ROTEADOR/FIREWALL EMBARCADO

Transcrição

1 CENTRO UNIVERSITÁRIO POSITIVO NÚCLEO DE CIÊNCIAS EXATAS E TECNOLÓGICAS ENGENHARIA DA COMPUTAÇÃO ROTEADOR/FIREWALL EMBARCADO Helton Luiz Marques Monografia apresentada à disciplina de Projeto Final como requisito parcial à conclusão do Curso de Engenharia da Computação, orientado pelo Prof. Alessandro Brawerman. UNICENP/NCET Curitiba 2007

2 TERMO DE APROVAÇÃO Helton Luiz Marques Roteador /Firewall Embarcado Monografia aprovada como requisito parcial à conclusão do curso de Engenharia da Computação do Centro Universitário Positivo, pela seguinte banca examinadora: Prof. Alessandro Brawerman (Orientador) Prof. Alessandro Zimmer Prof. Mauricio Perretto Curitiba, 1 de novembro de 2007.

3 AGRADECIMENTOS Gostaria de agradecer primeiramente a Deus por me dar a competência de executar este projeto e o conhecimento necessário para sua conclusão. Não menos importante, agradecer meus pais e minha noiva que, com amor incondicional e compreensão me ajudaram na conclusão dessa etapa. Agradeço a todos os professores da faculdade pelos ensinamentos, orientações, dedicação e empenho que demonstraram durante essa longa jornada. A todos os meus amigos que de forma direta ou indireta me ajudaram na conclusão deste projeto e na minha formação acadêmica.

4 RESUMO O projeto consiste em desenvolver um Roteador/Firewall Embarcado que serão implementados em hardware através de uma interface microcontrolada RISC 8 bits, onde o algoritmo de roteamento, bloqueio de pacotes e interface com os módulos Ethernet serão desenvolvidos diretamente no firmware do microcontrolador, proporcionando maior velocidade no processamento das informações, e uma maior segurança aos dados da rede local, tornando o sistema mais confiável, pois sendo o equipamento independente de um sistema operacional, torna-o invulnerável a vírus, com baixo consumo de energia, mesmo operando em regime de alta disponibilidade. Palavras chave: Firewall, Roteador, TCP/IP, LAN, Ethernet, Microcontroladores, Algoritmos de Roteamento, ARP, Firmware.

5 Router/Firewall Embedded ABSTRACT This project consists in developing a Router/Firewall Embedded that s implemented in hardware through RISC 8 bits microcontroller interface, where the routing algorithm, blocked packets and interface with Ethernet Modules, will be development directly on firmware of microcontroller, giving the system more speed to process information and more security in data on the local network, therefore being the independent equipment of an operational system, and virus immune, with low consumption of energy, exactly operating in regimen of high availability. Key words: Firewall, Router, TCP/IP, LAN, Ethernet, Microcontrollers, Routing Algorithms, ARP, Firmware.

6 SUMÁRIO SUMÁRIO LISTA DE FIGURAS LISTA DE TABELAS LISTA DE SIGLAS LISTA DE SÍMBOLOS CAPÍTULO 1 - INTRODUÇÃO MOTIVAÇÃO DESENVOLVIMENTO METAS A SEREM ALCANÇADAS CAPÍTULO 2 FUNDAMENTAÇÃO TEÓRICA INTERNET HISTÓRICO ARQUITETURA INTERNET PROTOCOLO INTERNET PROTOCOLO ETHERNET PROTOCOLO ARP (ADDRESS RESOLUTION PROTOCOL) PROTOCOLO ICMP (INTERNET CONTROL MESSAGE PROTOCOL) ROTEAMENTO IP E FIREWALL CABEÇALHOS CABEÇALHO DO PROTOCOLO ETHERNET CABEÇALHO ARP CABEÇALHO IP CABEÇALHO ICMP CABEÇALHO TCP CABEÇALHO UDP MICROCONTROLADOR DIPOSITIVOS DE LÓGICA PROGRAMÁVEL CONTROLADOR ETHERNET CAPÍTULO 3 - ESPECIFICAÇÃO DO PROJETO ANÁLISE DE CONTEXTO DESCRIÇÃO DO OBJETO DO DESENVOLVIMENTO DESCRIÇÃO DO HARDWARE ARQUITETURA AVR MEMÓRIA SRAM (RAM ESTÁTICA) TEMPORIZAÇÃO DE UMA RAM ESTÁTICA CICLO DE LEITURA CICLO DE ESCRITA MULTIPLEXAÇÃO DE ENDEREÇOS CONTROLADOR DE REDE INTERFACE SERIAL MÓDULO REAL TIME CLOCK E MEMÓRIA PARA LOG FONTE ALIMENTAÇÃO CHAVEADA DESCRIÇÃO DE SOFTWARE AMBIENTE E LINGUAGEM DE DESENVOLVIMENTO ESTRUTURA DE DADOS ESTRUTURA ETHERNET ESTRUTURA ARP ESTRUTURA IP ESTRUTURA ICMP ESTRUTURA TCP ESTRUTURA UDP... 51

7 ESTRUTURA DE DADOS FIREWALL ESTRUTURA MODULE ESTRUTURA INTERVAL ESTRUTURA PORTS ESTRUTURA FIREWALL ALGORITMO FIREWALL ROTEAMENTO VIABILIDADE SÓCIA ECONÔMICA CAPÍTULO 4 - DESENVOLVIMENTO E IMPLEMENTAÇÃO FIRMWARE HARDWARE: DIMENSÕES MECÂNICAS CAPÍTULO 5 - VALIDAÇÃO E RESULTADOS TESTE DE FUNCIONAMENTO TESTE DE FUNCIONAMENTO TESTE DE FUNCIONAMENTO CAPITULO 6 CONCLUSÃO CAPITULO 7 - REFERENCIAS BIBLIOGRAFICAS ANEXO ESQUEMÁTICO- CPU ANEXO ESQUEMÁTICO- ETHERNET ANEXO ESQUEMÁTICO- FONTE... 77

8 1. LISTA DE FIGURAS Figura 2.1- Modelo OSI x. Modelo Internet Figura 2.2 Relação da Ethernet com o modelo de referência OSI Figura 2.3 Encapsulamento nos diversos níveis do protocolo Figura 2.4 Cabeçalho Ethernet IEEE Figura 2.5 Cabeçalho ARP Figura 2.6 Cabeçalho IP Figura 2.7 Cabeçalho ICMP Figura 2.8 Cabeçalho TCP Figura 2.9 Cabeçalho UDP Figura 3.1 Componente do Projeto Figura Arquitetura interna de um microcontrolador AVR Figura 3.3 Ciclo de leitura de uma RAM estática Figura 3.4 Ciclo de escrita de uma RAM estática Figura 3.5 Demultiplexador de 8 saídas utilizando o 74LS Figura 3.6 Esquema elétrico interno ao CPLD Figura 3.7 Layout dos pinos do Atmega Figura 3.8 Fila Circular do RTL8019AS Figura 3.9 Layout dos pinos do RTL8019AS Figura Esquema elétrico do CI MAX Figura 3.11 Diagrama em bloco do Real Time Clock Figura 3.12 Forma de onda para leitura de dados Figura 3.13 Forma de onda para escrita dos dados Figura 3.14 Diagrama em bloco da memória AT24C Figura 3.15 Diagrama em blocos do LM Figura 3.16 Esquema elétrico da fonte chaveada Figura 3.17 Diagrama em blocos das estruturas Figura 4.1 Diagrama em blocos do firmware Figura 4.2 Tela do desenvolvimento do firmware Figura 4.3 Desenvolvimento do esquema elétrico Figura 4.4 Layout da placa desenvolvimento das trilhas no bottom layer Figura 4.5 Layout da placa desenvolvimento das trilhas no top layer Figura 4.6 Layout da placa completo Figura 4.7 Placa montada com todos os componentes Figura 4.8 Dimensões da placa Figura 5.1 Arquitetura para homologação Figura 5.2 Wireshark em ação Figura 5.3 Comunicando-se com putty... 67

9 2. LISTA DE TABELAS Tabela 3.1 Tabela Verdade Tabela 3.2 Tabela de memória de acesso aos dispositivos do barramento Tabela 5.1 Regra do 1 teste Tabela 5.2 Regra do 2 teste Tabela 5.3 Regra do 3 teste... 71

10 3. LISTA DE SIGLAS API Application Programming Interface ARP Address Resolution Protocol AVR Advanced Virtual Risc CISC Complex Instruction Set Computer CMOS Complementary Metal Oxide Semiconductor CPLD Complex Programmable Logic Device CRC Cyclic Redundancy Check CSMA/CD Carrier Sense Multiple Access with Collision Detect FPGA Field Programmable Gate Array ICMP Internet Control Message Protocol IP- Internet Protocol LAN Local Area Network LED Light Emitter Diode MAN Metropolitan Area Network NAT Network Address Translation OSI Open Systems Interconnection OSPF Open Shortest Path First PC Personal Computer RAM Random Access Memory RIP- Routing Information Protocol RISC Reduced Instruction Set Computer SPI Serial Peripheral Interface TCP Transmission Control Protocol UDP User Datagram Protocol TTL Transistor Transistor Logic WAN Wide Area Network

11 4. LISTA DE SÍMBOLOS Ω - ohm Hz Hertz. MHz Mega Hertz. K Kilo (10 3 ) unidade. A Ampere. µ Micro (10-6 ). V Volts.

12 1. CAPÍTULO 1 - INTRODUÇÃO Atualmente, com a Internet difundida em larga escala, é essencial que a segurança dos dados não seja somente um privilégio e sim imprescindível a todos que estão conectados na grande rede. Este projeto tem como intuito desenvolver um equipamento de baixo custo, que no nível de pacotes, traz segurança na comunicação entre uma rede de computadores local e a Internet. O equipamento é também imune a vírus e independente de sistema operacional, pois é implementado em hardware, utilizando um firmware específico para aplicação de roteamento e bloqueio dos pacotes de comunicação padrão Ethernet. O projeto consiste ainda em fazer um estudo aprofundado nas arquiteturas de redes embarcadas que hoje, mesmo que não seja percebido pela grande maioria estão presentes em quase todos os lugares, como hubs, switches e servidores de impressão Motivação Desenvolvimento O desenvolvimento de interfaces de controle de rede embarcadas é algo de grande complexidade e também impacto no mercado de tecnologia, pois apenas empresas de grande porte como CISCO, PLANET e HP têm uma grande parcela do mercado. O intuito desse projeto é quebrar esta complexidade e demonstrar através de ferramentas simples e de baixo custo o funcionamento de um roteamento e bloqueio de pacotes em redes padrão Ethernet, demonstrando também a vantagem de utilizar um hardware específico para isto, independente de sistema operacional, complexas configurações e com baixo consumo de energia Metas a serem alcançadas O projeto consiste em desenvolver um roteador com firewall embutido em hardware. Isto é, encaminhar pacotes entre duas redes distintas, utilizando algoritmos de roteamento básico e aplicando regras de proteção e bloqueio nos pacotes. O hardware microcontrolado, constituído de um microcontrolador RISC de 8 bits, e um CPLD que faz a interface com uma memória RAM e os controladores de rede Ethernet, e 12

13 também uma interface serial para comunicação com o computador, uma memória EEPROM para armazenamento dos logs e configuração do equipamento e um real time clock como relógio. Não é de intuito no desenvolvimento do projeto a implementação do protocolo NAT (Network Translation Protocol), pois este protocolo está fora do escopo de pesquisa aqui proposto. 13

14 2. CAPÍTULO 2 FUNDAMENTAÇÃO TEÓRICA Antes de analisar tecnicamente todo o projeto, é necessária a revisão de alguns conceitos e princípios sobre os quais este projeto é constituído. Como este projeto une a utilização de duas tecnologias, os padrões de comunicação do Protocolo Internet e dispositivos embarcados, a revisão teórica também está separada em duas partes. Na primeira parte, é apresentado um breve histórico sobre a Internet, os Protocolos Internet (IP), Ethernet, ARP, ICMP, roteamento IP e firewall. A segunda parte irá esclarecer quais dispositivos foram usados no hardware e quais suas funções no projeto Internet Nos dias atuais quando falamos em Internet pensa-se imediatamente na rede mundial de computadores, inclusive na idéia errônea de que esta é uma única rede. Porém, o termo Internet possui origens de significados mais abrangentes. Para uma melhor compreensão do potencial de interconexão a que este projeto se propõe, é necessário primeiro entender o real significado do termo Internet e por conseqüência toda a sua aplicabilidade. (COMMER, 1998) Histórico Em meados de 1960 os primeiros terminais deixaram o centro de processamento de dados para serem instalados à distância, surgindo assim à necessidade de conectá-los ao computador principal, este era o início das tecnologias de teleprocessamento. Nesta mesma década, o governo norte-americano através do Departamento de Defesa, deu início a suas pesquisas quanto à aplicabilidade das tecnologias de redes de computadores, resultando na primeira versão da rede ARPA em 1972, inicializando a utilização da tecnologia de comutação de pacotes (CARVALHO, 1997). Durante a década de 70, muitas universidades dos EUA foram conectadas à rede ARPA, assim como outras instituições de pesquisa. Na década de 80, houve um grande 14

15 crescimento das redes locais de computadores, impulsionada pelas soluções de baixo custo, baseadas em mini e microcomputadores. Neste contexto, cada fabricante de tecnologia de redes ditava as regras de comunicação em sua rede e criava seus próprios protocolos e suas próprias soluções de comunicação. Porém, com isto surgiu um novo problema. Os usuários destas redes isoladas sentiam a necessidade de obter acessos às informações e recursos disponíveis em outras redes. Era impossível se imaginar o estabelecimento de uma rede global única, baseada em uma única tecnologia de hardware, já que cada tecnologia existente possuía características próprias onde atendiam melhor a uma ou outra necessidade, fazendo com que um grupo optasse por uma solução que atenda melhor ao seu perfil e que viesse de encontro aos seus anseios em particular. Com intuito de interligar redes heterogêneas, baseadas em hardwares e sistemas operacionais diferentes, e espalhadas geograficamente, no início da década de 80, teve início um projeto, utilizando-se como espinha dorsal o potencial instalado da rede ARPA, tinha início a Internet Arquitetura Internet Embora muita confusão se faça entre a arquitetura OSI e a arquitetura Internet, estas são arquiteturas distintas. A arquitetura OSI ainda é muito utilizada e citada quando se estudam as tecnologias de redes e as abordagens baseadas em camadas. Porém, esta parece ter sido abandonada, dando-se preferência à arquitetura Internet. A arquitetura OSI foi criada pelo ISO visando à padronização de uma arquitetura de redes baseadas em sistemas abertos. A Figura 2.1 demonstra a diferença entre o modelo OSI e o modelo Internet. 15

16 7 - Aplicação 6- Apresentação 4 - Aplicação 5 - Sessão 4 - Transporte 3 - Transporte 3 - Rede 2 - Rede 2 - Enlace 1 - Fisica 1 Física Modelo OSI Modelo Internet Figura 2.1- Modelo OSI x. Modelo Internet O modelo OSI da Figura 2.1 é dividido em sete camadas hierárquicas, ou seja, cada camada usa as funções da própria camada ou da camada anterior, para esconder a complexidade e transparecer as operações para o usuário, seja ele um programa ou outra camada. Camada Física: define as características técnicas dos dispositivos elétricos (físicos) do sistema. Contém os equipamentos de cabeamento ou outros canais de comunicação que se comunicam diretamente como controlador de interface de rede. Suas principais funções são: recepção de dados em nível de bits; definir a características elétricas e mecânicas do meio, taxa de transferência; controle de acesso ao meio; confirmação e retransmissão de quadros e controle da quantidade e velocidade de transmissão de informações na rede. Camada de Enlace: detecta e corrige erros que possam acontecer no nível físico. É responsável pela transmissão e recepção (delimitação) de quadros e pelo controle de fluxo, e estabelece um protocolo de comunicação entre sistemas diretamente conectados. Camada de Rede: responsável pelo endereçamento dos pacotes, convertendo endereços lógicos em endereços físicos, de forma que os pacotes consigam chegar corretamente ao destino. Essa camada também determina a rota que os pacotes irão 16

17 seguir para atingir o destino, baseada em fatores como condições de tráfego da rede e prioridades. Camada de Transporte: responsável por pegar os dados enviados pela camada de Sessão e dividi-los em pacotes que serão transmitidos para a camada de Rede. No receptor, a camada de Transporte é responsável por pegar os pacotes recebidos da camada de Rede, remontar o dado original e assim enviá-lo à camada de Sessão, incluindo o controle de fluxo, ordenação dos pacotes e a correção de erros, tipicamente enviando para o transmissor uma informação de recebimento, informando que o pacote foi recebido com sucesso. O objetivo final da camada de transporte é proporcionar serviço eficiente, confiável e de baixo custo. Camada de Sessão: permite que duas aplicações em computadores diferentes estabeleçam uma sessão de comunicação, onde nesta sessão, estas aplicações definem como será feita a transmissão de dados e coloca marcações nos dados que estão sendo transmitidos. Se porventura a rede falhar, os computadores reiniciam a transmissão dos dados a partir da última marcação recebida pelo computador receptor. Camada de Apresentação: converte o formato do dado recebido pela camada de Aplicação em um formato comum a ser usado na transmissão desses dados, ou seja, um formato entendido pelo protocolo usado. Um exemplo comum é a conversão do padrão de caracteres (código de página) quando, por exemplo, o dispositivo transmissor usa um padrão diferente do ASCII, por exemplo. Pode ter outros usos, como compressão de dados e criptografia. Camada de Aplicação: interface entre o protocolo de comunicação e o aplicativo que pediu ou receberá a informação através da rede. As quatro camadas do modelo Internet englobam várias camadas do modelo OSI, como por exemplo, a camada de Aplicação que engloba a camada de Aplicação, Apresentação e Sessão. As funções das camadas do modelo Internet são equivalentes as camadas da camada OSI que ela engloba. 17

18 Um fato curioso é que quando finalmente a especificação do modelo OSI foi concluída e apresentada ao público o modelo Internet já se encontrava em operação, o que talvez explique a não adoção do modelo OSI. Como o modelo Internet vem se apresentando flexível e robusto o suficiente para atender às demandas que surgiram nestes últimos 20 anos, com poucas e pequenas adaptações, tornou-se o padrão na maioria das redes utilizadas no mundo Protocolo Internet A Internet não é uma rede de computadores, mas a interconexão de várias redes de computadores, as quais não precisam necessariamente ser baseadas na mesma tecnologia de hardware e sistema operacional. Este feito deve-se ao Protocolo Internet (IP-Internet Protocol), o qual resolve o problema de interligação entre as redes, baseando-se em gateways para fazer a passagem de pacotes de um meio de rede para outro. Por não definir protocolos ou padrões para as camadas de rede e de enlace, a arquitetura Internet é portável para qualquer plataforma, bastando que seus protocolos básicos sejam implementados na mesma Protocolo Ethernet O protocolo Ethernet está relacionado às duas camadas mais inferiores do modelo OSI, conforme demonstra a Figura 2.2. Ele foi apresentado pela primeira vez em 1976 por Robert Metcalfe que na época trabalhava para a Xerox Palo Alto Research Center (PARC). Atualmente é o padrão mais usado no mundo para LAN (Local Area Network) e supera em vendas as outras tecnologias com uma grande margem. (SPURGEON, 2000). O sistema consiste na utilização de um canal de comunicação compartilhado entre as partes envolvidas. Cada uma delas deve monitorar o meio físico antes de transmitir para verificar se ele não está sendo usado. Caso ocorra colisão, ou seja, dois dispositivos transmitirem ao mesmo tempo, o sistema deve detectá-la e retransmitir a informação em um tempo escolhido aleatoriamente. Esse algoritmo é chamado Carrier Sense Multiple Access/Collision Detect (CSMA/CD). 18

19 Camada 7 Aplicação Camada 6 Apresentação Camada 5 Seção Camada 4 Transporte Camada 3 Rede Camada 2 Enlace Camada 1 Física Subcamada (LLC) Controle de Ligação Lógica Subcamada (MAC) Controle de Acesso a Mídia Subcamada Sinalização Física Especificação da Mídia E T H E R N E T Figura 2.2 Relação da Ethernet com o modelo de referência OSI O sistema Ethernet é constituído basicamente de quatro componentes: O quadro (frame), formado por um conjunto de bytes organizados por um padrão e que é utilizado para trafegar os dados na rede; O protocolo de controle de acesso à mídia (media access control protocol), que consiste em um conjunto de regras embutidas em cada interface Ethernet, permitindo que vários computadores acessem o meio compartilhado de forma adequada; Os componentes de sinalização (signaling components), que são dispositivos eletrônicos que enviam e recebem sinais sobre o canal Ethernet; O meio físico (physical medium), formado por cabos e outros hardwares usados para transmitir o sinal digital entre os computadores ligados à rede. Na constituição do sistema Ethernet, o principal componente é o frame (Figura 2.4), os demais componentes servem apenas para carregar os frames de um dispositivo a outro (SPURGEON, 2000). A seção traz uma descrição mais detalhada de cada componente do quadro Ethernet. No modo half-duplex, utilizado originalmente, um sistema de entrega em broadcast é utilizado, de modo que os pacotes são capturados por todos os dispositivos conectados a rede. Atualmente, muitos dispositivos são conectados por diretamente a porta de um switch e não compartilham o meio físico com outros dispositivos, podendo operar em modo fullduplex. 19

20 O modo de operação half-duplex, descrito no padrão Ethernet original, utiliza o protocolo Media Access Control (MAC) que consiste em um conjunto de regras usadas para arbitrar o acesso à mídia compartilhada. Cada frame Ethernet é enviado por meio do canal de sinal compartilhado e todas as interfaces ligadas ao canal capturam os bits do sinal e interpretam o segundo campo do frame apresentado na Figura 2.4, o qual contém o endereço de destino. A interface compara esse endereço com o seu endereço unicast de 48 bits, ou com algum endereço multicast, desde que esteja habilitada a reconhecer tal endereço. As interfaces de rede que reconhecerem o endereço continuam com o processo de leitura do frame enquanto as demais o descartam. Um endereço unicast único é atribuído a cada interface Ethernet em sua fabricação. Endereços multicast permitem que um único frame Ethernet seja recebido por um grupo de estações. Um caso especial de endereço multicast é conhecido como endereço de broadcast, o qual possui todos os 48 bits em nível lógico 1. Todas as interfaces de rede capturam os pacotes enviados com esse destino e encaminham para o software de rede do computador. Após a transmissão de um frame, todas as estações da rede que possuem informações aguardando para serem enviadas podem competir igualmente pela oportunidade de enviar o próximo frame. Isso torna o acesso ao meio compartilhado justo para que nenhuma estação bloqueie o canal de comunicação definitivamente. O algoritmo CSMA/CD embutido em cada interface de rede Ethernet é responsável por esse controle. A parte do protocolo denominada carrier sense verifica se cada interface precisa aguardar até que não haja sinal no canal antes de transmitir. Se outra interface está transmitindo há um sinal no canal, o que define a condição é chamada de carrier. Todas as outras interfaces devem aguardar até que o sinal cesse e o meio volte a ficar ocioso antes de tentar transmitir. Com multiple access, todas as interfaces têm a mesma prioridade ao transmitirem um frame na rede e todas elas podem tentar acessar o canal ao mesmo tempo. Caso duas ou mais interfaces comecem a transmitir simultaneamente elas detectam a colisão do sinal 20

21 (collision detect). Cada uma delas escolhe um tempo aleatório de retransmissão antes de fazer uma nova tentativa, em um processo chamado back off. A colisão é absolutamente comum ao sistema Ethernet e o tempo aleatório de retransmissão serve para evitar que os frames colidam novamente na retransmissão. Para que o sistema MAC funcione corretamente é necessário que cada interface consiga responder a qualquer outra em um tempo estritamente controlado. O tempo de sinal Ethernet é baseado na quantidade de tempo gasto para que o sinal trafegue de um lado ao outro da rede e volte. Esse tempo é denominado round-trip time. No modo half-duplex esse tempo máximo deve ser rigidamente controlado para garantir que todas as estações da rede consigam receber os sinais de todas as outras no tempo necessário para o sistema MAC. Aumentar o tamanho de um segmento de rede significa aumentar o tempo que um sinal precisa para percorrê-lo. As especificações da Ethernet incluem tamanhos máximos de segmentos e quantidades máximas e repetidores utilizados em uma rede e variam de acordo com o tipo de mídia utilizado (cabo coaxial, cabo par-trançado, fibra ótica). Isso garante que o round-trip time correto seja mantido. O sistema Ethernet foi desenvolvido para ser facilmente expandido de acordo com as necessidades do local. Para facilitar a extensão dos sistemas Ethernet half-duplex foram desenvolvidos os chamados repeater hubs ou simplesmente hubs que são equipamentos com diversas portas Ethernet. Cada porta do hub liga um segmento de rede Ethernet aos outros formando uma única LAN, também chamado domínio de colisão. Outro tipo de hub é o chamado switching hub ou simplesmente switch. Esse equipamento usa o endereço de destino de 48 bits do sistema Ethernet para tomar decisões no encaminhamento do frame de uma porta a outra. Cada porta do switch provê uma conexão para uma mídia Ethernet que funciona como uma LAN (Local Area Network) completamente separada. Enquanto um hub apenas conecta segmentos de uma mesma LAN Ethernet, um switch interliga diferentes LANs. As regras para cálculo do round-trip time de cada LAN aplicam-se até a porta do switch, permitindo então que sejam interligadas diversas LANs mantendo as especificações. 21

22 Em resumo, o protocolo denominado Media Access Control (MAC) é o responsável por permitir que cada estação da rede possa competir pelo meio físico de maneira equilibrada. Uma vez que não há um controle central, cada estação precisa operar de forma independente utilizando o mesmo protocolo MAC, que funciona como um conjunto de regras da Ethernet. (SPURGEON, 2000) Protocolo ARP (Address Resolution Protocol) O protocolo de resolução de endereços ARP é normalmente empregado nas redes baseadas em Ethernet. É o responsável pela tradução do endereço lógico (IP) para o endereço físico único de 32 bits contidos em controladores Ethernet (MAC Address). Sempre que uma estação deseja enviar uma mensagem para outra, ela envia em broadcast, utilizando o protocolo ARP, perguntando quem é o dono do endereço IP desejado. A mensagem é enviada em broadcast e todas as estações conectadas a esta rede vão receber esta mensagem e tratar. A estação que possuir em seu mapa de endereços o IP solicitado retorna uma mensagem para a solicitante, informando o seu endereço MAC (MOKAREL, 2005) Protocolo ICMP (Internet Control Message Protocol) O protocolo de controle de mensagem provê o mecanismo usado na informação de problemas e no auxílio do seu diagnóstico e correção. Ele é usado em diversas situações, como por exemplo, quando um datagrama não consegue alcançar seu destino, quando um roteador não possui capacidade para armazenar o datagrama antes de retransmiti-lo ou quando um gateway deseja recomendar uma rota mais curta. Apesar de ser suportado pelo IP, o protocolo ICMP é considerado parte integrante da camada de Rede e em nenhum momento uma mensagem ICMP pode ser gerada para reportar o erro de outra mensagem ICMP, do contrário, poderíamos ter a criação de loops infinitos. 22

23 Roteamento IP e Firewall Primeiramente é necessário entender a diferença entre encaminhamento e roteamento. O encaminhamento consiste em pegar um pacote, observar seu endereço de destino, consultar uma tabela e enviar o pacote numa direção determinada pela tabela. O roteamento é o processo pelo quais as tabelas de encaminhamento são construídas. Observa-se também que o encaminhamento é um processo relativamente bem definido, realizado localmente num nó, ao passo que o roteamento depende de complexos algoritmos distribuídos que têm evoluído continuamente através da história das redes. (Peterson, Davie, 2004). Basicamente, o roteamento IP foi desenvolvido para encaminhar pacotes de redes distintas, e um simples algoritmo foi elaborado como base desse roteamento 1. Quando uma Requisição ARP é recebida, enviar uma resposta ARP padrão. 2. Quando um datagrama no broadcast é recebido, seguem-se uns dos passos a seguir: a. Verificar se o destino está na rede local (mais especificamente, se a rede local da interface está de ativa). Se não, ignora-se o datagrama, caso ele não requer roteamento. b. Verificar se o destino está na rede local da outra interface. Se não, ignorase o datagrama, caso não saiba como encontrar o destino. c. Verificar se o endereço IP de destino está contido em na tabela de roteamento ARP (caso conheça o endereço MAC de destino ou não). Se não, então: i. Bufferizar o datagrama e envia uma Requisição ARP para o destino e ii. Receber a resposta ARP. Que caso não ocorra, descartar o datagrama a ser roteado. 3. Enviar o datagrama para o destino Um firewall é um roteador especialmente programado, localizado entre um site e o resto da rede. Ele é um roteador no sentido de que conecta duas ou mais redes físicas e encaminha pacotes de uma rede para outra, mas também filtra os pacotes que passam através dele. Por exemplo, ele poderia descartar (em vez de encaminhar) todos os pacotes que chegam para um determinado IP ou para uma porta TCP em particular. Isso é util se você não deseja que os usuários externos acessem um determinado host ou serviço em sua rede local. Um firewall também pode filtrar pacotes baseados no endereço IP de origem.(peterson, Davie, 2004). 23

24 Cabeçalhos Iniciando pela camada de Aplicação que gera os dados a serem transmitidos, cada camada inclui seu próprio cabeçalho na mensagem, o que é também conhecido como encapsulamento. Na recepção da informação, cada camada é responsável por tratar e retirar da mensagem o seu cabeçalho. Isso está exemplificado na Figura 2.3. Camada de Aplicação Dados da Aplicação Camada de Transporte Cabeçalho Dados da Aplicação Camada de Rede Cabeçalho Cabeçalho Dados da Aplicação Camada de Física Cabeçalho Cabeçalho Cabeçalho Dados da Aplicação Recepção Envio Figura 2.3 Encapsulamento nos diversos níveis do protocolo Cabeçalho do protocolo Ethernet Os frames que trafegam pela Ethernet possuem um encapsulamento que é mostrado na Figura bits 48 bits 48 bits 16 bits Preâmbulo Endereço Destino Endereço Origem Tipo/Tamanho Em que : Figura 2.4 Cabeçalho Ethernet IEEE