VLAN Virtual Local Area Network

Transcrição

1 VLAN Virtual Local Area Network Uma VLAN (Virtual Local Area Network ou Virtual LAN, em português Rede Local Virtual) é uma rede local que agrupa um conjunto de máquinas de maneira lógica e não física. Quem quiser, pode conferir um Mapa Mental sobre o assunto. Motivação Imagine uma empresa, cujo crescimento acelerado impossibilitou um projeto ordenado de expansão, que possua uma dezena de departamentos conectados a uma rede local interna. Ao contrário do que se pensa, os funcionários de cada departamento estão espalhados pelos andares da sede. Como organizar um domínio para cada setor da empresa? Uma solução possível seria a segmentação da rede interna em redes virtuais, uma para cada departamento. Outro exemplo é a formação de grupos temporários de trabalho. Hoje em dia é comum o desenvolvimeto de projetos envolvendo diversos setores de uma empresa, como marketing, vendas, contabilidade e pesquisa. Durante o período do projeto, a comunicação entre seus membros tende a ser alta. Para conter o trafégo broadcast, pode-se implementar uma VLAN para este grupo de trabalho. Os exemplos anteriores mostram que as VLAN proporcionam uma alta flexibilidade a uma rede local. Isto é ideal para ambientes corporativos, onde a todo momento ocorrem mudanças de empregados, reestruturações internas, aumento do número de usuários, entre outras situações.

2 Entendendo a VLAN Com o crescimento e aumento da complexidade das redes, muitas empresas adotaram as VLANs (redes locais virtuais) para tentar estruturar esse crescimento de maneira lógica. Uma VLAN é, basicamente, uma coleção de nós que são agrupados em um único domínio broadcast, baseado em outra coisa que não a localização física. Na maioria dos switches, você pode criar uma VLAN, simplesmentepor uma conexão através da Telnet (em inglês). Depois, basta configurar os parâmetros da VLAN (nome, domínio e configuração das portas). Depois que você criar a VLAN, qualquer segmento de rede conectado às portas designadas vai se tornar parte desta VLAN. Você pode criar mais de uma VLAN em um switch, mas estas redes não podem se comunicar diretamente por ele. Se elas pudessem, não faria sentido ter uma VLAN. Afinal, o objetivo da VLAN é isolar uma parte da rede. A comunicação entre as VLANs requer o uso de um roteador. As VLANs podem se expandir por múltiplos switches e você pode configurar mais de uma VLAN em cada switch. Para que múltiplas VLANs em múltiplos switches possam se comunicar através de um link entre os switches, você deve usar um processo chamado trunking. Trunking é a tecnologia que permite que as informações de múltiplas VLANs trafeguem em um único link. Tipologia Foram definidos vários tipos de VLAN, de acordo com o critério de comutação e o nível em que se efetua: Uma VLAN de nível 1 (também chamada VLAN por porta, em inglês Port-Based VLAN) define uma rede virtual em função das portas de conexão no comutador;

3 Uma VLAN de nível 2 (igualmente chamada VLAN MAC, em inglês MAC Address-Based VLAN) consiste em definir uma rede virtual em função dos endereços MAC das estações. Este tipo de VLAN é muito mais flexível que a VLAN por porta, porque a rede é independente da localização da estação; Uma VLAN de nível 3: distinguem-se vários tipos de VLAN de nível 3 A VLAN por subrede (em inglês Network Address- Based VLAN) associa subredes de acordo com o endereço IP fonte dos datagramas. Este tipo de solução confere uma grande flexibilidade, na medida em que a configuração dos comutadores se altera automaticamente no caso de deslocação de uma estação. Por outro lado, uma ligeira degradação de desempenhos pode fazer-se sentir, dado que as informações contidas nos pacotes devem ser analisadas mais finamente. O VLAN por protocolo (em inglês Protocol-Based VLAN) permite criar uma rede virtual por tipo deprotocolo (por exemplo TCP/IP, IPX, AppleTalk, etc.), agrupando assim todas as máquinas que utilizam o mesmo protocolo numa mesma rede. Vantagens A VLAN permite definir uma nova rede acima da rede física e a esse respeito oferece as seguintes vantagens: Mais flexibilidade para a administração e as modificações da rede porque qualquer arquitetura pode ser alterada por simples parametrização dos comutadores; Ganho em segurança, porque as informações são encapsuladas num nível suplementar e são eventualmente analisadas; Redução da divulgação do tráfego sobre a rede;

4 Segurança. Separar os sistemas que contêm dados sigilosos do resto da rede reduz a possibilidade de acesso não autorizado. Projetos/aplicativos especiais. As tarefas de gerenciar um projeto ou trabalhar com um aplicativo podem ser simplificadas pelo uso de uma VLAN que congrega todos os nós necessários. Desempenho/Largura de banda. Um monitoramento cuidadoso da utilização da rede permite que o administrador crie VLANs que reduzam o número de saltos entre os roteadores e aumentem a largura de banda aparente para os usuário da rede. Broadcasts/Fluxo de tráfego. A característica principal de uma VLAN é que ela não permite que o tráfego broadcast chegue aos nós que não fazem parte da VLAN. Isso ajuda a reduzir o tráfego de broadcasts. As listas de acesso permitem que o administrador da rede controle quem vê o tráfego da rede. Uma lista de acesso é uma tabela criada pelo administrador nomeando os endereços que têm acesso àquela rede. Departamentos/Tipos específicos de cargos. As empresas podem configurar VLANs para os departamentos que utilizam muito a Internet (como os departamentos de multimídia e engenharia) ou VLANs que conectam categorias específicas de empregados de departamentos diferentes (gerentes ou pessoal de vendas). Padrões As VLAN são definidas pelos padrões IEEE 802.1D, 802.1p, 802.1Q e Para mais informações, é aconselhável consultar os documentos seguintes : IEEE 802.1D IEEE 802.1Q IEEE

5 Tratamento de Quadros Quando um dispositivo de rede (ponte, comutador), com suporte ao padrão IEEE 802.1Q, recebe quadros vindos de uma estação de trabalho, ele os rotula, marca. Este rótulo (tag), chamado de identificador VLAN (VID), indica a rede virtual de onde vem o quadro. Este processo é chamado de marcação explícita (explicit tagging). Também é possível determinar a qual VLAN o quadro recebido pertence utilizando a marcação implícita (implicit tagging). Neste procedimento o quadro não é rotulado, mas VLAN de origem do quadro é identificada por outro tipo de informação, como por exemplo a porta onde o quadro chegou. A marcação pode ser baseada na porta de onde veio o quadro, no campo do endereço MAC (Media Access Control) da fonte, no endereço de rede de origem ou algum outro campo ou combinação destes. As VLANs podem ser classificadas de acordo com o método utilizado. Para ser capaz de rotular um quadro, utilizando qualquer um dos métodos citados anteriormente, o dispositivo de rede deve manter atualizado uma base de dados contendo um mapeamento entre VLANs e de onde e qual o campo é utilizado na marcação. Este banco de informações é chamado filtering database e deve ser o mesmo em todos os equipamentos. O comutador, ou ponte, determina para onde deve ir o quadro como numa LAN. Uma vez indicado o destino do quadro, também é necessário determinar se o identificador VLAN deve ser adicionado ao quadro e enviado. Caso o destino do quadro seja um dispositvo com suporte a VLANs (VLAN-aware) o identificador VID é adicionado. Entretanto, se o destinatário não suporta o padrão IEEE 802.1Q (VLAN-unaware), o dispositvo envia o quadro sem VID.

6 Para entender como funciona uma rede local virtual é necessário conhecer os seus tipos, as formas de conexão entre seus dispositvos, a base da dados utilizada para enviar corretamente os quadros a VLAN de destino (filtering database) e o processo de marcação, utilizado para identificar a VLAN originária do quadro. O encaminhamento de pacotes para o padrão IEEE 802.1Q As decisões sobre o encaminhamento dos quadros são baseadas nas três regras seguintes, considerando uma implementação baseada em portas (mais detalhes em Classificação ): Regras de Entrada (Ingress Rules), utilizadas para determinar a quais VLANs pertencem os quadros recebidos. Regras de Encaminhamento entre Portas, decidem se o quadro deve ser filtrado ou encaminhado.

7 Regras de Saída (Egress Rules), determinam se o quadro deve ser enviado com ou sem rótulo. Classificação de Quadros As redes locais virtuais lidam com três tipos básicos de quadros: Quadros sem rótulo (Untagged frames) Quadros com rótulo de prioridade (Priority-tagged frames) Quadros com rótulo VLAN (VLAN-tagged frames) Um quadro sem rótulo ou com rótulo de prioridade não carrega nenhuma identificação de qual VLAN veio. Tais quadros são classificados como vindos de uma VLAN particular baseado em parâmetros associados a porta receptora, ou, em soluções proprietárias, baseado no conteúdo do quadro (endereço MAC, identidficador de protocolo da camada 3, etc.). É importante observar que para o propósito de indentifição de uma VLAN, os quadros com rótulo de prioridade são tratados igualmente aos sem rótulo. A prioridade é tratada por outro padrão, o IEEE 802.1p, assunto de um outro trabalho desta mesma disciplina. Um quadro com rótulo VLAN carrega um identificação explícita da sua VLAN de origem (VID), ou seja, ele possui em seu cabeçalho um rótulo contendo um campo VID não-nulo. Tal quadro é classificado como originário de uma VLAN particular baseado no valor deste identificador. A presença de um VID não-nulo no cabeçalho do quadro significa que algum outro dispositivo, ou o gerador do quadro ou uma ponte (ou comutador) com suporte a VLAN, mapeou este quadro em uma VLAN e inseriu o identificador apropriado. Para uma dada VLAN, todos os quadros transmitidos devem ser rotulados obrigatoriamente da mesma forma neste segmento. Eles tem de ser ou todos sem rótulo, ou todos com rótulo VLAN,

8 possuindo o mesmo VID. Em outras palavras, um dispositivo pode transmitir quadros sem rótulo para algumas VLANs e quadros rotulados (VID) para outras em um dado enlace, mas não pode transmitir os dois formatos para mesma VLAN. Marcação de Quadros (Tagging) É necessário que os quadros, ao serem enviados através da rede, possuam um meio de indicar a qual VLAN pertencem, de modo que a ponte encaminhe-os somente para as portas que também pertencem a esta rede virtual. Do contrário, os quadros são encaminhados para todas as portas. Isto é o que normalmente ocorre. Esta informação é adicionada ao quadro na forma de um rótulo ou marcação (tag) em seu cabeçalho. Este rótulo permite especificar informações sobre a prioridade de um usuário, assim como indica o formato do endereço MAC (Media Access Control). Como visto anteriormente, quadros que possuem rótulo são enviados através de enlaces híbridos e troncos. Existem dois formatos de rótulos: Rótulo para o cabeçalho do quadro Ethernet (Ethernet Frame Tag Header) O rótulo para o quadro Ethernet consiste em uma identificação do protocolo (TPID Tag Protocol Identifier) e uma informação de controlo (TCI Tag Control Information). Sendo 2 octetos TPID e 2 octetos TCI; Rótulo para o cabeçalho Token Ring e FDDI (Fiber Distributed Data Interface) O rótulo para o cabeçalho token ring e para o FDDI consiste de um campo TPID SNAP-codificado (SNAP-enconded TPID) e do campo TCI. Sendo 8 octetos TPID (SNAP codificado) e 2 octetos

9 TCI. O rótulo de identificação de protocolo indica que um rótulo de cabeçalho (tag header) vem a seguir. Já o TCI, figura 8, contém as informações sobre a prioridade do usuário, o formato canônico de indicação (CFI Canonical Format Indicator), e o identificador VLAN (VID). O campo de prioridade possui 3 bits. Ele carrega informações de prioridade para serem codificadas no quadro. Existem oito níveis de prioridade. O nível zero é o de menor prioridade e o sete de maior prioridade. Maiores informações sobre prioridade podem ser obtidas no suplemento IEEE 802.1p, tema de outro trabalho desta disciplina. O bit CFI é usado para indicar que todos os endereços MAC presentes no campo de dados MAC (MAC data field) estão na forma canônica. Este campo é interpretado de forma diferente de acordo com a tecnologia utilizada (Ethernet, token ring, FDDI). O campo VID é utilizado para identificar, de forma única, a qual VLAN pertence o quadro. Podem existir um máximo de 4095 VLANs (2 12-1). O número zero é usado para indicar que não há um identificador VLAN, mas a informação sobre a prioridade está presente. Isto permite que a prioridade seja codificada em redes locais sem prioridade. A inserção do rótulo no cabeçalho do quadro aumenta em quatro octetos o seu tamanho, no caso do Ethernet, e dez, no caso do token ring. Toda a informação contida no quadro original é retida. O campo EtherType e o identificador VLAN são inseridos depois do endereço MAC da fonte, mas antes do campo EtherType/Tamanho ou Controle Lógico de Enlace (Logical Link Control).Como os quadros são agora mais longos, o CRC (Cyclic Redundancy Check) tem de ser recalculado.

10 Tipos de Conexões Dispositivos em uma rede local virtual podem ser conectados de três maneiras diferentes, levando-se em consideração se estem suportam ou não o padrão IEEE 802.1Q (VLAN-awareou VLANunaware). São elas: Enlace tronco (Trunk Link) Todos os dispositivos conectados a um enlace deste tipo, incluindo estações de trabalho, devem, obrigatoriamente, ter suporte à VLANs, isto é, serem dipositivos VLAN-aware. Todos os quadros em um trunk link tem de possuir um rótulo VLAN. Enlace de Acesso (Access Link) Um enlace de acesso conecta um dispositivo sem suporte a VLAN a uma porta de uma ponte/comutador VLAN-aware. Todos os quadros neste tipo de enlace, obrigatoriamente, não devem possuir rótulo (mais detalhes em classificação de quadros ). O dispositivo sem suporte pode ser um ou vários segmentos de uma rede local convencional contendo outros dispositivos também sem suporte ao IEEE 802.1Q. Enlace Híbrido (Hybrid Link) Este é uma combinação dos dois enlaces anteriores. Em um enlace híbrido são conectados tanto dispositvos com suporte a VLANs, quanto os sem. Num enlace desta natureza pode haver quadros com (tagged frames) e sem rótulo (untagged frame), mas todos os quadros para uma VLAN específica tem de ser com rótulo VLAN ou sem rótulo. Vale lembrar que para situações de identificação os quadros com rótulo de prioridade são tratados como sem rótulo. Uma rede pode possuir uma combinação dos três tipos de enlace anteriormente referidos.

11 Base de Dados de Filtragem (Filtering Database) As informações dos membros de uma VLAN são armazenadas em uma base de dados de filtragem (Filtering Database) que consiste de dois tipos de entrada: estáticas e dinâmicas. Entradas Estáticas Uma entrada estática é adicionada, modificada ou removida apenas por gerenciamento, ou seja, não são tratadas automaticamente. Existem dois tipos de entradas estáticas: Entrada Estáticas de Filtragem, que especificam para cada porta, se quadros devem ser enviados para um dado endereço MAC específico ou grupo de endereços e, em uma VLAN específica, devem ser encaminhados ou descartados, ou deve seguir a entrada dinâmica. Entrada Estáticas de Registro,que especificam se quadros a serem enviados para uma determinada VLAN serão rotulados ou não e quais portas são registradas para esta VLAN. Entradas Dinâmicas As entradas dinâmicas são aprendidas pelo dispositivo de rede e não podem ser criadas ou atualizadas por gerenciamento. O processo de aprendizagem (treinamento) observa a porta de onde o quadro, com um dado endereço fonte e um identificador VLAN (VID), foi recebido e atualiza a base de dados de filtragem (filtering database). A entrada só é atualizada se todas as seguintes condições forem satisfeitas: Esta porta permite aprendizado O endereço fonte (source address) é uma estação de trabalho válida e não um endereço de grupo (group

12 address) Há espaço disponível na base de dados As entradas são removidas da base de dados de acordo com o processo de saída por envelhecimento (ageing out process). Neste processo, depois de um certo tempo especificado por gerenciamento, as entradas permitem a reconfiguração automática da base de dados de filtragem, em caso de mudança na topologia da rede.existem três tipos de entradas dinâmicas: Entradas Dinâmicas de Filtragem, que especificam se quadros devem ser enviados para um endereço MAC específico e se devem ser encaminhados ou descartados em uma certa VLAN. Entradas de Registro de Grupo, que indicam, para cada porta, se quadros devem ser enviados para um endereço MAC de grupo e se devem ser encaminhados ou descartados em uma certa VLAN. Estas entradas são adicionadas e removidas mediante a utilização do Protocolo de Registro de Grupo Multidestinatário (GMRP Group Multicast Registration Protocol). Isto permite que quadros multidestinatários (multicast) possam ser enviados em uma única VLAN sem afetar as demais. Entradas Dinâmicas de Registro, que especificam quais portas são registradas para uma VLAN específica. Estas entradas são adicionadas e removidas utilizando o Protocolo de Registro GARP VLAN (GVRP GARP VLAN Registration Protocol), em que a sigla GARP significa Protocolo de Registro de Atributos Genéricos (Generic Attribute Registration Protocol). O protocolo GVRP também é utilizado na comunicação entre pontes com suporte ao padrão IEEE 802.1Q. Para que as redes locais virtuais encaminhem os pacotes para o destino correto, todas as pontes pertencentes a esta devem conter a mesma informação em suas respectivas base de dados. O protocolo GVRP permite que estações e pontes com suporte ao

13 IEEE 802.1Q editem e revoguem membros de uma VLAN. As pontes também são responsáveis por registrar e propagar os membros de uma VLAN para todas as portas que participam da atual topologia desta. A topologia de uma rede é determinada quando as pontes são ligadas ou quando uma modificação no estado na topologia corrente é percebido. A atual topologia da rede é determinada utilizando uma algoritmo varredura de árvore (spanning tree algorithm), o qual impede a formação de laços na rede destaivando as portas necessárias. Uma vez obtida a atual topologia da rede, a qual contém diferentes VLANs, as pontes determinam a topologia corrente de cada rede virtual. Isto pode resultar em uma topologia diferente para cada VLAN ou uma comum para diversas destas. Em cada caso, a topologia da VLAN será um sub-conjunto da atual topologia da rede. Questões de Concursos (Prova: CESPE 2006 DATAPREV Analista de Tecnologia da Informação REDES) No referente a segurança de rede e controle de acesso, julgue os itens que se seguem. O uso de duplos tags pode levar uma VLAN a acessar outra indevidamente. ( ) Certo ( ) Errado (Prova: CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Uma rede VLAN geralmente oferece maior capacidade de liberação da largura de banda, além da possibilidade de redução de roteamento entre redes comutadas, já que permite aos switches proteger os roteadores congestionados, limitando a distribuição de tráfego unicast, multicast ou de difusão. ( ) Certo ( ) Errado (Prova: CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE SUPORTE A REDE DE DADOS) Determinada rede local possui 200 VLANs que seguem o padrão

14 IEEE 802.1Q, e a comunicação entre estações de uma mesma VLAN é embasada em roteamento IP. Com base nessa situação, julgue os itens subsequentes. No frame que suporta o padrão IEEE 802.1Q, há na especificação do protocolo um campo de 12 bits denominado VID (VLAN Identifier). ( ) Certo ( ) Errado (Prova: CESPE 2010 BASA Técnico Científico Tecnologia da Informação Suporte Técnico) No que se refere às características de roteadores e switches layer 3, julgue os itens que se seguem. Ao receber um pacote de broadcast por uma porta associada a uma VLAN X, um switch layer 3 repassa esse pacote para as demais portas associadas àquela VLAN. Portanto, se o administrador da rede não efetuar configurações de VLAN nesse tipo de switch, esse switch não repassará pacotes de broadcast. ( ) Certo ( ) Errado (Prova: FCC 2010 AL-SP Agente Técnico Legislativo Especializado Análise de Infraestrutura de Redes) Numa VLAN, a) a marcação de quadro não modifica a informação que nele está contida para permitir que os switches possam encaminhar o tráfego da VLAN para as suas VLAN s de destino. b) as portas do switch com protocolo 802.1Q transmitem apenas frames tagged. c) o tamanho legal máximo do frame do Ethernet para frames tagged foi estabelecido pelo protocolo 802.1Q em 1024 bytes. d) um banco de dados de endereço MAC, único para todas as VLAN s, é denominado VLAN aberta. e) trunking é a capacidade de roteadores substituírem os switches na troca de informações sobre as configurações da VLAN. (Prova: CESGRANRIO 2010 IBGE Analista de Sistemas Comunicação e Rede) As VLANs foram padronizadas por meio do padrão 802.1q. Sobre as VLANs e o padrão 802.1q, é INCORRETO afirmar que a) as pontes que seguem o padrão 802.1q quando utilizadas na

15 criação de VLANs devem ter suas tabelas de configuração definidas manualmente. b) as VLANs segmentam uma LAN maior em domínios de broadcast menores. c) o padrão 802.1q adicionou um cabeçalho ao cabeçalho Ethernet original, sendo que um dos campos desse cabeçalho adicional identifica o número da VLAN. d) os switchs da camada 3 encaminham quadros entre os dispositivos de diferentes VLANs. e) placas de rede que não estejam em conformidade com o padrão 802.1q podem ser utilizadas para operar em uma VLAN. (Prova: CESGRANRIO 2010 BACEN Analista do Banco Central Área 1) O presidente de uma grande empresa acessa a Internet, em seu trabalho, a partir de uma estação que possui sistema operacional Windows. Considerando-se que um usuário malicioso conseguiu conectar-se ao mesmo switch e VLAN do presidente, o(a) a) usuário malicioso pode colocar sua placa de rede em modo promíscuo, para capturar todo o tráfego da sub-rede. b) mecanismo de VLAN impede que o usuário malicioso descubra o endereço MAC da estação do presidente. c) switch, em oposição ao hub, não permite que as conexões TCP do Windows sejam sequestradas. d) sequestro de conexões HTTPS é possível sem que o presidente seja alertado em seu navegador, Firefox, por exemplo. e) estação do presidente está sujeita a ataques de ARP Spoofing, mesmo estando conectada a um switch. Comentários e Gabarito (Prova: CESPE 2006 DATAPREV Analista de Tecnologia da Informação REDES) No referente a segurança de rede e controle de acesso, julgue os itens que se seguem. O uso de duplos tags pode levar uma VLAN a acessar outra indevidamente. Certo. Este é um ataque chamado de rótulo duplo (double tagging) em VLANs, onde o atacante forma um pacote com a VLAN

16 Tag ID = 13 (VLAN a qual ele não pertence), encapsulado com a VLAN Tag ID = 14 (a qual ele pertence). A switch (bridge) retira a Tag 14 mandando o pacote para a VLAN 13. Este é um tipo de ataque unidirecional. (Prova: CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Uma rede VLAN geralmente oferece maior capacidade de liberação da largura de banda, além da possibilidade de redução de roteamento entre redes comutadas, já que permite aos switches proteger os roteadores congestionados, limitando a distribuição de tráfego unicast, multicast ou de difusão. Certo. Esta é uma das vantagens de utilizar a VLAN, quanto a diminuição do fluxo de dados nos roteadores. (Prova: CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE SUPORTE A REDE DE DADOS) Determinada rede local possui 200 VLANs que seguem o padrão IEEE 802.1Q, e a comunicação entre estações de uma mesma VLAN é embasada em roteamento IP. Com base nessa situação, julgue os itens subsequentes. No frame que suporta o padrão IEEE 802.1Q, há na especificação do protocolo um campo de 12 bits denominado VID (VLAN Identifier). Certo. O cabeçalho tem 32 bits, sendo: 16 bits VLAN protocol ID: 0x8100; 3 bits do Pri (Soft-RT e Hard-RT); 1 bit do CFI (little ou big-endian); e 12 bits do VLAN ID (VID). Uma outra informação importante aqui é que o padrão 802.1Q suporta 2^12 VLANs, ou seja, 4096 no total. (Prova: CESPE 2010 BASA Técnico Científico Tecnologia da Informação Suporte Técnico) No que se refere às características de roteadores e switches layer 3, julgue os itens que se seguem. Ao receber um pacote de broadcast por uma porta associada a uma VLAN X, um switch layer 3 repassa esse pacote para as demais portas associadas àquela VLAN. Portanto, se o administrador da rede não efetuar configurações de VLAN nesse tipo de switch, esse switch não repassará pacotes

17 de broadcast. Errado. O erro desta questão está na parte onde ele afirma que se o administrador de rede não efetuar configurações de VLAN nesse tipo de switchm, ele não repassará pacotes de broadcast. A verdade é que se não for configurada, o switch passará para todas as portas do switch, por estarem no mesmo domínio. (Prova: FCC 2010 AL-SP Agente Técnico Legislativo Especializado Análise de Infraestrutura de Redes) Numa VLAN, a) ERRADO. a marcação de quadro não modifica a informação que nele está contida para permitir que os switches possam encaminhar o tráfego da VLAN para as suas VLAN s de destino. A filtragem de quadro faz o switch procurar por um certo critério no quadro da camada 2 e usar este sistema de comparação para encaminhar o tráfego para sua VLAN e destino correto. b) ERRADO. as portas do switch com protocolo 802.1Q transmitem apenas frames tagged. Existe a possibilidade de ser por filtragem de quadro. c) ERRADO. o tamanho legal máximo do frame do Ethernet para frames tagged foi estabelecido pelo protocolo 802.1Q em bytes. d) CORRETO. um banco de dados de endereço MAC, único para todas as VLAN s, é denominado VLAN aberta. São chamados de Open VLANs. e) ERRADO. Trunking é a tecnologia que permite que as informações de múltiplas VLANs trafeguem em um único link. (Prova: CESGRANRIO 2010 IBGE Analista de Sistemas Comunicação e Rede) As VLANs foram padronizadas por meio do padrão 802.1q. Sobre as VLANs e o padrão 802.1q, é INCORRETO afirmar que Letra A. As tabelas podem ser manuais ou dinâmicas (utilizando MACs). (Prova: CESGRANRIO 2010 BACEN Analista do Banco Central Área 1) O presidente de uma grande empresa acessa a Internet, em seu trabalho, a partir de uma estação que possui sistema operacional Windows. Considerando-se que um usuário malicioso

18 conseguiu conectar-se ao mesmo switch e VLAN do presidente, o(a) Letra E. Proxy Cache e Reverso Ele possui várias funções que, se trabalhadas junto com o firewall, podem trazer ótimos resultados em relação ao compartilhamento, controle e segurança de acesso à internet. Proxy Cache Proxy é um servidor que atende a requisições repassando os dados do cliente à frente: um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, página web, ou outro recurso disponível no outro servidor. Quando acessamos uma página, fazemos uma requisição ao servidor WEB que armazena o conteúdo. Após a solicitação ser processada, a nossa máquina começa a fazer download da página solicitada. O cache nada mais é do que um um depósito dos sites acessados pela rede. Uma máquina da rede solicita acessar um site, obviamente com o proxy instalado em um servidor. Esta requisição primeiramente passará pelo proxy, que por sua vez, verificará no diretório de cache se tal página está armazenada. Estando, ele devolve a página armazenada para o cliente local, caso contrário, irá buscar esta página, fará o download, entregará a solicitação para o usuário e guardará a página em cache. Existe um limite dado pelo administrador da Rede para que ele

19 não armazene tudo. Delimitando o tamanho, o servidor trabalha sozinho. Ele guarda as informações mais recentes e, quando o diretório estiver cheio, ele apagará os documentos mais antigos, ou seja, aqueles que raramente são acessados, deixando, assim, os sites mais visitados. Outra função interessante são suas politicas de controle de acesso,conhecidas por ACL (Acces Control List). Elas permitem especificar endereços de origem ou destino, domínio, horários, usuários, portas ou métodos de conexão ao proxy, que serão utilizados para permitir ou negar acessos. A vantagem disso tudo, é que, uma empresa que quer ter controle sob o que seus empregados estão acessando, e na realidade, o que eles podem ou não acessar. Em resumo, algumas vantagens são: 1- É possível impor restrições de acesso com base no horário, login, endereço IP da máquina e outras informações, além de bloquear páginas com conteúdo indesejado. É por isso que quase todos os softwares de filtro de conteúdo envolvem o uso de algum tipo de proxy, muitas vezes o próprio Squid (já que, como o software é aberto, você pode incluí-lo dentro de outros aplicativos, desde que respeitando os termos da GPL). 2- O proxy funciona como um cache de páginas e arquivos, armazenando informações já acessadas. Quando alguém acessa uma página que já foi carregada, o proxy envia os dados que guardou no cache, sem precisar acessar a mesma página repetidamente. Isso acaba economizando bastante banda, tornando o acesso mais rápido. 3- Uma terceira vantagem de usar um proxy é que ele loga todos os acessos realizados através dele. Você pode visualizar os acessos posteriormente usando o Sarg, um gerador de relatórios

20 que transforma as longas listas de acessos dos logs em arquivos html bem organizados. Servidor Proxy Proxy Reverso Um proxy reverso é um servidor de rede geralmente instalado para ficar na frente de um servidor Web. Todas as conexões originadas externamente são endereçadas para um dos servidores Web através de um roteamento feito pelo servidor proxy, que pode tratar ele mesmo a requisição ou, encaminhar a requisição toda ou parcialmente a um servidor Web que tratará a requisição. Um proxy reverso repassa o tráfego de rede recebido para um conjunto de servidores, tornando-o a única interface para as requisições externas. Por exemplo, um proxy reverso pode ser usado para balancear a carga de um cluster de servidores Web. O que é exatamente o oposto de um proxy convencional que age como um despachante para o tráfego de saída de uma rede, representando as requisições dos clientes internos para os servidores externos a rede a qual o servidor proxy atende. Proxy Reverso nada mais é do que um servidor burro que apenas recebe requisições e delega as mesmas ou então faz algo simples,como devolver uma página pré processada, mas ele é burro não sabe executar aquela requisição por completo, ele é um proxy não é o servidor de verdade.

21 Proxy Reverso Em poucas palavras, o Proxy Reverso é o servidor que irá receber as requisições para aplicações de clientes da internet e entregá-las a rede local ou uma DMZ. Algumas de suas vantagens são: Segurança Se você tem uma camada antes de chegar ao seu servidor, você pode incluir um firewall ou algo do gênero para verificar se tal requisição é ou não segura o suficiente para chegar ao ser web server. Outro benefício é que o seu proxy reverso é isolado do seu web server, assegurando que a requisição não sabe para onde ela vai a seguir; Balanceamento de Carga Um proxy reverso é inteligente o suficiente para fazer o que chamamos de Balanceamento de Carga. Imagine que você possui diversos web servers rodando a mesma aplicação e você deseja distribuir as requisições para aquele servidor web que não está ocupado. Um proxy reverso fica responsável por essa

22 delegação. Ou seja uma requisição chega ao Proxy Reverso e ele sabe para qual servidor enviar ela; Cache Você pode colocar um cache no seu proxy reverso, para que, caso a requisição que ele devolva não necessite de nenhum processamento no web server, o próprio proxy já devolva a resposta, aumentando a performance da sua aplicação; Criptografia SSL A criptografia SSL pode ser delegada ao próprio servidor proxy, ao invés dos servidores Web. Neste caso, o servidor proxy pode ser dotado de aceleradores criptográficos de alta performance; Compressão Um servidor proxy pode otimizar e comprimir o conteúdo tornando o acesso mais rápido; Soluções instaláveis : Cisco Cache Engine ( iplanet Web Proxy Server ( ISA Server ( LocalDirector ( ProxySG ( Squid Web Proxy Cache ( Nginx ( Apache ( Soluções em Appliance: Citrix NetCaler ( Cisco CSM Content Switch Module ( F5 -Big IP ( Veja o vídeo abaixo como material adicional.

23 Questões de Concursos (FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) Squid é um software muito empregado em redes corporativas como servidor proxy e cache HTTP, pelo alto desempenho e suporte a HTTP, FTP e Gopher. Em sua operação, o Squid recebe os pedidos de usuários que desejam visualizar páginas externas e verifica se tem a página em cache. Se tiver a página em cache, verifica se ela ainda é válida e envia para o cliente e, caso contrário, busca a página no servidor externo, armazena no cache e transmite para o cliente. Deste modo, na próxima vez que outro usuário solicitar esta página, a mesma será carregada muito mais rapidamente, pois estará em um cache local. No processo de instalação e configuração, deve-se definir em qual IP e porta o Squid deverá aguardar requisições. Utilizando o IP e considerando o default para a porta, um comando válido, é: a) #http port :8080 b) #http port :2135 c) #http port :5050 d) #http port :9632 e) #http port :3128 (Prova: FGV 2009 MEC Gerente de Segurança) O objetivo principal de um servidor proxy é possibilitar que máquinas de uma rede privada possam acessar uma rede pública, como a Internet, sem que para isto tenham uma ligação direta com esta. O Servidor proxy costuma ser instalado em uma máquina que tenha acesso direto à Internet, sendo que as demais efetuam as solicitações por meio desta. A configuração do squid fica gravada em um determinado arquivo e em um diretório específico. Esse arquivo e esse diretório são conhecidos, respectivamente, por:

24 a) squid.conf e /sys/squid b) squid.cfg e /sys/squid c) squid.conf e /etc/squid d) squid.cfg e /etc/squid e) squid.conf e /cfg/squid (Prova: FGV 2009 MEC Administrador de Redes) O Squid é um software livre, um servidor que funciona como um intermediário no contato dos computadores da rede local com outras máquinas fora dela, como na internet. Ele recebe as requisições de acesso externo dos hosts locais e as repassa a outros computadores fora da rede local, retornando as respostas aos computadores que as solicitaram. O Squid oferece uma série de recursos que o tornam uma excelente alternativa para aproveitamento mais racional da comunicação. Dentre esses recursos, dois são descritos a seguir. I. O Squid armazena o conteúdo acessado, de forma que se algum host fizer novamente uma requisição ao mesmo conteúdo, que já se encontra armazenado, ele recebe diretamente esse conteúdo, sem a necessidade de efetuar uma nova busca dos dados na Internet. O uso desse recurso resulta em maior rapidez no acesso à Internet, pois o link do host com o proxy é bem mais rápido do que deste com a Internet. II. O acesso ao servidor proxy pode ser limitado por meio do controle de acesso dos usuários, já que somente usuários autorizados poderão acessar a Internet. Este recurso é bastante flexível e pode ser implementado de várias maneiras, como pelo uso do protocolo LDAP. Os recursos descritos são denominados respectivamente: a) cache e autenticação. b) cache e validação. c) cache e autorização. d) swap e validação. e) swap e autenticação. (Prova: CESPE 2010 TRE-MT Analista Judiciário Tecnologia da Informação) A utilização de proxy-server pode

25 melhorar significativamente os recursos de rede, uma vez que os objetos solicitados podem estar nele armazenados. Quanto a esse assunto e em relação ao Squid proxy-server, assinale a opção correta. a) O Squid suporta a política de substituição GDSF (greedy dual-size frequency) b) A execução do comando squid -k parse, pela linha de comando, permite verificar a consistência dos objetos armazenados em cache. c) O Squid define métodos específicos para a remoção de objetos em cache, entre os quais, o método REMOVE. d) O NTFS (NT file system) é o sistema de arquivos padrão utilizado pelo Squid versão 2.5. e) O Squid suporta apenas os protocolos HTTP e HTTPS. Comentários e Gabarito (FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) Squid é um software muito empregado em redes corporativas como servidor proxy e cache HTTP, pelo alto desempenho e suporte a HTTP, FTP e Gopher. Em sua operação, o Squid recebe os pedidos de usuários que desejam visualizar páginas externas e verifica se tem a página em cache. Se tiver a página em cache, verifica se ela ainda é válida e envia para o cliente e, caso contrário, busca a página no servidor externo, armazena no cache e transmite para o cliente. Deste modo, na próxima vez que outro usuário solicitar esta página, a mesma será carregada muito mais rapidamente, pois estará em um cache local. No processo de instalação e configuração, deve-se definir em qual IP e porta o Squid deverá aguardar requisições. Utilizando o IP e considerando o default para a porta, um comando válido, é: Letra E. A porta padrão do Squid é a 3128.

26 (Prova: FGV 2009 MEC Gerente de Segurança) O objetivo principal de um servidor proxy é possibilitar que máquinas de uma rede privada possam acessar uma rede pública, como a Internet, sem que para isto tenham uma ligação direta com esta. O Servidor proxy costuma ser instalado em uma máquina que tenha acesso direto à Internet, sendo que as demais efetuam as solicitações por meio desta. A configuração do squid fica gravada em um determinado arquivo e em um diretório específico. Esse arquivo e esse diretório são conhecidos, respectivamente, por: Letra C. O arquivo de configuração é o squid.conf e fica no diretório /etc/squid/. (Prova: FGV 2009 MEC Administrador de Redes) O Squid é um software livre, um servidor que funciona como um intermediário no contato dos computadores da rede local com outras máquinas fora dela, como na internet. Ele recebe as requisições de acesso externo dos hosts locais e as repassa a outros computadores fora da rede local, retornando as respostas aos computadores que as solicitaram. O Squid oferece uma série de recursos que o tornam uma excelente alternativa para aproveitamento mais racional da comunicação. Dentre esses recursos, dois são descritos a seguir. I. O Squid armazena o conteúdo acessado, de forma que se algum host fizer novamente uma requisição ao mesmo conteúdo, que já se encontra armazenado, ele recebe diretamente esse conteúdo, sem a necessidade de efetuar uma nova busca dos dados na Internet. O uso desse recurso resulta em maior rapidez no acesso à Internet, pois o link do host com o proxy é bem mais rápido do que deste com a Internet. II. O acesso ao servidor proxy pode ser limitado por meio do controle de acesso dos usuários, já que somente usuários autorizados poderão acessar a Internet. Este recurso é bastante flexível e pode ser implementado de várias maneiras, como pelo uso do protocolo LDAP. Os recursos descritos são denominados respectivamente:

27 Letra A. A afirmativa I é uma explicação do que o cache, assim como a II é de autenticação. (Prova: CESPE 2010 TRE-MT Analista Judiciário Tecnologia da Informação) A utilização de proxy-server pode melhorar significativamente os recursos de rede, uma vez que os objetos solicitados podem estar nele armazenados. Quanto a esse assunto e em relação ao Squid proxy-server, assinale a opção correta. Letra A. O GDSF é uma política de memória onde ele armazena no cache arquivos pequenos, pois são de maior chance de serem solicitados novamente. Esta política é boa para ambientes com muitos usuários. O comando squid -k parse verifica se o arquivo de configuração tem erros. O Squid suporta os protocolos HTTP, SSL, FTP, WAIS. Entendendo o Modelo OSI O Modelo OSI é uma referência de como os dados são transportados de um computador a outro, vindos desde sua camada física até as aplicações (softwares). Ao longo do percurso, os bits vão se transformando em pacotes de dados e vice-versa, sendo transportados de um ponto a outro, realizando assim a comunicação entre as máquinas. O nome OSI significa Open System Interconection. As 7 camadas Veja a figura abaixo e vamos entender como é a organização das camadas e o que acontece em cada uma delas para que haja a comunicação.

28 Modelo OSI Camada 7 Aplicação É nesta camada que nós trabalhamos, utilizando os software através de interações, enviando e recebendo dados. Entenda que as aplicações aqui são algo como navegador de internet, mensageiros instantâneos, e qualquer outro aplicativo que utilize a rede para se comunicar. Entenda que ao enviar uma requisição para a rede, esta camada é a responsável por iniciar o processo de comunicação, onde passará até a camada mais baixa, que é a 1 Física, e ela finaliza quando recebe a sua resposta novamente aqui na camada 7. Esta camada não se preocupa como os dados serão transportados até o destino, mas quer que seja entregue e que ele receba também o que for para ele. Protocolos: HTTP, SMTP, FTP, SSH, RTP, Telnet, SIP, RDP, IRC, SNMP, NNTP, POP3, IMAP, BitTorrent, DNS, Ping, etc.

29 O PDU aqui é chamado de mensagem. Camada 6 Apresentação Esta camada atua como se fosse um intérprete entre redes diferentes, por exemplo, uma rede TCP/IP e outra IPX/SPX, traduzindo e formatando os dados de comunicação, exercendo também esta função entre a camada de Aplicação (7) e a camada de Sessão (5). Ela nem sempre é utilizada. A camada 6 adicionará suas próprias informações de controle ao pacote recebido da camada superior e envia o novo pacote para a camada 5, agora contendo o dado original, informações de controle adicionadas pela camada 7 mais informações de controle adicionadas pela camada 6 e assim por diante. Na recepção dos dados o processo inverso é feito: cada camada removerá as informações de controle de sua responsabilidade. A camada de apresentação também é responsável por outros aspectos da representação dos dados, como criptografia e compressão de dados. Alguns exemplos de protocolos que utilizam esta camada são os túneis encriptados do SSH. Eles fazem com que os dados sejam transmitidos de forma encriptada pela rede, aumentando a segurança de forma transparente tanto para o aplicativo quanto para o sistema operacional. Alguns dispositivos atuantes na camada de Apresentação são o Gateway, ou os Traceivers, sendo que o Gateway no caso faria a ponte entre as redes traduzindo diferentes protocolos, e o Tranceiver traduz sinais por exemplo de cabo UTP em sinais que um cabo Coaxial entenda. Protocolos: SSL; TLS, XDR. Camada 5 Sessão Ao receber as solicitações da camada superior, o sistema operacional abre uma sessão, sendo esta responsável por

30 iniciar, gerenciar e finalizar as conexões entre os hosts, e por se preocupar com a sincronização entre eles, para que a sessão aberta entre eles mantenha-se funcionando. Seu funcionamento se baseia em que ao enviar uma solicitação, abre-se uma sessão e ela só será fechada quando ele receber a resposta dessa solicitação. Ele fornece dois tipos principais de diálogos: o half-duplex e o full-duplex. Uma sessão permite transporte de dados de uma maneira mais refinada que o nível de transporte em determinadas aplicações. Uma sessão pode ser aberta entre duas estações a fim de permitir a um usuário se logar em um sistema remoto ou transferir um arquivo entre essas estações. Os protocolos desse nível tratam de sincronizações (checkpoints) na transferência de arquivos. Neste nível ocorre a quebra de um pacote com o posicionamento de uma marca lógica ao longo do diálogo. Esta marca tem como finalidade identificar os blocos recebidos para que não ocorra uma recarga, quando ocorrer erros na transmissão. Camada 4 Transporte Sua preocupação nesta camada é com a qualidade da transmissão dos dados, tanto no envio como no recebimento. Depois que os pacotes vem da camada 3, é a hora de transportá-los de forma confiável, assegurando o sucesso deste transporte. Um serviço bastante utilizado aqui é o QoS (Quality of Service). É nesta camada que os dados são realmente transportados de um host ao outro, agindo como se fosse um carteiro, transportando (Camada de Transporte 4) a carta dos Correios (Camada de Rede 3) para o seu destino final. Protocolos: TCP, UDP, RTP, SCTP, SPX. Dispositivos: Roteadores.

31 O PDU aqui é chamado de segmento. Camada 3 Rede Esta camada é responsável pelo endereçamento dos pacotes de rede, também conhecidos por datagramas, associando endereços lógicos (IP) em endereços físicos (MAC), de forma que os pacotes de rede consigam chegar corretamente ao destino. Também é decidido o melhor caminho para os dados, assim como o estabelecimento das rotas, baseada em fatores como condições de tráfego da rede e prioridades. Essa camada é usada quando a rede possui mais de um segmento e, com isso, há mais de um caminho para um pacote de dados percorrer da origem ao destino. Ela entende o endereço físico (MAC) da camada de Enlace (2) e converte para endereço lógico (IP). Quando a camada de Rede (3) recebe a unidade de dados da camada de Enlace (2), chamado de quadro, transforma em sua própria PDU com esse endereço lógico, que será utilizado pelos roteadores para encontrar os melhores caminhos de dados. Esta unidade de dados é chamada de Pacote. Dispositivos: Roteadores. Protocolos: ICMP, IP, IPX, ARP, IPSEC, RIP, OSPF, BGP. PDU: Pacote. Camada 2 Enlace Esta camada recebe os dados formatados da camada Física (1), os bits, e trata os mesmos, convertendo em sua unidade de dados (pacotes) para ser encaminhado para a próxima camada, a de Rede (3). Esta camada detecta e, opcionalmente, corrige erros que possam

32 acontecer no nível físico. É responsável pela transmissão e recepção (delimitação) de quadros e pelo controle de fluxo. Aqui encontramos o endereço físico, o MAC (Media Access Control ou Controle de Acesso a Mídia). Em resumo, a função desta camada é ligar os dados de um host a outro, fazendo isso através de protocolos definidos para cada meio específico por onde os dados são enviados. Protocolos: PPP, Ethernet, FDDI, ATM, Token Ring, LAPB, NetBios. Dispositivos: Switches, Placa de Rede, Interfaces. PDU: Quadro. Camada 1 Física Esta camada só entende sinais de bits, chegando até ela como pulsos elétricos que são 0 (tensão negativa) ou 1 (tensão positiva). É aqui que são definidas as utilizações dos cabos e conectores, bem como o tipo de sinal (pulsos elétricos coaxial; pulsos de luz ótico). Basicamente a sua função é receber os dados e iniciar o processo (ou o inverso, inserir os dados e finalizar o processo). Dispositivos: Cabos, Conectores, Hubs. PDU: bits. Resumo CAMADA FUNÇÃO

33 APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE ENLACE FÍSICA Funções especializadas (transferência de arquivos, terminal virtual, ) Formatação de dados e conversão de caracteres e códigos Negociação e estabelecimento de conexão com outro nó Meios e métodos para a entrega de dados ponta-a-ponta Roteamento de pacotes através de uma ou várias redes Detecção e correção de erros introduzidos pelo meio de transmissão Transmissão dos bits através do meio de transmissão Questões de Concursos (Prova: CESPE 2011 BRB Analista de Tecnologia da Informação) No modelo OSI, a camada de enlace tem por finalidade entregar à camada de transporte um canal livre de erros. ( ) Certo ( ) Errado (Prova: FCC 2011 TRT 19ª Região (AL) Técnico Judiciário Tecnologia da Informação) A camada de rede do modelo OSI é responsável pelo controle, distribuição e colocação das informações na rede. Nela está presente o protocolo a) TCP. b) IP. c) HTTP. d) SMTP. e) UDP. (Prova: FCC 2011 TRT 19ª Região (AL) Técnico Judiciário Tecnologia da Informação) Considere os itens a seguir: I. O modelo OSI define um modelo de rede de cinco camadas. II. Uma LAN normalmente cobre uma área superior a três quilômetros.

34 III. Uma WAN possibilita a transmissão de dados, imagens, áudio e vídeo por longas distâncias. IV. Quando uma ou mais redes das categorias LAN, WAN ou WAN estiverem conectadas entre si, elas se tornam uma internetwork ou internet. Está correto o que consta em: a) I, II, III e IV. b) III e IV, apenas. c) I, apenas. d) II, III e IV, apenas. e) II e III, apenas (Prova: FCC 2011 TRT 19ª Região (AL) Analista Judiciário Tecnologia da Informação) No modelo OSI, é também chamada de camada de Tradução e tem por objetivo converter o formato do dado recebido pela camada imediatamente acima, em um formato comum a ser utilizado na transmissão desse dado (ex. conversão do padrão de caracteres quando o dispositivo transmissor usa um padrão diferente do ASCII). Trata-se da camada de a) Transporte. b) Enlace. c) Sessão. d) Aplicação. e) Apresentação. (Prova: FGV 2008 Senado Federal Analista de Suporte de Sistemas) Para o funcionamento da Internet, as diversas aplicações que operam por meio de protocolos na camada de aplicação do modelo OSI utilizam portas conhecidas na comunicação com o protocolo TCP da camada de transporte. Nesse contexto, aplicações DNS, FTP e TELNET, na interação com o TCP e SNMP com UDP, utilizam portas padronizadas e identificadas, respectivamente, pelos números: a) 53, 20, 25 e 110. b) 53, 20, 23 e 160. c) 53, 21, 23 e 160.

35 d) 67, 21, 25 e 160. e) 67, 20, 23 e 110. (FGV 2009 MEC Administrador de Redes) Tendo como foco o modelo de referência OSI/ISSO, o Point-to-Point Protocol (PPP) é um protocolo de linha discada que opera nas seguintes camadas: a) física e rede. b) enlace e rede. c) física e enlace. d) física e transporte. e) enlace e transporte. (FGV 2009 MEC Administrador de Redes) A arquitetura Open Systems Interconnection OSI da ISO constitui uma referência para o funcionamento das redes de computadores. No contexto desse modelo, a camada que se refere às especificações de hardware é denominada: a) rede. b) física. c) enlace. d) aplicação. e) transporte. Comentários e Gabarito (Prova: CESPE 2011 BRB Analista de Tecnologia da Informação) No modelo OSI, a camada de enlace tem por finalidade entregar à camada de transporte um canal livre de erros. ERRADO. Pois no processo de transmissão não pode haver pulos de camadas. Sendo assim, a camada de Enlace (2) não pode entregar nada diretamente à camada de Transporte (4). Os dados tem que passar antes pela camada de Rede (3). (Prova: FCC 2011 TRT 19ª Região (AL) Técnico Judiciário Tecnologia da Informação) A camada de rede do

36 modelo OSI é responsável pelo controle, distribuição e colocação das informações na rede. Nela está presente o protocolo Letra B. É o IP que é encontrado na camada de Rede (3). Já o TCP e UDP são encontrados na camada de Transporte (4) e o HTTP e SMTP são da camada de Aplicação (6). (Prova: FCC 2011 TRT 19ª Região (AL) Técnico Judiciário Tecnologia da Informação) Considere os itens a seguir: I ERRADO. Como vimos, o modelo OSI tem 7 camadas. II ERRADO. O erro aqui está mais para o entendimento do que o conceito em si. Quando ele fala normalmente tem mais de 3 km, ele está errando, pois normalmente não passa disso. Uma rede LAN pode sim ter até 10 km, segundo alguns autores, e a partir disto vira uma WAN. III VERDADEIRO. IV VERDADEIRO. Portanto é a letra B. (Prova: FCC 2011 TRT 19ª Região (AL) Analista Judiciário Tecnologia da Informação) No modelo OSI, é também chamada de camada de Tradução e tem por objetivo converter o formato do dado recebido pela camada imediatamente acima, em um formato comum a ser utilizado na transmissão desse dado (ex. conversão do padrão de caracteres quando o dispositivo transmissor usa um padrão diferente do ASCII). Trata-se da camada de Letra E. (Prova: FGV 2008 Senado Federal Analista de Suporte de Sistemas) Para o funcionamento da Internet, as diversas aplicações que operam por meio de protocolos na camada de aplicação do modelo OSI utilizam portas conhecidas na comunicação com o protocolo TCP da camada de transporte. Nesse contexto, aplicações DNS, FTP e TELNET, na interação com o TCP e SNMP com UDP, utilizam portas padronizadas e identificadas, respectivamente, pelos números:

37 Letra C. (FGV 2009 MEC Administrador de Redes) Tendo como foco o modelo de referência OSI/ISSO, o Point-to-Point Protocol (PPP) é um protocolo de linha discada que opera nas seguintes camadas: Letra C. (FGV 2009 MEC Administrador de Redes) A arquitetura Open Systems Interconnection OSI da ISO constitui uma referência para o funcionamento das redes de computadores. No contexto desse modelo, a camada que se refere às especificações de hardware é denominada: Letra B. Conceito de Filtragem de Pacotes e Firewall Os primeiros firewalls usavam a filtragem de pacote somente para proteger a rede interna de usuários externos. O firewall verificava o cabeçalho de cada pacote que entra na rede interna e tomava a decisão de permitir ou bloquear o pacote baseado no IP usado e o numero da porta especificado no cabeçalho, na parte de TCP ou UDP. Filtragem de pacotes é o bloqueio ou liberação da passagem de pacotes de dados de maneira seletiva, conforme eles atravessam a interface de rede. Em sistemas Linux, por exemplo, a filtragem de pacotes é implementada diretamente no kernel. Esses filtros inspecionam os pacotes com base nos cabeçalhos de transporte, rede ou até mesmo enlace. Os critérios mais utilizados são os endereços IP e portas TCP/UDP de origem e destino.

38 Alguns filtros de pacotes também são capazes de transformar o conteúdo dos pacotes, como é o caso do netfilter do Linux. Normalmente as pessoas se referem ao filtro de pacotes do Linux pelo nome de iptables. Na verdade, o iptables é uma utilitário de linha de comando a partir do qual podem ser configuradas as regras de filtragem do netfilter. O netfilter é formado por um conjunto de cadeias. Cada cadeia é um ponto no caminho que um pacote IP percorre ao entrar ou sair de uma máquina. A figura mostra as cadeias do netfilter. Estrutura do Netfilter Existem dois tipos de políticas aplicáveis aos pacotes filtrados: Permissivo Aceita tudo que não é expressamente proibido. Restritivo Nega tudo e só encaminha o que for expressamente permitido. A filtragem de pacotes IP é normalmente feita usando um roteador de filtragem de pacotes, quando tais pacotes passam pelo roteador. Normalmete, um roteador de filtragem de pacotes pode filtrar pacotes baseados em alguns ou todos os campos abaixo: Endereço IP de origem; Endereço IP de destino; Portas TCP/UDP de origem; Portas TCP/UDP de destino.

39 Estes sistemas analisam individualmente os pacotes à medida em que estes são transmitidos da Camada de Enlace (camada 2 do modelo ISO/OSI) para a Camada de Rede (camada 3 do modelo ISO/OSI). A principal desvantagem desse tipo de tecnologia é a falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing) para serem injetados na sessão. Filtragem por política é uma forma diferente de se escrever um conjunto de regras de filtragem. Uma política é definida, a qual configura as regras para quais tipos de tráfego são permitidos e quais tipos são bloqueados. Os pacotes são então classificados, baseando-se no critério tradicional de endereço IP/porta de origem/destino, protocolo, etc. Firewall Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna à Internet. Eles podem ser um hardware e/ou software, tendo diferentes tipos de proteção como: pacotes, e- mail, web, etc. Apesar de se tratar de um conceito geralmente relacionado a proteção contra invasões, o firewall não possui capacidade de analisar toda a extensão do protocolo, ficando geralmente restrito ao nível 4, de Transporte, da Camada OSI. A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o fluxo de entrada e saída de informações e do grau de segurança desejado. A análise da arquitetura de implementação de firewalls traz os conceito de Bastion Host e DMZ. Bastion Hosts são servidores

40 cuidadosamente implementados e de alta segurança que mantém contato com a rede externa, consequentemente estando expostos aos riscos de ataques. Algumas de suas características são: Todo tráfego entre a rede interna e a externa (entrada e saída) deve passar pelo Firewall; Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado; O Firewall em si deve ser seguro e impenetrável; Tipos de controles realizados: Controle de Serviço: determina quais serviços Internet (tipos) estarão disponíveis para acesso; Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados; Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN); Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam); Proxy Firewall / Gateways de Aplicação Os conceitos de gateways de aplicação (application-level gateways) e bastion hosts foram introduzidos por Marcus Ranum em Trabalhando como uma espécie de eclusa, o firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent proxy) para o servidor de destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original. Embora os firewalls de filtro de pacotes e statefull

41 apresentem uma diferenças em como pacotes de uma determinada conexão são tratados, ambos se baseiam fundamentalmente nas informações do cabeçalho dos protocolos da camada de transporte. Um application gateway é um firewall stateful capaz de inspecionar os dados da camada de aplicação para tomar decisões mais inteligentes sobre a conexão. Exemplos de controles realizados por um application gateway são autenticação, filtros de URL e filtros de conteúdo. Um application gateway pode ser utilizado para bloquear, por exemplo, aplicações peer to peer (emule, Kaaza etc.), ou mensageiros instantâneos (IRC, MSN etc.) que tentam se esconder debaixo do protocolo HTTP. No entanto, os application gateway não são capazes de inspecionar dados criptografados via SSL, por exemplo. Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers. Firewall Statefull Um firewall de filtro de pacotes é dito um firewall sem estado. Isso porque ele trata cada um dos pacotes que atravessam a interface de forma independente. As conexões TCP são caracterizadas por uma série de atributos como IP s de origem e destino, portas de origem de destino, números de sequência etc. Em conjunto, esses atributos determinam o estado de uma conexão TCP.

42 Ao contrário dos firewalls de filtro de pacotes, um firewal stateful não filtra pacotes de forma isolada, mas sim com base em informações sobre o estado de conexões pré-estabelecidas. Para um firewall stateful, a comunicação bi-direcional é implícita, de forma que não há necessidade de se escrever regras de filtragem para cada um dos sentidos. A seguir são mostrados alguns exemplos de ragras para um firewall stateful utilizando a sintaxe do iptables. Com a explosão do comércio eletrônico, percebeu-se que mesmo a última tecnologia em filtragem de pacotes para TCP/IP poderia não ser tão efetiva quanto se esperava. Com todos os investimentos dispendidos em tecnologia de stateful firewalls, os ataques continuavam a prosperar de forma avassaladora. Somente a filtragem dos pacotes de rede não era mais suficiente. Os ataques passaram a se concentrar nas características (e vulnerabilidades) específicas de cada aplicação. Percebeu-se que havia a necessidade de desenvolver um novo método que pudesse analisar as particularidades de cada protocolo e tomar decisões que pudessem evitar ataques maliciosos contra uma rede. Se comparado com o modelo tradicional de Firewall, orientado a redes de dados, o Firewall de Aplicação é frequentemente instalado junto à plataforma da aplicação, atuando como uma espécie de procurador para o acesso ao servidor (Proxy). Este tipo de Firewall conta com o Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as 7 camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas

43 Questões de Concursos (CESPE 2011 TJ-ES Analista Judiciário Análise de Suporte Específicos) O denominado firewall de estado é um tipo de firewall mais simples que atua na camada de rede (camada 3), para filtrar tráfego a partir de endereços IP de origem e destino e a partir da porta TCP ou UDP. ( ) Certo ( ) Errado (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) As ferramentas de firewall conhecidas como filtro de pacotes trabalham na camada de transporte e de rede do protocolo TCP/IP e tratam os protocolos TCP e UDP e as portas de acesso aos serviços. ( ) Certo ( ) Errado (CESPE 2010 MPU Técnico de Informática) Configurar o firewall da rede para bloquear os pacotes destinados a qualquer servidor de HTTP externo é medida que impede que os funcionários dessa empresa utilizem os computadores para acessar a Internet. ( ) Certo ( ) Errado (CESPE 2010 MPU Analista de Informática Perito) No caso de um usuário remoto acessar rede com firewall de aplicativo proxy ou gateway de aplicativo, os pacotes IP serão encaminhados à rede interna, na qual, então, o proxy gerencia a conexão. ( ) Certo ( ) Errado (CESPE 2010 MPU Analista de Informática Perito) Firewall pode autorizar, negar ou descartar um pacote de dados como resultado da comparação entre uma tabela de regras e o resultado da análise de cabeçalhos de pacotes que contém os protocolos utilizados, assim como as portas e os endereços IP de origem e destino do pacote. ( ) Certo ( ) Errado

44 (CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse caso, as devidas autorizações do usuário e as demais opções de configuração são conferidas em uma tabela. ( ) Certo ( ) Errado (CESPE 2010 BASA Técnico Científico Tecnologia da Informação Suporte Técnico) É importante que o sistema operacional da máquina na qual o firewall está sendo executado seja confiável e seguro para que ela não seja facilmente invadida e o firewall, comprometido. ( ) Certo ( ) Errado (ESAF 2004 CGU Analista de Finanças e Controle Área Tecnologia da Informação Prova 3) Analise as seguintes afirmações relativas a tipos e configuração de Firewall: I. A conversão de endereços de rede NAT permite que uma rede utilize um conjunto de endereços de rede internamente e use um conjunto diferente ao lidar com redes externas. II. O sistema de conversão de endereços de rede pode modificar os números de portas de origem e destino (podendo ser chamado de conversão de portas e endereços PAT). III. Um firewall com arquitetura de host dual-homed é construído com um computador que tem apenas uma interface operando nos dois sentidos, isto é, recebe um pacote, analisa e devolve ao meio físico pela mesma interface de rede. Esta arquitetura, muito útil para pequenas empresas, permite configurar um computador como firewall e roteador ao mesmo tempo. IV. Uma regra de filtragem tem sua segurança próxima do ideal quando utiliza como parâmetro principal o endereço de origem. Estão corretos os itens: a) I e II b) II e III c) III e IV d) I e III

45 e) II e IV (CESGRANRIO 2005 MPE-RO Analista de Redes e Comunicação de Dados) Qual das funções abaixo um firewall NÃO realiza em uma rede? a) Bloquear acesso não autorizado aos aplicativos remotos que podem ser perigosos para a rede. b) Criar redes privadas virtuais (VPN). c) Filtrar URL, negando acesso para sites não autorizados. d) Suportar varreduras de vírus no correio eletrônico. e) Tratar códigos maliciosos de ataques do tipo Cavalode- Tróia. Gabarito e Comentários das Questões (CESPE 2011 TJ-ES Analista Judiciário Análise de Suporte Específicos) O denominado firewall de estado é um tipo de firewall mais simples que atua na camada de rede (camada 3), para filtrar tráfego a partir de endereços IP de origem e destino e a partir da porta TCP ou UDP. Errado. O Firewall de Estado (Stateful) é um firewall mais robusto que a filtragem de pacotes e atua em todas as 7 camadas do modelo OSI. A descrição dada na questão é de um filtro de pacotes. (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) As ferramentas de firewall conhecidas como filtro de pacotes trabalham na camada de transporte e de rede do protocolo TCP/IP e tratam os protocolos TCP e UDP e as portas de acesso aos serviços. Correto.

46 (CESPE 2010 MPU Técnico de Informática) Configurar o firewall da rede para bloquear os pacotes destinados a qualquer servidor de HTTP externo é medida que impede que os funcionários dessa empresa utilizem os computadores para acessar a Internet. Errado. A Internet não é composta somente por um serviço que roda através de um servidor HTTP. Ainda temos os servidores de s (IMAP/POP3/SMTP), mensageiros instantâneos, servidores de arquivos com FTP, e outros serviços. Baseado na questão, o filtro de pacotes apenas restringiu o acesso ao serviço HTTP, mas não impediu. (CESPE 2010 MPU Analista de Informática Perito) No caso de um usuário remoto acessar rede com firewall de aplicativo proxy ou gateway de aplicativo, os pacotes IP serão encaminhados à rede interna, na qual, então, o proxy gerencia a conexão. Errado. O Proxy não tem a função de encaminhar os pacotes, mas sim de ser um interprete entre a conexão externa e a interna. Ao receber uma requisição, ele irá gerar uma outra para o destino final, não encaminhando o IP original, mas sim o seu próprio IP. (CESPE 2010 MPU Analista de Informática Perito) Firewall pode autorizar, negar ou descartar um pacote de dados como resultado da comparação entre uma tabela de regras e o resultado da análise de cabeçalhos de pacotes que contém os protocolos utilizados, assim como as portas e os endereços IP de origem e destino do pacote. Correto. (CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse caso, as devidas autorizações do usuário e as demais opções de configuração são conferidas em uma tabela.

47 Correto. (CESPE 2010 ABIN OFICIAL TÉCNICO DE INTELIGÊNCIA ÁREA DE DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS) Um firewall Linux pode ser implementado por meio de um servidor proxy. Nesse caso, as devidas autorizações do usuário e as demais opções de configuração são conferidas em uma tabela. Correto. (ESAF 2004 CGU Analista de Finanças e Controle Área Tecnologia da Informação Prova 3) Analise as seguintes afirmações relativas a tipos e configuração de Firewall: Letra A. O item III está errado pelo fato de um firewall host dual-homed ser composto por duas ou mais interfaces de rede. Um computador que fica entre duas redes pode ser um dual-homed gateway, já que este pode atuar como um roteador entre as redes. Mas no caso de um firewall deste caso, esta função de roteamento é desabilitada. Desta forma, os pacotes IP vindos da Internet não são repassados diretamente para a rede interna. Sistemas dentro dofirewall podem se comunicar com o dual-homed host, e sistemas fora do firewall podem somente se comunicar com o dual-homed host. Já no item IV, não podemos afirmar que a segurança está perto do ideal somente com o endereço de origem, pois ele pode ser burlado com IP Spoofing, por exemplo. (CESGRANRIO 2005 MPE-RO Analista de Redes e Comunicação de Dados) Qual das funções abaixo um firewall NÃO realiza em uma rede? Letra E. Tratar códigos maliciosos é função do anti-vírus.

48 Conceito de DMZ A DMZ, do termo em inglês DeMilitarized Zone, ou seja, Zona Desmilitarizada, nada mais é do que áreas intermediárias entre a rede interna e externa onde os servidores que recebem tráfego externo estão hospedados de maneira separada da rede interna de uma empresa, por exemplo. Sua função é manter os serviços que possuem acesso externo separados da rede local, restringindo ao máximo um potencial dano causado por algum invasor, tanto interno como externo. Ela permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna. Ela tem como papel principal ser uma espécie de uma rede tampão entre as redes externa e interna. A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controle de acesso entre a rede local, a Internet e a DMZ (ou, em um modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos situados na DMZ têm como função fornecer serviços aos usuários externos, de tal modo que estes não necessitem acessar a rede interna, proporcionando um certo grau de isolamento da rede interna (confiável) em relação ao tráfego que vêm da rede externa (não confiável). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, também chamadas de vlans (Ou seja, redes diferentes que não se enxergam dentro de uma mesma rede LAN) porem isto não sera abordado. Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar com o mínimo de recursos possíveis ao

49 oferecer um determinado serviço. Além disso, o comprometimento de um equipamento qualquer situado na DMZ não deve servir para o comprometimento de equipamentos e/ou serviços da rede interna, ou seja, qualquer tentativa de ataque deve ficar confinada aos equipamentos situados na DMZ. Veja alguns exemplos de DMZ: Exemplo de DMZ com Serviços Conforme a figura os servidores WEB, de arquivos e de podem ser acessados de ambas as redes. Normalmente administradores de redes não permitem que qualquer tráfego passe diretamente através de uma DMZ. Uma DMZ pode ser implementada com fitros de rede configurados nas suas bordas, estes filtros são responsáveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo packet filtering, stateful packet filtering e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway). O Packet filtering limita o tráfego dentro da rede baseado no destino e na origem de endereços IPs, portas e outras flags que podem ser utilizadas na implementação das regras de filtro. O Stateful packet filtering filtra o tráfego baseado no destino e na origem dos endereços IPs, portas, flags além de realizar stateful inspection uma inspeção de pacotes que

50 permite o armazenamento de dados de cada conexão em uma tabela de sessão. Esta tabela armazena o estado do fluxo de pacotes e serve como ponto de referência para determinar se os pacotes pertencem a uma conexão existente ou se são pacotes de uma fonte não autorizada. As ALGs funcionam no nível da aplicação e interceptam e estabelecem conexões dos hosts da rede interna com a rede externa, autorizando ou não a conexão. As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede. Uma das arquiteturas mais utilizadas são as DMZs que utilizam uma solução de defesa em camadas. Exemplo de DMZ com VPN A forma mais simples de projetar uma DMZ é utilizando um Proxy Firewall com três ou mais interfaces de rede, onde cada uma delas terá um papel específico: Rede interna confiável; Rede DMZ; Rede Externa não confiável (Internet). Se for utilizar uma DMZ com regras de Firewall, o Firewall será normalmente configurado para proteger a rede interna da Internet. Para criar uma DMZ, o firewall também deve aplicar as regras para proteger o DMZ a partir da Internet e das regras destinadas a proteger a rede interna da DMZ. Isto

51 tornará mais difícil para um atacante para penetrar a rede interna. É possível ainda separar a DMZ em múltiplos hosts da DMZ, o que irá aumentar um pouco mais a segurança, já que se um host dele for comprometido, os outros estarão seguros por se encontrarem em outra DMZ. Dentro das características das DMZ podemos citar: Servidores que precisam ser acessados externamente são posicionados dentro de uma DMZ; As DMZs são estabelecidas entre duas zonas de segurança; Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede; As DMZs realizam o controle do tráfego do que entra e do que sai da rede; A DMZ pode conter um ataque sem que o mesmo passe para dentro da rede. Questões de Concursos (FGV 2008 Senado Federal Analista de Suporte de Sistemas) A necessidade cada vez maior de uso da Internet pelas organizações e a constituição de ambientes corporativos levam a uma crescente preocupação com a segurança, fazendo com que o firewall assuma um papel de elevada importância. A esse respeito, analise o esquema e as afirmativas abaixo.

52 I. A zona desmilitarizada (DMZ) refere-se à parte que fica entre a rede interna, que deve ser protegida, e a rede externa. II. O esquema evita parcialmente o problema de comprometimento da rede interna da organização, caso um ataque ao servidor de dados tenha sucesso. III. O proxy existente no firewall protege a rede atuando como um gateway, operando na camada de rede do modelo OSI/ISO. Assinale: a) se somente a afirmativa I estiver correta. b) se somente as afirmativas I e III estiverem corretas. c) se somente as afirmativas I e II estiverem corretas. d) se somente as afirmativas II e III estiverem corretas. e) se todas as afirmativas estiverem corretas. (FCC 2007 TRE-MS Analista Judiciário Área Judiciária) Uma DMZ Zona Desmilitarizada é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção a) Plano de contingência. b) Proxy. c) Criptografia. d) Firewall. e) Sistema de detecção de intrusão.

53 Gabarito e Comentários das Questões (FGV 2008 Senado Federal Analista de Suporte de Sistemas) A necessidade cada vez maior de uso da Internet pelas organizações e a constituição de ambientes corporativos levam a uma crescente preocupação com a segurança, fazendo com que o firewall assuma um papel de elevada importância. A esse respeito, analise o esquema e as afirmativas abaixo. Letra C. Como na terceira afirmativa ele especificou que é o Proxy existente no Firewall em si, ele está referindo-se ao Proxy Firewall, que trabalha na Camada de Aplicação Modelo OSI (7). Caso fosse apenas um Proxy fazendo papel de filtragem de tráfego, seria a terceira Camada do Modelo OSI, a de Rede. Se fosse um Stateful Packet Inspection, estaria trabalhando na Camada 4 do Modelo OSI, a de Transporte. (FCC 2007 TRE-MS Analista Judiciário Área Judiciária) Uma DMZ Zona Desmilitarizada é um segmento de rede parcialmente protegido que para possibilitar maior segurança na Internet deve estar associada ao mecanismo de proteção Letra D. O Firewall tem exatamente essa função de proteger os segmentos de sub-redes.

54 Arquitetura e Protocolos TCP/IP O conjunto de protocolos TCP/IP foi projetado especialmente para ser o protocolo utilizado na Internet. Sua característica principal é o suporte direto a comunicação entre redes de diversos tipos. Neste caso, a arquitetura TCP/IP é independente da infra-estrutura de rede física ou lógica empregada. De fato, qualquer tecnologia de rede pode ser empregada como meio de transporte dos protocolos TCP/IP, como será visto adiante. Endereçamento IP Existem duas versões dos protocolo IP: IPV4 e IPV6. A primeira é utilizada atualmente e está se esgotando devido a quantidade devido ao número de máquinas conectadas na Internet utilizando-o. Já o IPV6 está vindo para solucionar esse problema de escassez, sendo uma versão melhorada. IPV4 Os endereços IP são compostos por 4 blocos de 8 bits (32 bits), sendo representados de 0 a 255, ou seja, as 256 possibilidades dos 8 bits. Cada bloco é chamado de octeto. A sua utilização em octetos é apenas para facilitar a visualização, mas quando processados, são apenas números binários. Total de endereços IP é de Existem algumas faixas de IP que são reservadas para redes locais, que são as que iniciam da seguinte forma: 10.x.x.x x.x x.x até x.x

55 O endereço IP é formado por duas informações principais: o endereço de rede e o endereço de host dentro da rede. Veja o exemplo do IP , onde o primeiro octeto, o 10, é o endereço de rede, já o segundo até o quarto octeto é o endereço de host. Outro exemplo seria o IP , onde é o endereço de rede e é o endereço de host. Existe também algumas regras quanto a validade de um IP, sendo os listados abaixo como inválidos: 0.xxx.xxx.xxx Nenhum IP pode começar com zero. Somente utilizado é para responder às requisições DHCP de uma máquina que entrou na rede; 127.xxx.xxx.xxx Chamado de loopback. Seria o endereço reservado para testes e para interface chamada de loopback, ou seja, a própria máquina. 255.xxx.xxx.xxx, xxx , xxx.xxx Nenhum identificador de rede pode ser 255 e nenhum endereço de host pode ser composto apenas de endereços 255, independente de classe do endereço. xxx.0.0.0, xxx.xxx.0.0 Nenhum identificador de host pode ser composto apenas de zeros, pois são endereços reservados da rede. xxx.xxx.xxx.255, xxx.xxx.xxx.0 Nenhum endereço de classe C pode terminar com 0 ou 255, pois são utilizados para envio de pacotes broadcast. Classes de Endereçamento IP Inicialmente os endereços IP foram divididos em classes que reservam um número diferente de octetos para o endereçamento da rede, sendo elas chamadas de A, B, C, D e E. Dentre elas, apenas as classes A, B e C são utilizadas realmente, pois a D e E são para utilização futura. Veja abaixo a separação das classes: Classe A:

56 Com tamanho de 8 bits no endereço de rede; Tamanho de 24 bits para endereços de hosts; O primeiro octeto decimal entre 1 e 126; Utiliza máscara de rede ; Total de redes de = 126; Total de hosts de = ; Classe B: Com tamanho de 16 bits no endereço de rede; Tamanho de 16 bits para endereços de hosts; O primeiro octeto decimal entre 128 e 191; Utiliza máscara de rede ; Total de redes de = ; Total de hosts de = ; Classe C: Com tamanho de 24 bits no endereço de rede; Tamanho de 8 bits para endereços de hosts; O primeiro octeto decimal entre 192 e 223; Utiliza máscara de rede ; Total de redes de = ; Total de hosts de = 254; Classe D: Reservado para multicasting; Sendo o primeiro octeto decimal entre 224 e 239; Classe E: Reservado para pesquisas; Sendo o primeiro octeto decimal entre 240 e 247; IPV6 Como já falei anteriormente, o IPV6 veio para resolver o problema da escassez de endereços IP do IPV4. Os endereços IP são compostos por 8 blocos de 4 caracteres do sistema hexadecimal em cada bloco, ou seja, 16 caracteres, totalizando 128 bits, sendo representados de 0 à

57 F, ou seja, as 16 possibilidades para cada caracter. Cada bloco é chamado de octeto. A sua utilização em octetos é apenas para facilitar a visualização, mas quando processados, são apenas números binários. Total de endereços IP é de Veja um exemplo de endereço: 2001:247f:6c24:17da:cd89:d4e2:bcd7:a36e Algumas outras características: Autoconfiguração do endereço, não sendo mais necessário o uso do DHCP; Endereçamento hierárquico, o que simplifica as tabelas de encaminhamento das tabelas dos roteadores da rede, o que diminui a carga de processamento deles; O cabeçalho foi totalmente remodelado; Cabeçalhos de extensão para guardar detalhes adicionais; Suporte a qualidade diferenciada para conexões diferenciadas para áudio e vídeo; Capacidade de extensão, podendo adicionar novas especificações de forma simples; Encriptação. Suporte a extensões que permitem opções de segurança. Um detalhe curioso sobre o endereçamento no IPV6 é a sua capacidade de ser encurtado. Veja o seguinte exemplo de endereço: 2001:247f:0000:0000:cd89:d4e2:bcd7:a36e. Onde tem os blocos com 0000, podemos simplesmente substituir por um único zero, ficando 2001:247f:0:0:cd89:d4e2:bcd7:a36e ou até mesmo 2001:247f::cd89:d4e2:bcd7:a36e Pode-se ainda: Utilizar letras minúsculas e maiúsculas; Utilizar as regras de abreviação, como omitir zeros à esquerda e representar zeros contínuos por ::

58 Tipos de endereços Unicast O endereço identifica apenas uma interface de rede. Desse modo, um pacote enviado a um endereço unicast é entregue a uma única interface. Cada endereço IPv4 unicast inclui uma ID de rede e uma ID de host. Unicast Multicast Multicast é a entrega de informação para múltiplos destinatários simultaneamente usando a estratégia mais eficiente onde as mensagens só passam por um link uma única vez e somente são duplicadas quando o link para os destinatários se divide em duas direções. Multicast