USO DINÂMICO DO IPSEC COM IPV6

Tamanho: px
Começar a partir da página:

Download "USO DINÂMICO DO IPSEC COM IPV6"

Transcrição

1 INPE TDI/1220 USO DINÂMICO DO IPSEC COM IPV6 Aritana Pinheiro Falconi Dissertação de Mestrado do Curso de Pós-Graduação em Computação Aplicada, orientada pelo Dr. Ulisses Thadeu Vieira Guedes, aprovada em 25 de outubro de INPE São José dos Campos 2007

2 PUBLICADO POR: Instituto Nacional de Pesquisas Espaciais - INPE Gabinete do Diretor Serviço de Informação e Documentação (SID) Caixa Postal CEP São José dos Campos - SP - Brasil Tel.:(012) /6923 Fax: (012) CONSELHO DE EDITORAÇÃO: Presidente: Dr. Gerald Jean Francis Banon - Coordenação Observação da Terra (OBT) Membros: Dr. Demétrio Bastos Netto - Conselho de Pós-Graduação Dr. Haroldo Fraga de Campos Velho - Centro de Tecnologias Especiais (CTE) Dra. Inez Staciarini Batista - Coordenação Ciências Espaciais e Atmosféricas (CEA) Marciana Leite Ribeiro - Serviço de Informação e Documentação (SID) Dr. Ralf Gielow - Centro de Previsão de Tempo e Estudos Climáticos (CPT) Dr. Wilson Yamaguti - Coordenação Engenharia e Tecnologia Espacial (ETE) BIBLIOTECA DIGITAL: Dr. Gerald Jean Francis Banon - Coordenação de Observação da Terra (OBT) Marciana Leite Ribeiro - Serviço de Informação e Documentação (SID) Jefferson Andrade Anselmo - Serviço de Informação e Documentação (SID) Simone A. Del-Ducca Barbedo - Serviço de Informação e Documentação (SID) Vinicius da Silva Vitor - Serviço de Informação e Documentação (SID) - bolsista REVISÃO E NORMALIZAÇÃO DOCUMENTÁRIA: Marciana Leite Ribeiro - Serviço de Informação e Documentação (SID) Marilúcia Santos Melo Cid - Serviço de Informação e Documentação (SID) Yolanda Ribeiro da Silva e Souza - Serviço de Informação e Documentação (SID) EDITORAÇÃO ELETRÔNICA: Viveca Sant Ana Lemos - Serviço de Informação e Documentação (SID)

3 INPE TDI/1220 USO DINÂMICO DO IPSEC COM IPV6 Aritana Pinheiro Falconi Dissertação de Mestrado do Curso de Pós-Graduação em Computação Aplicada, orientada pelo Dr. Ulisses Thadeu Vieira Guedes, aprovada em 25 de outubro de INPE São José dos Campos 2007

4 681.3: Falconi, Aritana Pinheiro. Uso dinâmico do IPSEC com IPV6 / Aritana Pinheiro Falconi. São José dos Campos: Instituto Nacional de Pesquisas Espaciais (INPE), p.; (INPE TDI/1220). 1. Segurança de computadores. 2. Protocolo. 3. Performance. 4. Redes de computadores. 5. Criptografia. 6. Privacidade. I. Título.

5

6

7 Você não pode escolher se você será um alvo, mas é você quem decide se você será ou não uma vítima. Gavin Becker

8

9 Dedico este trabalho a minha esposa Simone. Por causa de seu apoio e incentivo pude chegar até aqui.

10

11 AGRADECIMENTOS Agradeço a Deus. A minha esposa Simone pelo amor, paciência, incentivo e compreensão nos momentos de ausência e menor dedicação à família devido ao mestrado. A minha filha Júlia, por provocar a maior alegria que um homem pode ter: a paternidade. Não me arrependo dos momentos dedicados à ela em detrimento aos demais. A meu pai pelo incentivo e por acreditar em mim sempre. A minha mãe e meus irmãos pela torcida. Agradeço meu orientador, Dr. Ulisses Thadeu Vieira Guedes, pela orientação e paciência. Aos membros da banca examinadora pela disposição em analisar este trabalho. Às grandes amizades que conquistei nestes pouco mais de três anos no INPE, principalmente, em ordem alfabética: ACMO, Aditya, Ana Paula, Elcio, Elias, Fabrício, Felipe, Isabela, Tchê (Leonardo), e outros mais. Aos companheiros de trabalho do IEAv, principalmente Remo e Ana Maria, por permitirem que eu me ausentasse por diversas vezes e pudesse conduzir este trabalho. Agradeço a todos aqueles que direta ou indiretamente colaboraram para a realização deste trabalho.

12

13 RESUMO Este trabalho tem como objetivo propor uma metodologia de uso da plataforma de segurança IP Security - IPSec - com o Internet Protocol Version 6 - IPv6 - no intuito de avaliar e aumentar o desempenho da comunicação entre máquinas interligadas por uma rede de computadores. Propõe-se habilitá-lo quando estritamente necessário, sem manter um túnel criptógrafico durante toda a comunicação entre as máquinas envolvidas. Isso é feito permitindo que as aplicações acessem diretamente a base de dados de políticas do IPSec, alterando suas políticas. Para validar a metodologia, utilizou-se os serviços POP3 e FTP com uso do IPSec durante a transferência de senha de um usuário da aplicação, desabilitando o IPSec durante o resto da sessão TCP, mantendo a sessão.

14

15 DYNAMIC USE OF IPSEC WITH IPV6 ABSTRACT The objective of this work is to propose a methodology of use of the security platform IP Security - IPSec - with the Internet Protocol Version 6 - IPv6 - in order to evaluate and increase the performance of the communication between machines connected by a network computer. The proposition is enabling IPSec only when strictly necessary, without keeping an encryption tunnel during the whole communication between machines. This is made by the applications having access directly to the IPSec security policies database and modifying some policies. The POP3 and FTP services had been used to evaluate the IPSec use only during the transference of an application user password. After that, the IPSec is disabled during the same TCP session.

16

17 SUMÁRIO Pág. LISTA DE FIGURAS LISTA DE TABELAS LISTA DE ABREVIATURAS E SIGLAS 1 INTRODUÇÃO REVISÃO BIBLIOGRÁFICA IPv IPSec Associação de Segurança IKE Implementações IPSec VPN Protocolo POP Protocolo FTP USO DINÂMICO DO IPSEC COM IPV Trabalhos Relacionados Solução Proposta Dois Estudos de Casos Configurando os Sistemas Operacionais Configuração das políticas do IPSec RESULTADOS EDISCUSSÕES CONCLUSÕES ETRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS

18

19 LISTA DE FIGURAS Pág. 2.1 Formato do cabeçalho IPv Formato do cabeçalho IPv Formato do cabeçalho AH Formato do cabeçalho ESP AH no modo transporte ESP no modo transporte AH no modo túnel ESP no modo túnel AH eesp no modo transporte AH eesp no modo túnel Processamento do tráfego de saída IPSec Topologia de VPN máquina-máquina Topologia de VPN máquina-rede Topologia de VPN rede-rede Exemplo de sessão POP Esboço do funcionamento das aplicações alteradas Arquitetura da rede Tempo gasto pelos três métodos com FTP epop Tempos dos métodos com IPSec que excedem os tempos do método Claro Sessões POP3 com IPSec no momento da autenticação do usuário

20

21 LISTA DE TABELAS Pág. 2.1 Exemplos de endereços IPv Configuração das máquinas utilizadas nos testes Tempos em segundos dos três métodos com FTP epop Tempo amais gasto por cada método em relação ao Claro Piora dos métodos que usam IPSec em relação ao Claro Melhora do método Parcial em relação ao Tudo em percentagem

22

23 LISTA DE ABREVIATURAS E SIGLAS 3DES-CBC Triple Data Encryption Standard - Cipher Block Chaining Mode AH Autentication Header ARP Address Resolution Protocol DES-CBC Data Encryption Standard - Cipher Block Chaining Mode DHCP Dynamic Host Configuration Protocol ESP Encapsulating Security Payload HMAC Keyed-Hashing for Message Authentication HMAC-MD5 HMAC - Message Digest 5 HMAC-RIPEMD HMAC - RACE Integrity Primitives Evaluation Message Digest HMAC-SHA-1 HMAC - Secure Hash Algorithm - Version 1.0 IAB Internet Association Board ICMP Internet Control Message Protocol ICMPv4 Internet Control Message Protocol Version 4 ICMPv6 Internet Control Message Protocol Version 6 ICV Integrity Check Value IETF Internet Engineering Task Force IKE Internet Key Exchange IP Internet Protocol IPng Internet Protocol New Generation IPSec Internet Protocol Security IPv6 Internet Protocol Version 6 ISAKMP Internet Security Association and Key Management Protocol L2F Layer 2 Forwarding L2TP Layer Two Tunneling Protocol NAT Network Address Translator POP3 Post Office Protocol - Version 3 PPTP Point-to-Point Tunneling Protocol RFC Request For Comment ROAD Routing and Addressing SA Security Association SAD Security Association Database SPD Security Policy Database SPI Security Parameter Index SSL Secure Sockets Layer TCP Transmission Control Protocol TCP/IP Transmission Control Protocol/Internet Protocol TTL Time To Live UDP User Datagram Protocol VPN Virtual Private Network

24

25 1 INTRODUÇÃO O Internet Protocol (IP) Version 6 (IPv6) é a próxima geração do protocolo da camada de rede da pilha de protocolos Transmission Control Protocol / Internet Protocol (TCP/IP) projetado pela Internet Engineering Task Force (IETF) (IETF, 1986) para substituir a versão atual do IP Version 4 (IPv4) (POSTEL, 1981). O IPv6 também é conhecido como Internet Protocol New Generation (IPng) (DEERING; HINDEN, 1998). Apesar do IPv4 ser o padrão na Internet, existem várias redes acadêmicas e de pesquisas no mundo usando IPv6 para testes e seu desenvolvimento. O Brasil faz parte de uma rede IPv6 internacional criada para os mesmos fins, indicando que em poucos anos a migração poderá ser efetivada (RNP, 2002). O IPv6, além de adicionar novas características ao seu antecessor como auto-configuração e mobilidade, corrige alguns dos problemas do IPv4 como número de endereços IP limitados a 2 32 e falta de garantia da qualidade de serviço. Ainda, o IPv6 aborda a falta de segurança na camada de rede da pilha de protocolos TCP/IP, problema não previsto originalmente no projeto do IPv4. Como a Internet, inicialmente, se restringia aos meios militares, científicos e acadêmicos, os princípios de segurança eram baseados em códigos de uso ético da rede e controle de acesso físico. Com a abertura da Internet para o setor privado, principalmente para uso comercial, o conceito de segurança teve suas premissas alteradas. Não se pôde mais basear a segurança no controle de acesso físico à rede e foram se evidenciando falhas de projeto do IPv4 neste tipo de ambiente. Hoje, devido ao caráter de compartilhamento de informações da Internet, a confidencialidade dos dados trafegados se tornaram prioritários e críticos. Vários tipos de ataques e invasões à redes de empresas conectadas à Internet usam essas falhas de projeto (STRAUCH, 1999). Em resposta aos desafios de segurança da camada de rede, o grupo de trabalho IP Security Protocol do IETF desenvolveu a plataforma IP Security (IPSec) (KENT; ATKINSON, 1998c). Esta plataforma foi desenvolvida para prover serviços de autenticidade e confidencialidade de alta qualidade, baseados em criptografia, para a camada de rede e/ou para as camadas superiores da pilha de protocolos do TCP/IP. O conjunto de serviços oferecidos inclui controle de acesso, integridade não orientada à conexão, autenticação da origem dos dados e confidencialidade. A implementação do IPSec é opcional no IPv4 e obrigatória no IPv6. Para prover a autenticidade e confidencialidade do tráfego de dados na rede a plataforma 25

26 IPSec define: protocolo de autenticação IP (AH - Authentication Header) (KENT; AT- KINSON, 1998a); protocolo de encapsulameto dos dados (ESP - Encapsulating Security Payload) (KENT; ATKINSON, 1998b); procedimentos e protocolos de gerência de chaves criptográficas (MAUGHAN et al., 1998; HARKINS; CARREL, 1998). Na Sessão 2.2 o IPSec e seus protocolos são explicados com maior clareza. O IPSec é utilizado atualmente para criação de Virtual Private Network (VPN). Geralmente, são criados túneis de criptografia entre dois gateways capazes de assegurar a confidencialidade de todos os dados transmitidos entre eles de forma transparente às máquinas de cada rede. Entende-se por gateway uma máquina por onde passa todo o tráfego que sai e entra em uma rede. Apesar do IPSec ter sido desenvolvido para se tornar uma solução genérica de proteção dos dados de qualquer aplicação de forma transparente, muitas aplicações preferem implementar suas próprias soluções de segurança ou usar soluções paliativas do que usar protocolos já padronizados e disponíveis. O uso dos protocolos secure shell (SSH) (LONVICK, 2004) e o transport layer security (TLS) (DIERKS; ALLEN, 1999) são alguns exemplo, porém ambos oferecem proteção apenas ao protocolo TCP e seus dados. A grande desvantagem das VPNs com IPSec está na perda de desempenho na comunicação de dados entre as redes interligadas. Segundo (ARIGA et al., 2000; KEROMYTIS; WRIGHT, 2000), o desempenho do tráfego de dados pode cair até 90%, quando comparada a uma comunicação tradicional sem o uso de IPSec. Segundo (SILVA et al., 2001) a queda no desempenho de transferências de arquivos pela rede chegou a 75% usando IPSec. Outras desvantagens relevantes das VPNs IPSec são a inexistência de um mecanismo de controle das políticas do IPSec acessível pelas aplicações e a rigidez do IPSec ao só permitir que se proteja tudo ou nada, ou seja, não há como classificar a confidencialidade dos dados que serão transferidos pela aplicação e definir quando a proteção é ou não desejada. O problema do aumento do tempo das sessões TCP quando se usa IPSec e a falta de um mecanismo de acesso às políticas do IPSec pelas aplicações são os focos desse trabalho. O objetivo é diminuir o tempo total da comunicação de dados entre duas aplicações, quando se usa o IPSec, através da flexibilização de seu uso. Foi adotada a estratégia de classificação do conteúdo dos dados a serem protegidos pelo IPSec. Ou seja, protege-se uma parte dos dados de uma aplicação que exigirem maior sigilo, tipicamente a autenticação do usuário da aplicação. Para que se proteja apenas uma parte dos dados de uma aplicação é preciso que ela possa habilitar e desabilitar o IPSec no meio de uma sessão TCP em momentos arbitrários. 26

27 É importante ressaltar que quando se propõe usar o IPSec apenas em parte de uma sessão TCP, não desejamos dar a conotação de diminiuir a segurança. O IPSec será aplicado em protocolos que não implementam nenhuma proteção de sigilo para seus dados, como por exemplo os protocolos FTP e POP3, porém em parte da sessão TCP. Ou seja, sempre o nível de seguraça será aumentado. Como resultado deste trabalho, é feita uma comparação de desempenho entre comunicações de dados sem uso do IPSec, com IPSec e com uso do IPSec em parte da comunicação, abordagem proposta neste trabalho. Este documento é organizado da seguinte maneira: No Capítulo 2 são apresentadas algumas das características do IPv6, IPSec, VPNs, POP3 e FTP enfocando particularmente os aspectos mais relevantes para este trabalho. No Capítulo 3 é apresentado o trabalho desenvolvido, incluindo a metodologia e opções de projeto. No Capítulo 4 são exibidos e discutidos os resultados e as medições de tempo de arquivos e caixas postais nas modalidades de uso do IPSec tradicional e usando o modelo proposto. No Capítulo 5 são apresentadas as principais conclusões e propostas de trabalhos futuros. 27

28

29 2 REVISÃO BIBLIOGRÁFICA Neste Capítulo são revisados os principais conceitos relevantes ao trabalho. É importante deixar claro que para informações completas sobre os temas abordados sugere-se seguir as referências bibliográficas encontradas no final deste documento. Na concepção do protocolo IP (Postel, 1981), há aproximadamente duas décadas, não foram previstas necessidades emergentes da sociedade e da sua relação com os sistemas de comunicação atuais, em particular com a Internet. Por isso, há características que necessitam de alterações. Essas características são: espaço de endereçamento; auto-configuração e mobilidade; inexistência de segurança na camada de rede; qualidade de serviço; suporte de aplicações em tempo-real. Figura Formato do cabeçalho IPv4. O principal motivo que fez necessária a mobilização da IETF para criação de uma nova versão do cabeçalho IP foi o número de endereços IP disponíveis para todo o mundo. Observando o cabeçalho IPv4 na Figura 2.1, vemos que o tamanho de um endereço IP é de 32 bits, capaz de endereçar pouco mais que quatro bilhões de endereços IP (2 32 ). A tendência é que cada casa tenha pelo menos uma máquina com acesso a Internet e, portanto, tenham um endereço IP. 29

30 Para suprir tais necessidades foi necessário a criação de uma nova versão do protocolo IP, o IPv6. Porém, enquanto não havia uma definição do protocolo e depois o IPv6 não se tornava o protocolo padrão na prática, foram desenvolvidas soluções paleativas para a falta de endereços IP, como por exemplo o Network Address Translation (NAT) (SOARES, 1995). O NAT é um sistema de tradução de endereços de rede. Na rede interna de cada organização é possivel que seja criada uma infra-estrutura de redes utilizando para isto endereços IPv4 privados. Entre a rede interna da organização e a rede Internet, fica uma estação, um firewall, contendo duas interfaces de rede, uma interna, com endereço IPv4 privado, e outra externa, com endereço IPv6 válido. O problema do NAT é que não se pode acessar de fora determinadas máquinas que estão atrás do firewall, pois elas utilizam endereçamento IP privado, ou seja, endereços que são reservados e não são roteados na Internet. Desta maneira, não há como ter serviços como World Wide Web (www) e File Transport Protocol (FTP) divididos por setores da instituição. Ainda, o NAT impede que relações de confiaça sejam estabelecidas entre máquinas externas com as internas da instituição, já que não há comunicação direta entre os destinos. E para resolver os problemas de autenticidade e confidencialidade na camada de rede foi desenvolvido o IPSec. Ambos são comentados nas seções seguintes de forma sucinta. 2.1 IPv6 O projeto IP the Next Generation (IPng), também conhecido como IPv6 - representa o resultado da evolução de diferentes propostas da IETF, bem como o esforço conjunto de vários grupos de trabalho. O projeto IPng sofreu a seguinte evolução: No encontro IETF de Vancouver, Frank Solensky, Phill Gross e Sue Hares afirmaram que à taxa de atribuição do espaço de endereçamento IPv4, as classes do tipo B estariam esgotadas possivelmente por volta de Março de A IETF forma o grupo de trabalho Routing and Addressing (ROAD) no encontro de Santa Fé com o objetivo de encontrar uma solução para a exaustão do espaço de endereçamento IPv A Internet Association Board (IAB) apresenta o documento IP version 7 paralelamente aos esforços do grupo de trabalho ROAD, em que recomenda à IETF a preparação de um plano detalhado para o sucessor do protocolo IP. A IETF rejeita esta sugestão e apresenta pedido de propostas recomendadas pelo 30

31 grupo ROAD. Como resposta a este pedido surgiram algumas propostas: CNAT; IP Encaps; Nimrod; Simple CLNP (finais) - Surgem mais três propostas: The P Internet Protocol (PIP); The Simple Internet Protocol (SIP); TP/IX Phil Gross (IESG) apresenta um memorando intitulado A Direction for IPng, onde anuncia a criação de uma área temporária para o IPng. CLNP e IP Encaps evoluem, dando origem respectivamente a TCP and UDP with Bigger Addresses (TUBA) e IPAE (finais) - SIP evoluiu, abrangendo características do IPAE. SIP e PIP, deram origem à proposta The Simple Internet Protocol Plus (SIPP). Ao mesmo tempo, a proposta TUBA alterou o nome para Common Architecture for the Internet (CATNIP) No dia 25 de Julho, é proposta uma recomendação do IPng no reunião da IETF em Toronto, sendo uma parte significativa do protocolo base proveniente do grupo de trabalho SIPP. Esta recomendação é aprovada em 17 de Novembro de 1994 e proposta como padrão O conjunto base de protocolos do IPv6 é aprovado e proposto para padrão em 18 de Setembro de A idéia de criar uma rede de testes à semelhança da já existente para testes multicast (MBone) é posta em prática. Em Junho de 1996 concretiza-se esta idéia com a construção da rede 6Bone. Uma das novas características deste novo protocolo é, o novo formato do endereço. O IPv6 amplia o atual endereço de 32 para 128 bits possibilitando assim um método mais simples de autoconfiguração através do uso da identificação EUI-64 da maior parte das interfaces de rede. Existem três formas de representação de um endereço IPv6. A forma mais utilizada é x:x:x:x:x:x:x:x, onde, os x são números hexadecimais. Assim o endereço IPv6 é dividido em oito partes de 16 bits, como apresentado no seguinte exemplo: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 Apenas 15% de todo espaço de endereçamento IPv6 estão previamente alocados, ficando os restantes reservados para uso futuro. Devido a essa pré-alocação, serão comuns endereços com seqüências de bits com o valor zero (SILVA; FARIA, 2001). 31

32 De forma a simplificar a representação de tais endereços as seqüências de zeros podem ser substituídas pela agregação ::. No entanto, esta apenas poderá ser efetuada uma única vez em cada endereço. A Tabela 2.1 apresenta alguns exemplos de endereçamento IPv6 tanto na sua representação extensa como na forma abreviada: Tabela Exemplos de endereços IPv6. Endereço Representação Extensa Forma Abreviada Unicast 3ffe:3102:0:0:8:800:200C:417A 3ffe:3102::8:800:200C:417A Multicast FF01:0:0:0:0:0:0:43 FF01::43 Loopback 0:0:0:0:0:0:0:1 ::1 Unspecified 0:0:0:0:0:0:0:0 :: A terceira opção é utilizada na representação de endereçamento compatível IPv6/IPv4, sendo útil no período de migração e coexistência de ambos os protocolos. Assim utilizamos a representação x:x:x:x:x:x:z.z.z.z, onde, os x indicam números hexadecimais (16 bits) e os z são valores que representam os 8 bits referentes ao endereço IPv6-0:0:0:0:0:0: ou, na forma abreviada - :: Figura Formato do cabeçalho IPv6. O cabeçalho do IPv6 tem tamanho fixo, 64 bits de informações como prioridade, comprimento, próximo cabeçalho etc. e mais 2 x 128 bits de endereços (origem e destino), totalizando 320 bits, ou 40 bytes (DEERING; HINDEN, 1998). O tamanho do cabeçalho é fixo em conseqüência da alteração feita em relação ao IPv4, transformando o campo de opções em cabeçalhos de extensão. Assim, as opções são referenciadas no campo Next 32

33 Header do IPv6, evitando a necessidade de um campo que informe o tamanho do próprio cabeçalho IP. O formato do cabeçalho IPv6 em bits, pode ser visto abaixo na Figura 2.2, onde: O primeiro campo (4 bits), version, de um datagrama IP contém a versão do protocolo IP, neste caso contém o valor 6. Este campo possui o mesmo tamanho e a mesma funcionalidade que possui na versão 4. O campo priority (4 bits) determina a prioridade de um datagrama em relação aos outros datagramas da mesma origem. Valores de 0 a 7 nesse campo determinam transmissões que podem ser retardadas no caso de congestionamento. Valores de 8 a 15 se referem a aplicações cujo tráfego é constante e um atraso implicaria em perda de informação. Este campo é utilizado quando o pacote enfrenta um tráfego congestionado e geralmente o tráfego a ser priorizado são os de aplicações como áudio e vídeo. O campo Flow Label (24 bits) identifica uma seqüência de pacotes de uma máquina origem a uma destino que precisem de um tratamento especial. Por exemplo, voz e vídeo em tempo real requerem tratamento diferenciado que exige qualidade de serviço. Este campo é usado para identificar o tráfego que deve ter um tratamento especial com reserva de largura de banda. Os pacotes que se utilizem desta facilidade devem ter o mesmo rótulo de fluxo, endereço de origem, endereço destino e prioridade. Os pacotes que não pertencerem a um fluxo particular, devem preencher este campo com zeros. O campo Payload Length, com 16 bits, especifica o comprimento total do datagrama IP em bytes, não considerando os 40 bytes do cabeçalho básico. O seu valor máximo é 64 Kbytes, se for necessário enviar um datagrama ainda maior, este campo deve ser zerado e deve ser usada a opção correspondente do cabeçalho de extensão hop-by-hop, que será comentado no próximo item. O datagrama IPv6 é composto por um cabeçalho básico e por diversos cabeçalhos de extensão, os quais são opcionais, ou seja, podem ou não estar presentes. No IPv4, estas opções eram parte integrante do cabeçalho IP, tornando seu tamanho variável, dependendo das opções habilitadas pelas aplicações. Para identificar o tipo de cabeçalho que segue o cabeçalho IP, existe o campo Next Header. Como opção pode se ter um cabeçalho de extensão ou o cabeçalho de um protocolo da camada superior (geralmente TCP ou UDP). Os cabeçalhos que podem ser 33

34 selecionados são: Hop-by-Hop Options, Routing, Fragment, Authentication, Destination Options, Encapsulating Security Payload, Upper Layer Header, Internet Control Message Protocol (ICMP), no next header. O campo Hop Limit, de 8 bits, determina o número máximo de máquinas que um datagrama deve atravessar antes de alcançar o seu destino. Este campo funciona da mesma forma no IPv4, ele decrementa em cada máquina que o datagrama passa na rede, sendo o datagrama descartado quando o valor de seu campo chegar a zero e não tiver sido atingido a máquina destino. Sua principal função é evitar que um datagrama permaneça em loop na rede devido a algum problema de roteamento. No IPv4, seu nome era tempo de vida. Por último, tem-se os campos Source Address e Destination Address, com 128 bits cada, que especificam, respectivamente, os endereços da máquina que enviou o datagrama e da máquina para o qual o mesmo é destinado. No caso de ser utilizado o cabeçalho de extensão de roteamento, o campo de endereço destino contém o endereço da próxima máquina da rota ao invés do endereço da máquina destino. As mudanças do cabeçalho IPv4 para o IPv6 foram: Os campos Source Address e Destination Address tem 128 bits e não 32 bits como no IPv4; O campo length foi eliminado do cabeçalho IPv6 porque o tamanho do cabeçalho é fixo, 20 bytes; O campo type of service foi eliminado no IPv6. Os campos priority e flow label cumprem juntos essa função; O campo total length foi eliminado no IPv6 e trocado pelo campo payload length; Os campos identification, flag e offset do IPv4 foram eliminados e são incluídos no cabeçalho de extensão fragmentation; O campo TTL agora se chama hop limit no IPv6; O campo protocol foi trocado por next header; O campo header checksum do IPv4 foi eliminado. Como a cada roteador em que o pacote passa o campo TTL necessita ser alterado, o checksum teria que ser 34

35 refeito, consumindo tempo e processamento. Além de que os protocolos de camadas superiores, como o TCP, checam erros da camada IP, incluindo endereços de destino e origem. Para evitar redundância desnecessária, o campo checksum não aparece no IPv6; O campo option do IPv4 foi implementado como cabeçalhos de extensão do IPv6. As principais características IPv6 são, dentre outras: simplificação do formato do cabeçalho. Desta forma, os pacotes são processados de forma mais eficiente pelos roteadores intermediários. Contudo, o IPv4 e o IPv6 não são interoperáveis, já que um roteador ou máquina precisa implementar ambos os protocolos para conseguir reconhecer e processá-los; espaço de endereçamento expandido: IPv6 tem endereços IP de origem e destino de 128 bits ou 16 bytes. Embora 128 bits possam expressar 3, 4x10 38 possíveis combinações, o espaço de endereçamento IPv6 foi projetado para permitir diversos níveis de sub-redes. Com um espaço de endereçamento expandido, técnicas de conservação de endereços, como o Network Address Translator (NAT), não são mais necessárias; suporte melhorado para extensões e opções: em IPv4 as opções eram integradas no cabeçalho base do IPv4. Contudo, em IPv6 as opções são consideradas Cabeçalhos de Extensão. Os Cabeçalhos de Extensão são opcionais e inseridos apenas entre o cabeçalho base IPv6 e a carga útil de dados (payload), se necessário; extensibilidade: esta característica é conseqüência da anterior, pois IPv6 pode facilmente incorporar novas funcionalidade com a adição de Cabeçalhos de Extensão após o cabeçalho base IPv6. Enquanto as opções no cabeçalho IPv4 podem suportar somente 40 bytes, o tamanho dos cabeçalhos de extensão é limitado somente pelo tamanho do pacote IPv6; configuração de endereço stateless e stateful: para simplificar a configuração de máquinas, IPv6 suporta configuração de endereços stateful, que precisa de uma aplicação servidora Dynamic Host Configuration Protocol (DHCP), e configuração de endereços stateless, que ocorre na ausência do DHCP. Com a configuração stateless, as máquinas no mesmo enlace automaticamente se auto-configuram com endereços IPv6 do enlace, chamados endereços link-local, e com endereços derivados dos prefixos anunciados pelos roteadores locais. Mesmo na ausência de 35

36 um roteador, as máquinas no mesmo enlace podem automaticamente se autoconfigurar com endereços link-local e se comunicarem sem configuração manual; suporte nativo a autenticidade e confidencialidade: suporte ao IPSec é uma exigência de IPv6, através das extensões de autenticação e confidencialidade; suporte nativo a mobilidade: IPv6 móvel permite roteamento transparente de pacotes IPv6 para máquinas móveis, tirando vantagem das oportunidades criadas pelo projeto da nova versão do IP. Além disto, cada máquina móvel é sempre identificado pelo seu endereço home, independente de seu ponto de conexão na Internet. Enquanto a máquina móvel estiver distante de sua subrede originária, ele está associado com um endereço care-of, que indica sua localização corrente. Desta forma, IPv6 móvel permite que qualquer máquina IPv6 aprenda e armazene o endereço care-of associado com o endereço home da máquina móvel e, então, envia pacotes destinados à máquina móvel diretamente para o endereço care-of usando o cabeçalho de roteamento do IPv6. suporte melhorado para QoS: novos campos no cabeçalho IPv6 definem como o tráfego é manipulado e identificado. Identificação de tráfego, usando o campo Flow Label do cabeçalho base IPv6, permite que roteadores identifiquem e providenciem manipulação especial para pacotes de um fluxo, que é uma série de pacotes entre uma origem e um destino; novo protocolo para interação entre máquinas vizinhas: o protocolo Neighbor Discovery (NARTEN et al., 1998) é uma série de mensagens Internet Control Message Protocol para IPv6 (ICMPv6), que gerencia a interação entre máquinas vizinhas (máquinas no mesmo enlace). O Neighbor Discovery substitui as mensagens do protocolo Address Resolution Protocol (ARP), ICMPv4, Router Discovery e ICMPv4 Redirect com suas mensagens unicast e multicast Neighbor Discovery. (SANTOS, 2004) A possibilidade de se fazer pesquisa com um protocolo que dentro de curto prazo se tornará padrão de fato, todas estas características novas do IPv6, o fato do IPSec ter implementação obrigatória em sistemas com IPv6, foram importantes na escolha do uso do IPv6 como protocolo da camada de redes nos testes. Os testes que serão apresentados neste trabalho também poderiam ser feitos com IPv IPSec O IPSec (KENT; ATKINSON, 1998c) é um conjunto de protocolos que provêem serviços de autenticidade e confidencialidade para comunicações na Internet. Protege o datagrama IP 36

37 inteiro no modo fim a fim, sendo que nenhuma máquina intermediária na Internet pode ter acesso ou pode modificar qualquer informação sobre a camada IP. Dentre as vantagens e limitações do IPSec, podemos destacar: Vantagens: Sistema completo que pode prover vários serviços de autenticidade e confidencialidade no tráfego de dados; Implementa confidencialidades dos dados de forma transparente a todas as aplicações; Tem um bom nível de confidencialidade; Redução de custos em interligação de redes institucionais; É um padrão, ou seja, tem que demonstrar interoperabilidade entre dispositivos de diferentes fabricantes. Desvantagens: Complexo e não completamente maduro; Problemas com NAT, proxy e endereços dinâmicos (ainda em discussão na IETF); Possui algumas questões de interoperabilidade; Provoca queda de desempenho na comunicação de dados; É necessário criar relações de confiança entre as redes. A arquitetura IPSec usa dois protocolos para prover autenticidade e confidencialidade - Autentication Header (AH) (KENT; ATKINSON, 1998a) e Encapsulating Security Payload (ESP) (KENT; ATKINSON, 1998b). As Figuras 2.3 e 2.4 mostram o formato dos cabeçalhos. Ainda, a plataforma IPSec utiliza o Internet Key Exchange (IKE), que implementa procedimentos e protocolos de troca e gerência de chaves criptográficas (MAUGHAN et al., 1998; HARKINS; CARREL, 1998). Formato do cabeçalho AH pode ser visto na Figura

38 Figura Formato do cabeçalho AH. Sendo os campos do cabeçalho AH: next header: identifica o tipo de cabeçalho que vem após o AH, podendo ser outro cabeçalho IPSec (ESP) ou cabeçalhos TCP, UDP, ICMP, IP (se usar o modo de operação túnel) ou cabeçalhos de extensão; payload length: descreve quantas palavras de 32-bits seguem o campo SPI. A intenção é transmitir o comprimento do dado autenticado, que é um campo variável, para o receptor do pacote. O comprimento do dado autenticado no AH pode diferir dependendo do algoritmo usado; reserved: é um campo reservado para uso futuro, preenchido com zero; security parameter index (SPI): é o índice na base de dados da SA do receptor do pacote e é utilizado para indicar qual algoritmo criptográfico usar; sequence number: é o número de mensagens enviadas pelo transmissor para o receptor usando a SA atual. Previne ataques de replay se o transmissor enviar esta informação para o receptor, o que torna o receptor capaz de realizar esta prevenção, se desejar; autentication data: é o único campo de tamanho variável. Contém o Integrity Check Value (ICV), que é a versão criptográfica do conteúdo da mensagem que pode ser usada pelo receptor para verificar integridade e autenticação da mensagem, e bytes de padding, que podem ser inseridos caso seja necessário ajustar o tamanho deste campo aos limites exigidos pelo algoritmo específico, que estiver sendo usado. É um checksum seguro, criptograficamente gerado a partir da carga útil de dados, de alguns campos do IP e dos cabeçalhos de extensão, concatenado com uma chave secreta negociada entre as partes envolvidas 38

39 na comunicação, durante o estabelecimento da SA e indexada pelo valor SPI. (SANTOS, 2004) Formato do cabeçalho ESP pode ser visto na Figura 2.4. Figura Formato do cabeçalho ESP. Sendo os campos do cabeçalho ESP: SPI: é o índice na base de dados da SA do receptor do pacote e é utilizado para indicar qual algoritmo criptográfico usar; sequence number: é o número de mensagens enviadas pelo transmissor para o receptor usando a SA atual. Previne ataques de replay se o transmissor enviar esta informação para o receptor, o que torna o receptor capaz de realizar esta prevenção, se desejar; payload data: se a proteção oferecida para a mensagem for confidencialidade, este campo conterá uma versão cifrada do conteúdo da mensagem, o que substitui a mensagem inicial não cifrada. A parte cifrada também inclui os três campos do cabeçalho ESP seguindo os dados (padding, pad length e next header); padding: são zeros adicionados ao cabeçalho ESP até alcançar o tamanho desejado, ou seja, até que o cabeçalho tenha tamanho múltiplo de 32 bits; pad length: número total de bytes de padding contido no campo anterior; 39

40 next header: identifica o tipo de cabeçalho que segue o ESP, podendo ser cabeçalhos TCP, UDP, ICMP, IP (se usar o modo de operação túnel) ou cabeçalhos de extensão; authentication data: um campo opcional de tamanho variável que contém o ICV, se a mensagem receber proteção de autenticação e integridade. Porém, quando isso ocorre, a autenticação do ESP protege apenas o próprio cabeçalho. O IPSec trata todos os dados em um datagrama IP e o cabeçalho IP como uma unidade integral. Normalmente, um datagrama IP tem três partes sucessivas - o cabeçalho IP (somente por propósito de rotas), os cabeçalhos da camada superior (por exemplo, o cabeçalho TCP), e os dados da aplicação (por exemplo, os dados do protocolo POP3). O AH assegura ao destinatário que os dados IP são realmente do remetente indicado no endereço de origem e que o conteúdo foi entregue sem modificações. O ESP permite a confidencialidade e autenticação dos dados encapsulados no pacote IP. O IPSec pode ser usado em dois modos de acordo com o que se deseja proteger. Em modo de transporte, um cabeçalho do protocolo IPSec (AH ou ESP) provê proteção para os protocolos das camadas superiores à camada de rede, pois é inserido depois do cabeçalho IP original e antes do cabeçalho do protocolo superior. Esse modo é usado, geralmente, na topologia máquina-máquina e máquina-rede (Ver Seção 2.3). As Figuras 2.5 e 2.6 mostram onde são inseridos os cabeçalhos e quais cabeçalhos eles protegem. Figura AH no modo transporte. Figura ESP no modo transporte. 40

41 Em modo de túnel a proteção se aplica ao datagrama IP inteiro, inclusive ao cabeçalho IP. Isso é possível porque todo o datagrama IP é encapsulado em um pacote IPSec e é criado um novo cabeçalho IP (figuras 2.7 e 2.8). O modo túnel pode ser usado na topologia máquina-rede e rede-rede (Ver Seção 2.3). Figura AH no modo túnel. Figura ESP no modo túnel. Ainda é possível usar AH e ESP juntos, onde se provê a máxima autenticidade e confidencialidade do IPSec e é o modo mais recomendado. No modo transporte, os cabeçalhos AH/ESP aparecem imediatamente antes do cabeçalho da camada de transporte e não protegem o cabeçalho IP totalmente, somente AH oferece alguma proteção ao cabeçalho IP enquanto o ESP não o protege de forma alguma. No modo túnel o datagrama IP inteiro é protegido pela combinação do AH/ESP, e um cabeçalho IP adicional é colocado antes do AH por motivos de roteamento. As Figuras 2.9 e 2.10 ilustram os dois modelos. Figura AH e ESP no modo transporte. Os protocolos AH e ESP, por questões de garantia de interoperabilidade, estabelecem que todas as implementações suportem alguns algoritmos de criptografia e autenticação 41

42 Figura AH e ESP no modo túnel. básicos que podem aumentar futuramente devido a flexibilidade da plataforma IPSec. Por exemplo, o algoritmo HMAC-RIPEMD (KEROMYTIS; PROVOS, 2000) já foi padronizado para uso com AH e o 3DES-CBC (KARN et al., 1995) acompanha a maioria das implementações IPSec devido a fragilidade do algoritmo DES-CBC. Para o cabeçalho AH, os algoritmos que devem estar disponíveis são os seguintes: HMAC-MD5 (MADSON; GLENN, 1998a); HMAC-SHA-1 (MADSON; GLENN, 1998b); e para o ESP, além destes dois já citados acima, os outros algoritmos são: Null Encryption Algorithm (GLENN; KENT, 1998); DES-CBC (PEREIRA; ADAMS, 1998; MADSON; DORASWAMY, 1998); Associação de Segurança O IPSec utiliza o conceito de Security Association (SA) ou associação de segurança entre o transmissor e o receptor. Assim, o transmissor e o receptor devem concordar com uma chave secreta e com outros parâmetros relacionados à segurança, conhecidos apenas pelos membros da associação, para formarem um meio seguro por onde os dados possam passar (MAUGHAN et al., 1998). Uma SA é um componente unilateral, ou seja, se dois pontos finais A e B precisam se comunicar, então são requeridas pelo menos duas SA s, um para comunicação de A para B e outro para o caminho inverso. Uma SA define toda informação necessária para caracterizar comunicação segura: Qual cabeçalho será usado: AH ou ESP; 42

43 Quais algoritmos criptográficos e/ou de autenticação serão usados; Modo de operação dos cabeçalhos: transporte ou túnel; Tempo de vida das configurações. Por exemplo, uma SA sobre o protocolo AH poderia definir que o algoritmo HMAC- MD5 será usado. Um SA que especifica ESP poderia estipular o uso do 3DES-CBC como algoritmo de criptografia. Vale a pena dizer, que as chaves de criptografia também são referenciadas dentro da SA. Porém, é preciso algum mecanismo para estabelecer as associações de segurança de forma segura, senão as chaves criptográficas seriam distribuídas e qualquer máquina poderia capturá-las. Dessa forma, todo o esforço por aumento da confidencialidade seria em vão. Para executar tal tarefa foi definido um protocolo para troca de chaves chamado Internet Key Exchange é explanado na Seção Toda SA deve ser representada dentro de algum banco de dados. A RFC 2401 se refere a este banco como o Security Association Database (SAD). As entradas no SAD geralmente são referenciadas por um inteiro único de 32-bit chamado como o Security Policy Index (SPI). É este SPI que é incluído dentro dos pacotes protegidos pelo IPSec, identificando qual transformação deve ser usada para descriptografar e/ou autenticar um pacote IP. A RFC 2401 também determina outra base de dados para o modelo IPSec, o Security Policy Database - SPD, que define as políticas de entrada e saída do tráfego de uma máquina. O SPD especifica entre quais máquinas os dados serão protegidos e que cabeçalhos do IPSec serão usados. Porém, tal RFC não entra no escopo de especificar o formato do banco de dados e de suas interfaces. É especificado um mínimo de funcionalidades do gerenciamento que deve ser oferecido para permitir que o administrador do sistema controle como o IPSec é aplicado sobre o tráfego transmitido ou recebido por uma máquina. O SPD deve ser consultado durante o processamento do tráfego (tanto o de saída como o de entrada) inclusive o tráfego não IPSec. Para cada datagrama de entrada ou saída, três processamentos podem ser possíveis, conforme determinados pelo SPD: descartar, bypassar ou aplicar o IPSec. A primeira opção se refere ao tráfego que não deve nem sair da máquina ou de uma aplicação. A segunda opção se refere ao tráfego que é permitido que saia sem proteção do IPSec. E por último, a terceira opção se refere ao tráfego em que deve ser aplicado os serviços de autenticidade e confidencialidade do IPSec. 43

44 Figura Processamento do tráfego de saída IPSec. Cada entrada é chaveada por um ou mais seletores que definem o conjunto de tráfego IP atingido por esta política. Se o processamento IPSec for aplicado, a entrada inclui a especificação da SA, listando os protocolos, modos e algoritmos a serem empregados. Na Figura 2.11 é esboçado o processamento do tráfego de saída com IPSec IKE Para estabelecer comunicação sigilosa, além dos mecanismos de autenticação e criptografia, é também necessário um método de gestão de chaves criptográficas que permita criar, estabelecer, adicionar e eliminá-las. Como distribuir estas chaves sem correr o risco de espionagem? Como conseguir um meio seguro se no início tudo o que se tem é um meio inseguro? O protocolo de gerência de chaves criptográficas é a solução para estas perguntas. IPsec suporta tanto o gerenciamento de chaves manual como o automático. O gerenciamento manual é o mais simples, nele uma pessoa configura manualmente cada sistema com as chaves criptográficas e o gerenciamento dos dados relevantes da SA para a comunicação com outros sistemas. Para aplicações em larga escala, a técnica de gerenciamento automática é mais aconselhável. O sistema de troca de chaves é o coração da proteção do dados que serão criptografados. 44

45 Um distribuição segura de chaves pela Internet é a parte essencial da proteção dos dados. De modo a acelerar o processo de criação de normas, a IETF definiu como norma de gestão de chaves do IPSec o protocolo Internet Key Exchange (IKE) (HARKINS; CARREL, 1998). No entanto, devido à sua flexibilidade, o IPSec pode ser usado com outros mecanismos de gestão automática de chaves. O IKE é um protocolo híbrido, formado pelo Internet Security Association and Key Management Protocol (ISAKMP) (MAUGHAN et al., 1998; PIPER, 1998) e pelo OAKLEY (ORMAN, 1998). Existem três métodos para trocar a informação necessária à distribuição de chaves e ao estabelecimento de associações de segurança, distribuídos pelas duas fases de negociação ISAKMP: A primeira fase estabelece um canal de comunicação seguro entre as duas extremidades que desejam trocar dados. Para que isto seja possível é necessária a seguinte seqüência de operações: verificar os protocolos criptográficos e os parâmetros que serão utilizados para escolher os algoritmos de autenticação e de criptografia. Baseado nestas informações, as chaves secretas entre estas extremidades serão trocadas e uma associação segura ISAKMP é construída para se criar o canal. Nesta fase, o canal é inseguro e nas negociações é usado o modo Oakley Main ou Aggressive. A primeira fase é muito mais demorada e as trocas são mais complexas e pouco freqüêntes; A segunda fase fornece as melhores associações seguras para proteger o tráfego IP pelo canal de comunicação criado na primeira fase. Isto é feito através dos seguintes passos: uma nova associação segura ISAKMP é estabelecida para a proteção das trocas de informações desta fase e, posteriormente, são negociados protocolos ou combinações de protocolos que serão armazenados nas SADs de cada extremidade. A segunda fase apresenta trocas menos complexas e mais freqüêntes. Estes passos estabelecem um meio seguro para as mensagens trocadas nos acordos de requisitos de segurança da rede. Toda segurança depende desta primeira troca de mensagens, sendo responsável pelo acerto das chaves para a atuação dos protocolos de proteção que utilizam os algoritmos de mensagens, sendo responsável pelo acerto das chaves para a atuação dos protocolos de proteção que utilizam os algoritmos de criptografia Implementações IPSec Existem inúmeras implementações IPSec que geralmente são casadas com implementações IPv6, fato que se deve à obrigatoriedade da presença do IPSec no IPv6. Existem desde 45

46 implementações proprietárias para roteadores e sistemas operacionais até implementações gratuitas feitas diretamente pelos desenvolvedores de sistemas operacionais também gratuitos. Uma lista de implementações IPv6 está disponível no endereço com/pub/ipng/html/ipng-implementations.html. FreeS/WAN é uma implementação IPSec muito conhecida para linux, funciona para as versões de kernel 2.0, 2.2, 2.4 e 2.6. Porém, a partir do kernel 2.6 do linux, os desenvolvedores do linux fizeram uma implementação de IPv6 e IPSec não baseada na FreeSWAN. O projeto descontinuou por problemas com as leis americanas contra exportação de criptografia. (FREES/WAN, 1999). Atualmente o projeto Openswan (OPENSWAN..., 2004) assumiu o desenvolvimento. Nesse trabalho é usado a implementação KAME do Japão, cujo objetivo é implementar o IPv6 e IPSec para os sistemas operacionais FreeBSD, NetBSD, OpenBSD, BSD/OS e variantes através do esforço de pesquisadores das seguintes companhias, principalmente (KAME, 1998): Fujitsu Limited Hitachi, Ltd. Internet Initiative Japan Inc. NEC Corporation Toshiba Corporation Yokogawa Electric Corporation A escolha do KAME para este projeto foi devido, principalmente, às suas implementações de acesso aos SPD e SAD, o que permitiu alterar as informações de tais bancos de dados em tempo de execução. 2.3 VPN VPN é abreviatura para Virtual Private Network, ou seja, Redes Privadas Virtuais. O uso de VPN representa uma alternativa interessante na racionalização dos custos de redes corporativas oferecendo confidencialidade e integridade no transporte de informações através de redes públicas. 46

47 O sigilo dos dados é a primeira e mais importante função da VPN. Uma vez que dados privados serão transmitidos pela Internet, que é um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir que sejam modificados ou interpretados. Outro serviço oferecido pelas VPNs é a conexão entre corporações (Extranets) através da Internet, além de possibilitar conexões dial-up (por telefone) criptografadas que podem ser muito úteis para usuários móveis ou remotos, bem como filiais distantes de uma empresa. As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existência é anterior às VPNs. Ele pode ser definido como o processo de encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo componente a esta técnica: antes de encapsular o pacote que será transportado, este é criptografado de forma a ficar ilegível caso seja capturado indevidamente durante o seu transporte. O pacote criptografado e encapsulado viaja através da Internet até alcançar seu destino onde é desencapsulado e descriptografado, retornando ao seu formato original. Uma característica importante é que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de protocolo Internetwork Packet Exchange (IPX) podem ser encapsulados e transportados dentro de pacotes TCP/IP. Principais protocolos usados para criação de VPNs: Layer 2 Forwarding (L2F): é um protocolo proprietário criado pela Cisco, primariamente usado para criação de VPN através de conexões discadas; Point-to-Point Tunneling Protocol (PPTP): protocolo criado pela Microsoft visando principalmente proteção de tráfego através de conexões discadas; Layer Two Tunneling Protocol (L2TP): desenvolvido em conjunto pela Cisco e Microsoft com o objetivo de substituir L2F e PPTP; IP Security (IPSec): plataforma de segurança para proteção dos protocolos da camada de rede e superiores, padronizado pela IETF; L2TP sobre IPsec (L2TP/IPSec) Vários produtos, alguns não associados a protocolos bem definidos como os listados acima, também surgiram para prover VPNs. Estes atingem o mesmo objetivo de proteger o tráfego entre duas máquinas, mas através de regras próprias, sem padronização e portanto sem nenhuma interoperabilidade com outros softwares garantida. Alguns usam Secure Sockets Layer (SSL), ou seja, só protegem os dados da aplicação. Exemplos: 47

48 Amrita VPN (http://amvpn.sourgeforge.net); CIPE (http://sites.inka.de/bigred/devel/cipe.html); OpenVPN (http://openvpn.sourceforge.net/); Tinc (http://tinc.nl.linux.org); VPND (http://sunsite.dk/vpnd) Pelo foco desse trabalho, será abordado apenas o IPSec como solução de VPNs. O IPSec é um comjunto de protocolos desenvolvido para IPv6, devendo no futuro, se constituir como padrão para todas as formas de VPN quando o IPv6 de fato substituir o IPv4. Existem três topologias básicas para criação de VPNs. Máquina-Máquina, Máquina-Rede e Rede-Rede. A topologia máquina-máquina tem como finalidade comunicar duas máquinas separadas fisicamente, fornecendo a confidencialidade necessária para a troca de informações entre elas. Estas máquinas podem ou não estar presentes em uma mesma rede. A Figura 2.12 mostra duas máquinas do departamento de recursos humanos, de filiais de uma mesma empresa, sincronizando suas informações. Neste caso, o objetivo não era interligar as redes inteiras, o que exigiria um esforço maior e desnecessário, além de acarretar em custos extras. Figura Topologia de VPN máquina-máquina. 48

49 Figura Topologia de VPN máquina-rede. Também chamada de acesso remoto VPN, a topologia máquina-rede permite a conexão de um computador móvel a uma determinada rede através da Internet, de acordo com a Figura Para isso, basta o usuário ter um software para conexões remotas VPN instalado. Esta opção é bastante atrativa para funcionários que constantemente viajam ou estão fora da empresa e precisam manter de alguma forma o contato. Figura Topologia de VPN rede-rede. 49

IPSec. IPSec Internet Protocol Security OBJETIVO ROTEIRO ROTEIRO

IPSec. IPSec Internet Protocol Security OBJETIVO ROTEIRO ROTEIRO OBJETIVO Internet Protocol Security Antonio Abílio da Costa Coutinho José Eduardo Mendonça da Fonseca Apresentar conceitos sobre segurança em redes de comunicação de dados, relacionados ao Protocolo (Internet

Leia mais

Nível de segurança de uma VPN

Nível de segurança de uma VPN VPN Virtual Private Network (VPN) é uma conexão segura baseada em criptografia O objetivo é transportar informação sensível através de uma rede insegura (Internet) VPNs combinam tecnologias de criptografia,

Leia mais

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Segurança de Sistemas na Internet Aula 10 - IPSec Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Slide 2 de 31 Introdução Há inúmeras soluções de autenticação/cifragem na camada de aplicação

Leia mais

OTES07 - Segurança da Informação Módulo 08: VPN

OTES07 - Segurança da Informação Módulo 08: VPN OTES07 - Segurança da Informação Módulo 08: VPN Prof. Charles Christian Miers e-mail:charles.miers@udesc.br VPN: Virtual Private Networks Uma Rede Virtual Privada (VPN) é um meio de simular uma rede privada

Leia mais

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco.

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco. VPN: Redes Privadas Virtuais O objetivo deste tutorial é apresentar os tipos básicos de Redes Privadas Virtuais (VPN's) esclarecendo os significados variados que tem sido atribuído a este termo. Eduardo

Leia mais

A Internet e o TCP/IP

A Internet e o TCP/IP A Internet e o TCP/IP 1969 Início da ARPANET 1981 Definição do IPv4 na RFC 791 1983 ARPANET adota o TCP/IP 1990 Primeiros estudos sobre o esgotamento dos endereços 1993 Internet passa a ser explorada comercialmente

Leia mais

OSRC Segurança em Redes de Computadores Módulo 11: VPN

OSRC Segurança em Redes de Computadores Módulo 11: VPN OSRC Segurança em Redes de Computadores Módulo 11: VPN Prof. Charles Christian Miers e-mail: charles.miers@udesc.br VPN: Virtual Private Networks Uma Rede Virtual Privada (VPN) é um meio de simular uma

Leia mais

Interconexão de Redes de Comutadores

Interconexão de Redes de Comutadores IPv6 - Introdução Interconexão de Redes de Comutadores Parte 3.5: TCP / IPv6 Em 1992 uma Internet Engineering Task Force (IETF) cria o grupo IPng (IP next generation) para a criação de um novo protocolo

Leia mais

VPN. Desempenho e Segurança de Sistemas de Informação

VPN. Desempenho e Segurança de Sistemas de Informação VPN Desempenho e Segurança de Sistemas de Informação Conceito Vantagens Tipos Protocolos utilizados Objetivos VPN (Virtual Private Network) Rede Privada Virtual - uma conexão onde o acesso e a troca de

Leia mais

Segurança em Redes IP

Segurança em Redes IP IPSec 1 Segurança em Redes IP FEUP MPR IPSec 2 Introdução Conceitos básicos IP Seguro Criptografia Segurança em redes IP Associação de Segurança, Modos de funcionamento AH, ESP, Processamento de tráfego,

Leia mais

Criptografia e Segurança das Comunicações. IPsec

Criptografia e Segurança das Comunicações. IPsec Criptografia e Segurança das Comunicações IPsec IPsec : 1/27 Introdução (1) Os datagramas IP do nível de rede da pilha de protocolos v4 são inseguros! Endereço fonte pode ser mistificado ( spoofed ). Conteúdo

Leia mais

Internet Protocol Security (IPSec)

Internet Protocol Security (IPSec) Internet Protocol Security (IPSec) Segurança de Computadores IPSec - Introdução Preocupados com a insegurança na Internet o IETF (Internet Engineering Task Force) desenvolveu um conjunto de protocolos,

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores CAMADA DE REDE DHCP NAT IPv6 Slide 1 Protocolo DHCP Protocolo de Configuração Dinâmica de Hospedeiros (Dynamic Host Configuration Protocol DHCP), RFC 2131; Obtenção de endereço de

Leia mais

VPN. Prof. Marciano dos Santos Dionizio

VPN. Prof. Marciano dos Santos Dionizio VPN Prof. Marciano dos Santos Dionizio VPN Virtual Private Network ou Rede Privada Virtual É uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições,

Leia mais

Segurança em Redes IP

Segurança em Redes IP IPSec 1 Segurança em Redes IP FEUP MPR IPSec 2 Requisitos de Segurança em Redes» Autenticação: O parceiro da comunicação deve ser o verdadeiro» Confidencialidade: Os dados transmitidos não devem ser espiados»

Leia mais

Introdução. Disciplina: Suporte Remoto Prof. Etelvira Leite

Introdução. Disciplina: Suporte Remoto Prof. Etelvira Leite Introdução Disciplina: Suporte Remoto Prof. Etelvira Leite Os Benefícios do Trabalho Remoto O mundo assiste hoje à integração e à implementação de novos meios que permitem uma maior rapidez e eficácia

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Segurança de Redes de Computadores

Segurança de Redes de Computadores Segurança de Redes de Computadores Aula 10 Segurança na Camadas de Rede Redes Privadas Virtuais (VPN) Prof. Ricardo M. Marcacini ricardo.marcacini@ufms.br Curso: Sistemas de Informação 1º Semestre / 2015

Leia mais

Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Conexão de Redes. Protocolo TCP/IP. Arquitetura Internet.

Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Conexão de Redes. Protocolo TCP/IP. Arquitetura Internet. Origem: Surgiu na década de 60 através da DARPA (para fins militares) - ARPANET. Em 1977 - Unix é projetado para ser o protocolo de comunicação da ARPANET. Em 1980 a ARPANET foi dividida em ARPANET e MILINET.

Leia mais

Redes. Pablo Rodriguez de Almeida Gross

Redes. Pablo Rodriguez de Almeida Gross Redes Pablo Rodriguez de Almeida Gross Conceitos A seguir serão vistos conceitos básicos relacionados a redes de computadores. O que é uma rede? Uma rede é um conjunto de computadores interligados permitindo

Leia mais

18/05/2014. Problemas atuais com o IPv4

18/05/2014. Problemas atuais com o IPv4 Problemas atuais com o IPv4 Fundamentos de Redes de Computadores Prof. Marcel Santos Silva Falhas de segurança: A maioria dos ataques contra computadores hoje na Internet só é possível devido a falhas

Leia mais

Capítulo 6 - Protocolos e Roteamento

Capítulo 6 - Protocolos e Roteamento Capítulo 6 - Protocolos e Roteamento Prof. Othon Marcelo Nunes Batista Mestre em Informática 1 de 53 Roteiro (1 / 2) O Que São Protocolos? O TCP/IP Protocolos de Aplicação Protocolos de Transporte Protocolos

Leia mais

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network Segurança e Auditoria de Sistemas Segurança de Redes VPN - Virtual Private Network Prof. Me Willians Bueno williansbueno@gmail.com UNIFEB/2013 INTRODUÇÃO; ROTEIRO APLICAÇÕES; VANTAGENS; CARACTERÍSTICAS;

Leia mais

V3PN Voice, Video and Integrated Data IP. Palestra V3PN

V3PN Voice, Video and Integrated Data IP. Palestra V3PN V3PN Voice, Video and Integrated Data IP V3PN Voice, Video and Integrated Data Palestrante André Gustavo Lomônaco Diretor de Tecnologia da IPPLUS Tecnologia Mestre em Engenharia Elétrica Certificado Cisco

Leia mais

IPv6 - Características do IP Next Generation

IPv6 - Características do IP Next Generation IPv6 - Características do IP Next Generation 1 - Introdução As três das principais motivações que conduziram à necessidade de superar as limitações de crescimento da versão atual do protocolo IP (Internet

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16 REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16 Índice 1. SISTEMA OPERACIONAL DE REDE...3 1.1 O protocolo FTP... 3 1.2 Telnet... 4 1.3 SMTP... 4 1.4 SNMP... 5 2 1. SISTEMA OPERACIONAL DE REDE O sistema

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança Protocolos de Segurança A criptografia resolve os problemas envolvendo a autenticação, integridade

Leia mais

INTERNET = ARQUITETURA TCP/IP

INTERNET = ARQUITETURA TCP/IP Arquitetura TCP/IP Arquitetura TCP/IP INTERNET = ARQUITETURA TCP/IP gatewa y internet internet REDE REDE REDE REDE Arquitetura TCP/IP (Resumo) É útil conhecer os dois modelos de rede TCP/IP e OSI. Cada

Leia mais

PROTOCOLO IP O esgotamento dos endereços IP.

PROTOCOLO IP O esgotamento dos endereços IP. 1 PROTOCOLO IP O IP é o protocolo mais importante na Internet. Ele é quem define as regras através das quais as informações fluem na rede mundial. Uma das principais regras diz que: Cada computador deve

Leia mais

Arquitetura TCP/IP. Parte VI Entrega de pacotes sem conexão (IP) Fabrízzio Alphonsus A. M. N. Soares

Arquitetura TCP/IP. Parte VI Entrega de pacotes sem conexão (IP) Fabrízzio Alphonsus A. M. N. Soares Arquitetura TCP/IP Parte VI Entrega de pacotes sem conexão (IP) Fabrízzio Alphonsus A. M. N. Soares Tópicos Conceitos Pacote (ou datagrama) IP Formato Campos do cabeçalho Encapsulamento Fragmentação e

Leia mais

A Camada de Rede. A Camada de Rede

A Camada de Rede. A Camada de Rede Revisão Parte 5 2011 Modelo de Referência TCP/IP Camada de Aplicação Camada de Transporte Camada de Rede Camada de Enlace de Dados Camada de Física Funções Principais 1. Prestar serviços à Camada de Transporte.

Leia mais

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico Com a explosão da Internet e com o surgimento constante de mais e mais serviços e aplicações, os atuais endereços IP (IPv4) estão se tornando um recurso escasso. Estima-se que, em aproximadamente dois

Leia mais

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico Com a explosão da Internet e com o surgimento constante de mais e mais serviços e aplicações, os atuais endereços IP (IPv4) estão se tornando um recurso escasso. Estima-se que, em aproximadamente dois

Leia mais

Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento. Associação dos Instrutores NetAcademy - Julho de 2007 - Página

Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento. Associação dos Instrutores NetAcademy - Julho de 2007 - Página Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento IP 1 História e Futuro do TCP/IP O modelo de referência TCP/IP foi desenvolvido pelo Departamento de Defesa dos Estados Unidos (DoD). O DoD exigia

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 2 - MODELO DE REFERÊNCIA TCP (RM TCP) 1. INTRODUÇÃO O modelo de referência TCP, foi muito usado pela rede ARPANET, e atualmente usado pela sua sucessora, a Internet Mundial. A ARPANET é de grande

Leia mais

1. PRINCIPAIS PROTOCOLOS TCP/IP

1. PRINCIPAIS PROTOCOLOS TCP/IP 1. PRINCIPAIS PROTOCOLOS TCP/IP 1.1 IP - Internet Protocol RFC 791 Esse protocolo foi introduzido na ARPANET no início dos anos 80, e tem sido utilizado juntamente com o TCP desde então. A principal característica

Leia mais

Aula 6 Modelo de Divisão em Camadas TCP/IP

Aula 6 Modelo de Divisão em Camadas TCP/IP Aula 6 Modelo de Divisão em Camadas TCP/IP Camada Conceitual APLICATIVO TRANSPORTE INTER-REDE INTERFACE DE REDE FÍSICA Unidade de Dados do Protocolo - PDU Mensagem Segmento Datagrama /Pacote Quadro 01010101010100000011110

Leia mais

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural Arquitetura e Protocolos de Rede TCP/IP Modelo Arquitetural Motivação Realidade Atual Ampla adoção das diversas tecnologias de redes de computadores Evolução das tecnologias de comunicação Redução dos

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Segurança em Comunicações Protocolos de Segurança VPN 2 1 Comunicações Origem Destino Meio Protocolo 3 Ataques Interceptação Modificação Interrupção Fabricação 4 2 Interceptação

Leia mais

A importância de uma NAT e de uma VPN para a segurança da informação. NAT Network Address Translation

A importância de uma NAT e de uma VPN para a segurança da informação. NAT Network Address Translation A importância de uma NAT e de uma VPN para a segurança da informação NAT Network Address Translation A funcionalidade de NAT consiste no procedimento de translado de endereços de uma rede para a outra.

Leia mais

Arquiteturas de Rede. Prof. Leonardo Barreto Campos

Arquiteturas de Rede. Prof. Leonardo Barreto Campos Arquiteturas de Rede 1 Sumário Introdução; Modelo de Referência OSI; Modelo de Referência TCP/IP; Bibliografia. 2/30 Introdução Já percebemos que as Redes de Computadores são bastante complexas. Elas possuem

Leia mais

FTP Protocolo de Transferência de Arquivos

FTP Protocolo de Transferência de Arquivos FTP Protocolo de Transferência de Arquivos IFSC UNIDADE DE SÃO JOSÉ CURSO TÉCNICO SUBSEQUENTE DE TELECOMUNICAÇÕES! Prof. Tomás Grimm FTP - Protocolo O protocolo FTP é o serviço padrão da Internet para

Leia mais

Camada de Rede. Prof. Leonardo Barreto Campos 1

Camada de Rede. Prof. Leonardo Barreto Campos 1 Camada de Rede Prof. Leonardo Barreto Campos 1 Sumário Introdução; Internet Protocol IP; Fragmentação do Datagrama IP; Endereço IP; Sub-Redes; CIDR Classes Interdomain Routing NAT Network Address Translation

Leia mais

Tecnologias Atuais de Redes

Tecnologias Atuais de Redes Tecnologias Atuais de Redes Aula 3 VPN Tecnologias Atuais de Redes - VPN 1 Conteúdo Conceitos e Terminologias Vantagens, Desvantagens e Aplicações Etapas da Conexão Segurança Tunelamento Protocolos de

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Qualidade de serviço. Protocolo IPv6

Qualidade de serviço. Protocolo IPv6 Qualidade de serviço. Protocolo IPv6 Apresentar a nova forma de endereçamento lógico, o endereço IP versão 6 (IPv6). No começo da década de 1990, a IETF começou o estudo para desenvolver o sucessor do

Leia mais

Redes de Computadores

Redes de Computadores 1 Elmano R. Cavalcanti Redes de Computadores Camada de Rede elmano@gmail.com facisa-redes@googlegroups.com http://sites.google.com/site/elmano Esta apresentação contém slides fornecidos pela Editora Pearson

Leia mais

RNP, NGI Internet II e IP Next Generation

RNP, NGI Internet II e IP Next Generation RNP, NGI Internet II e IP Next Generation Novembro e Dezembro de 1997 Adailton J. S. Silva Índice: RNP - Rede Nacional de Pesquisa Next Generation Internet - Internet II IP Next Generation - IPv6 RNP -

Leia mais

REDES DE COMPUTADORES. Camada de Rede. Prof.: Agostinho S. Riofrio

REDES DE COMPUTADORES. Camada de Rede. Prof.: Agostinho S. Riofrio REDES DE COMPUTADORES Camada de Rede Prof.: Agostinho S. Riofrio Agenda 1. Introdução 2. Funções 3. Serviços oferecidos às Camadas superiores 4. Redes de Datagramas 5. Redes de Circuitos Virtuais 6. Comparação

Leia mais

PROAPPS Security Data Sheet Professional Appliance / Apresentação

PROAPPS Security Data Sheet Professional Appliance / Apresentação O ProApps Security O ProApps Security é um componente da suíte de Professional Appliance focada na segurança de sua empresa ou rede. A solução pode atuar como gateway e como solução IDS/IPS no ambiente.

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Cap. 5: VPN Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução VPN (Virtual Private Network, ou rede virtual privada) criada para interligar duas redes distantes, através

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco.

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco. O que é IP O objetivo deste tutorial é fazer com que você conheça os conceitos básicos sobre IP, sendo abordados tópicos como endereço IP, rede IP, roteador e TCP/IP. Eduardo Tude Engenheiro de Teleco

Leia mais

Disciplina Fundamentos de Redes. Introdução ao Endereço IP. Professor Airton Ribeiro de Sousa Outubro de 2014

Disciplina Fundamentos de Redes. Introdução ao Endereço IP. Professor Airton Ribeiro de Sousa Outubro de 2014 Disciplina Fundamentos de Redes Introdução ao Endereço IP 1 Professor Airton Ribeiro de Sousa Outubro de 2014 PROTOCOLO TCP - ARQUITETURA Inicialmente para abordamos o tema Endereço IP, é necessário abordar

Leia mais

IPv6. Clécio Oliveira Pinto. cleciooliveira at gmail com

IPv6. Clécio Oliveira Pinto. cleciooliveira at gmail com IPv6 Clécio Oliveira Pinto Segurança e Integração em Redes de Computadores para Ambientes Corporativos Faculdade de Tecnologia SENAC Goiás cleciooliveira at gmail com Abstract. The Internet Protocol version

Leia mais

TECNOLOGIA WEB INTERNET PROTOCOLOS

TECNOLOGIA WEB INTERNET PROTOCOLOS INTERNET PROTOCOLOS 1 INTERNET Rede mundial de computadores. Também conhecida por Nuvem ou Teia. Uma rede que permite a comunicação de redes distintas entre os computadores conectados. Rede WAN Sistema

Leia mais

MÓDULO 8 Modelo de Referência TCP/IP

MÓDULO 8 Modelo de Referência TCP/IP MÓDULO 8 Modelo de Referência TCP/IP A internet é conhecida como uma rede pública de comunicação de dados com o controle totalmente descentralizado, utiliza para isso um conjunto de protocolos TCP e IP,

Leia mais

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural Arquitetura e Protocolos de Rede TCP/IP Modelo Arquitetural Agenda Motivação Objetivos Histórico Família de protocolos TCP/IP Modelo de Interconexão Arquitetura em camadas Arquitetura TCP/IP Encapsulamento

Leia mais

Criptografia e Segurança de Redes Capítulo 16

Criptografia e Segurança de Redes Capítulo 16 Criptografia e Segurança de Redes Capítulo 16 Quarta Edição por William Stallings Lecture slides by Lawrie Brown Capítulo 16 Segurança de IP Se uma noticia secreta é divulgada por um espião antes da hora

Leia mais

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Prof. Luís Rodolfo Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Redes de computadores e telecomunicação Objetivos da Unidade III Apresentar as camadas de Transporte (Nível 4) e Rede (Nível 3) do

Leia mais

Universidade Tuiuti do Paraná Faculdade de Ciências Exatas. Tecnologia de Análise e Desenvolvimento de Sistemas. TCP/IP x ISO/OSI

Universidade Tuiuti do Paraná Faculdade de Ciências Exatas. Tecnologia de Análise e Desenvolvimento de Sistemas. TCP/IP x ISO/OSI Universidade Tuiuti do Paraná Faculdade de Ciências Exatas Tecnologia de Análise e Desenvolvimento de Sistemas TCP/IP x ISO/OSI A Internet não segue o modelo OSI. É anterior a ele. Redes de Computadores

Leia mais

SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO *

SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO * SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO * Giovani Francisco de Sant Anna Centro Universitário do Triângulo (UNITRI) William Rodrigues Gomes Centro Universitário

Leia mais

A camada de rede. A camada de rede. A camada de rede. 4.1 Introdução. 4.2 O que há dentro de um roteador

A camada de rede. A camada de rede. A camada de rede. 4.1 Introdução. 4.2 O que há dentro de um roteador Redes de computadores e a Internet Capitulo Capítulo A camada de rede.1 Introdução.2 O que há dentro de um roteador.3 IP: Protocolo da Internet Endereçamento IPv. Roteamento.5 Roteamento na Internet (Algoritmos

Leia mais

MPLS MultiProtocol Label Switching

MPLS MultiProtocol Label Switching MPLS MultiProtocol Label Switching Cenário Atual As novas aplicações que necessitam de recurso da rede são cada vez mais comuns Transmissão de TV na Internet Videoconferências Jogos on-line A popularização

Leia mais

Um pouco sobre Pacotes e sobre os protocolos de Transporte

Um pouco sobre Pacotes e sobre os protocolos de Transporte Um pouco sobre Pacotes e sobre os protocolos de Transporte O TCP/IP, na verdade, é formado por um grande conjunto de diferentes protocolos e serviços de rede. O nome TCP/IP deriva dos dois protocolos mais

Leia mais

Segurança no Acesso Remoto VPN

Segurança no Acesso Remoto VPN Segurança no Acesso Remoto Edmar Roberto Santana de Rezende 1 Orientador: Prof. Dr. Paulo Lício de Geus 1 Financiado por Robert Bosch Ltda 1de 31 Apresentação Motivação Redes Privadas Virtuais () Análise

Leia mais

1. Capturando pacotes a partir da execução do traceroute

1. Capturando pacotes a partir da execução do traceroute Neste laboratório, iremos investigar o protocolo IP, focando o datagrama IP. Vamos fazê-lo através da analise de um trace de datagramas IP enviados e recebidos por uma execução do programa traceroute (o

Leia mais

IPsec: IP Seguro. Edgard Jamhour 2009, Edgard Jamhour

IPsec: IP Seguro. Edgard Jamhour 2009, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour 1) Introdução ao IP Sec - IP Seguro Padrão aberto baseado em RFC (IETF). Comunicação segura em camada 3 (IPv4 e IPv6) Provê recursos de segurança sobre redes IP: Autenticação,

Leia mais

Capítulo 8 - Aplicações em Redes

Capítulo 8 - Aplicações em Redes Capítulo 8 - Aplicações em Redes Prof. Othon Marcelo Nunes Batista Mestre em Informática 1 de 31 Roteiro Sistemas Operacionais em Rede Modelo Cliente-Servidor Modelo P2P (Peer-To-Peer) Aplicações e Protocolos

Leia mais

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br FACULDADE PITÁGORAS DISCIPLINA FUNDAMENTOS DE REDES REDES DE COMPUTADORES Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br Material elaborado com base nas apresentações

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Capítulo 1 Gustavo Reis gustavo.reis@ifsudestemg.edu.br - O que é a Internet? - Milhões de elementos de computação interligados: hospedeiros = sistemas finais - Executando aplicações

Leia mais

Claudivan C. Lopes claudivan@ifpb.edu.br

Claudivan C. Lopes claudivan@ifpb.edu.br Claudivan C. Lopes claudivan@ifpb.edu.br Introdução ao protocolo TCP/IP Camada de aplicação Camada de transporte Camada de rede IFPB/Patos - Prof. Claudivan 2 É o protocolo mais usado da atualidade 1 :

Leia mais

REDES VIRTUAIS PRIVADAS

REDES VIRTUAIS PRIVADAS REDES VIRTUAIS PRIVADAS VPN Universidade Católica do Salvador Curso de Bacharelado em Informática Disciplina: Redes de Computadores Professor: Marco Antônio Câmara Aluna: Patricia Abreu Página 1 de 10

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Redes de Computadores Nível de Rede Redes de Computadores 2 1 Nível de Rede Internet Nível de Rede na Internet O ambiente inter-redes: hosts conectados a redes redes interligam-se

Leia mais

Capítulo 10 - Conceitos Básicos de Roteamento e de Sub-redes. Associação dos Instrutores NetAcademy - Julho de 2007 - Página

Capítulo 10 - Conceitos Básicos de Roteamento e de Sub-redes. Associação dos Instrutores NetAcademy - Julho de 2007 - Página Capítulo 10 - Conceitos Básicos de Roteamento e de Sub-redes 1 Protocolos Roteáveis e Roteados Protocolo roteado: permite que o roteador encaminhe dados entre nós de diferentes redes. Endereço de rede:

Leia mais

Redes de Computadores II. Professor Airton Ribeiro de Sousa

Redes de Computadores II. Professor Airton Ribeiro de Sousa Redes de Computadores II Professor Airton Ribeiro de Sousa 1 PROTOCOLO IP IPv4 - Endereçamento 2 PROTOCOLO IP IPv4 - Endereçamento A quantidade de endereços possíveis pode ser calculada de forma simples.

Leia mais

Endereço IP Privado. Endereçamento IP. IP Protocolo da Internet. Protocolos da. Camada de Inter-Rede (Internet)

Endereço IP Privado. Endereçamento IP. IP Protocolo da Internet. Protocolos da. Camada de Inter-Rede (Internet) Protocolos da Camada de Inter- (Internet) IP Protocolo da Internet. Não Confiável; Não Orientado à conexão; Trabalha com Datagramas; Roteável; IPv 4 32 bits; IPv 6 128 bits; Divisão por Classes (A,B,C,D,E);

Leia mais

Capítulo 7 CAMADA DE TRANSPORTE

Capítulo 7 CAMADA DE TRANSPORTE Capítulo 7 CAMADA DE TRANSPORTE SERVIÇO SEM CONEXÃO E SERVIÇO ORIENTADO À CONEXÃO Serviço sem conexão Os pacotes são enviados de uma parte para outra sem necessidade de estabelecimento de conexão Os pacotes

Leia mais

Construindo e Integrando VPNs Utilizando IPSEC

Construindo e Integrando VPNs Utilizando IPSEC Construindo e Integrando VPNs Utilizando IPSEC Juscelino C. de Lima Junior, Graziele O. Alves Curso de Segurança de sistemas Pontifícia Universidade Católica do Paraná Curitiba, Outubro de 2009 Resumo

Leia mais

IPSec & Redes Virtuais Privadas

IPSec & Redes Virtuais Privadas IPSec & Redes Virtuais Privadas Informe Técnico Página 1 de 19 I. Introdução A Unicert Brasil Certificadora é uma empresa que atua em tecnologia de informação, com produtos e serviços consistentes com

Leia mais

Protocolos, DNS, DHCP, Ethereal e comandos em Linux

Protocolos, DNS, DHCP, Ethereal e comandos em Linux Redes de Computadores Protocolos, DNS, DHCP, Ethereal e comandos em Linux Escola Superior de Tecnologia e Gestão Instituto Politécnico de Bragança Março de 2006 Endereços e nomes Quaisquer duas estações

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES 09/2013 Cap.3 Protocolo TCP e a Camada de Transporte 2 Esclarecimentos Esse material é de apoio para as aulas da disciplina e não substitui a leitura da bibliografia básica. Os professores

Leia mais

Roteadores de Serviços Integrados CISCO ISR G2

Roteadores de Serviços Integrados CISCO ISR G2 Roteadores de Serviços Integrados CISCO ISR G2 Visão geral sobre Desempenho Descrição do Conteúdo Os roteadores de serviços integrados de nova geração (ISR G2) proporcionam uma plataforma para serviços

Leia mais

TCP-IP - Introdução. Aula 02. Professor Sérgio Teixeira E-mail: sergio.professor@multicast.com.br Telefone: (27) 9989-1122

TCP-IP - Introdução. Aula 02. Professor Sérgio Teixeira E-mail: sergio.professor@multicast.com.br Telefone: (27) 9989-1122 TCP-IP - Introdução Aula 02 Professor Sérgio Teixeira E-mail: sergio.professor@multicast.com.br Telefone: (27) 9989-1122 História 1969 - Advanced Research Project Agency (ARPA) financia a pesquisa e o

Leia mais

3) Na configuração de rede, além do endereço IP, é necessário fornecer também uma máscara de subrede válida, conforme o exemplo:

3) Na configuração de rede, além do endereço IP, é necessário fornecer também uma máscara de subrede válida, conforme o exemplo: DIRETORIA ACADÊMICA DE EDUCAÇÃO E TECNOLOGIA COORDENAÇÃO DOS CURSOS DA ÁREA DE INFORMÁTICA! Atividade em sala de aula. 1) A respeito de redes de computadores, protocolos TCP/IP e considerando uma rede

Leia mais

Regras de funcionamento (Unreliable Delivery, etc.) Método de roteamento (Sem conexão) Formato dos dados em um datagrama

Regras de funcionamento (Unreliable Delivery, etc.) Método de roteamento (Sem conexão) Formato dos dados em um datagrama IP - Internet Protocol Histórico O protocolo internet (IP), definido e aprovado pelo DoD (Departamento de Defesa Americano), foi concebido para uso em sistemas de computação interconectados através de

Leia mais

ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK)

ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK) ESTUDO DE VIABILIDADE, PROJETO E IMPLANTAÇÃO DE UMA REDE VPN (VIRTUAL PRIVATE NETWORK) 1. VPN Segundo TANENBAUM (2003), VPNs (Virtual Private Networks) são redes sobrepostas às redes públicas, mas com

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

TRIBUNAL DE CONTAS DO DISTRITO FEDERAL

TRIBUNAL DE CONTAS DO DISTRITO FEDERAL TRIBUNAL DE CONTAS DO DISTRITO FEDERAL TÉCNICO EM ADMINISTRAÇÃO PÚBLICA E ANALISTA (EXCETO PARA O CARGO 4 e 8) GABARITO 1. (CESPE/2013/MPU/Conhecimentos Básicos para os cargos 34 e 35) Com a cloud computing,

Leia mais

Redes de Computadores

Redes de Computadores Departamento de Informática UFPE Redes de Computadores Nível de Redes - Exemplos jamel@cin.ufpe.br Nível de Rede na Internet - Datagramas IP Não orientado a conexão, roteamento melhor esforço Não confiável,

Leia mais

Redes de Dados e Comunicações. Prof.: Fernando Ascani

Redes de Dados e Comunicações. Prof.: Fernando Ascani Redes de Dados e Comunicações Prof.: Fernando Ascani Camada de Aplicação A camada de Aplicação é a que fornece os serviços Reais para os usuários: E-mail, Acesso a Internet, troca de arquivos, etc. Portas

Leia mais

Redes de Computadores. Camada de Transporte

Redes de Computadores. Camada de Transporte Redes de Computadores Camada de Transporte Objetivo! Apresentar as características da camada de transporte da arquitetura TCP/IP! Apresentar os serviços fornecidos pela camada de transporte! Estudar os

Leia mais

Informática I. Aula 22. http://www.ic.uff.br/~bianca/informatica1/ Aula 22-03/07/06 1

Informática I. Aula 22. http://www.ic.uff.br/~bianca/informatica1/ Aula 22-03/07/06 1 Informática I Aula 22 http://www.ic.uff.br/~bianca/informatica1/ Aula 22-03/07/06 1 Critério de Correção do Trabalho 1 Organização: 2,0 O trabalho está bem organizado e tem uma coerência lógica. Termos

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Redes TCP/IP. Prof. M.Sc. Alexandre Fraga de Araújo. alexandref@ifes.edu.br. INSTITUTO FEDERAL DO ESPÍRITO SANTO Campus Cachoeiro de Itapemirim

Redes TCP/IP. Prof. M.Sc. Alexandre Fraga de Araújo. alexandref@ifes.edu.br. INSTITUTO FEDERAL DO ESPÍRITO SANTO Campus Cachoeiro de Itapemirim Redes TCP/IP alexandref@ifes.edu.br Camada de Redes (Continuação) 2 Camada de Rede 3 NAT: Network Address Translation restante da Internet 138.76.29.7 10.0.0.4 rede local (ex.: rede doméstica) 10.0.0/24

Leia mais

Aula 4. Pilha de Protocolos TCP/IP:

Aula 4. Pilha de Protocolos TCP/IP: Aula 4 Pilha de Protocolos TCP/IP: Comutação: por circuito / por pacotes Pilha de Protocolos TCP/IP; Endereçamento lógico; Encapsulamento; Camada Internet; Roteamento; Protocolo IP; Classes de endereços

Leia mais

SMTP, POP, IMAP, DHCP e SNMP. Professor Leonardo Larback

SMTP, POP, IMAP, DHCP e SNMP. Professor Leonardo Larback SMTP, POP, IMAP, DHCP e SNMP Professor Leonardo Larback Protocolo SMTP O SMTP (Simple Mail Transfer Protocol) é utilizado no sistema de correio eletrônico da Internet. Utiliza o protocolo TCP na camada

Leia mais

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta Firewall Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações

Leia mais

Camada de Aplicação. DNS Domain Name System. Redes de Computadores Prof. Leandro C. Pykosz

Camada de Aplicação. DNS Domain Name System. Redes de Computadores Prof. Leandro C. Pykosz Camada de Aplicação Redes de Computadores Prof. Leandro C. Pykosz Camada de Aplicação A camada de aplicação fornece os serviços "reais" de rede para os usuários. Os níveis abaixo da aplicação fornecem

Leia mais