Introdução ao Modelo de Referência OSI

23 de agosto de 2015
Conteúdo

Conteúdo da especificação do OSI

Definições

Arquitetura em camadas

Modelo de Referência Básico – Parte 2: Arquitetura de

Segurança

2/70
O modelo OSI

I A ISO foi criada em 1947

I ISO = International Organization for Standardization1
I ABNT é membro da ISO
I Modelo de Referência OSI: inı́cio na década de 1970
I OSI = Open Systems Interconnection2
I Modelagem de um sistema de comunicações em camadas
I ISO/IEC 7498-1: 1994
I International Electrotechnical Commission (IEC)
I Comitê Brasileiro de Eletricidade, Eletrônica, Iluminação e
Telecomunicações (Cobei) é membro do IEC

1
http://www.iso.org
2
http://www.iso.org/iso/catalogue_detail.htm?csnumber=20269
3/70
Princı́pio de redes em camadas

Artigo: OSI Reference Model – The ISO Model of Architecture for

Open Systems Interconnection. H. Zimmermann
4/70
Princı́pio de redes em camadas

I Cada camada agrega valor aos serviços fornecidos pelas

camadas inferiores
I O uso de camadas divide o problema em pequenos pedaços
I Garantia de independência de cada camada ao definir serviços
providos por uma camada para a camada mais alta,
independentemente de como esses serviços são realizados.
I Permite mudanças na camada dado que ainda oferecem os
mesmos serviços para a camada superior
I Técnica similar ao uso de módulos e bibliotecas de funções em
programaçào estruturada
I Um camada somente se comunica com camadas adjacentes

5/70
Ideia geral do Modelo OSI
I Problemas: caos em redes
I Checagem de erros
I Envio de mensagens
I Aplicações
I Criptografia
I Codificação no meio fı́sico
I Como chegar ao servidor
certo
I OSI simplifica entendimento
e implementação
Aplicação - Funções e
7
Programa de Usuários
Apresentação - Dados co-
6
dificados - forma utilizável
5 Sessão - Diálogo entre processos
Transporte - Ligação
4
lógica entre processos
3 Rede - Endereçamento e roteamento
2 Enlace - Ligação entre computadores
1 Fı́sica - Especificações
de natureza fı́sica
6/70
Camada 1 - Fı́sica

Hub
Repetidor Walljack Network
Conector de Interface
parede Card (NIC)

Patch Pannel

7/70
Camada 1 - Fı́sica
I Conectores
I RJ*
I Atribuições de pinos em conectores
I Adaptadores para a interface
I Interfaces
I Network Interface Card (NIC)
I Repetidores
I Meio (exemplo: tipo de cabo)
I Especificações elétricas/mecânicas procedimentais e funcionais
I Transmissão de bits
I Ethernet

Figura: Conector do padrão X.21 Figura: Pinagem do conector do

ITU-T, até 2Mbps (anos 1970). padrão RJ45, o 8P8C IEC 60603-7. 8/70
Camada 2 - Enlace

Ponte nı́vel 2 (bridging)

98-8E-DE-F3-D0-8A 5B-2B-14-C0-68-41 A8-14-2C-55-AE-DD

I Endereço MAC na camada de enlace 98-8E-DE-F3-D0-8A
I MAC = Media Access Control

9/70
Camada 2 - Enlace

I Permite dispositivo enviar e receber mensagens

I Atribui um endereço fı́sico para identificar o dispositivo
I Detecção e recuperação de erros de transmissão
I Orientados a bits (HDLC) ou orientados a caracteres (PPP)
I Transmissão de Bit/Quadro (Frame)
I Ethernet: 1500 octetos
I Protocolo High-Level Data Link Control (HDLC) - ISO
13239(2002)
I FCS = x 16 + x 12 + x 5 + 1

Flag Address Control Data FCS Flag

8 bits 8+ bits 8/16 bits 0+ 16/32 bits 8 bits
Figura: Formato do quadro do protocolo HDLC.

10/70
Camada 3 - Rede

Internet

Roteador

11/70
Camada 3 - Rede

sub-rede1
WAN
LAN

camada de rede permite hosts

da sub-rede1 conversarem com
hosts da sub-rede3

sub-rede3
LAN

12/70
Camada 3 - Rede

I Permite um sistema de transmissão entre diferentes redes

I Controla o caminho que pacotes percorrem
I Responsável por fragmentação de pacotes para transmissão na
camada 2
I Verifica erros e decarta pacotes se necessário
I Pacotes raw IP (Internet Protocol)
I Transmissão de Pacote/Datagrama

13/70
Camada 4 - Transporte

Rede

Cliente Servidor

I Abstração da rede
I Conexão ponto-a-ponto (aplicação cliente e aplicação servidor)

14/70
Camada 4 - Transporte

I Permite comunicação fim-a-fim entre aplicações em

dispositivos na rede.
I Identificação da aplicação (porta)
I Identificação da entidade do lado do cliente
I Detecção e correção de erros
I Garante sequência dos dados e detecta duplicatas
I Confirmação da chegada de dados
I Oferece serviços orientados a conexão
I Transmissão de segmentos
I Transport Control Protocol (TCP)
I 1976 - IFIP-WG 6.1 Proposal for an internetwork end-to-end
transport protocol.

15/70
Camada 5 - Sessão

OK recebi 47 bytes.

Rede

Servidor de
Dispositivo arquivos
do usuário
(PDA) Enviei 47 bytes.
I Personal Digital Assistant (PDA)

16/70
Camada 5 - Sessão

I Sessão: permite aplicações manter conhecimento entre

conexões em dispositivos
I Uma sessão = um diálogo entre aplicações: inı́cio, controle e
fim de conversas
I Negociação e gerenciamento de parâmetros de conexões
I Procedimentos de gerenciamento de conexões
I Terminação e reinicialização
I Checkpoint e recuperação
I Conexões virtuais entre diferentes aplicações
I Na época da proposta (1980), a camada de sessão fazia parte
de outras camadas: Virtual Terminal e File Transfer
I “A standard Session Layer Protocol can easily be extraced
from existing higher layer protocols.”
I Exemplo
I Zone Information Protocol (ZIP) do AppleTalk
17/70
Camada 6 - Apresentação

Criptografia

Rede

PC
Supercomputador

18/70
Camada 6 - Apresentação

I Permite aplicações a ler e “entender” dados

I Criptografia
I Compressão
I Formato de imagens
I Tradução de textos
I Reduz custos para interface devido à variabilidade e
transformações necessárias
I Virtual Terminal Protocols e Virtual File (File
Transfer Protocols)
I Permite a iteração entre hosts por meio de terminais
I Exemplos: PuTTY, SSH
I Extended Control Characters for I/O Imaging
Devices

19/70
Camada 7 - Aplicação

I E-mail, Transmissão de Arquivos, Navegador Web

I Interface para usuário
I Iniciar, manter, terminar e registrar dados entre aplicações
I Outras camadas somente existem para fornecer serviços a esta

20/70
Escopo do Modelo de Referência OSI

I Promover padronização
I Definir o que são sistema “abertos” para comunicação entre si
I Identificar oportunidades de padronização e melhorias
I Provê arcabouço conceitual e funcional para o
desenvolvimento de funcionalidades de comunicação
I Não especifica, nem detalha, implementação ou tipo de
tecnologia
I Focado em terminais, computadores e dispositivos similares

21/70
OSI: Foco na comunicação entre sistemas abertos

Figura: Modelo OSI é dedicado apenas à interconexão de sistemas.

Outros aspectos não relacionados com interconexão não estão no escopo
do modelo OSI. Fonte: OSI (1994)

22/70
Conteúdo

Conteúdo da especificação do OSI

Definições

Arquitetura em camadas

Modelo de Referência Básico – Parte 2: Arquitetura de

Segurança

23/70
OSI

I OSI – Número de referência ISO/IEC 7498-1 : 1994(E)

I Modelo de Referência Básico para a interconexão de sistemas
abertos (OSI): O modelo básico

24/70
O que é estar conectado segundo OSI?

I O que é conexão, escopo de interconexão, princı́pios de

modelagem
I Natureza em camadas, o que são camadas e princı́pios para
descrever camadas
I Apresentação e descrição das camadas
I Administração das camadas
I Aderência à norma e consistência
I Como as camadas OSI foram definidas

25/70
Conteúdo

Conteúdo da especificação do OSI

Definições

Arquitetura em camadas

Modelo de Referência Básico – Parte 2: Arquitetura de

Segurança

26/70
Notação (N)−, (N + 1)− e (N − 1)−

I Serve para referenciar elementos do modelo

I camadas
I protocolos
I serviços
I entidades
I pontos de acesso a serviços
I Exemplo:
I Camada (N)−: qualquer camada
I Camada (N + 1)−: camada logo acima de (N)−
I Camada (N − 1)−: camada logo abaixo de (N)−

27/70
Definições gerais

I Cooperação entre (N)-entidades é governada por

(N)-protocolos
I (N)-protocolos definem como (N)-entidades usam
(N)-serviços
I (N)-serviços definem (N)-funcionalidades
I Juntos, as (N)-agregam valor à (N − 1)-camada para fornecer
serviços à (N + 1)-camada
I (N)-serviços são oferecidos às (N + 1)-entidades em
(N)-pontos de acesso a serviços
I Os (N)-pontos de acesso a serviços formam a interface lógica
entre (N)-entidades e (N + 1)-entidades

28/70
Introdução ao OSI

I OSI = Open Systems Interconnection = Interconexão de

Sistemas Abertos
I Sistema Real: conjunto de um ou mais computadores,
software associado, periféricos, terminais, operadores
humanos, processos fı́sicos e meios de transmissão de
informação capaz de processar e/ou transferir informação
I Sistema Real Aberto: um sistema real que atende aos
requisitos OSI em comunicações
I Sistema Aberto: a representação aspectos de um sistema
real aberto pertinentes a modelo OSI

Objetivo do OSI
Definir conjunto de padrões para capacitar sistemas reais abertos a
cooperarem.

29/70
OSI: aspectos de cooperação
I OSI não trata somente transmissão de informação.
I OSI trata também de aspectos de interconexão para
cooperação entre sistemas.
I Atividades de cooperação:
I Comunicação interprocessos
I Troca de informação e sincronização de atividades entre
processos de aplicativos
I Representação de dados
I Criação e manutenção de descrições e transformações de
dados para troca entre sistemas abertos
I Armazenamento de dados
I Acesso a dados, modo de armazenamento, sistemas de
arquivos e bancos de dados
I Gerenciamento de processos e recursos
I Meio que processos de aplicativos OSI são declarados,
inicializados, controlados e como eles obtém recuros OSI
I Integridade e segurança
I Relacionado às restrições e condições que devem ser
preservadas ou asseguradas
I Suporte a programas
I Definição, compilação, teste, armazenamento, transferência e
acesso de aplicações executadas por processos de aplicativos
OSI
30/70
Definições: aplicação

I Processo de aplicativo: elemento em um sistema real aberto

que realiza processamento de informação para um aplicação
especı́fica
I OSI environment (OSIE): ambiente OSI – representação
abstrata do conjunto de conceitos, elementos, funções,
serviços, protocolos conforme define no modelo OSI
I Local System Environment (LSE): ambiente de sistema
local – representação abstração da parte do sistema real que
não é pertinente ao OSI
I Invoção de processo de aplicativo: utilização especı́fica de
capacidades de um processo de aplicativo em processamento
de informação
I Tipo de processo de aplicativo: descrição de uma classe de
aplicações-processos em termos em um conjunto de
capacidades de processamento de informação
31/70
Exemplo de processos de aplicativos

Processo de aplicativo: elemento em um sistema real aberto que

realiza processamento de informação para uma aplicação especı́fica
I Uma pessoa operando um terminal bancário é um processo de
aplicativo manual.
I Um programa FORTRAN executando em um computador
central e acessando um bando de dados remoto é um processo
de aplicativo computadorizado.
I Um programa de controle de processos executando em um
computador dedicado e anexo a um equipamento industrial e
ligado a um sistema de controle industrial é um processo de
aplicativo fı́sico

Um processo de aplicativo representa recursos em um sistema real

aberto que podem ser usados em uma aplicação.
32/70
Modelagem do ambiente OSI

I Uso de modelos abstratos

I Cada sistema real é substituı́do funcionalmento por um
modelo abstrato no sistema aberto
I Somente aspectos de interconnexão são incluı́dos nos modelos
abstrato

33/70
Modelagem do ambiente OSI

I Modelagem é feita em dois passos:

1. Elementos básicos de sistemas abertos e decisões chaves
relacionadas à organização e ao funcionamento são definidos.
Esta parte constitue o Modelo de Referência Básico do OSI
2. Descrição detalhada e precisa do funcionamento do sistema
aberto é definida segundo o Modelo de Referência Básico

34/70
Elementos básicos do OSI

Figura: Aspectos considerados no Modelo de Referência Básico OSI.

Fonte: OSI (1994)

35/70
Conteúdo

Conteúdo da especificação do OSI

Definições

Arquitetura em camadas

Modelo de Referência Básico – Parte 2: Arquitetura de

Segurança

36/70
Arquitetura em camadas

I Conceitos: Cláusula 5
I Estabelece conceitos arquiteturais aplicados no
desenvolvimento do Modelo OSI
I Define o conceito de uma arquitetura em camadas
I Apresenta entidades, pontos de acesso a serviço, conexões
e unidades de dados
I Descreve elementos de operações de camadas como conexões,
transmissão de dados e funções de erro.
I Apresenta aspectos de roteamento e gerenciamento

37/70
Elementos básicos do Modelo de Referência

I Sistemas abertos
I Entidades-aplicações que existem no ambiente OSI
I Associações que unem entidades-aplicações e permitem a
troca de informações
I Meio fı́sico do OSI

38/70
Princı́pios de sistemas em camadas
I Cada sistema aberto é composto por um conjunto de
(N)-subsistemas

39/70
Relacionamentos entre camadas

I (N)-subsistemas do mesmo nı́vel N formam a camada (N) do

Modelo OSI
I Existe apenas um (N)−subsistema em um sistema aberto
para a camada N
I Um (N)-subsistema consiste de uma ou várias (N)-entidades

Figura: (N + 1)-Entidades na camada (N + 1) comunicam por meio da

(N)-camada.

40/70
I A comunicação entre (N)-entidades é governada por
(N)-protocolos

Figura: (N)-Protocolos entre (N)-entidades.

41/70
Modos de comunicação

I Comunicação por conexão

I Conexão é uma associação para transferência de dados entre
duas ou mais (N)-entidades-pares
I Três fases
1. Estabelecimento da conexão
2. Transferência de dados
3. Encerramento da conexão
I Para estabelecer uma conexão entre entidades ocorre uma
negociação de parâmetros e opções
I Em uma conexão, mantêm-se uma sequência

42/70
Modos de comunicação

I Comunicação sem conexão

I Transmissão de apenas uma unidade de dados
I Não há duração estabelecida
I Não há acordo pré-definido
I Não há qualidade garantida (sequência ou entrega)

43/70
Comunicação com conexão vs. sem conexão

Função Com conexão Sem Conexão

Estabelecimento de diálogo Sim Não
Suspensão Sim Não
Continuação Sim Não
Bloqueio Sim Não
Segmentação Sim Sim
Sequenciamento Sim Indireto
Reset Sim Não
Roteamento Sim Sim
Detecção de erros Sim Parcial
Qualidade de serviço Sim Parcial

44/70
Comunicação entre entidades-pares: Definições
I Entidades-pares são (N)-entidades da mesma (N)-camada.
I (N)-associação: relação de cooperação entre (N)-entidades.
I (N)-conexão: uma conexão requisitada entre uma
(N + 1)-entidade para transferência de dados entre duas ou
mais (N + 1)-entidades.
I (N)-relay: uma função por meio da qual uma (N)-entidade
redireciona dados recebidos entre (N)-entidades-pares
I Para transmitir informação entre duas (N)-entidades é
necessário estabelecer uma (N)-associação entre elas na
(N)-camada e com um (N)-protocolo.

Figura: Comunicação por um relay (retransmissor). 45/70

 Figura: Entidades, pontos de acesso a serviços e identificadores

I (N)-entity-title (em português, nome de entidade) é a forma

de referenciar uma determinada entidade definida em um
diretório
I (N)-connection-endpoint-identifier é o identificador do ponto
de conexão entre entidades em camadas subsequentes
46/70
Um (N)-diretório de entity-titles

(N)-title (N-1)-endereço
A 352
B 237
B 015
C 015

I Existem tı́tulos globais e tı́tulos locais

47/70
48/70
CEP = Connection Endpoint

49/70
 Figura: Relacionamentos entre unidades de dados

Controle Dados Combinado

(N)-(N)- (N)-informação de (N)-dados- (N)-unidades de
entidades- controle do proto- usuário dados do protocolo
pares colo

I Protocol-control-information = PCI
I Protocol-data-unit = PDU

50/70
Figura: Um exemplo de mapeamento entre unidades de dados em
camadas adjacentes.

I Cabeçalho de uma camada: PCI - Protocol Control

Information
I Dados recebidos: SDU - Service Data Unit
I PDU - Protocol Data Unit
I PDU = PCI + SDU
51/70
Exemplo relacionamento entre unidades de dados

Encapsulamento
7. Aplicação
de dados

Extração de
6. Apresentação
dados

I Quando mudar para camada (N − 1), é necessário encapsular

dados da camada (N)
I Quando mudar para camada (N), é necessário extrair os
dados da camada (N)

52/70
 D dados
PDU da camada 7 SDU da camada 7

7 Aplicação 7 D
6 Apresentação 6 7 D
5 Sessão 5 6 7 D
Encapsulamento 4 Transporte 4 5 6 7 D
3 Rede 3 4 5 6 7 D
2 Enlace 2 3 4 5 6 7 D 2
1 Fı́sica 1 2 3 4 5 6 7 D 2 1

53/70
 Figura: Fonte: livro Computer Networks, 5ed. Tanembaum.

Layer Name of unit

exchanged
Application protocol
7 Application Application APDU

Interface
Presentation protocol
6 Presentation Presentation PPDU

Session protocol
5 Session Session SPDU

Transport protocol
4 Transport Transport TPDU
Communication subnet boundary
Internal subnet protocol

3 Network Network Network Network Packet

2 Data link Data link Data link Data link Frame

1 Physical Physical Physical Physical Bit

Host A Router Router Host B

Network layer host-router protocol

Data link layer host-router protocol
Physical layer host-router protocol 54/70
 Application HTTP SMTP RTP DNS

5 Application
4 Transport Transport TCP UDP
3 Network Layers
2 Link
Internet IP ICMP
1 Physical

Link DSL SONET 802.11 Ethernet

Figura: Figura adaptada do livro Computer Networks, 5ed. Tanembaum.

55/70
Aspectos de gerenciamento

Funções de gerenciamento
são aplicáveis da última
camada para todas as
outras por meio de uma
interface especial.
I informação sobre
configuração da rede
I inicialização e
desligamento de
equipamentos
I monitoramento
I diagnóstico
I reconfiguração
56/70
Sistemas abertos com retransmissores em camadas baixas

57/70
Crı́tica do modelo OSI e seus protocolos

I Por um tempo acreditou-se que OSI seria a solução para redes

I Problemas surgiram
I Ciclo de pesquisa, definição de padrões e industrialização
I TCP/IP apareceu antes, durante pesquisa
I Indústria não quis investir em dobro: OSI e TCP/IP
I Tecnologia OSI foram mal escolhidas/projetadas
I Camadas de sessão e apresentação pouco úteis
I Difı́cil implementar e complexo demais
I Repetição de questões como endereçamento, controle de erro
e fluxo
I Implementações iniciais de tecnologias OSI foram ruins
I Questões polı́ticas
I Proximidade grande entre Unix e TCP/IP
I OSI era visto como algo burocrático

58/70
ISO7498: parte 2

I Cobre aspectos de segurança de elementos arquiteturais de

protocolos de comunicação
I Estabelecer controles de segurança para proteger dados
trocados
I Custo de obter ou modificar dados de maneira não autorizada
deve ser maior que as vantagens obtidas disso
I Fazer com que tempo para obter/modificar dados seja alta de
forma a inviabilizar a atividade

59/70
O que deve ser protegido

I Dados e informações
I Software e senhas (meta-dados)
I Serviços de comunicação e processamento de dados
I Equipamentos e instalações

60/70
Ameaças

I Destruição de informação e outros recursos

I Cópia não autorizada, remoção e alteração de dados
I Publicação não autorizada de dados
I Interrupção de serviços

61/70
Tipos de ameaças

I Incidentais
I sem premeditação: bugs, erros operacionais
I Intencionais
I Monitoração
I Uso de brechas: ataques
I Passivas
I Não resultam em modificações dos dados
I Não interferem no funcionamento do sistema
I Ativas
I Alteram dados
I Interferem no funcionamento do sistema

62/70
Tipos de ataques

I Masquerade: uma entidade finge ser outra

I em geral para obter privilégios
I Spoofing: IP, ARP, GPS, E-mail
I Replay: parte de mensagem/comunicação é repetida
I repetição de parte da mensagem de comunicação para fazer
masquerade
I Modificação de mensagens
I “permitir que João N, acesse banco de contas” para “permitir
que J. Sparrow acesso banco de contas”
I Negação de serviços
I Impossibilitar um entidade fornecer seus serviços

63/70
Tipos de ataques

I Ataques internos
I Usuários legı́timos realizam ataques
I Ataques externos
I Monitoramento em meio fı́sico (wiretapping)
I Interceptação de comunicação
I Masquerade
I Ataques a mecanismos de autenticação

64/70
Monitoramento

65/70
Tipos de ataques

I Trapdoor
I Uma entidade é modificada por um atacante para produzir
uma série de efeitos
I A validação de senha é modificada para aceitar a autenticação
do atacante
I Cavalo de Tróia (Trojan)
I Um sistema com funções adicionais não autorizadas além de
uma função autorizada

66/70
Avaliação de ameaças, riscos e contra-medidas

I Medidas de segurança aumentam custo e complexidade de um

sistema
I Avaliação de ameaças e risco servem para identificar quais
medidas de segurança são necessárias
I identificar de vulnerabilidades
I avaliar a chance de ameaças explorarem essas vulnerabilidades
I avaliar as consequências se cada ameaça se concretizada
I estimar o custo de execução de cada ameaça
I estimar o custo de contra-medidas
I selecionar e implementar mecanismos de segurança justificáveis
I Segurança perfeita não existe.

Objetivo da segurança
“fazer o custo de um ataque alto o suficiente para reduzir o risco a
nı́veis aceitáveis”

67/70
Polı́tica de segurança

I Uma polı́tica de segurança define o que é e o que não é

permitido na operação de um sistema.
I Polı́tica de segurança são genéricas e devem ser refinadas para
regras que devem ser aplicadas.

68/70
Conclusões

I ISO 7498-1 – Modelo Básico

I 7 camadas do modelo OSI
I Serviços, endereços e funcionalidades
I ISO 7498-2 – Aspectos de Segurança
I ISO 7498-3 – Nomes e endereçamento
I ISO 7498-4 – Arcabouço de gerenciamento

I Próximas aulas
I Protocolos de comunicação
I Aspectos de cada camada

69/70
Referências

I H. Zimmermann. OSI Reference Model – The ISO Model of

Architecture for Open Systems Interconnection, IEEE
Transactions on Communications, 1980.
I Basic Reference Model – Part 2: Security Architecture –
Aspectos de segurança que são elementos arquiteturais de
protocolos são discutidos em ISO 7498-2:19893
I Basic Reference Model: Naming and addressing ISO/IEC
7498-3:19974
I Basic Reference Model – Part 4: Management framework –
ISO/IEC 7498-4:19895
3
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_
detail.htm?csnumber=14256
4
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_
detail.htm?csnumber=25022
5
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_
detail.htm?csnumber=14258
70/70