Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANA DE ROTEADORES
Resumo
Esse trabalho tem como objetivo abordar determinados aspectos relativos a roteadores e segurana em redes, com alguns exemplos tpicos. Ao longo dessa Nota Tcnica, sero vistos um pequeno histrico sobre a evoluo dos sistemas de computao, os conceitos de roteadores, firewalls, access lists e segurana em redes. Dessa forma, pretendemos oferecer uma primeira viso respeito desses assuntos.
Palavras-chave:
Roteador; Segurana em Redes; Comandos Access List e Access Group.
CBPF-NT-004/99 _______________________________________________________________________________
CBPF-NT-004/99 _______________________________________________________________________________
ndice
RESUMO _____________________________________________________________________ 1 PALAVRAS-CHAVE: _____________________________________________________________ 1 NDICE _______________________________________________________________________ 3 1. HISTRICO ________________________________________________________________ 4 2. ROTEADORES ______________________________________________________________ 5 2.1. ENDEREOS IP E REDES TCP/IP _______________________________________________ 2.1.1. Endereamento IP ______________________________________________________ 2.1.2. Redes TCP/IP__________________________________________________________ 2.2. ROTEAMENTO NA INTERNET __________________________________________________ 2.3. DETERMINAO DO ENDEREO FSICO __________________________________________ 3.1. FILTROS DE PACOTES _______________________________________________________ 3.1.1. IP Spoofing___________________________________________________________ 3.1.2. Ataque Source Routing__________________________________________________ 3.1.3. Ataque Tiny Fragment __________________________________________________ 3.2. GATEWAYS DE APLICAO ___________________________________________________ 3.3. GATEWAYS DE CIRCUITO _____________________________________________________ 3.4. SERVIDORES PROXY ________________________________________________________ 3.5. COMENTRIOS FINAIS ______________________________________________________ 4.1. PARA QUE USAR ACCESS LISTS? _______________________________________________ 4.2. O QUE SO ACCESS LISTS? ___________________________________________________ 4.3. COMANDOS DAS ACCESS LISTS ________________________________________________ 4.4. IDENTIFICAO DE ACCESS LISTS ______________________________________________ 4.5. CONFIGURAO DE IP STANDARD ACCESS LISTS ___________________________________ 4.6. CONFIGURAO DE IP EXTENDED ACCESS LISTS __________________________________ 4.7. EXEMPLOS DE ACCESS LISTS __________________________________________________ 4.7.1. Standard Access Lists___________________________________________________ 4.7.2. Extended Access Lists __________________________________________________ 5.1. POLTICA DE SEGURANA ___________________________________________________ 5.2. MECANISMOS DE SEGURANA ________________________________________________ 5.2.1. Criptografia __________________________________________________________ 5.2.2. Integridade de Dados___________________________________________________ 5.2.3. Controle de Acesso_____________________________________________________ 5.2.4. Controle de roteamento _________________________________________________ 5.2.5. Comentrios finais _____________________________________________________ 6 6 7 7 8
3. FIREWALL__________________________________________________________________ 8 10 10 10 10 11 11 12 12 13 13 13 14 15 16 17 17 17 18 19 19 19 20 20 20
6. CONCLUSO ______________________________________________________________ 20 REFERNCIAS _______________________________________________________________ 22 ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 3/22
CBPF-NT-004/99 _______________________________________________________________________________
1. Histrico
A comunicao sempre foi uma das maiores necessidades da sociedade humana. De acordo com o crescimento das civilizaes, que ocupavam reas cada vez mais dispersas geograficamente, a comunicao a longa distncia se tornava uma necessidade cada vez maior e um desafio. Formas de comunicao atravs de sinais de fumaa ou pombos-correio foram as maneiras encontradas por nossos ancestrais para tentar aproximar as comunidades distantes. Ao inventar o telgrafo em 1838, Samuel F. B. Morse inaugurou uma nova poca nas comunicaes. Nos primeiros telgrafos utilizados no sculo XIX, mensagens eram codificadas em cadeias de smbolos binrios (cdigo Morse) e ento eram transmitidas manualmente por um operador atravs de um dispositivo gerador de pulsos eltricos. A partir da, a comunicao atravs de sinais eltricos atravessou uma grande evoluo, dando origem maior parte dos grandes sistemas de comunicao encontrados atualmente, como o telefone, o rdio e a televiso. Essa evoluo no tratamento de informaes no aconteceu somente na rea de comunicao. Equipamentos para processamento e armazenamento de informaes tambm foram alvo de grandes investimentos ao longo do nosso desenvolvimento. A introduo de redes de computadores na dcada de cinqenta foi, provavelmente, o maior avano do sculo neste sentido. A unio destas duas tecnologias comunicao e processamento de informaes veio revolucionar o mundo de hoje, abrindo as fronteiras com novas formas de comunicao, e permitindo assim maior eficcia dos sistemas computacionais. Tais sistemas sofreram uma grande evoluo desde o seu incio, no Ps-Guerra, at os dias de hoje. Embora a indstria de computadores seja jovem quando comparada com indstrias como a automotiva e a de transportes areos, os computadores tem feito um fantstico progresso em um curto espao de tempo. Durante as suas duas primeiras dcadas de existncia, os sistemas de computao eram altamente centralizados, em geral, em uma nica sala grande, sendo o computador uma mquina grande e complexa, operada por pessoas altamente especializadas. A noo de que dentro de vinte anos computadores igualmente poderosos, consideravelmente menores, pudessem ser produzidos em massa era considerada invivel. No entanto, nos anos setenta, a introduo dos PCs revolucionou esses sistemas de computao, substituindo o modelo de um nico computador servindo a todas as necessidades computacionais de uma organizao por outro no qual um grande nmero de computadores separados, mas interconectados, executam essa tarefa. Atravs dessa distribuio de poder computacional, chegou-se ento as arquiteturas de redes de computadores que encontramos hoje em dia. Contudo, uma nica rede local est sujeita a certos limites, como por exemplo o nmero de estaes que podem ser conectadas a ela, a velocidade na transmisso dos dados entre as estaes ou ainda quanto trfego a rede pode suportar. Para superar essas limitaes, surgiram, a partir dos anos oitenta, as chamadas internetworks. Internetworking a cincia de interligar LANs individuais para criar WANs, e de conectar WANs para criar WANs ainda maiores. Uma LAN (Local Area Network) uma rede de computadores que abrange uma rea relativamente pequena, _______________________________________________________________________________ 4/22 27/06/01 Roteadores e Segurana em Redes
CBPF-NT-004/99 _______________________________________________________________________________ enquanto uma WAN (Wide Area Network) uma rede que ocupa uma maior rea geogrfica, consistindo geralmente de duas ou mais LANs. Essas ligaes inter-redes so executadas por dispositivos especficos, como por exemplo os roteadores, que so o assunto do prximo item [1][2][18].
2. Roteadores
Um roteador um dispositivo que prov a comunicao entre duas ou mais LANs, gerencia o trfego de uma rede local e controla o acesso aos seus dados, de acordo com as determinaes do administrador da rede. O roteador pode ser uma mquina dedicada, sendo um equipamento de rede especfico para funes de roteamento; ou pode ser tambm um software instalado em um computador. Consideremos por exemplo um grupo de dispositivos de rede, como servidores, PCs e impressoras, formando uma rede local a qual chamamos de LAN 1, como mostrado na figura 1. Consideremos tambm outra rede local, similar a primeira, a qual chamamos de LAN 2. A interconexo entre elas, que permite a troca de dados e o compartilhamento dos seus recursos e servios, feita pelo roteador. Esse esquema caracteriza o uso de uma mquina dedicada.
Figura 1: O roteador permite o trfego de informaes e o compartilhamento de servios e recursos entre redes diferentes.
Consideremos agora a figura mostrada a seguir. Nela est representado o caso em que o roteador um software instalado em um computador. Como podemos observar, o computador, atravs de um software especfico, que gerencia o trfego de dados entres as diferentes redes mostradas. Esse esquema representa a topologia de rede inicialmente utilizada no CBPF at 1996, quando um servidor Novell exercia a funo de um roteador, atravs de um software de roteamento fabricado pela prpria Novell. O roteador opera na camada de rede, a terceira das sete camadas do modelo de referncia ISO OSI. Esse modelo de rede foi criado pela ISO (International Organization of Standardization) no incio dos anos oitenta, tendo sido o primeiro passo para a padronizao internacional dos diversos protocolos de comunicao existentes atualmente [2][5]. Para aqueles que estiverem interessados, maiores informaes respeito do modelo OSI podem ser encontradas na Nota Tcnica intitulada Redes de Computadores, NT 008/98, de Outubro de 1998. Quanto ao funcionamento de um roteador, temos que quando pacotes (partes da mensagem que transmitida) so transmitidos de um host (qualquer dispositivo de uma rede) para outro, esses equipamentos usam cabealhos (headers) e uma tabela de roteamento para determinar ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 5/22
CBPF-NT-004/99 _______________________________________________________________________________ por qual caminho esses pacotes iro; os roteadores tambm usam o protocolo ICMP (Internet Control Message Protocol) para comunicarem-se entre si e configurarem a melhor rota entre dois hosts quaisquer. O cabealho, em vrias disciplinas da cincia da computao, definido como uma unidade de informao que antecede o objeto de dados de um pacote; ou seja, no cabealho que est contida a informao sobre o destino do pacote utilizada pelo roteador. J em relao ao ICMP, temos que ele uma extenso do protocolo IP (Internet Protocol), sendo definido pela RFC 792. O ICMP suporta pacotes que contenham mensagens de erro, de controle e de informao. O comando ping, por exemplo, usa esse protocolo para testar uma conexo Internet [5][7][8].
Figura 2: Um computador, atravs de software especfico, pode gerenciar o trfego de dados entre redes diferentes, funcionando como um roteador.
Por ltimo, temos que uma pequena filtragem de dados feita atravs de roteadores. Contudo, importante ressaltar que os roteadores no se preocupam com o contedo dos pacotes com que eles lidam, verificando apenas o cabealho de cada mensagem, podendo ou no trat-la de forma diferenciada [5].
2.1.1. Endereamento IP
Um endereo IP definido como sendo uma identificao para um computador ou um dispositivo qualquer de uma rede TCP/IP, que ser explicada no prximo item. Esses tipos de redes roteam mensagens baseadas no endereo IP de destino. O formato de um endereo IP o de um endereo numrico de 32 bits escritos como 4 nmeros, tambm conhecidos como octetos, que so separados por pontos, como por exemplo 152.84.253.47. Cada um desses 4 octetos representam campos de 8 bits.
CBPF-NT-004/99 _______________________________________________________________________________ Com uma rede isolada, pode-se atribuir um endereo IP qualquer, respeitando o fato de que cada endereo deve ser nico. Entretanto, o registro de uma rede privada na Internet requer endereos IP registrados, chamados endereos da Internet, para evitar possveis duplicaes. Os 4 nmeros ou octetos de um endereo IP so usados de maneiras diferentes para identificar uma rede particular e um host qualquer nessa rede. Classificam-se endereos da Internet registrados em 4 classes, listadas abaixo: Classe A: Suporta 16 milhes de hosts em cada uma das suas 127 redes. Nessa classe de rede, temos que se o primeiro bit do seu endereo IP for 0, ento os prximos 7 bits sero destinados ao nmero de rede e os 24 bits (3 octetos) restantes, aos nmeros de dispositivo. Classe B: Suporta 65.000 hosts em cada uma das suas 16.000 redes. Aqui, temos que se os 2 primeiros bits forem 1 e 0, respectivamente, ento os prximos 14 bits sero destinados ao nmero da rede e os 16 bits (2 octetos) restantes aos nmeros de dispositivos. Classe C: Suporta 254 hosts em cada um dos seus 2 milhes de redes. Se os seus 3 primeiros bits forem 1, 1 e 0, respectivamente, ento os prximos 21 bits sero destinados ao nmero de rede e os 8 bits (1 octeto) restantes aos nmeros de dispositivos. Classe D: Se os quatro primeiros bits forem 1, 1, 1 e 0, respectivamente, ento o valor do primeiro octeto pode variar entre 224 e 239 e dizemos que esse nmero um endereo multicast. Os prximos 28 bits compem um nmero de identificao de grupo para um especfico grupo multicast. Podemos concluir ento que um endereo IP multicast um endereo destinado a um ou mais hosts ou dispositivos, ao contrrio dos endereos classe A, B e C, que especificam o endereo de um host ou dispositivo individual [2].
CBPF-NT-004/99 _______________________________________________________________________________ ligado. Esse encapsulamento requer a incluso de um endereo de rede local ou endereo fsico no frame. O segundo aspecto necessrio porque a Internet consiste de um nmero de redes locais interconectadas por um ou mais roteadores. Tais roteadores, tambm conhecidos como gateways, algumas vezes tem conexes fsicas ou portas de acesso mais de uma rede. A identificao do roteador e porta apropriados para onde um pacote IP particular deve ser enviado chamada de roteamento, que tambm envolve a troca de informaes entre os roteadores de forma padronizada. O terceiro aspecto envolve a traduo do endereo de rede. Essa traduo feita por um sistema conhecido como DNS (Domain Name Service) [6]. O DNS um protocolo que traduz nomes de domnios em endereos IP. Sendo os nomes de domnio alfabticos, a sua memorizao mais fcil. A Internet, contudo, baseia-se em endereos IP. Por essa razo, toda a vez que se usa um nome de domnio, o DNS deve traduzir esse nome em um endereo IP correspondente. Por exemplo, o nome de domnio www.cbpf.br deve ser traduzido para 152.84.253.64 [9].
3. Firewall
Um firewall definido como um sistema designado para prevenir acessos noautorizados redes de computadores. Os firewalls podem ser implementados tanto em hardware quanto em software, ou ainda em uma combinao de ambos. Esse sistema utilizado freqentemente em redes privadas conectadas com a Internet, especialmente as intranets, para evitar que usurios no-autorizados tenham acesso elas. Esse controle feito atravs da checagem das mensagens que entram e saem da intranet. Essas mensagens passam pelo firewall, que as examina, _______________________________________________________________________________ 8/22 27/06/01 Roteadores e Segurana em Redes
CBPF-NT-004/99 _______________________________________________________________________________ uma a uma, e bloqueia aquelas que no obedecem aos critrios de segurana especificados pelo administrador da rede [10]. Como exemplo, consideremos a figura 3 mostrada abaixo. O computador externo LAN pode conectar-se a qualquer um dos seus dispositivos atravs do roteador, no havendo a princpio qualquer tipo de controle de acesso s mquinas e s informaes armazenadas nessa rede. Dessa forma, pessoas no-autorizadas podem ter acesso a esses dados, podendo ento l-los, modific-los ou at mesmo apag-los remotamente.
Figura 3: O roteador permite o trfego de informaes entre computadores externos LAN e os seus dispositivos, a princpio sem qualquer tipo de segurana.
Para evitar isso, utiliza-se um firewall. Com esse sistema, os dados transmitidos pelo computador externo continuam sendo trafegados pela rede, desde que sejam permitidos pelos filtros do firewall. Se no forem, os dados so bloqueados pelo firewall, que envia ento uma mensagem ao computador de origem dizendo que a transmisso no foi completada, protegendo assim a LAN de eventuais ataques, como mostram as figuras 4 e 5.
Figura 4: Com a implementao do firewall, os dados continuam a ser transmitidos, desde que sejam permitidos.
Figura 5: Caso a transmisso dos dados seja negada pelo firewall, uma mensagem transmitida para o computador externo LAN avisando que a transmisso no foi completada.
CBPF-NT-004/99 _______________________________________________________________________________ Existem diversos tipos de tcnicas de firewalls, que sero discutidas em detalhes nas sees a seguir.
3.1.1. IP Spoofing
Esse ataque consiste no ganho de acesso no-autorizado a computadores de uma rede privada. Mensagens so enviadas para o computador que ser invadido com endereos IP que indicam que essas mensagens esto vindo de um host interno da rede. Para isso, deve-se primeiramente usar uma variedade de tcnicas que permitam achar um endereo IP de um host da rede, e ento modificar os cabealhos dos pacotes de forma que eles paream estar sendo transmitidos por esse host. Assim, espera-se que o uso desse endereo IP falso permita o acesso sistemas que tenham uma poltica de segurana simples, baseada somente na checagem dos endereos de destino, onde os pacotes enviados por hosts internos da rede so aceitos enquanto pacotes enviados por qualquer outro host so descartados. O IP spoofing pode ser evitado descartando-se pacotes com endereos de origem internos que venham de uma das sadas de uma interface do roteador da rede [13][14].
CBPF-NT-004/99 _______________________________________________________________________________ da poltica de segurana da rede; espera-se que a filtragem implementada no roteador examine somente o primeiro fragmento do pacote transmitido, permitindo assim a passagem dos restantes. Esse ataque pode ser evitado descartando-se aqueles pacotes em que o tipo de protocolo o TCP e o parmetro IP FragmentOffset, especificado no cabealho, igual 1 [13].
CBPF-NT-004/99 _______________________________________________________________________________ gateway estabelece o circuito ou, em caso contrrio, retorna um cdigo informando o motivo do no estabelecimento. Uma vez que a conexo tenha sido estabelecida, os pacotes de dados podem trafegar entre os hosts da rede sem checagens adicionais. importante notar que necessrio que o usurio de origem utilize um protocolo simples para comunicar-se com o gateway, sendo esse protocolo um bom local para implementar, por exemplo, um mecanismo de autenticao [1][10].
4. Access Lists
Nesse item ser estudado o conceito de access list, uma ferramenta disponvel em alguns roteadores, como por exemplo o roteador Cisco IOS, que utilizada para garantir a integridade dos dados que so trafegados e armazenados em uma rede local. Abaixo, segue as razes para o uso das access lists, os seus conceitos bsicos, como funcionam, como so implementadas e alguns exemplos prticos.
CBPF-NT-004/99 _______________________________________________________________________________
CBPF-NT-004/99 _______________________________________________________________________________ A ltima linha de comando, mostrada no exemplo acima, identifica a access list, que geralmente representada por um nmero (termo access-list-number). Esse nmero indica que tipo de access list foi implementada. O termo permit | deny indica como o roteador dever lidar com os pacotes que sero checados pelos testes de condies, que so especificados pelo ltimo termo da linha de comando, o test conditions. Na maioria das vezes, o termo permit significa que o pacote tem permisso para trafegar atravs de uma ou mais interfaces do roteador. Passo 2: Abilitar uma interface do roteador para fazer parte do grupo que usa a access list especificada.
User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list access-list-number {permit | deny} {test conditions} router(config)#int router interface router(config-if)#{protocol} access-group access-list-number
O comando access list usa um comando de interface. Todas as linhas de comando da access list que so identificadas pelo seu nmero so associadas a uma ou mais interfaces do roteador, que identificada atravs do comando int router interface, onde router interface indica qual a interface utilizada. Com isso, qualquer pacote de dados que passe pelos testes de condies da access list tem a permisso de usar qualquer interface que faa parte do access group de interfaces [3].
CBPF-NT-004/99 _______________________________________________________________________________ IPX standard IPX extended IPX SAP Bridge extended 800 899 900 999 1000 1099 1100 1199
De todos os tipos de access list mostrados na tabela acima, apenas os dois primeiros tipos sero tratados nessa Nota Tcnica. Nos prximos itens, sero vistas as suas respectivas configuraes.
O comando access-list cria uma entrada em uma lista standard de filtragem de pacotes. A seguir, encontramos uma tabela com as respectivas descries dos termos que constituem esse comando. Comando access list
access-list-number
Descrio Identifica a lista qual a entrada pertence; um nmero de 1 at 99. Indica se a entrada ir permitir ou bloquear o trfego do pacote especificado. Identifica o endereo IP de origem. Identifica quais bits do campo de endereo devem ser checados. H um 1 nas posies que indicam bits desprezados, e um 0 em qualquer posio em que o bit deve ser obrigatoriamente checado.
permit | deny
source source-mask
O comando ip access-group liga o objeto access list existente sada de uma interface do roteador. Somente um objeto access list por porta, protocolo e direo permitida. Para retirar um objeto access list, primeiramente entre com o comando no access-group com todo o seu grupo de parmetros, e depois entre com o comando no access-list com todo o seu grupo de parmetros [3]. ______________________________________________________________________________ Roteadores e Segurana em Redes 27/06/01 15/22
Descrio Indica o nmero da access list que deve ser ligada a interface desejada. Seleciona se a access list abilitada para a entrada ou sada de uma interface. Se in ou out no forem especificadas, out o padro.
in | out
source
source-mask
A seguir, temos as tabelas com as descries dos termos que constituem os comandos usados para esse tipo de access list [3]. Comando access-list
access-list-number permit | deny
Descrio Identifica a lista usando um nmero entre 100 e 199 Indica se a entrada permite ou bloqueia o endereo especificado. IP, TCP, UDP, ICMP, GRE, IGRP. Identifica os endereo IP de origem e de destino. Mscaras. Os 0s indicam os bits que devem serchecados, enquanto os 1s indicam os bits que so desprezados. lt, gt, eq, neq (less than, greater than, equal, not equal) e um nmero de porta.
e destination-mask
operator
e operand
Comando ip access-group
access-list-number
Descrio Indica o nmero da access list que deve ser ligada interface desejada. Seleciona se a access list abilitada para a entrada ou sada de uma interface. Se in ou out no forem especificadas , out o padro.
in | out
CBPF-NT-004/99 _______________________________________________________________________________
Figura 7: Roteador interligando diferentes redes atravs de suas interfaces. User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list 1 permit 152.84.250.0 0.0.0.255 router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 router(config)#int e5/2 router(config-if)#ip access-group 1
Nesse exemplo, a access list est configurada para bloquear o trfego transmitido pela rede 250 (152.84.250.0) e permitir o trfego transmitido pelas redes 252 e 253 (152.84.252.0 e 152.84.253.0), atravs da interface e5/2.
CBPF-NT-004/99 _______________________________________________________________________________
User Access Verification Password: router>enable Password: router#config t Enter configuration commands, one per line. End with CNTL/Z router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0.0.255 eq 21 router(config)#access-list 101 deny tcp 152.84.250.0 0.0.0.255 152.84.252.0 0.0.0.255 eq 20 router(config)#access-list 101 permit ip 152.84.250.0 0.0.0.255 0.0.0.0 255.255.255.255 router(config)#int e5/2 router(config-if)#ip access-group 101
Nesse exemplo, a access list bloquea o trfego de pacotes FTP transmitidos pela rede 250 (152.84.250.0), permitindo que o trfego restante dessa rede seja transmitido para todas as outras redes (152.84.252.0 e 152.84.253.0), tudo isso pela interface e5/2.
CBPF-NT-004/99 _______________________________________________________________________________
5.2.1. Criptografia
Em meios de comunicao onde no possvel impedir que o fluxo de pacote de dados seja interceptado, podendo as informaes serem lidas ou at modificadas, necessria a criptografia. Nesse mecanismo, utiliza-se um mtodo que modifique o texto original da mensagem transmitida, gerando um texto criptografado na origem, atravs de um processo de codificao definido por um mtodo de criptografia. O pacote ento transmitido e, ao chegar no destino, ocorre o processo inverso; isto , o mtodo de criptografia aplicado agora para decodificar a mensagem, transformando-a na mensagem original. Contudo, toda a vez que o mtodo utilizado descoberto, quebrando-se o cdigo de criptografia, necessrio substitu-lo por um outro diferente, o que acarreta no desenvolvimento de novos procedimentos para a implementao desse novo mtodo, treinamento do pessoal envolvido, etc. Com o intuito de evitar tal problema, criou-se um novo mecanismo de criptografia, representado na figura 9 mostrada abaixo. Nesse novo modelo, um texto criptografado gerado a partir do texto normal varia de acordo com uma chave de codificao utilizada para o mesmo mtodo de criptografia. Isto , para uma mesma mensagem original e um mesmo mtodo de criptografia, chaves diferentes produzem textos criptografados diferentes. Dessa forma, no adianta conhecer o mtodo de criptografia para recuperar a mensagem original, porque, para recuper-la corretamente, necessrio tanto o texto criptografado quanto a chave de decodificao utilizada [1].
CBPF-NT-004/99 _______________________________________________________________________________ protegidos contra possveis modificaes, pode-se contornar a verificao, desde que sejam conhecidas essas tcnicas. Portanto, para garantir a integridade necessrio manter confidenciais e ntegras as informaes de controle que so usadas na deteco de modificaes. J para controlar modificaes na seqncia de pacotes transmitidos em uma conexo, so necessrias tcnicas que garantam a integridade desses pacotes, de forma a garantir que as informaes de controle no sejam corrompidas, em conjunto com informaes de controle de seqncia. Esses cuidados, apesar de no evitarem a modificao da cadeia de pacotes, garantem a deteco e notificao dos ataques [1].
6. Concluso
Ao final desse trabalho, podemos concluir que o roteador apresenta uma importncia muito grande dentro de uma topologia de rede, uma vez que esse equipamento permite, alm da gerncia e do controle de acesso s informaes, o compartilhamento de recursos e servios entre _______________________________________________________________________________ 20/22 27/06/01 Roteadores e Segurana em Redes
CBPF-NT-004/99 _______________________________________________________________________________ redes geograficamente dispersas. Como conseqncia, essencial que o administrador da rede tenha total domnio sobre os recursos do roteador que a gerencia, assim como o entendimento da tecnologia desse dispositivo, pois assim ser possvel garantir uma maior qualidade na sua performance. Ainda, tambm podemos observar como importante a implementao de uma poltica de segurana adequada que garanta a integridade das informaes armazenadas na rede e dos dispositivos que a compem, protegendo assim esses dados e mquinas de possveis ataques externos, que poderiam causar srios danos a estrutura administrativa e tcnica de uma empresa ou organizao.
CBPF-NT-004/99 _______________________________________________________________________________
Referncias
Em relao s referncias de pginas web, importante ressaltarmos que pginas da Internet so altamente dinmicas, podendo mudar desde parte do seu contedo at o prprio endereo. Devido a isto, existe a possibilidade de que, ao consultar alguma pgina, essa no mais exista ou ento tenha outras informaes. [1] Redes de Computadores Das LANs, MANs e WANs s Redes ATM Segunda edio / Luiz Fernando Gomes Soares, Guido Lemos e Srgio Colcher. [2] Redes de Computadores / Nota Tcnica escrita por Leonardo Ferreira Carneiro, Nilton Costa Braga e Nilton Alves Jr. em Outubro de 1998. [3] Introduction to Cisco Router Configuration: Student Guide / Manual da Cisco Systems Inc. [4] Advanced to Cisco Router Configuration: Student Guide / Manual da Cisco Systems Inc. [5] Router, http://webopedia.internet.com/TERM/r/router.html. [6] Routing in the Internet, http://www.scit.wlv.ac.uk/~jpjb/comms/iproute.html. [7] Header, http://webopedia.internet.com/TERM/h/header.html. [8] ICMP, http://webopedia.internet.com/TERM/I/ICMP.html. [9] DNS, http://webopedia.internet.com/TERM/D/DNS.html. [10] firewall, http://webopedia.internet.com/TERM/f/firewall.html. [11] The Need for Firewalls, http://www.icsa.net/fwbg/chap_2.html. [12] What is a Firewall?, http://www.icsa.net/fwbg/chap_3.html. [13] Internet Firewalls and Security A Technology Overview / Escrito por Chuck Semeriahttp://www.3com.com/nsc/500619.html [14] IP spoofing, http://webopedia.internet.com/TERM/I/IP_spoofing.html. [15] proxy server, http://webopedia.internet.com/TERM/p/proxy_server.html. [16] Routing Information Protocol, http://webopedia.internet.com/TERM/R/Routing_Information_Protocol.html. [17] Networking: A Primer, http://ww.baynetworks.com/products/Papers/wp-primer.html. [18] Internetworking, http://webopedia.internet.com/TERM/i/internetworking.html. [19] ARP, http://webopedia.internet.com/TERM/A/ARP.html.