Eng. Alessandro Coneglian Bianchini

Eng. Alessandro Coneglian Bianchini

Apresentação Alessandro ConeglianBianchiniexerce a função de engenheiro na NEC Brasil, atuando na elaboração de projetos e implantação de VoIP, Wireless, Redes e Segurança da informação; formado em engenharia elétrica com ênfase em telecomunicações pela Escola de Engenharia Mauá-SP, pósgraduado em segurança da informação pelo IBTA-SP e também pós-graduado em engenharia de rede e sistema de telecomunicações pelo INATEL-MG; Possui certificações de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware. 2

3 Certificações VCP 4 Vmware Certified Professional 4.0 VCP 3 Vmware Certified Professional 3.0 ITIL v3 Foundation CCNP - Cisco Certified Network Professional CCDP - Cisco Certified Design Professional CCVP - Cisco Certified Voice Professional CCSP - Cisco Certified Security Professional CCNA - Cisco Certified Network Associate CCDA - Cisco Certified Design Associate CAWDS Cisco Advanced Wireless Design Specialist CAWFS Cisco Advanced Wireless Field Specialist CISS - Cisco Information Security Specialist CIOSSS - Cisco IOS Security Specialist CFWS - Cisco Firewall Specialist CIPSS -Cisco IPS Specialist FCNSA- Fortinet Certified Network Security Administrator FCNSP- Fortinet Certified Network Security Professional CAIR Certified Allied installation Router CAIS Certified Allied installation switch CASE Certified Allied system engineer 4011 Recognition - CNSS (Committee on National Security Systems) 4013 Recognition CNSS (Committee on National Security Systems)

Característica do protocolo Sistema de entrega fim-a-fim É um protocolo Não orientados à conexão Sem controle de erros e sem reconhecimento Isso significa que o protocolo IP não executa: Controle de erros sobre os dados da aplicação Controle de fluxo Sequenciamento de dados Entrega ordenada

Caracteristicado protocolo -cont Serviço de entrega: Best-effort Os pacotes não são descartados sumariamente, o protocolo torna-se não confiável somente quando há exaustão de recursos Datagrama de tamanho variável IPv4: tamanho máximo 64 Kbytes

Cabeçalho IP

Campos do Cabeçalho IP VERS: versão do protocolo IP que foi usada para criar o datagrama(4bits) HLEN: comprimento do cabeçalho, medido em palavras de 32 bits (4 bits) TOTAL-LENGTH: este campo proporciona o comprimento do datagrama medido em bytes, incluindo cabeçalho e dados. SERVICE-TYPE: este campo especifica como o datagramapoderia ser manejado e dividido em cinco subcomandos. IDENTIFICATION, FLAGS e FRAGMENTS: estes três campos controlam a fragmentação e a união dos datagramas. O campo de identificação contém um único inteiro que identifica o datagrama, é um campo muito importante porque quando um gateway fragmenta um datagrama, ele copia a maioria dos campos do cabeçalho do datagramaem cada fragmento, então a identificação também deve ser copiada, com o propósito de que o destino saiba quais fragmentos pertencem a quais datagramas. Cada fragmento tem o mesmo formato que um datagramacompleto.

Campos do cabeçalho IP -Cont FRAGMENT OFFSET: especifica o início do datagramaoriginal dos dados que estão sendo transportados no fragmento. É medido em unidades de 8 bytes. FLAG: controla a fragmentação. TTL(Time To Live): especifica o tempo em segundos que o datagramaestá permitido a permanecer no sistema Internet. Gateways e hosts que processam o datagramadevem decrementar o campo TTL cada vez que um datagramapassa por eles e devem removê-lo quando seu tempo expirar. PROTOCOL: especifica qual protocolo de alto nível foi usado para criar a mensagem que está sendo transportada na área de dados do datagrama. HEADER-CHECKSUM: assegura integridade dos valores do cabeçalho. SOURCE AND DESTINATION IP ADDRESS: especifica o endereço IP de 32 bits do remetente e receptor. OPTIONS: é um campo opcional. Este campo varia em comprimento dependendo de quais opções estão sendo usadas. Algumas opções são de um byte, e neste caso este campo é chamado de OptionCode, e está dividido em três campos. Security, source route, recordroute, stream id (used for voice) for reservedresources, timestamp recording

Campo IP options Option Number Descrição 1 No operation 2 Security 3 Loose Route 7 Recorde Route 8 Stream Identifier 9 Strict Source Route 11 MTU Probe 12 MTU Reply 4 Timestamp 18 Traceroute

Record RouteOption Provê uma forma de monitorar como os datagramas são roteados Cada roteador que roteia o datagramaacrescenta seu endereço IP ao campo de opções copy + option class + option number = CODE (1 byte) 0 8 16 24 31 CODE LENGTH POINTER FIRST IP ADDRESS SECOND IP ADDRESS...

Source RouteOption Source Route StrictSource Route: rota exata a ser seguida LooseSource Route: deve passar pelo menos por um dos roteadores copy + option class + option number = CODE (1 byte) 0 8 16 24 31 CODE LENGTH POINTER IP ADDRESS OF FIRST HOPE IP ADDRESS OF SECOND HOPE...

TimestampOption Similar ao Record Route Inicialmente contém uma lista vazia de roteadores e tempos Cada roteador acrescenta seus dados copy + option class + option number = CODE (1 byte) CODE LENGTH POINTER OFLOW FLAGS FIRST IP ADDRESS FIRST TIMESTAMP...

TimestampOption Cada entrada na lista contém IP address(32 Bits) Timestamp(inteiro de 32 bits) OFLOW (4 bits) Contador do número de roteador que não puderam acrescentar informações FLAGS Controla o formato exato do campo de timestamp

Timestamp-Flags Valor das Flags Descrição 0 Registre apenas o timestamp, omita o endereço IP 1 Acrescente o endereço IP e após o timestamp 3 Endereços IP são especificados pela origem. O roteador só irá registrar seu timestamp se o próximo IP na lista for o seu.

Fragmentação Cada padrão de rede tem um MTU diferenciado Ethernet: 1500 bytes ATM: 53 bytes FDDI: 4500 bytes Datagramasmaiores do que a MTU da rede devem ser fragmentados

Fragmentação Cada fragmento recebe uma cópia do header IP do datagrama original e uma porção de dados Header IP Dados Header IP Dados Frag #1 Header IP Dados Frag #1

Fragmentação No header IP dos fragmentos alteram-se os campos Flags, Fragment Offset, Total Length Header IP Dados Original Fragmentos Header IP Dados Frag #1 Header IP Dados Frag #2 ID = xxxx DF = 0 MF =1 OFSSET = 0 ID = xxxx DF = 0 MF = 0 OFSSET = 0+Tam FRAG #1

Fragmentação -exemplo MTU = 1500 bytes MTU = 1000 bytes MTU = 1500 bytes R1 R2 1 Datagrama Origem 3000 bytes 3 fragmentos de 1000 bytes 3 fragmentos de 1000 bytes ID = 12345, DF = 0 MF = 0 Offset = 0, len = 3000 ID = 12345, DF = 0 MF = 1 Offset = 0, len = 1000 ID = 12345, DF = 0 MF = 1 Offset = 0, len = 1000 ID = 12345, DF = 0 MF = 1 Offset = 1000, len = 1000 ID = 12345, DF = 0 MF = 1 Offset = 1000, len = 1000 ID = 12345, DF = 0 MF = 0 Offset = 2000, len = 1000 ID = 12345, DF = 0 MF = 0 Offset = 2000, len = 1000

Exemplo de fragmentação DF=1 MTU = 1500 bytes 1 Datagrama Origem 3000 bytes R1 MTU = 1000 bytes 0 fragmentos Retorno ICMP ID = 12345, DF = 1 MF = 0 Offset = 0, len = 3000 ID = 12345, DF = 1 MF = 0 Offset = 0, len = 3000 Datagrama Descartado!!! ICMP Destination Unreachable Fragmentation Neede and DF = 1 ICMP Destination Unreachable Fragmentation Neede and DF = 1 Recebido pela origem do datagrama Se Offse t == 0 icmp

Controle IP Fragmentação Identifica o datagrama Indicando que existe mais fragmentos Indica a posição do fragmento em relação ao datagrama 20

Controle IP Fragmentação Indicando que não tem mais fragmentos, deste datagrama e a sua posição no datagrama final 21

Controle IP Fragmentação Indica Identificação se existe do mais datagrama fragmentos 0x749b Indica a indica posição para o mesmo o do datagrama fragmento 0x749b no datagrama 0x749b 22

Remontagem Fragmentos são remontados somente no destino Roteadores intermediários não devem remontar datagramas Gasto de memória e processamento Comutação de pacotes = fragmentos com rotas diferenciadas Tempo máximo para remontagem Se faltam fragmentos e o tempo se esgota, os fragmentos são descartados Destino envia para origem um ICMP de Time Exceeded

Fragmentação e remontagem Origem Destino N. 7 N. 4 N. 3 N. 7 N. 4 N. 3 N. 2 N. 1 N. 2 N. 1

Endereçamento IP O IP é um protocolo dacamada de rede É um endereço lógicoúnico em toda a rede, portanto, quando estamos navegando na Internet estamos utilizando um endereço IP único mundialmente, pois a Internet é uma rede mundial Em redes locais podemos utilizar alguns endereços que não são válidos na Internet. Estes são reservados para redes locais, mas cada máquina da rede local utilizará um único IP nesta rede local.

Endereços Lógicos, Físicos e de Serviço Serviço: Atribuído na camada de Transporte (TCP) e refere-se a uma aplicação que está sendo transportada (porta); Lógico: Atribuído na camada de rede (IP) e indica a origem e destino do serviço, independente do serviço que está sendo transportado; Físico: Atribuído na camada enlace (MAC), e indica o próximo host da rede onde o pacote será entregue.

Endereço IPv4 Um endereço IP consiste em 4 bytes ou 32 bits. Ao invés de trabalhar com 32 bits por vez, é comum a prática de segmentação dos 32 bits de um endereço IP em quatro campos de 8 bits chamados de octetos; Cada octeto é convertido em um número de base decimal na escala de 0-255. Estes são separados por um ponto. Este formato é chamado de notação decimal pontuada. Em uma rede, estes números devem ser únicos e seguem a algumas regras que veremos a seguir; Exemplo.: 74.125.91.104 (www.google.com).

Host x Rede Cada endereço IP inclui uma identificação de rede e uma de host (máquina): A identificação de rede (também conhecida como endereço de rede) identifica os sistemas que estão localizados no mesmo segmento físico de rede na abrangência de roteadores IPs. Todos os sistemas na mesma rede física devem ter a mesma identificação de rede. A identificação de rede deve ser única na rede; A identificação de host (também conhecido como endereço de host) identifica uma estação de trabalho, servidor, roteador, ou outro host TCP/IP (nó da rede) dentro de uma rede. O endereço para cada host deve ser único para a identificação de rede.

Host x Rede

Classes IP Existem 5 classes (A,B,C,D,E)de endereços IP, que irão variar conforme a quantidade de endereços de rede existente em cada classe; O objetivos das classes é determinar qual parte do endereço IP pertence a rede e qual parte do endereço IP pertence ao host, além de permitir uma melhor distribuição dos endereços IP s.

Classe A O primeiro byte do endereço está entre 1 e 127. Exemplo: 13.0.0.1 / 80.10.69.12 / 37.25.10.99 Nos endereços de Classe A, o primeiro número identifica a rede e os outros três números identificam o próprio host.

Classe B O primeiro byte do endereço está entre 128 e 191. Exemplo: 133.0.0.1 / 140.10.69.12 / 190.25.10.99. Nos endereços de Classe B, os dois primeiros números identificam a rede e os outros dois números identificam o host.

Classe C O primeiro byte do endereço está entre 192 e 223. Exemplo: 200.0.0.1 / 220.10.69.12 / 195.25.10.99 Nos endereços de Classe C, o três primeiros números identificam a rede e os últimos números identificam o próprio host.

Classe D O primeiro byte do endereço está entre 224 e 239; Exemplo: 225.0.0.1 / 239.10.69.12 / 226.25.10.99; Esta classe está reservada para criar agrupamentos de computadores para o uso de Multicast (acesso apenas a endereços que estejam configurados para receber os dados). Não podemos utilizar esta faixa de endereços para endereçar os computadores de usuários na rede TCP/IP.

Classe E O primeiro byte do endereço está entre 240 e 247. A Classe E é um endereço reservado e utilizado para testes e novas implementações (IETF Internet Engeneering Task Force) e controles do TCP/IP. Não podemos utilizar esta faixa de endereços para endereçar os computadores na rede TCP/IP.

Números Máximos de Hosts em cada Classe 1. Octeto Max. Redes Formato Exemplo Max. Host 1-126 126 R.H.H.H 100.1.240.28 16.777.214 128-191 16.384 R.R.H.H 157.100.5.195 65.534 192-223 2.097.152 R.R.R.H 205.35.4.120 254 224-239 Multicast 240-247 Resevado

Endereços IP especiais Não podem ser atribuídos a nenhuma estação: 127.0.0.1: Endereço de Loopack 255.255.255.255: BroadCast x.x.x.255: BroadCast para uma rede classe A x.x.255.255: BroadCast para uma rede classe B x.255.255.255: BroadCast para uma rede classe C 0.0.0.0: Endereço de Inicialização (DHCP) 37

Loopback LoopBack=Enviarparasimesmo. Os datagramas com endereço IP 127.x.x.x não são enviados para rede. Eles são tratados localmente pela própria estação como datagramas recebidos. IP 127.0.0.0 processo processo processo IP 200.17.98.217 IP 200.17.98.78 38

Conflitos IP Para definirmos os IP s de uma rede, precisamos seguir estas duas regras: Na mesma rede, os IP s de todas as máquinas devem estar na mesma rede. Por exemplo: Endereços Classe A. (13.0.0.1, onde o 13 é rede e 0.0.1 é host); Todos os hosts desta rede devem estar na mesma rede, ou seja, com IP s começados por 13; Numa mesma rede não poderá haver endereços IP s iguais.

Conflitos IP

Máscara de Sub-Rede Existem casos onde faz-se necessário subdividir uma rede em redes menores. Imagine o administrador de uma rede que contém 16 milhões de hosts. Ele deverá utilizar uma rede Classe A; A máscara de rede foi criada para formar sub-redes menores, e também possibilitar uma melhor utilização dos endereços IP disponíveis; Em resumo, o parâmetro Máscara de Sub-rede serve para confirmar ou alterar o funcionamento das Classes de endereços padrões do TCP/IP; Sempre deverá ser configurado o IP e a máscara em uma rede.

Máscara de Sub-Rede Endereço Máscara Classe Sub-rede 131.108.2.10 255.255.255.0 B 131.108.2.0 15.6.24.20 255.255.0.0 A 15.6.0.0 168.124.36.12 255.255.255.0 B 168.124.36.0

Máscara de Sub-rede Em uma rede, o primeiro endereço da rede identifica o endereço da rede em si, e não poderá ser utilizado em nenhum equipamento; O último endereço também não poderá ser utilizado, pois é reservado para broadcast dentro daquela rede; Exemplo: IP: 200.220.171.4 Máscara: 255.255.255.0 Rede: 200.220.171.0 Broadcast: 200.220.171.255

Máscara de Sub-Rede Também pode ser necessário, em casos especiais, subdividir ainda mais as classes de endereços IP; Para isso existem outras máscaras de IP conforme exemplos abaixo: IP: 200.220.171.0 Mask: 255.255.255.0 Endereços entre: 200.220.171.0 e 200.220.171.255 IP: 200.220.171.0 Mask: 255.255.255.128 Endereços entre: 200.220.171.0 e 200.220.171.127 IP: 200.220.171.0 Mask: 255.255.255.192 Endereços entre: 200.220.171.0 a 200.220.171.63 Etc.

Endereços não válidos na Internet Quando quiser configurar uma rede local, você deve usar um dos endereços reservados; endereços que não existem na Internet e que por isso podemos utilizar à vontade em nossas redes particulares; As faixas abaixo são reservadas para uso em redes locais: Faixa 10.X.X.X 255.0.0.0 172.16.X.X até 172.31.X.X 255.255.0.0 Máscara 192.168.X.X 255.255.255.0

Super Redes -CIDR Agregação de redes de classe C contíguas (supernetting) utilização eficiente do espaço de endereçamento agregação de várias entradas das tabelas de routing as decisões de encaminhamento deixam de ser feitas com base emclasses e passama ser feitascom base na máscara de rede

Super Redes -CIDR

Endereços de LAN ou MAC Formato do Endereço MAC 1 byte 1 byte 1 byte 1 byte 1 byte 1 byte Fabricante No. da Interface

3.1ARP Uma única máquina responde A máquina que fez a pergunta guarda o endereço físico no cache para possível uso posterior Em máquinas UNIX o comando arp -a traz a relação de todas os endereços IPs da rede com seus respectivos endereços físicos Curso TCP/IP

3.1.1 Formato do Pacote ARP Curso TCP/IP

3.1.1 Formato do Pacote ARP Descrição dos campos Nome do Campo Hardware Type Protocol Type HLEN PLEN Operation Descrição Especifica a interface de hardware pela qual o usuário aguarda uma resposta. No caso da rede Ethernet o valor é 1. Especifica o tipo de endereço que o usuário está procurando (0800H se for IP). Tamanho do endereço de Hardware Tamanho do endereço do protocolo de alto nível. As opções HLEN e PLEN em conjunto permitem que o ARP possa ser usado para uma rede qualquer. 1 - ARP request (Requisição do endereço físico) 2 - ARP response (Resposta do endereço físico) 3 - RARP request (Requisição do endereço IP) 4 - RARP response (Resposta do endereço IP) Curso TCP/IP

Endereços MAC Cada adaptador numa LAN tem um único endereço de LAN

Protocolo ARP A conhece o endereço IP de B, quer aprender o endereço físico de B A envia em broadcastum pacote ARP de consulta contendo o endereço IP de B todas as máquinas na LAN recebem a consulta ARP B recebe o pacote ARP, responde a A com o seu (de B) endereço de camada física A armazena os pares de endereço IP-físico até que a informação se torne obsoleta (esgota a temporização)

ARP qual o MAC do IP 200.134.51.6? o MAC do IP 200.134.51.6 é C? ARP REQUEST ARP REPLY A B C 54

O ARP só funciona na rede local ARP request o roteador não propaga broadcast 55

3.2 Protocolo RARP O RARP (Reverse Address Resolution Protocol) associa um endereço físico em um número IP Usado em estações diskless para obter um endereço IP no momento do boot remoto Curso TCP/IP