA Sendmail Daemon Mode Vulnerability". CERT Advisories. Retrieved January 7, "CA Sendmail Vulnerabilities". CERT Advisories. Retrieved January 7, The UNIX-HATERS Handbook dedicated an entire chapter to perceived problems and weaknesses of sendmail. 67 / 159

67 Fluxo de + procmail 68 / 159

68 Exemplo de.procmailrc # # ProcMail RC :0 # { # (C) HMarx :0 c : local-lock # carbon-copy SHELL=/bin/sh PATH=/bin:/usr/bin:$HOME/bin :0 COMSAT=off * DETAIL?? 0 blocked.users LOGFILE=Log #VERBOSE=yes :0B *? /usr/bin/grep -F -i -w -q -f $HOME/bad.words MAILDIR=$HOME/Mail bad.words DEFAULT=$HOME/Mail/junk-mail :0 : local-lock ARG1=$1 DETAIL=`echo $ARG1 grep -F -q -f $HOME/blocked.users; echo $?` to-pager "$@" } 69 / 159

69 Script to-pager #!/bin/sh BEEP=$1 TMP=/tmp/beep-mail.$$ #echo "Detail is $BEEP" >/tmp/detail.beep rm /tmp/detail.beep cat >$TMP #echo "================ Corpo ================" >>/tmp/detail.beep sed -e '1,/^$/ d' <$TMP >>/tmp/detail.beep $HOME/bin/to-beep -d /dev/cua0 -s i $BEEP </tmp/detail.beep rm /tmp/detail.beep rm /tmp/beep-mail.$$ 70 / 159

70 Ferramentas e Diagnósticos ifconfig traceroute kismet Ip tcpdump whois tc nmap iwconfig route ethtool iwlist ping wireshark Iwspy Arp host netstat whois e muito mais. 71 / 159

71 Protocolo e máquina de estados 72 / 159

72 Máquina de estado de Mealy Transições Si Sj Entrada / Saída 73 / 159

73 Exemplo de máquina de estados 74 / 159

74 Interfaces athena:~ # ifconfig eth0 eth0 Link encap:ethernet HWaddr C8:9C:DC:4A:AC:4E inet addr: Bcast: Mask: inet6 addr: fe80::ca9c:dcff:fe4a:ac4e/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:1 collisions:0 txqueuelen:1000 RX bytes: ( Mb) TX bytes: ( Mb) Interrupt:45 athena:~ # arp -a venus.linuxtech.net.br ( ) at 00:06:4f:48:da:74 [ether] on eth0 thor.linuxtech.net.br ( ) at 00:01:02:ec:22:9a [ether] on eth0 athena:~ # 75 / 159

75 Desempenho athena:~ # bing localhost venus -e 100 BING localhost ( ) and venus.linuxtech.net.br ( ) 44 and 108 data bytes 1024 bits in 0.168ms: bps, ms per bit 1024 bits in 0.133ms: bps, ms per bit 1024 bits in 0.000ms 1024 bits in 0.025ms: bps, ms per bit 1024 bits in 0.009ms: bps, ms per bit 1024 bits in 0.007ms: bps, ms per bit 1024 bits in 0.029ms: bps, ms per bit 1024 bits in 0.030ms: bps, ms per bit 1024 bits in 0.029ms: bps, ms per bit 1024 bits in 0.028ms: bps, ms per bit 1024 bits in 0.030ms: bps, ms per bit 1024 bits in 0.006ms: bps, ms per bit --- localhost statistics --bytes out in dup loss rtt (ms): min avg max % % venus.linuxtech.net.br statistics --bytes out in dup loss rtt (ms): min avg max % % estimated link characteristics --warning: rtt big host ms < rtt small host ms estimated throughput bps minimum delay per packet 0.134ms (22848 bits) average statistics (experimental) : packet loss: small 0%, big 0%, total 0% warning: rtt big host ms < rtt small host ms average throughput bps average delay per packet 0.295ms (50353 bits) weighted average throughput bps resetting after 100 samples. athena:~ # 76 / 159

76 Estatísticas de rede TCP - nomes venus:~ # netstat tp Active Internet connections (w/o servers) Proto Recv Q Send Q Local Address Foreign Address State PID/Program name tcp 1 0 venus:51694 athena.linuxte:www http CLOSE_WAIT 9736/httpd2 prefork tcp 1 0 venus:52724 athena.linuxte:www http CLOSE_WAIT 32271/httpd2 prefor tcp 1 0 venus:52725 athena.linuxte:www http CLOSE_WAIT 20839/httpd2 prefor tcp 1 0 venus:52727 athena.linuxte:www http CLOSE_WAIT 18470/httpd2 prefor tcp 1 0 venus:52735 athena.linuxte:www http CLOSE_WAIT 29330/httpd2 prefor tcp 0 0 venus:smtp athena.linuxtech.:45083 TIME_WAIT tcp 1 0 venus:52736 athena.linuxte:www http CLOSE_WAIT 1560/httpd2 prefork tcp 1 0 venus:52730 athena.linuxte:www http CLOSE_WAIT 19645/httpd2 prefor tcp 1 0 venus:52715 athena.linuxte:www http CLOSE_WAIT 9736/httpd2 prefork tcp 1 0 venus:52707 athena.linuxte:www http CLOSE_WAIT 9845/httpd2 prefork tcp 1 0 venus:52729 athena.linuxte:www http CLOSE_WAIT 32272/httpd2 prefor tcp 1 0 venus:52702 athena.linuxte:www http CLOSE_WAIT 3670/httpd2 prefork tcp 0 0 venus:ssh athena.linuxtech.:55318 ESTABLISHED 5177/1 venus:~ # 77 / 159

77 Estatísticas de rede TCP - IPs venus:~ # netstat ntp Active Internet connections (w/o servers) Proto Recv Q Send Q Local Address Foreign Address State PID/Program name tcp : :80 CLOSE_WAIT 9736/httpd2 prefork tcp : :80 CLOSE_WAIT 32271/httpd2 prefor tcp : :80 CLOSE_WAIT 20839/httpd2 prefor tcp : :80 CLOSE_WAIT 18470/httpd2 prefor tcp : :80 CLOSE_WAIT 29330/httpd2 prefor tcp : :80 CLOSE_WAIT 1560/httpd2 prefork tcp : :80 CLOSE_WAIT 19645/httpd2 prefor tcp : :80 CLOSE_WAIT 9736/httpd2 prefork tcp : :80 CLOSE_WAIT 9845/httpd2 prefork tcp : :80 CLOSE_WAIT 32272/httpd2 prefor tcp : :80 CLOSE_WAIT 3670/httpd2 prefork Tcp : :55318 ESTABLISHED 5177/1 venus:~ # 78 / 159

78 Estatísticas de rede UDP venus:~ # netstat ua Active Internet connections (servers and established) Proto Recv Q Send Q Local Address Foreign Address State udp 0 0 *:39715 *:* udp 0 0 *:exp1 *:* udp 0 0 ns.linuxtech.com:domain *:* udp 0 0 venus:domain *:* udp 0 0 localhost:domain *:* udp 0 0 *:sunrpc *:* udp 0 0 *:ipp *:* udp 0 0 ns.linuxtech.com.br:ntp *:* udp 0 0 venus:ntp *:* udp 0 0 localhost:ntp *:* udp 0 0 *:ntp *:* udp :netbios ns *:* udp 0 0 venus:netbios ns *:* udp 0 0 *:netbios ns *:* udp :netbios dgm *:* udp 0 0 venus:netbios dgm *:* udp 0 0 *:netbios dgm *:* udp 0 0 *:mdns *:* udp 0 0 *:exp1 *:* udp 0 0 *:domain *:* udp 0 0 *:sunrpc *:* udp 0 0 localhost:ntp *:* udp 0 0 fe80::206:4fff:fe48:ntp *:* udp 0 0 fe80::206:4fff:fe48:ntp *:* udp 0 0 *:ntp *:* venus:~ # 79 / 159

79 Tabela de rotas athena:~ # netstat rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface default UG eth0 loopback * U lo link local * U eth * U vmnet * U vmnet * U eth0 athena:~ # netstat rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface UG eth U lo U eth U vmnet U vmnet U eth0 athena:~ # 80 / 159

80 Adicionando rotas route [-CFvnee] route [-v] [-A family] add [-net -host] target [netmask Nm] [gw Gw] [metric N] [mss M] [window W] [irtt I] [reject] [mod] [dyn] [reinstate] [ [dev] If ] route [-v] [-A family] del [-net -host] target [gw Gw] [netmask Nm] [metric N] [[dev] If] route [-V] [--version] [-h] [--help] 81 / 159

81 Exemplos route add -net netmask lo route add -net netmask dev eth0 route add default gw mango-gw route add ipx4 sl0 route add -net netmask gw ipx4 route add -net netmask dev eth0 route add -net netmask reject 82 / 159

82 Verificação de rotas athena:~ # traceroute -n google.com traceroute to google.com ( ), 30 hops max, 40 byte packets using UDP ( ) ms ms ms ( ) ms ms ms ( ) ms ( ) ms ( ) ms ( ) ms ms ( ) ms ( ) ms ms ms ( ) ms ms ms 7 *** ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms athena:~ # 83 / 159

83 Whois - Identificação de IPs Continua I 84 / 159

84 Continuação 85 / 159

85 Identificação de domínios 86 / 159

86 87 / 159

87 URIs, URLs e URNs URI Uniform Resource Identifier URL - Uniform Resource Locator URN Uniform Resource Name <scheme name> : <hierarchical part> [? <query> ] [ # <fragment> ] <scheme:> //domain:port/path?query_string#fragment_id 88 / 159

88 89 / 159

89 Exemplos de URIs ftp://public.ftp-servers.example.com/mydirectory/myfile.txt Subject=ComputerNetworks about:credits [date=date to retrieve tag=tag to retrieve] git://github.com/user/project-name.git ldap://ldap1.example.net:6666/o=university%20of %20Michigan, c=us??sub?(cn=babs%20jensen) / 159

90 Arquivos em Unix / Linux Sistema de arquivos Unidades de armazenamento locais Compartilhamentos remotos Discos, CDs/DVDs, disquetes, pendrives, memória,... NFS Unix/Linux SMB Windows NCP Novell Netware Montagem e desmontagem mount volume diretório umount volume umount diretório 91 / 159

91 Compartilhamento de arquivos NFS Network File System 92 / 159

92 NFS 93 / 159

93 Port mapper athena:~ # rpcinfo p thor program vers proto port service tcp 111 portmapper udp 111 portmapper udp 2049 nfs udp 2049 nfs udp 2049 nfs_acl tcp 2049 nfs tcp 2049 nfs tcp 2049 nfs_acl udp status udp nlockmgr udp nlockmgr udp nlockmgr tcp status tcp nlockmgr tcp nlockmgr tcp nlockmgr udp 882 mountd tcp 885 mountd udp 882 mountd tcp 885 mountd udp 882 mountd tcp 885 mountd Athena:~ # 94 / 159

94 Storage Area Network 95 / 159

95 Minha rede local Internet Thor FW Sirius sirius Venus FW Win-7 Athena AP 96 / 159

96 Uso de NFS athena:~ # showmount e venus clnt_create: RPC: Program not registered athena:~ # showmount e thor Export list for thor: /srv / /etc / /home / , / /var/neomail / /var/spool/mail / athena:~ # mount thor:/srv /mnt mount.nfs: access denied by server while mounting thor:/srv athena:~ # mount thor:/home /mnt athena:~ # mount grep mnt thor:/home/ on /mnt type nfs (rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=t cp,timeo=600,retrans=2,sec=sys,mountaddr= ,mountvers=3, mountport=882,mountproto=udp,local_lock=none,addr= ) athena:~ # 97 / 159

97 Segurança de rede Formas de ataque Man in the middle Escuta de conexões Rede, modem, serial, wireless, Ativo e passivo Denial of services (DoS) Distributed DoS (DDoS) IP spoofing Engana o TCP alterando origem dos pacotes 98 / 159

98 Ataque Man in the middle 99 / 159

99 Ataque Denial of services (DoS) 100 / 159

100 Ataque IP spoofing 101 / 159

101 Ferramentas Análise de logs Firewall TCP wrappers Port scanners e sniffers 102 / 159

102 Firewall Proteção entre redes locais/privadas e redes públicas Proteção contra acessos indevidos Redes locais para as redes públicas Das redes públicas para as redes locais Filtro de pacotes Log de atividades entre as redes 103 / 159

103 Firewall - Organização Pacotes Endereços de origem e destino Protocolo de sessão e aplicação Encapsulamento de dados Aplicação Transporte SMTP, Telnet, FTP, HTTP,... TCP, UDP, ICMP.... Internet IPv4, IPv6 Meio de acesso à rede Ethernet, FDDI, ATM, Wireless, / 159

104 Regras Direção Inbound, Outbound, Either Endereços e portos Inbound, Outbound, Either Endereco de origem Endereço de destino Porto de origem Porto de destino Protocolo (TCP, UDP, ICMP, ) Ação (Allow, Deny, Drop, Reject) Destinos especiais SNAT, DNAT, REDIRECT, MASQUERADE, LOG, MARK, REJECT, NAT : Network Address Translation ou Masquerade 105 / 159

105 Iptables Manipulação das tabelas de regras de firewall Mantida pelo kernel Linux Organização Tables Tabelas que são compostas de cadeias Chains Cadeias que são compostas por regras Regras Regras que definem o destino do pacote 106 / 159

106 Tabelas padrão (Após kernel ) Filter : tabela default NAT Chains: INPUT, FORWARD e OUTPUT Chains: PREROUTING, OUTPUT e POSROUTING Mangle Chains: INPUT, PREROUTING, FORWARD, OUTPUT e POSTROUTING 107 / 159

107 Ações do Firewall 108 / 159

108 Utilização do iptables (1) tabela: especifica a que tabela o comando se aplica cadeia: especifica a que cadeia da tabela o comando se aplica # iptables [ -t tabela ] -L [ cadeia ] Lista as regras (da cadeia) # iptables [ -t tabela ] -N cadeia [ opções ] Cria uma nova cadeia # iptables [ -t tabela ] -X cadeia [ opções ] Remove a cadeia # iptables [ -t tabela ] -F [ cadeia ] Apaga todas as regras (da cadeia) # iptables [ -t tabela ] -Z [ cadeia ] Zera os contadores de bytes e pacotes (da cadeia) 109 / 159

109 Utilização do iptables (2) # iptables [ -t tabela ] -P cadeia política [ opções ] Define a política padrão para cadeia ACCEPT, DROP, QUEUE ou RETURN # iptables [ -t tabela ] -E nomevelho nomenovo cadeia [ opções ] Troca o nome de uma cadeia # iptables [ -t tabela ] -{ A D} cadeia especificação [ opções ] Adiciona ou remove uma regra da cadeia # iptables [ -t tabela ] -D cadeia número [ opções ] Remove uma regra da cadeia # iptables [ -t tabela ] -I cadeia [ número ] especificação [ opções ] Inclui uma regra na cadeia # iptables [ -t tabela ] -R cadeia número especificação [ opções ] Substitui uma regra na cadeia 110 / 159

110 Algumas opções do iptables (3) -v modo verboso -n saída na forma numérica -x expande os números de bytes e pacotes -h ajuda --line-numbers inclui número da linha no início de cada regra --module-probe=comando especifica o comando para a carga dos módulos 111 / 159

111 Especificações do iptables (4) -p [! ] protocolo Especifica o protocolo: tcp, udp, icmp ou all -s [! ] endereço [ / máscara ] Especifica o endereço de origem (source) --source-port [! ] porto [ : porto ] Especifica o porto ou faixa de portos de origem -d [! ] endereço [ / máscara ] Especifica o endereço de destino --destination-port [! ] porto [ : porto ] Especifica o porto ou faixa de portos de destino 112 / 159

112 Especificações do iptables (5) --source-port { [, porto ] }* Especifica até 15 portos de origem --destination-port porto { [, porto ] }* Especifica até 15 portos de destino --port porto { [, porto ] }* Especifica o porto, quando os porto de origem e destino forem iguais 113 / 159

113 Especificações do iptables (6) --uid-owner userid Especifica o Id do usuário do processo que criou o pacote --gid-owner gid Especifica o GID do processo que criou o pacote --pid-owner pid Especifica o número do processo que criou o pacote --sid-owner sessionid Especifica o número da sessão (grupo de processos) que criou o pacote 114 / 159

114 Especificações do iptables (7) -i [! ] interface Especifica a interface de entrada (de onde veio o pacote) -o [! ] interface Especifica a interface de saída (para onde irá o pacote) --mac-source [! ] endereço Especifica o porto ou faixa de portos de origem --icmp-type [! ] tipo Especifica o tipo do pacote ICMP 115 / 159

115 Especificações do iptables (8) --tcp-flags [! ] máscara ativos Especifica a lista de flags TCP. A máscara contém os flags que devem estar inativos. Os flags são SYN, ACK, FIN, RST, URG, PSH, ALL ou NONE [! ] syn Especifica pacotes com o bit SYN ativo e os bits ACK e FIN inativos --limit taxa [ / sufixo ] Especifica a taxa média máxima de pacotes. O sufixo pode ser Second, minute, hour ou day. O default é 3/hour. [! ] --limit-burst númer Especifica o número máximo inicial de pacotes. O default é / 159

116 Especificações do iptables (9) -j alvo Especifica o que fazer com o pacote. Poder ser uma cadeia ou um destino especial. Destinos especiais LOG, MARK, REJECT, TOS, MIRROR, SNAT, DNAT, MASQUERADE e REDIRECT Opções do destino LOG --log-level nível --log-prefix prefixo --log-tcp-sequence --log-tcp-options --log-ip-options (veja syslog.conf) (até 29 caracteres) 117 / 159

117 Especificações do iptables (10) Opções do destino MARK --set-mark marca Opções do destino REJECT --reject-with tipo O tipo pode ser: icmp-net-unreachable icmp-host-unreachable icmp-port-unreachable icmp-proto-unreachable icmp-net-prohibited icmp-host-prohibited echo-reply tcp-reset Opções do destino TOS --set-tos tos (veja iptables -j TOS -h) 118 / 159

118 Especificações do iptables (11) --state state { [, state ] }* Especifica o(s) estado(s) da conexão ao(s) qual(is) o pacote está associado Estados: INVALID - conexão inválida ESTABLISHED - conexão já estabelecida NEW - nova conexão RELATED - nova conexão associada a uma já existente (ex: FTP) 119 / 159

119 Especificações do iptables (12) --ttl ttl Especifica o TTL do pacote --ttl-set ttl Estabelece novo TTL do pacote --ttl-dec ttl Decrementa o TTL do pacote --ttl-inc ttl Incrementa o TTL do pacote TTL = Time to live Somente é válido para a tabela mangle! 120 / 159

120 Especificações do iptables (13) Opções do destino SNAT --to-source endereço [- endereço ] [ :porto [- porto ]] Opções do destino DNAT --to-destination endereço [-endereço ] [ :porto [ - porto ]] Opções dos destinos MASQUERADE ou REDIRECT --to-ports porto [ - porto ] 121 / 159

121 Exemplos Tabelas sem regras # iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination # 122 / 159

122 Exemplos Algumas regras de PREROUTING # iptables -L PREROUTING -t nat -n Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp / DNAT tcp / DNAT tcp / DNAT tcp / DNAT tcp / DNAT tcp / DNAT tcp / DNAT udp / /0 DNAT udp / /0 # tcp dpt:2222 to: :22 tcp dpt:21211 to: :22 tcp dpt:2227 to: :22 tcp dpt:59023 to: :23 tcp dpt:59023 to: :23 tcp dpt:59021 to: :21 tcp dpt:59021 to: :21 udp dpt:11113 to: :11113 udp dpt:11113 to: : / 159

123 Conexões seguras VPN Autenticação e Criptografia Ipsec IP Security 124 / 159

124 Conexões seguras SSH Sessões autenticadas e criptografadas Outras formas SSL, PPP + SSH, PPPT,, tunnel SSH, 125 / 159

125 Execução remota segura - SSH 126 / 159

126 Monitoramento de tráfego de rede iptraf tcpdump snort ethereal / wireshark SNMP arp mrtg nmap kismet / 159

127 Netstumbler (Windows) 128 / 159

128 MacStumbler 129 / 159

129 Wireless applications / 159

130 131 / 159

131 Zenmap 132 / 159

132 Zenmap 133 / 159

133 Telecomunicações Enlaces disponíveis SDH - Synchronous Digital Hierarchy: Rede óptica rápida 155Mb/s PDH Plesiochronous Digital Hierarchy Rede lenta a 45Mb/s (USA) 2 a 34Mb/s (Europa) 134 / 159

134 ATM Asynchronous Transfer Mode Padrão ANSI e ITU American National Standard Institute International Telecommunication Union Préviamente CCITT Comité Consultatif International Téléphonique et Télégraphique 135 / 159

135 Não confundir com ATM Automated Teller Machine! 136 / 159

136 ATM Características Transmissão assíncrona Pacotes fixos de 53 bytes Uso de QoS Velocidade de poucos megabits/s a muitos gigabits/s 137 / 159

137 Redes ATM 138 / 159

138 ATM Células UNI UNI : User-Network Interface GFC = Generic Flow Control (4 bits) (default: 4-zero bits) VPI = Virtual Path Identifier (8 bits UNI) or (12 bits NNI) VCI = Virtual Channel identifier (16 bits) PT = Payload Type (3 bits) CLP = Cell Loss Priority (1-bit) HEC = Header Error Control (8-bit CRC, polynomial = X8 + X2 + X + 1) 139 / 159

139 ATM Células NNI NNI : Network-Network Interface GFC = Generic Flow Control (4 bits) (default: 4-zero bits) VPI = Virtual Path Identifier (8 bits UNI) or (12 bits NNI) VCI = Virtual Channel identifier (16 bits) PT = Payload Type (3 bits) CLP = Cell Loss Priority (1-bit) HEC = Header Error Control (8-bit CRC, polynomial = X8 + X2 + X + 1) 140 / 159

140 Optical Carrier - OC Classificação Velocidade em Mbp/s OC OC OC OC OC OC OC / 159

141 Comunicação Comutação espacial 142 / 159

142 Comunicação Multiplexação Temporal 143 / 159

143 Comunicação Multiplexação do comprimento de onda 144 / 159

144 Comunicação Multiplexação da frequência 145 / 159

145 Multiplexações FDMA : Frequency Division Multiple Access TDMA : Time Division Multiple Access CDMA : Code Division Multiple Access 146 / 159

146 Comunicação celular 147 / 159

147 Sistema telefônico 148 / 159

148 149 / 159

149 VOIP Voice over IP Protocolos Autenticated Identity Body Call Admission Control Distributed Universal Number Discovery (DUNDi) H.248 e H..323 Inter-Asterix-Exchange (IAX) Media Gateway Control Protocol Message Session Relay Protocol Network Voice Protocol Real-time Transport Protocol (RTP) Session Initiation Protocol (SIP) Signaling Compression Simple Gate Control Protocol Skype Protocol E muito mais! 150 / 159

150 Asterisk Free open source framework Communication Applications Real Time Voice and Video PBX Voice mail Conference bridge Call center IVR server (Interactive Voice Response) 151 / 159

151 IVR 152 / 159

152 Protocolo H.323 Aúdio Vídeo Telefonia 153 / 159

153 Rede síncrona SONET Synchronous Optical Network STM : Synchronous Transport Module Transporte de pacotes ATM 154 / 159