RESUMO DE REDES PARA CONCURSOS

Tpicos
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. Posicionamento das camadas LLC e MAC em relao ao modelo OSI................................ 3 Estrutura de um quadro LLC ................................................................................................. 3 Estrutura quadro 802.3(Ethernet)........................................................................................ 4 Redes sem fio Padres 802.11 a, b e g .............................................................................. 4 Redes WiMAX Wireless Metropolitan Area Networks 802.16...................................... 6 Modelos OSI e TCP/IP ........................................................................................................... 8 MPLS Multiprotocol Label Switching ................................................................................ 9 O protocolo ICMP ............................................................................................................... 11 ARP e RARP ......................................................................................................................... 14 DHCP Dynamic Host Configuration Protocol .............................................................. 15 DNS Domain Name Sytem(Sistema de Resoluo de Nomes) ................................... 15 SNMP Simple Network Management Protocol(RFC 1157)......................................... 17 NFS Network File System............................................................................................. 19 FTP File Transfer Protocol ............................................................................................ 20 Tcnicas de voz e vdeo, telefonia e videoconferncia utilizando H.323 e SIP ............ 22 Algoritmos de Roteamento ............................................................................................ 25

17. 802.1d STP(Spanning Tree and Algorythm Protocol) e 802.1w - RSTP(Rapid Spanning Tree Protocol) ............................................................................................................................. 28 18. 19. 20. 21. 23. QoS Quality of Service(IEEE 802.1p)............................................................................ 32 VLANS Redes Virtuais (IEEE 802.1q) ............................................................................ 34 802.3af PoE Power over Ethernet ............................................................................ 35 Firewalls .......................................................................................................................... 37 Resposta a incidentes(RFC 2350) ................................................................................... 38

RESUMO REDES
1. Posicionamento das camadas LLC e MAC em relao ao modelo OSI

2. Estrutura de um quadro LLC

DSAP (Destination Service Access Point): Indica o endereo SAP de destino. Se o campo SNAP for usado, o DSAP fixado em 10101010. SSAP (source Service Access Point): Indica o endereo SAP de origem. Se o campo SNAP for usado, o DSAP fixado em 10101010. Controle: Tambm chamado CTL, pode assumir trs valores; UI, usado quando se est transmitindo dados; XID, usado para trocar dados de identificao entre o transmissor e o receptor e Test, onde o transmissor envia um dado e o receptor recebe e o envia de volta a fim de testar a comunicao. Cdigo: o cdigo do desenvolvedor do protocolo no IEEE. Tipo: o cdigo dado pelo fabricante/desenvolvedor ao protocolo.

3. Estrutura quadro 802.3(Ethernet)

Onde: Prembulo (Preamble): Marca o incio do quadro. So sete bytes 10101010. Junto com o SFD forma um padro de sincronismo, isto , ao encontrar sete bytes e um byte 10101011, o dispositivo receptor sabe estar diante do incio de um quadro. SFD (Start of Frame Delimiter): um byte 10101011. MAC Destino (Destination MAC Address): Neste campo includo o endereo MAC da placa de rede de destino. MAC Origem (Source MAC Addres): Neste campo includo o endereo MAC da placa de rede de origem. Comprimento (Length): Indica quantos bytes esto sendo transferidos no campo de dados do quadro. Dados (Data): So os dados enviados pela camada LLC. Esse campo possui um comprimento mnimo de 46 bytes e mximo de 1.500 bytes. Pad: Se a camada LLC enviar menos do que 46 bytes de dados para a camada MAC, ser feito o preenchimento com bytes adicionais, para que o tamanho mnimo seja atingido. Tal tcnica chama-se padding. Sequncia de verificao de quadro(FCS - Frame Check Sequence): Contm informaes para o controle de correo de erros (CRC).

4. Redes sem fio Padres 802.11 a, b e g

Padro 802.11 a 802.11 b 802.11 g Taxa Tx 54 Mbps 11 Mbps 54 Mbps Alcance 100 m 300 m 300 m Tcnica de tranmisso OFDM HR-DSSS OFDM frequncia 5 Ghz 2.4 Ghz 2.4 Ghz

Terminologia FHSS - Frequency Hopping Spread-Spectrum. DSSS - Direct Sequence Spread Spectrum. OFDM - Ortogonal Frequency Division Multiplexing. IBSS - Independent Basic Service Set (redes wi-fi Ad-hoc; no utilizam Access Points). BSS - Basic Service Set (SSID) -> rea coberta por um AP (modo infraestrutura). ESS Extended Service Set (rede wi-fi com mais de um AP, em que cada BSS conta com um AP responsvel pela interligao de dispositivos). ESSID - Nome da rede. BEACOM - Quadros enviados pelos APs para os clientes, anunciando a sua existncia/presena. WEP Wired Equivalent Privacy. WPA Wi-Fi protected Access.

TKIP Temporary Key Integrity Protocol. Protocolo para troca de chaves de sesso. MIC Message Integrity Check. Forma de verificao de integridade da mensagem, sendo o mais conhecido o MICHAEL. PSK Pre-Shared Key. Chave de 256 bits. 64 dgitos hexadecimais ou passphrase de 8 a 63 caracteres. CCMP Counter Mode With Cipher Block Chaining Message Authentication Protocol. parte mandatria do WPA2 e opcional no WPA. uma opo requerida para rede em conformidade com RSN(Robust Security Networks). Utiliza o AES(Advanced Encryption Standard). o O Gerenciamento de chaves(Key Management) e a Integridade de Mensagem(Message Integrity) so tratados por um nico componente baseado no AES, utilizando uma chave de 128 bits, um bloco de 128 bits e de passagens de codificao atravs do padro FIPS 197. IKE Internet Key Exchange. Protocolo utilizado para troca on going de chave secreta(rekeying) no WPA.

Servios estaes
Autenticao Desautenticao Privacidade Entrega MSDU (Mac Service Data Unit Pacotes de informao)

Servios sistema de distribuio

Associao Disassociao Distribuio Integrao Reassociao

RC4 -> Algoritmo de chave simtrica para cifragem de fluxo de bits. Bytes pseudo-aleatrios a partir de uma semente de tamanho varivel (chave de criptografia). Operaes xor bit a bit (cifragem e decifragem) . Funcionamento RC4 Recebe uma semente K de N bits (de 1 a 2048). A partir da semente, cria um vetor s de 256 bytes. Suas posies so permutadas, de acordo com o valor da semente. Com o vetor formado, o algoritmo utiliza os dados do vetor para criar uma sequncia de nmeros peseudo-aleatrios para criptografar a mensagem. Conforme a mensagem vai sendo enviada, o vetor s tem o seu contedo aleatrio. WEP -> Wired Equivalente Privacy Utiliza o gerador de nmeros PRNG, do RC4 A semente para gerao da chave uma combinao do segredo compartilhado com um vetor aleatrio de 24 bits chamado IV (Initialization Vector) O IV deve ser diferente para cada quadro Uso de algoritmo tipo CRC-32, chamado Integrity Check Value (ICV) Open System x Shared o Open System no garante confidencialidade nem autenticao de dispositivos o Atacante pode capturar informaes na rede o Atacante passar por um AP(ataque ativo) / Man-in- the-middle Ataques mais comuns em redes WEP:

o Estatsticos o Injeo de trfego o Redirecionamento de mensagens o Construo de tabelas de cifragem Falhas no WEP o Para o 802.11b -> Repetio das chaves a cada 5 horas o Linearidade do CRC-32, permite que seja alterado o bit desejado da mensagem e se recalcule o CRC o Grande nmero de chaves Tipos de Ataque Estatsticos: o Passivos - o objetivo descobrir o significado dos textos cifrados o Injeo de trfego o Injeo de contedo na rede aproveitando-se mensagens cifradas capturadas ou parte destas Redirecionamento de mensagens Propostas de melhoria da segurana VPN 802.1x -> EAP (Extensible authentication protocol) e TLS (Transport Layer Security) 1. Estao notifica o AP que deseja autenticar-se, e envia uma lista de algoritmos criptogrficos suportdos por ela 2. O AP repassa a mensagem do cliente para a estao autenticadora (Back-End Server)- O dispositivo cliente ainda no tem acesso rede. 3. O Back-End Server responde, atravs do AP, com um identificador de seo, uma lista de algoritmos criptogrficos selecionados e uma chave pblica. Nveis de segurana WEP Open WEP Shared WEP PSK (Pre-Shared Key) WPA TKIP (Temporal Integrity Key Protocol) o Funo de embaralhamento de pacotes o Message integrity Check (MIC), Michael. o Vetor de inicializao estendido, com regras de seqenciamento o Mecanismo de Rekeying (Re-gerar chaves) o Usa 802.1x e EAP baseado em servidor de autenticao centralizada, como radius, por exemplo.

5. Redes WiMAX Wireless Metropolitan Area Networks 802.16

O padro 802.16 uma srie de padres para redes sem fio banda larga de autoria do IEEE. A verso atual a 802.16-2009, complementada pela 802.16j. Embora oficialmente seja denominado pelo IEEE como WirelessMAN, o padro comercializado sob o nome WiMAX Worldwide Interoperability for Microwave Access pela aliana da indstria conhecida como WiMAX Forum. A cobertura nominal um raio 30 milhas(~50 Km), atingindo a velocidade de 70 Mbits/s, sem necessidade de visada(line of sight). O 802.16 padroniza, basicamente, dois aspectos da interface area: a camada fsica(PHY) e a camada de controle de acesso ao meio(MAC).

PHY O 802.16e utiliza OFDMA para transportar dados, suportando larguras de banda entre 1,25 e 20 Mhz, com at 2048 sub-portadoras . Tambm suporta modulao e codificao adaptativas, que de acordo com a qualidade do sinal, pode usar uma codificao mais eficiente (64 QAM) ou, uma mais robusta(BPSK). Outras caractersticas da camada fsica incluem suporte a antenas MIMO(Multiple-In Multiple-Out), para prover maior largura de banda, e solicitao automtica de repetio hbrida(HARQ Hybrid Automatic Repeat Request), para o bom desempenho na correo de erros. MAC Esta camada descreve um nmero de subcamadas de convergncia, as quais descrevem como as tecnologias baseadas em cabeamento, como Ethernet, ATM e IP so encapsuladas na interface area e como o dado classificado, entre outros. Ela tambm descreve como as comunicaes seguras so entregues, atravs do uso de troca segura de chaves durante a autenticao, e encriptao usando AES ou DES(como mecanismo de criptografia) durante a transferncia de dados. Outras caractersticas desta camada incluem mecanismos de economia de energia(Power saving Sleep Mode e Idle Mode) e tambm mecanismos de handover(troca de clula sem perda da comunicao). QoS O QoS suportado no 802.16e alocando-se cada fluxo de servio(service flow) entre uma estao e um ponto de acesso a uma das cinco classes QoS, a saber: Servio Abreviatura Definio Classe QoS Aplicao tpica

Servio garantido UGS no-solicitado

Cadeias de dados em Transporte E1/T1 tempo real compreendendo pacotes de dados enviados em intervalos peridicos Fluxos de servio em VoIP tempo real que geram pacotes de dados de tamanho varivel periodicamente Cadeias de dados em Vdeo MPEG tempo real que contm pacotes de tamanho varivel enviados periodicamente Cadeias de dados FTP com vazo(trhoughput) tolerantes a atrasos que mnima garantida contm pacotes de dados para os quais uma taxa mnima de dados requerida Cadeias de dados para HTTP as quais no h requisitos de nvel de servio

Servio de Polling em ertPS tempo real estendido

Servio de Polling em rtPS tempo real

Servio de Polling nrtPS tempo no-real

Best Effort

BE

6. Modelos OSI e TCP/IP

Funes das camadas

Unidades de informao das camadas(PDU)

Comparao os modelos ISO/OSI e TCP/IP

7. MPLS Multiprotocol Label Switching

LFIB - Tabela que indica aonde e como encaminhar os pacotes. Criada por equipamentos pertecentes a um domnio MPLS, a LFIB contm uma lista de entradas que consistem de uma sub-entrada de ingresso e uma ou mais sub-entradas de egresso (etiqueta de sada, interface de sada, componentes de sada de nvel de enlace). A LFIB construda baseada nas informaes obtidas pelo LSR atravs da interao com os protocolos de roteamento. Forwarding Equivalence Class (FEC) definido como um grupo de pacotes que podem ser tratados de maneira equivalente. Um exemplo de uma FEC um conjunto de pacotes unicast cujos endereos de destinos compatvel a um prefixo particular de endereo IP. Outro FEC o conjunto de pacotes cujos endereos de fonte e destino so os mesmos. Label um identificador relativamente curto e comprimento fixo que usado no processo de encaminhamento dos pacotes. As etiquetas so associadas com uma FEC em um processo obrigatrio do MPLS. As etiquetas so normalmente locais em um link de dados e no tm nenhum significado global (como um endereo). As etiquetas so restringidas pelas FEC, sendo resultado de alguns eventos que indicam as necessidades no link.

1. O campo Label (20 bits) carrega o valor atual da etiqueta MPLS; 2. O campo EXP (3 bits) Experimental bits. Utilizados para classe de servio, eles podem afetar os algortimos de enfileiramento e descarte aplicados ao pacote enquanto o mesmo transmitido atravs da rede; 3. O campo Stack (1 bit) suporta uma pilha hierrquica de etiquetas; 4. O campo TTL (8 bits) fornece funcionalidades de TTL IP convencional. Forwarding Equivalency Class (FEC) O FEC caracteriza um grupo de pacotes nvel 3 que so tratados da mesma maneira. Todos os pacotes seguem o mesmo caminho e tem a mesma prioridade. Os pacotes em um FEC podem ter informaes diferentes (IP origem ou IP destino) nos cabealhos nvel 3. No entanto, para efeitos de roteamento, no h distino. Exemplos comuns de grupos FEC so: Um conjunto de pacotes com a mesma rota na tabela de Roteamento IP; Um conjunto de pacotes com a mesma rota na tabela de roteamento IP e classificado com o mesmo tipo de servio IP. Na terminologia MPLS, o FEC identificado por um rtulo (label). Labels and Labeled Packets (Rtulos e Pacotes Rotulados) Um rtulo (label) identifica um FEC. Equipamentos MPLS encaminham todos os pacotes com o mesmo rtulo (label) do mesmo modo. O rtulo significativo entre um par de equipamentos MPLS. Ele materializa um acordo entre dois equipamentos descrevendo a relao entre um rtulo e um FEC. O fato de o rtulo ser significativo entre dois equipamentos MPLS vizinhos garante a escalabilidade do MPLS em ambientes complexos, porque o rtulo no necessita ser o mesmo em cada n (hop). O rtulo MPLS pode estar localizado em posies diferentes do pacote dependendo da tecnologia do nvel 2 utilizada para o transporte dos dados. Se a tecnologia do nvel 2 contempla um campo para rtulo, o rtulo MPLS encapsulado no cabealho nativo do protocolo. Em redes ATM (Asynchronous Transmission Mode) o

10

campo VPI/VCI pode ser utilizado para armazenar o rtulo MPLS. De modo anlogo, o campo DLCI pode conter o rtulo do MPLS em redes Frame Relay. Em tecnologias nvel 2 que no suportam rtulos em modo nativo, o rtulo MPLS reside encapsulado em um cabealho anexado ao pacote com esta finalidade. Este cabealho localizado entre o cabealho do nvel 2 e o cabealho do IP.

8.

O protocolo ICMP

um protocolo auxiliar para a camada de rede. Sua funo permitir o transporte de Mensagens de controle e de teste entre equipamentos da internet. As mensagens so transportadas dentro de um datagrama IP. Com o ICMP, os hosts e roteadores que usam a comunicao IP podem relatar erros e trocar informaes de status e controle limitado. Geralmente, as mensagens ICMP so enviadas automaticamente em uma das seguintes situaes: Um datagrama IP no consegue chegar ao seu destino. Um roteador IP (gateway) no consegue encaminhar datagramas na atual taxa de transmisso. Um roteador IP redireciona o host remetente para usar uma rota melhor para o destino. Essas mensagens so encapsuladas e enviadas em datagramas IP, conforme apresentado na seguinte ilustrao:

Vrios tipos de mensagens ICMP so identificadas no cabealho ICMP. Como essas mensagens so levadas em datagramas IP, elas no so confiveis. As mensagens ICMP mais comuns so listadas e descritas na tabela a seguir.

Mensagem ICMP Solicitao de eco Resposta de eco Destino inacessvel Retardamento de origem Redirecionamento Tempo excedido

Descrio Determina se um n IP (um host ou roteador) est disponvel na rede. Responde a uma solicitao de eco ICMP. Informa ao host que um datagrama no pode ser entregue. Informa ao host para diminuir a taxa de envio de datagramas devido a congestionamento. Informa ao host uma rota preferencial. Indica que o tempo de vida (TTL) de um datagrama IP j expirou.

11

Significado das mensagens ICMP

Tipo Cdigo

Mensagem

Significado da mensagem Esta mensagem utilizada quando se utiliza o comando PING. Este comando permite testar a rede, enviando um datagrama a um destinatrio e solicitando uma resposta(reply) A rede no est acessvel A mquina no est acessvel O protocolo no est acessvel A porta no est acessvel Fragmentao necessria mas impossvel devido bandeira (flag) DF O encaminhamento falhou Rede desconhecida Mquina desconhecida Mquina no ligada rede (inutilizada) Comunicao com a rede proibida Comunicao com a mquina proibida Rede inacessvel para este servio Mquina inacessvel para este servio Comunicao proibida (filtragem) O volume de dados enviado demasiado grande, o roteador envia esta mensagem para informar que est prximo de saturar, a fim de pedir para reduzir a velocidade de transmisso Roteador informa que a rota para o n solicitado no est boa e informa nova rota para o n de origem. Roteador informa que a rota para o servio solicitado no est boa e informa nova rota para o n de origem.

Pedido de ECHO

3 3 3 3 3 3 3 3 3 3 3 3 3 3

0 1 2 3 4 5 6 7 8 9 10 11 12 11

Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel Destinatrio inacessvel

Source Quench

Redirecionamento para um hspede Redirecionamento para um hspede e um servio dado

Roteador informa que a rota Redirecionamento para uma rede determinada rede no est boa e informa nova rota para o n de
12

origem. O switch v que a estrada de uma rede inteira no boa para um servio Redirecionamento para uma rede dado e envia o endereo switch a acrescentar tabela de e um servio dado encaminhamento dos computadores da rede Esta mensagem enviada quando o tempo de vida de um datagrama ultrapassado. A rubrica do datagrama devolvida de modo a que o utilizador saiba qual o datagrama que foi destrudo Esta mensagem enviada quando o tempo de remontagem dos fragmentos de um datagrama ultrapassado. Esta mensagem enviada quando o campo de uma rubrica est errado. A posio do erro devolvida Uma mquina pede a outra a sua hora e a sua data sistema (universal) A mquina receptora d a sua hora e a sua data sistema para que a mquina emissora possa determinar o tempo de transferncia dos dados Esta mensagem permite pedir rede um endereo IP Esta mensagem responde mensagem precedente Esta mensagem permite pedir rede uma mscara de subrede Esta mensagem responde mensagem precedente A mquina receptora fornece a sua hora e a sua data de sistema para que a mquina emissora possa determinar o tempo de transferncia dos dados

11

Tempo ultrapassado

11

Tempo de remontagem de fragmento ultrapassado

12 13

0 0

Rubrica errada Timestamp request

14

Timestamp reply

15 16 17 18

0 0 0 0

Pedido de endereo rede Resposta de endereo Pedido de mscara de subrede Resposta de mscara de subrede

17

Timestamp reply

13

9.

ARP e RARP

O ARP(Address Resolution Protocol - Protocolo de Resoluo de Endereos) utilizado para se obter o endereo fsico a um endereo IP.

Cabealho(header): Endereo Ethernet de destino(Ethernet Destination Address) 6 bytes que representam o endereo MAC de do n de destino da mensagem. Endereo Ethernet de origem(Ethernet Source Address) 6 bytes que representam o endereo MAC do n de origem da mensagem. T ipo de quadro(frame type) campo com tamanho de dois bytes que define o tipo do quadro(0800h para ARP e 8035h para o RARP) Dados/payload: Tipo do endereo de hardware(2 bytes) . 1 = Ethernet. Tipo de protocolo sendo mapeado(2 bytes). 0800h = endereo IP. Tamanho(em bytes) do endereo do hardware(1 byte) = 6(Ethernet) Tamanho(em bytes) do endereo do protocolo(1 byte) = 4(IP) Tipo de operao: 1 = arp request; 2 = arp reply; 3 = rarp request; 4 = rarp reply Endereo MAC do transmissor(6 bytes) Endereo IP do transmissor(4 bytes) Endereo MAC do receptor(6 bytes) Endereo IP do receptor(4 bytes) Cada n mantm uma tabela, chamada ARP Cache, cujas entradas tm validade de vinte minutos, por padro. O comando arp a pode ser utilizado para visualizarmos as entradas da tabela ARP. O RARP (Reverse Address Resolution Protocol) utilizado por estaes sem disco(diskless) para determinar os endereos IP que elas devem utilizar na rede No boot, o computador envia uma mensagem de broadcast (arp request), colocando o seu prprio endereo ethernet nos campos Destination e Source. O servidor RARP preencher os endereos IP de origem e de destino corretos na sua mensagem de resposta. A partir do momento em que o cliente obtiver o endereo IP, ele s utilizar o RARP novamente ser for inicializado.

14

10. DHCP Dynamic Host Configuration Protocol

RFCs 1533, 1534, 1541 e 1542 Portas UDP 67(servidor) e 68(Cliente) Estgios: 1. Descoberta de servidores DHCP cliente envia uma mensagem de difuso(broadcast) para descoberta de servidores disponveis na rede(DHCP DISCOVER). 2. Oferta de aluguel os servidores disponveis enviam a informao solicitada pelo cliente(endereo IP) e marca o endereo oferecido como indisponvel(DHCP OFFER). 3. Solicitao de aluguel(leasing) cliente escolhe um dos servidores que enviaram mensagens de oferta e envia uma mensagem a este solicitando o endereo IP ofertado(DHCP REQUEST). 4. Aceitao do aluguel(pelo servidor, DHCP ACK). 5. Renovao do aluguel Aps decorrido parte do tempo de aluguel, o cliente tentar renovar o seu aluguel com o servidor que forneceu o endereo em uso, e se no conseguir, com qualquer outro servidor DHCP disponvel.. Principais mensagens: DHCP DISCOVER(cliente) DHCP OFFER(servidor) DHCP REQUEST(cliente) DHCP ACK/NACK(servidor, aceitando ou negando a solicitao do cliente) Informaes importantes: A solicitao de leasing pelo cliente acontece em intervalos de 9, 13 e 16 segundos, com randomizao de um segundo. Aps essa sequncia, em caso de insucesso, ela ser repetida a cada cinco minutos. Renovao do lease(renew): Decorrido 50% do tempo, o cliente tentar renovar com o servidor que cedeu o endereo em uso; Passado 87,5%, o cliente tentar renovar com qualquer servidor DHCP; Atingido o tempo limite do lease(100%), o cliente tentar obter um endereo de qualquer servidor, e se no obtiver xito, a pilha TCP/IP parar de funcionar.

11. DNS Domain Name Sytem (Sistema de Resoluo de Nomes)

RFCs 1034/1035, 1535 1537, 1591 Portas UDP/TCP 53 Principais componentes: Resolver(resolvedor) Name server(servidor de nomes) Database resource records(banco de dados de registro de recursos) DNS cache

15

A arquitetura DNS Servidor-raiz O servidor-raiz(root dns Server) da internet possui uma tabela que indica qual DNS ser responsvel pela resoluo dos domnios para cada extenso de domnio (Top Level Domain) diferente. A tabela em si muito pequena, possui apenas uma entrada para cada Top Level Domain existente. Os Top Level Domains so de dois tipos: gTLDs (Generic Top Level Domains domnios genricos usados no mundo todo) e ccTLDs (Country Code Top Level Domains extenses de domnios administrados pelos pases). Por segurana, o servidor raiz foi replicado em 13 servidores-raiz diferentes espalhados pelo mundo e duas vezes ao dia seu contedo automaticamente replicado. Resolver Cliente DNS responsvel por inciar as consultas de resoluo de nomes. Est presente tanto no cliente DNS quanto nos servidores, pois estes ltimos se tornam clientes quando fazem consultas. Ordem de consulta: DNS cache local(armazenada em memria) Arquivo hosts Servidores DNS(configurados no cliente TCP/IP) o Zonas nas quais possui autoridade o Cache local(do servidor) Tipos de consultas Recursiva O cliente DNS interage apenas com o seu(s) servidor(es) DNS, no fazendo contato com outros servidores. O servidor DNS(primrio ou secundrio) o responsvel por enviar a resposta final para o cliente. Na figura abaixo, realizada uma consulta, iniciada a partir do cliente DNS. Assumindo que a informao solicitada no est nem no cache local e nem no arquivo hosts, o cliente envia a consulta para o seu servidor DNS primrio. Este, por sua vez, inicia o processo de consulta interativa, ou seja, ele consulta primeiramente um servidor-raiz, que ir inform-lo apenas qual o servidor com autoridade para o domnio .com. Em seguida, o servidor DNS primrio faz uma consulta ao servidor do domnio .com e este fornece o endereo IP do servidor DNS para o domnio abc.com. O processo se repete, at que o servidor do nvel mais baixo da hierarquia(vendas.abc.com) responda com o o endereo IP do recurso e ento o servidor DNS primrio que iniciou a consulta recursiva armazenas as informaes no seu cache, e finalmente, encaminha a resposta para o cliente DNS que disparou a consulta inicial. Interativa - Ocorre nos casos em que a recurso no solicitada pelo cliente, o servidor no aceita recurso ou cliente faz uma consulta ao servidor DNS, informando
que esperada a melhor resposta que o servidor DNS puder fornecer

16

imediatamente, sem consultar outros servidores DNS. Desta forma, o processo de consulta semelhante aos passos 2-10 da figura abaixo.

Tipos de repostas(para as consultas) An authoritative answer (resposta com autoridade) consulta respondida pelo prprio servidor que autoridade para o domnio do recurso consultado. A positive answer (resposta positiva) - o nome pde ser resolvido e uma ou mais informaes associadas ao nome so retornadas para o cliente. A referral answer (uma referncia) - no contm a resoluo do nome pesquisado, mas sim informaes e/ou referncia a recursos ou outros servidores DNS que podem ser utilizados para a resoluo do nome. Este tipo de resposta ser retornado para o cliente, se o servidor DNS no suportar o mtodo de recurso. A negative answer (uma resposta negativa) - indica que um dos seguintes resultados foi obtido em resposta consulta: Um servidor DNS que autoridade para o domnio pesquisado, informou que o nome pesquisado no existe neste domnio; ou um servidor DNS que autoridade para o domnio pesquisado, informou que o nome pesquisado existe, mas o tipo de registro no confere. Cache DNS As informaes sobre as respostas s consultas so armazenadas no cache DNS, parte do Resolver(cliente/servidor), e tem um tempo de expirao(TTL Time To Live) padro de 3600 segundos(uma hora).

12. SNMP Simple Network Management Protocol (RFC 1157)

O SNMP um protocolo da camada de aplicao da pilha TCP/IP que tem por objetivo a gerncia da rede e seus dispositivos. Utiliza o protocolo UDP, porta 161 para envio de mensagens dos tipos GET e SET e suas repostas entre gerentes e agentes, e a porta 162 para mensagens de condio excepcional/erro(traps), na estao de gerncia. Os trs componentes do modelo SNMP so o gerente, o agente e a MIB(Management Information Base). O gerente tem como funes solicitar informaes de status dos agentes e enviar solicitaes de alteraes de valores de variveis para estes. J os agentes atendem s solicitaes dos gerentes e interagem com a MIB, visando obter as informaes do objeto solicitado. A MIB uma estrutura de dados de objetos gerenciados no lado do agente. MIB Management Information Base A verso atual da estrutura de dados a MIB II, definida atravs da RFC 1213, que uma evoluo da MIB I, a primeira verso da base de dadosdefinida atravs da RCF 1066.

17

Existem trs tipos de MIB: a MIB II, que contm informaes genricas(comuns a qualquer dispositivo de um determinado tipo)sobre determinado equipamento; a MIB experimental, que contm objetos em fase de desenvolvimento ou teste; e a MIB privada, que contm informaes mais especficas(proprietrias) de um equipamento. Construo As regras de contruo das estruturas das MIBs so descritas atravs SMI - Structure of Management Information. A estrutura de informaes de gerncia SMI um conjunto de documentos que definem: Forma de identificao e agrupamento das informaes; Sintaxes permitidas; Tipos de dados permitidos. Os objetos de uma MIB so especificados de acordo com a ASN.1 - Abstract Syntax Notation One. A notao sinttica abstrata uma forma de descrio abstrata dos dados com o objetivo de no se levar em considerao a estrutura e restries do equipamento no qual est sendo implementada. Para cada objeto so definidos: nome, identificador, sintaxe, definio e acesso. As instncias do objeto so chamadas de variveis. O Object Name o nome do objeto, composto por uma string de texto curto. O Object Identifier o identificador do objeto, formado por nmeros que so separados por pontos. A Sintax (sintaxe do objeto) descreve o formato, ou o valor, da informao. Ela pode ser: uma sintaxe do tipo simples que pode ser um inteiro, uma string de octetos, um Object Identifier ou nulo; uma sintaxe de aplicao podendo ser um endereo de rede, um contador, uma medida, um intervalo de tempo ou incompreensvel. A definio uma descrio textual do objeto. O acesso o tipo de controle que se pode ter sobre o objeto, podendo ser: somente leitura, leitura e escrita ou no acessvel. Estrutura A rvore hierrquica a seguir foi definida pela ISO representa a estrutura lgica da MIB, mostra o identificador e o nome de cada objeto.

18

Exemplo de identificao de objeto:

1 (ISO).3(ISO Identification Organization).6(US DoD).1(Internet).2(Management).1(MIB (ISO Organization). (MIB2).7(udp).1(udpInDatagrams) Principais Mensagens SNMP: Mensagem Funo GetRequest Solicita o valor de uma instncia de uma varivel Get NextRequest Solicita o valor da prxima varivel SetRequest Altera o valor de uma varivel Trap Informa o gerente sobre condio excepcional

Sentido SNMP Gerncia - Agente -> Gerncia - Agente -> Gerncia - Agente -> Agente -> Gerente >

13. NFS Network File System

Histrico A primeira verso(v1) utilizada pela Sun Microsystems teve apenas fins internos, em carter experimental. Quando a equipe de desenvolvimento incluiu mudanas substanciais para a verso lanou-a fora da Sun, eles decidiram liberar a nova verso como v2, de modo que a a interoperabilidade com as verses anteriores do sistema(v1) e do RPC pudesse ser testada. erabilidade NFSv2 A verso 2 do protocolo (definida na RFC 1094, maro de 1989), originalmente opera operava totalmente baseado no protocolo UDP. Seus projetistas pretendiam manter o protocolo sem protoco controle de estado(stateless), com o bloqueio (por exemplo) realizado fora do protocolo , realizad central. NFSv3 erso A verso 3 (RFC 1813, junho de 1995), acrescentou: suporte para tamanhos de arquivo e deslocamentos(offsets) 64-bits, para lidar com , arquivos maiores que 2 gigabytes (GB); iores apoio para gravaes assncronas no servidor, de forma a melhorar o desempenho de gravao; atributos de arquivo adicionais em muitas respostas, para evitar a necessidade de voltar a busc-los; uma operao READDIRPLUS, para obter identificadores de arquivo e atributos, juntamente com nomes de arquivos quando varrendo um diretrio; outras melhorias diversas diversas. No momento da introduo da verso 3, suporte de fornecedores para o TCP como protocolo troduo de camada de transporte comeou a aumentar. Embora vrios fornecedores j haviam com ra adicionado suporte ao protocolo TCP como transporte para NFSv2, a Sun Microsystems , adicionou suporte para TCP somente para a verso 3. O uso do TCP como transporte no NFS atravs de uma WAN tornou-se ma vivel. mais NFSv4 (RFC bril A verso 4 do NFS(RFC 3010, Dezembro de 2000, revisado na RFC 3530, abril de 2003), influenciado pelo AFS e e pelo CIFS, inclui melhorias de desempenho, requisitos de segurana forte, e introduz um protocolo de estado(stateful). O NFSv4 se tornou a primeira verso estado e desenvolvida pela Internet Engineering Task Force (IETF), aps a Sun Microsystems ter entregue o desenvolvimento de protocolos NFS. A NFSv4.1 foi aprovada pelo IESG mas no recebeu um nmero RFC ainda. A nova no especificao, em 612 pginas, notria, por ser o mais extenso documento de normas do 12 IETF j aprovado).

19

Alm de correes, a especificao NFSv4.1 tem como objetivo fornecer suporte ao protocolo para tirar proveito das implantaes de servidores em cluster, incluindo a capacidade de fornecer acesso paralelo escalvel para arquivos distribudos entre vrios servidores. Outras extenses WebNFS, uma extenso para a verso 2 e verso 3, permite que o NFS se integre mais facilmente na web browsers e para permitir o funcionamento atravs de firewalls. A Sun Microsystems recentemente tornou a sua aplicao WebNFS Open Source atravs do endereo https: / yanfs.dev.java.net / . Vrios protocolos side-band associaram-se com o NFS, incluindo: O protocolo Network Lock Manager (NLM), adicionado para suportar as APIs de bloqueio de arquivos do UNIX System V; O relatrio de quotas remoto (protocolo rquotad), para permitir aos usurios do NFS visualizar suas cotas de armazenamento em servidores NFS dados. Plataformas Embora o uso de NFS ocorra mais comumente com sistemas Unix-like, plataformas de software como Mac OS, OpenVMS, Microsoft Windows, Novell NetWare, e sistemas operacionais IBM AS/400 tambm podem usar o protocolo. Protocolos alternativos de acesso remoto a arquivos incluem o Server Message Block (SMB, tambm conhecido como CIFS), o Apple Filing Protocol (AFP), NetWare Core Protocol (NCP) e o sistema de arquivos File Server do AS/400 QFileSvr.400. SMB e o NCP so usados mais frequentemente em sistemas que rodam o Microsoft Windows; o AFP mais comumente em sistemas Macintosh e o QFileSvr.400 mais utilizado nos sistemas AS/400. Aplicao tpica Assumindo um cenrio estilo Unix em que uma mquina (o cliente) requer acesso a dados armazenados em outra mquina (o servidor NFS): 1. O servidor implementa processos daemon do NFS (rodando por padro como nfsd), de modo a tornar os dados genricos disponveis para os clientes. 2. O administrador do servidor determina o que disponibilizar, exportando os nomes e os parmetros de diretrios (normalmente utilizando o /etc/exports arquivo de configurao eo comando exportfs). 3. A segurana do servidor de administrao garante que ele capaz de reconhecer e aprovar clientes vlidos. 4. A configurao de rede do servidor garante que os clientes adequados podem negociar com ele atravs de qualquer sistema de firewall. 5. A mquina cliente solicita o acesso aos dados exportados, normalmente atravs da emisso de um comando mount. (O cliente pede ao servidor rpcbind - que porta o servidor NFS est utilizando, o cliente se conecta ao servidor NFS (nfsd), nfsd passa a solicitao para mountd) 6. Se tudo correr bem, os usurios na mquina do cliente podem ver e interagir com os sistemas de arquivos montados no servidor dentro dos parmetros permitidos. 7. Note que a automatizao do processo de montagem do NFS pode pode ser efetuada usando-se /etc/fstab e/ou opes de automontagem.

14. FTP File Transfer Protocol

Portas utilizadas tipicamente: 20 Transferncia de dados 21 Controle da conexo O FTP utiliza uma conexo out-of-band para controle, isto , o protocolo utiliza conexes distintas para controle e transferncia de dados.

20

Modos de transporte No modo ativo, o cliente de FTP abre uma porta dinmica, envia para o servidor de FTP o nmero de porta dinmica em que ele est escutando atravs de uma cadeia de controle e espera por uma conexo do servidor FTP. Quando o servidor FTP inicia a conexo de dados para o cliente de FTP, este cria o vnculo(bind) da sua porta de origem para a porta 20 no servidor FTP. Para usar o modo ativo, o cliente envia um comando PORT, com o IP e a porta como argumento. O formato para o IP e porta "H1, H2, H3, H4, P1, P2". Cada campo uma representao decimal de 8 bits do host IP, seguido pela porta de dados escolhida. Por exemplo, um cliente com o endereo IP 192.168.0.1, escutando na porta 49154 para a conexo de dados ir enviar o comando PORT 192,168,0,1,192,2 ". Os campos de porta devem ser interpretados como P1 256 + p2 = porta, ou, neste exemplo, 192 256 + 2 = 49154. No modo passivo, o servidor FTP abre uma porta dinmica, envia para o cliente o seu endereo IP e a porta em que ele est escutando (um valor de 16 bits separado em parte alta e parte baixa, como explicado acima) pelo canal de controle e aguarda uma conexo do cliente FTP. Neste caso, o cliente de FTP liga a porta de origem da conexo porta dinmica informada pelo servidor. Para usar o modo passivo, o cliente envia o comando PASV para o servidor que responderia com algo semelhante a "227 Entering Passive Mode (127,0,0,1,192,52)". A sintaxe do endereo IP e porta so os mesmos que para o argumento para o comando PORT. No modo passivo estendido, o servidor de FTP funciona exatamente igual ao modo passivo, no entanto, ele apenas transmite o nmero da porta (no dividido em bytes de alta e baixa) e o cliente assume que ele deve se conectar ao mesmo endereo IP ao qual ele se conectou originalmente. Este modo foi acrescentado pela RFC 2428, em setembro de 1998. Enquanto os dados so transferidos atravs da conexo de dados, a conexo de controle fica ociosa. Isto pode causar problemas com grandes transferncias de dados atravs de firewalls devido expirao do tempo limite de sesses aps longos perodos de ociosidade. Enquanto o arquivo pode muito bem ser transferido com sucesso, a sesso de controle pode ser desligada pelo firewall . Principais comandos: !: Executa o comando na mquina local. ?: Semelhante a help. append: Adiciona dados a um arquivo existente. ascii: Configura o tipo de transferncia de arquivos para ASCII. bell: Emite um bip quando um comando executado. binary: Configura o tipo de transferncia de arquivos para binrio. bye: Encerra a sesso FTP. cd: Seguido de caminho/diretrio muda para o diretrio informado. delete: Apaga um arquivo. Para mais de um arquivo usa-se mdelete. debug: Estabelece a modalidade de depurao. dir: Mostra o contedo do diretrio servidor atual. disconnect: Semelhante a bye. get: Obtm um arquivo do servidor. Para mais de um arquivo usa-se mget. glob: Seleciona a expanso para nomes de arquivo. hash: Demonstra cada bloco do arquivo durante a transferncia. Cada bloco compese de 1024 bytes. help: Lista sumariamente todos comandos disponveis. literal: Permite enviar comandos arbitrrios. ls: Mostra uma lista abreviada do contedo do diretrio servidor. Para mais de uma pasta usa-se mls. mkdir: Cria um diretrio ou subdiretrio no servidor.

21

prompt: Ativa/desativa o modo interativo. put: Envia um arquivo ao servidor. Para enviar mais de um arquivo usa-se mput. pwd: Mostra o diretrio de trabalho. quit: Finaliza a sesso FTP. quote: Envia subcomandos do servidor FTP, como se encontram no servidor. recv: Similar a get. remotehelp: Solicita ajuda do servidor FTP remoto. rename: Renomeia um arquivo. send: Semelhante a put. status: Obtem informaes de estado do servidor. trace: Demonstra o caminho percorrido pelo arquivo na transferncia. type: Especifica o tipo de representao. user: Iniciar a sesso no servidor. verbose: Ativa/desativa a modalidade literal.

15. Tcnicas de voz e vdeo, telefonia e videoconferncia utilizando H.323 e SIP

Terminologia VoIP Voz sobre IP VvoIP Vdeo e Voz sobre IP CoDecs de Voz - Coletam, comprimem e descomprimem amostras do udio. Packetization Amostras so agrupadas e colocadas em pacotes de dados para transmisso pela rede IP. Geralmente, cada pacote contm de 20 a 30 ms de udio. Packet-Loss Concealment(PLC) Compensao de pacotes perdidos com a incluso de som que aceitvel ao ouvido humano. Forward-Error Correction(FEC) Incluso de informao de pacotes j enviados anteriormente nos pacotes seguintes, de forma a possibilitar a reconstruo da informao contida de possveis pacotes perdidos. Jitter Variao na latncia. Pode ocasionar cortes ou pequenas pausas na recepo da voz. RTP Real Time Protocol(RFC 3550). RTCP Real Time Control Protocol. Implementa mecanismos de controle para os problemas de latncia e jitter. Secure RTP Secure Real Time Protocol(RFC 3711). H.323 e SIP Protocolos utilizados para localizar o dispositivo remoto e negociar a melhor forma de codificar e transmitir os sinais pretendidos. Ambos so considerados Intelligent Endpoint Protocols, ou seja, toda a inteligncia para localizar o ponto remoto de contato e estabelecer o encadeamento de mdia(media streaming) entre o equipamento local e o remoto so parte integrante do protocolo. O H.323 faz parte da famlia de recomendaes ITU-T H.32x Sistemas Audiovisuais e Multimdia. Terminologia MCU Multipoint Control Unit. Permite que mais de dois pontos de videoconferncia possam se comunicar, atravs da presena contnua, com todos os pontos remotos na mesma tela, atravs de mosaico ou chamamento de voz. Uma Endpoint MCU permite a conexo de quatro a seis equipamentos. Necessita de hardware dedicado para processamento de vdeo dos pontos conectados.

22

Gatekeeper Elemento de gerenciamento de conexes H.323. Componente poderoso e verstil para auxiliar na administrao de endpoints, MCUs e mesmo conexes de voz utilizando o modelo H.323. Seguem abaixo algumas caractersticas: Camada de software em um sistema operacional No faz nenhum processamento de udio e/ou vdeo Processa autenticao, confirmao, negao e gerenciamento de zonas(pontos de um mesmo domnio) Pode ser hardware dedicado, PC com Linux ou Windows e um software de gatekeeper comercial ou livre/free. Firewall traversal equipamento que visa facilitar a implementao de sistemas de videoconferncia em redes protegidas por firewall, geralmente fazendo uso de NAT(Network Address Translation). G.711 - Algoritimo de codificao/decodificao de udio que deve estar presente em todos os terminais H.323. Geralmente, transmite udio em 56 ou 64 Kbps. RSVP Resource Reservation Protocol. H.235 Especificao Security And Encryption for H.Series Multimedia terminals. Introduz um ambiente de segurana para o H.323 Prov servios de autenticao, integridade, privacidade e no-repdio Usa IPSec ou TLS H.248/MGCP Protocolo de controle de dispositivos. H.450 Servios suplementares ao H.323, comuns nos sistemas telefnicos. Adaptam o H.323 telefonia IP. Alguns desses servios so: transferncia e desvio de chamadas, reteno de chamadas e mensagens de espera. Os terminais H.323 habilitados com vdeo devem suportar o codec H.261(ou, opcionalmente, o H.263). O H.261 geralmente utilizado em canais mltiplos de 64 Kbps. Os sinais de controle de dados utilizam TCP, enquanto os sinais de udio e vdeo usam UDP. Em conferncias com fluxos mltiplos de udio e vdeo utiliza IP Multicast e RTP(Real Time Protocol). O RTP trabalha no topo do IP Multicast. Comparativo H.323 x SIP

H.323
Excelente interoperabilidade com sistemas mais antigos, incluindo a PSTN(Public Switched Telephony Network) e o H.320 Melhor suporte para a transmisso de vdeo Lidera a implementao de prestao de servios de voz(chamadas internacionais) Ampla utilizao em sistemas de vdeo conferncia Vdeo sobre IP Uso em

SIP
sistemas de Mensagens instantneas(ex; MSN) Asterisk(PABX IP)

23

SIP - Session Initiation Protocol um protocolo baseado em texto, similar ao HTTP e ao SMTP, projetado para iniciar, manter e terminar sesses de comunicao interativa entre usurios. Tais sesses incluem voz, vdeo, chat, jogos interativos e realidade virtual. Componentes: UAC(User Agent Client) parte cliente do terminal que inicia a sinalizao SIP. UAS(User Agent Server) servidor(no terminal) que responde sinalizao de um UAC. UA(User Agent) Terminal SIP(telefones SIP, ou gateway para outras redes. Contm UAC e UAS. Proxy Server Recebe solicitaes de conexo dos UAs e as transfere para outro Proxy Server se a estao no estiver sob a sua administrao. Redirect Server Recebe solicitaes de conexo e as envia de volta para o solicitante os dados do destino. Location Server recebe solicitaes de registro do UA e atualiza o banco de dados de terminais. As funes de servidor(Proxy, redirect e location) esto tipicamente disponveis numa nica mquina, chamada Proxy Server, o qual responsvel pela manuteno do banco de dados de clientes, estabelecimento, manuteno e encerramento de conexes, e redirecionamento de chamadas. Mensagens bsicas enviadas no ambiente SIP INVITE solicitao de estabelecimento de conexo ACK Reconhecimento da mensagem pelo receptor BYE Encerramento de conexo CANCEL Encerramento de uma conexo no estabelecida REGISTER Registro de um UA em um Proxy SIP OPTIONS Consulta a opes disponveis no servidor As mensagens resposta para as mensagens SIP esto em formato codificado, similarmente ao HTTP. Seguem abaixo as mais importantes 1XX Mensagens informativas (100 trying, 180 ringing, 183 progress) 2XX Solicitao concluda com sucesso(200 OK) 3XX encaminhamento de chamada, a requisio deve ser redirecionada(302 temporarily moved, 305 use proxy) 4XX Erro (403 forbidden) 5XX Erro de servidor (500 Server Internal Error, 501 not implemented) 6XX Falha global (606 Not Acceptable)

24

16. Algoritmos de Roteamento

Os algoritmos de roteamento podem ser classificados em: Esttico ou dinmico Distribudo ou centralizado Pr-ativo ou reativo Single-path ou Multiple-path Plano ou hierrquico Host-Intelligent Intra-domnio ou inter-domnio Roteamento geogrfico ou no Estado de enlace (Link state) ou Vetor de distncia (Distance Vector) Estticos (No adaptativos) - Aprendem as rotas na inicializao e aps isto no sofrem alterao. No faz sentido o seu uso nas redes atuais, pois no podem garantir a integridade em funo de possveis alteraes topolgicas. Dinmicos (Adaptativos)- Tm capacidade de mudar as suas decises de roteamento de acordo com o estado da rede. A forma como as informaes sobre o estado da rede so obtidas e as mtricas utilizadas para alterao das rotas variam de algoritmo para algoritmo. Centralizado - As rotas so criadas por um nico n na rede. Distribudo - Cada n da rede passa informaes de alterao da topologia para outros ns, sendo que a rota calculada de forma individual em cada n. Pr-ativos - Tentam obter informaes de roteamento antes que elas sejam necessrias (avaliao contnua das rotas). (Consumo de banda/resposta imediata). Reativos - Somente buscam as informaes de uma rota quando esta for requisitada (Economia de banda X tempo de resposta maior para solicitao de rota). Multi-Path- Capacidade de suportar mais de uma rota para um mesmo destino. (Maior tolerncia a falhas; maior consumo de rede). Single-Path - Suportam uma nica rota para um determinado destino. Plano - Todos os ns so pares (peers) um do outro, no havendo nenhuma hierarquia na troca de informaes de roteamento.
25

Hierrquico - Rede dividida em regies chamadas domnios, os quais podem ser subdivididos em subdomnios. Neste modelo, os ns de uma regio conhecem tudo sobre a estrutura das suas respectivas regies, mas no das outras. As regies esto conectadas atravs de um Backbone, e quando um n precisa se comunicar com um n de outra regio, ele envia mensagens para o seu roteador de Backbone. Host-intelligent- A deciso de roteamento tomada no host de origem (Source Routing), enquanto os roteadores apenas armazenam e redirecionam os pacotes. Intra ou Inter-domnio Quando se utiliza um sistema hierrquico, com domnios diferenciados, podem existir algoritmos diferentes atuando dentro e entre domnios. Geogrfico ou no Utilizam informao geogrfica do n para a escolha de rotas. Estado de enlace (link state) Tambm chamados caminho mais curto (shortest path), enviam informaes de roteamento para todos os ns, utilizando flooding. Tm menor propenso de gerar loops que os do tipo vetor de distncia. E tambm so computacionalmente mais intensos que os protocolos DV(Vector Distance/Vetor de Distncia).

RIP ROUTING INFORMATION PROTOCOL (RFC 1058)

Algoritmo Vetor de distncia (Distance Vector) Tambm conhecido como Belman-Ford Distribudo - Distributed Bellman-Ford (DBF). Caracterticas: Requisita periodicamente (trinta segundos, por padro), de cada um de seus vizinhos, suas tabelas de roteamento. Esta tabela contm todas as distncias, a partir do host, at os outros roteadores da rede. Algoritmo original da ARPANET utilizado no RIP (Routing Information Protocol). Vantagem: simplicidade e eficincia computacional, devido sua caracterstica distribuda. Cada roteador mantm apenas uma entrada para outro roteador da rede. No existem caminhos redundantes. Em caso de mudana topolgica, alto tempo de convergncia e tende a criar Loops de roteamento, principalmente onde h links instveis. Solues parciais para Loops: o Split Horizon o Poisoned Reverse No apropriado para redes grandes e/ou com rotas redundantes. Outro problema: Count-to-infinity -> mtrica mxima - Rip (Max. Hops = 15). No suporta mscara de rede (No pode haver sub-redes, s mscaras padro). Split Horizon (Simples) Atualizaes de roteamento enviadas a um roteador vizinho no devem conter informaes sobre rotas que foram aprendidas com aquele vizinho. Temporizadores Hold-down Aps receber a atualizao de um vizinho de que uma determinada rede est inacessvel, o temporizador Hold-down disparado. Se antes do Hold-down expirar, for recebida uma atualizao do mesmo vizinho de que aquela rede est novamente acessvel, o roteador marca a rota como acessvel e remove o temporizador.

26

Se chegar uma atualizao de um vizinho diferente para a rota em questo com uma mtrica melhor, o roteador marca a rede como acessvel e remove o Holddown. Se antes do Hold-down expirar uma atualizao for recebida com uma mtrica pior de um vizinho diferente, a atualizao ser ignorada. OSPF - OPEN SHORTEST PATH FIRST Link State (Estado de link) No muito popular em redes sem fio Caminhos calculados com base na topologia da rede Difcil controlar o fluxo de informaes de roteamento disseminadas via flooding Alterao no estado de link com um vizinho: roteador cria um novo pacote e envia para todos os roteadores da rede Convergncia mais rpida que o DV/DBF Rotas calculadas de forma centralizada, facilitando a preveno de Loops Suporta mais de uma rota e mtrica Desvantagem: Disseminao de rotas via flooding pode sobrecarregar a rede Resumo em cinco passos: 1. Descobrir os vizinhos e aprender seus endereos de rede 2. Medir atraso ou custo de comunicao para cada um dos vizinhos 3. Gerar um pacote com tudo que j aprendeu 4. Enviar pacote para todos os outros roteadores da rede 5. Calcular o menor caminho para todos os outros roteadores da rede BGP- BORDER GATEWAY PROTOCOL Comunicao entre sistemas autnomos (AS- Autonomous Systems) Divulgao de informaes de Roteamento BGP feita entre roteadores que estabelecem uma relao de vizinhana, sempre na forma de pares Conexo direta ou algum protocolo IGP para garantir a alcanabilidade (Peers ou Speakers) Utiliza a porta TCP 179, visando garantir troca confivel de informaes Identificao de ASs- Nmero de 1 a 65535, sendo a faixa 64512-65535 (1024 ASs) reservada para uso privado Atualizao de tabelas de rotas entre vizinho ocorre apenas quando a tabela BGP sofre alguma mudana (Divulgao mais leve) Atualizao pode ser incremental (Apenas atualizaes)
Expresso utilizada para definir rotas que devem ser removidas da tabela BGP: Withdrawn

Full Routing: Roteadores que recebem todos os anncios de rota da internet. Desejvel nos Core Routers que possuem mltiplos pontos de interconexo com outros backbones. Na maioria dos casos, no utilizado. A tabela BGP possui nmero identificador de verso, incrementado cada vez que esta sofre uma modificao.

27

Estados de uma conexo BGP 1. Idle - Aguardando a conexo de um Peer remoto; se a tentativa de connect for malsucedida, volta para esse estado. 2. Connect - Aguarda a conexo TCP na porta 179. Caso seja bem-sucedida, passa para o estado Opensent.

17. 802.1d STP(Spanning Tree and Algorythm Protocol) e 802.1w - RSTP(Rapid Spanning Tree Protocol)
Objetivo:
Eliminar loops causados por links redundantes em redes comutadas (switched) ou em ponte (bridged). Na maioria dos switches, o Spanning Tree ativado por padro. Por padro, uma instncia do Spanning Tree executada em cada VLAN configurada, embora possa ser desativada por VLAN ou em nvel global. Quando ligado, um switch usando 802.1d ir se comunicar com outros switches usando Spanning Tree para efetuar a sua configurao. Uma porta Spanning Tree pode estar em um dos quatro estados. Estes incluem: Listening(escutando) - Neste estado, a porta est escutando a Spanning Tree (BPDUs Bridge PDUs) e tentando descobrir como a rede est configurada. Learning(Aprendendo) - Neste estado, a porta est acrescentando sua tabela de endereos MAC, mas ainda no encaminhando quadros. Forwarding(Encaminhando) - Quando neste estado, uma porta envia e recebe dados normalmente. Durante a operao normal, uma porta vai estar neste estado ou em estado de bloqueio. Blocking/Discarding(Descartando) - Nessa condio, uma porta no vai enviar nem receber dados, mas vai ouvir as mensagens relativas rede Spanning Tree. Por padro, todas as portas esto em modo de bloqueio quando um switch ligado pela primeira vez. Mensagens denominadas Bridge Protocol Data Units (BPDUs) so passadas entre pontes ou switches. BPDUs so quadros muito pequenos enviados utilizando multicasts para permitir que outros switches conheam a topologia da rede em relao ao Spanning Tree. Terminologia: STP/RSTP Priority Vector - Informao contida em uma BPDU que permite a um switch/bridge identificar a root bridge e o seu caminho de custo mais baixo para alcan-la. Root Port - Funo de Porta(port role) de um switch/bridge que representa o caminho de menor custo at a root bridge. Designated Port - Porta de uma bridge ou de um switch conectada a determinado segmento de rede que define o caminho de menor custo daquela LAN at a root bridge. Alternate/Backup Port - proveem conectividade em caso de falha de outros elementos. Root Path Cost - Soma dos caminhos de menor custo entre uma bridge e uma root bridge. para a Root Bridge(por motivo bvio) esse custo ZERO.

28

Custo de links para clculo do Root Path Cost: BANDA 4 Mbit/s 10 Mbit/s 16 Mbit/s 45 Mbit/s 100 Mbit/s 155 Mbit/s 200 Mbit/s 622 Mbit/s 1 Gbit/s 2 Gbit/s 10 Gbit/s 20 Gbit/s CUSTO 250 100 62 39 19 14 12 6 4 3 2 1

A Porta em cada ponte com o caminho de menor custo para a root bridge(Lowest Cost Root Path) atribudo o papel de root port para aquela Ponte (a Root Bridge no tem um Root Port). Se uma bridge tem duas ou mais portas com o mesmo custo de caminho at a root brige(Root Path Cost),ento a porta com o melhor identificador selecionada como a porta para a root bridge. Parte do identificador da porta fixa e diferente para cada porta de uma ponte, e parte um componente gerencivel de prioridade. A prioridade relativa de portas determinada pela comparao numrica dos identificadores nicos, com o menor valor numrico indicando o melhor identificador. Cada segmento em uma rede local baseada em Bridges/switches tambm tem um Custo de Caminho Raiz(Root Path Cost) associado. Este o Custo do Caminho Raiz da bridge(Ponte) de menor custo, com uma porta ligada a esse rede. Esta ponte selecionada como a Ponte Designada(Desgnated Bridge) para esse local. Se houver duas ou mais pontes com o mesmo Custo de Caminho Raiz(Root Path Cost), em seguida, a Ponte com a melhor prioridade (menor valor numrico) selecionada como a Ponte Designada(Designated Bridge). A porta da Ponte Designada(Designated Bridge) ligada rede local atribudo o papel de Porta designada(Designated Port) para aquela rede. Se a Ponte Designada(Designated Bridge) tem duas ou mais portas ligadas rede local, ento a porta com o melhor identificador de Prioridade de Porta (Priority Port Identifier com menor valor numrico) selecionada como a porta designada(Designated Port). Algoritmo bsico STP/RSTP: 1 Aps a inicializao, todas as pontes pensam que so a ponte-raiz(root bridge).

29

2 Supondo que a primeira a enviar mensagem seja a ponte C, informando que ela a ponteraiz(root bridge). A ponte B compara o seu identificador com o identificador de C e passa a reconhecer a ponte C como a ponte-raiz, j que o identificador de C menor que o seu. J a ponte A, ao fazer a comparao, percebe que o identificador da ponte C maior que o dela, e assim, envia uma mensagem, insistindo que ela a ponte-raiz. B recebe a mensagem, faz a comparao do ID de A com o seu, e ao detectar que o ID de A menor que o dela, reconhece A como ponte-raiz. E a ponte B atualiza o seu registro de ponte-raiz, j que o identificador de A menor que o da ponte C.

3 Cada ponte no-raiz deve escolher uma porta-raiz(root port), que aquela mais prxima ponte-raiz. Elas elegem suas respectivas portas-raiz com base no custo do caminho para a raiz(Root Path Cost), que o custo acumulado de todos os links para a ponte-raiz.

30

4 Eleio das portas designadas As portas que possuem o menor custo de caminho at a raiz so eleitas portas designadas(designated ports). A ponte que contm a porta designada para determinado segmento de rede e denominada a ponte designada para aquele segmento(designated bridge). E como a ponte A est diretamente conectada aos segmentos 1 e 2, as portas conectadas tornam-se as portas designadas para aqueles segmentos.

5 Para o segmento 3, temos o mesmo custo de caminho para a ponte-raiz(Root Path Cost) para as pontes B e C, e assim, o critrio de desempate ser o identificador menor, que neste caso, o da ponte C. Diante disso, a ponte C torna-se a ponte designada(Desgnated Bridge) para o segmento 3.

31

6 As portas-raiz e as portas designadas passam para o estado Forwarding(encaminhando pacotes) e as demais portas passam ao estado Blocking(bloqueando pacotes). A partir deste momento, pode-se dizer que a Spanning Tree est totalmente convergida.

18. QoS Quality of Service(IEEE 802.1p)

Os parmetros QoS so especificados pelo usurio de transporte quando uma conexo solicitada. Os valores mnimo e mximo aceitveis podem ser fornecidos. s vezes, ao conhecer os valores de QoS, a camada de transporte percebe imediatamente que alguns deles no podem ser alcanados e reporta ao solicitante o erro e a sua causa, sem sequer contatar o n de destino. Em outros casos, a camada de transporte sabe que no pode alcanar o objetivo desejado (por exemplo, um throughput de 600Mbps), mas pode atingir uma taxa mais baixa, porm aceitvel (por exemplo, 150Mbps). Em seguida, a camada de transporte envia a taxa mais baixa e a mnima aceitvel para a mquina remota e solicita o estabelecimento de uma conexo. Se a mquina remota no puder administrar o valor sugerido, mas conseguir administrar qualquer valor acima do mnimo, a camada de transporte far uma contraproposta. Se a mquina remota no puder trabalhar com qualquer valor acima do mnimo, ela rejeitar a tentativa de conexo. Por fim, o usurio de transporte da mquina de origem informado do fato de que a conexo foi estabelecida ou rejeitada. Se a conexo tiver sido estabelecida, o usurio ser informado dos valores dos parmetros acordados. Esse procedimento chamado de negociao de opo (option negotiation). Uma vez que tenham sido negociadas, as opes sero mantidas durante toda a conexo. Differentiated Services (diffserv) O objetivo da arquitetura diffserv melhorar o protocolo IP a fim de obter qualidade de servio de uma forma escalvel, ou seja, sem depender de protocolos de sinalizao em cada n ou reserva de recursos baseada em fluxo. Para isso, utilizado o campo DS (Differentiated Services) do cabealho IP, que nada mais do que o campo TOS (Type Of Service) do cabealho IPv4 (RFC 791) ou o campo classe de trfego do IPv6 (RFC 2460). A configurao do campo DS pela aplicao vai determinar o comportamento do pacote na rede e seu tipo de servio, ou seja, se ele vai ser mais ou menos prioritrio.
32

Servios so definidos como necessidades dos usurios, tanto fim-a-fim como dentro de um mesmo domnio. Tais necessidades podem ser de largura de banda ou baseadas em desempenho relativo (uso de classes). O contrato de servio entre o cliente e o provedor de servios conhecido como Service Level Agreement (SLA). Os servios podem ser implementados de acordo com as seguintes diretivas: Marcar o campo DS do cabealho IP de acordo com o tipo de servio. Usado nos limites da rede (limites de sistemas autnomos, limites administrativos internos ou hosts); Usar o campo DS para determinar a prioridade com que os pacotes sero encaminhados atravs dos ns da rede; Condicionar os pacotes nos limites da rede de acordo com os requerimentos de cada servio, como, por exemplo, monitoramento, poltica e conformao de trfego. Dessa forma, cada pacote vai ter um comportamento num determinado n, e isso conhecido como per-hop behaviors, ou PHB. Muitos padres de PHB esto em desenvolvimento no IETF, como, por exemplo, o Expedited Forwarding (EF), ou encaminhamento agilizado, e Assured Forwarding (AF), ou encaminhamento garantido. O campo DS mostrado na figura 3.1. Como pode ser visto, seis bits so usados como cdigo para determinar o PHB que determinado pacote vai ter em cada n da rede. Dois bits no so usados ainda.

O campo DS visto acima incompatvel com a estrutura definida no campo TOS do IPv4, podendo provocar comportamentos de encaminhamento de pacotes indesejveis caso o pacote seja IPv4 original. Para eliminar esse problema, est definido um mtodo de utilizao do DS onde existe uma compatibilizao ao campo TOS. O Protocolo IEEE 802.1p/q O protocolo IEEE 802.1p uma tcnica para priorizao de trfego em redes locais, sendo especificado na norma IEEE 802.1D LAN Bridges. Atravs dessa tcnica, possvel utilizar aplicaes sensveis a tempo em ambientes LAN. No IEEE 802.1p, esto definidas 8 classes de trfego. Como os pacotes Ethernet no possuem campos para priorizao de trfego, a norma 802.1p recomenda a utilizao da extenso Ethernet para reconhecimento de VLANs, definida na norma 802.1Q. Essa norma adiciona 4 bytes ao pacote Ethernet a fim de reconhecimento de VLANs, e desses 4 bytes, 3 bits so reservados para priorizao de trfego. De acordo com a abordagem do padro 802.1p, os diferentes tipos de trfego podem ser tratados utilizando oito nveis de prioridade: 000(0) 001(1) 010(2) 011(3) Best Effort Background No Utilizado Excellent Effort
33

100(4) 101(5) 110(6) 111(7)

Carga Controlada Vdeo Voz Controle de Rede

19. VLANS Redes Virtuais (IEEE 802.1q)

A especificao IEEE 802.1Q estabelece um mtodo padro para marcar os pacotes Ethernet com informao de participao em VLAN. O padro IEEE 802.1Q define a operao de pontes/ switches VLAN que permite a definio, operao e administrao de topologias de rede virtual dentro de uma infra-estrutura LAN com pontes/switches. O padro 802.1Q pretende solucionar o problema de como quebrar redes grandes em partes menores para o trfego de broadcast e multicast , evitando maior consumo de banda que o necessrio. A norma tambm ajuda a fornecer um maior nvel de segurana entre os segmentos de redes internas. A chave para o IEEE 802.1Q desempenhar as funes acima est em suas marcas(tags). As portas de switches compatveis com o padro 802.1Q podem ser configuradas para transmitir quadros marcados (tagged) ou no (untagged). Um campo com a tag contendo a informao de VLAN (e / ou prioridade 802.1p) pode ser inserido em um quadro Ethernet. Se a porta tiver um dispositivo compatvel com o padro 802.1Q conectado (como outro switch, por exemplo)), estes quadros marcados podem transportar informaes da VLAN entre Switches, permitindo, assim, a VLAN se estender por mltiplos switches. No entanto, importante garantir que as portas com os dispositivos no compatveis com 802.1Q conectados a elas sejam configuradas para transmitir quadros no-marcados(untagged). Muitas placas de rede para PCs e impressoras no so compatveis com o 802.1Q. Se um dispositivos desses receber um quadro marcado, eles no vo entender a etiqueta(tag) de VLAN e vai descartar o quadro. Alm disso, o tamanho mximo do quadro Ethernet para quadros marcados (tagged frames) foi aumentado em 802.1Q (e seu companheiro, 802.3ac) de 1.518 para 1.522 bytes. Isso pode fazer com que placas de rede e switches mais antigos descartem quadros marcados, considerando-os como "superdimensionados(oversized)".
Formato do quadro 802.1q para Ethernet

TPID(Tag Protocol Identifier / Identificador do protocolo da Tag)- Padro 0x8100, podendo assumir tambm os valores 0x9100 ou 0x9200. Quando um quadro possui o EtherType igual a 8100, o quadro carrega uma tag 802.1Q/802.1p

34

TCI(Tag Control Information / Informao de Controle de Tag) Campo que inclui a prioridade do usurio, indicador do formato cannico e o identificador da VLAN(VLAN ID) Priority(Priordade)- Parte do TCI, define a prioridade do usurio, definida em 8(23) nveis. O padro IEEE 802.1P define a operao para estes trs bits de prioridade de usurio. CFI(Canonical Format Indicator/Indicador de Formato Cannico) sempre definido como zero para switches Ethernet. usado por razes de compatibildiade entre redes do tipo Ethernet e Token Ring. Se um quadro recebido numa porta Ethernet com CFI definido em 1, ento aquele quadro no deve ser encaminhado, j que ele para uma porta untagged VID(VLAN ID / Identificador de VLAN) a identificao da VLAN, o qual basicamente pelo 802.1Q. Possui 12 bits e permite a identificao de at 4096 (212). Destes, o VID 0(zero) utilizado para identificar quadros de prioridade e o 4095(FFF) reservado, de forma que o nmero mximo de VLANS 4.094. Existem os seguintes tipos de LANs virtuais: VLAN baseada em portas(Port-Based VLAN): cada porta fsica do switch configurada com uma lista de acesso, especificando a adeso de um conjunto de VLANs. VLAN baseada em endereo fsico(MAC-based VLAN): o switch configurado com uma lista de acesso mapeando endereos MAC em relao a participao em VLANs. Protocol-based VLAN(VLAN baseada em protocolo): o switch configurada com base nos protocolos da camada 3(IP, IPX, etc.). ATM VLAN(VLAN ATM) utiliza protocolo LAN Emulation (LANE) para mapear os pacotes Ethernet em clulas ATM e entreg-los ao seu destino atravs da converso de um endereo MAC Ethernet em um endereo ATM.

20. 802.3af PoE Power over Ethernet

A tecnologia PoE(Power over Ethernet) descreve um sistema para transferir, de forma segura, energia eltrica e dados para dispositivos remotos atravs de cabos de rede Categoria 5(CAT5), dispensando mudanas na infraestrutura de cabeamento Ethernet existente. A faixa de tenso permitida para um PSE(Power Source Equipment) 44-57 VDC, sendo a tenso nominal de 48 VDC e um valor de corrente selecionvel entre 10 e 350 mA. Classes (em funo da faixa de alimentao/potncia requerida) Classe 0(Padro): 0.44 12,94 W Classe 1: 0,44 - 3,84 W Classe 2: 3,85 - 6,49 W Classe 3: 6,5 - 12,95W Classe 4: reservada para uso futuro(equipamento que exijam maiores potncias) Nota: o padro IEEE 802.3at, ratificado em setembro de 2009, prov at 25W de potncia. PSE - Power Source Equipments Tipos: Mid-span hub - Geralmente instalado prximo a um switch e cada cabo de rede do switch conectado a uma porta do mid-span hub e destas aos dispositivos alimentados(PD Powered Devices).

35

Single Port mid-span hub - Tem como funo separar os dados da alimentao de um cabo Ethernet e possui apenas uma porta. Pode ser utilizado, por exemplo, para ligar uma cmera IP que no suporta a alimentao eltrica atravs da interface RJ45, e outros equipamentos mais antigos, sem suporte a PoE.

PoE Injector utilizado para inserir alimentao em um cabo de rede, a fim de alimentar um dispositivo PoE.

End Span Hub - So equipamentos que possuem uma fonte de energia embutida, como o caso dos switchs PoE. Utilizam os quatro pares do cabo de rede, possibilitando PoE Ethernet 1Gbit/s. Neste caso, os dispositivos devem suportar o PoE. Os Power Source Equipments do dos tipos mid-span e PoE Injectors utilizam os pares 4-5 e 7-8 (Mode B) para a alimentao. J os End Span utilizam os pares 1-2 e 3 -6(Mode A), os mesmos

36

utilizados para transmisso de dados, diferenciando-se os sinais atravs de modulao em freqncias diferentes.

21. Firewalls
So dois os tipos primrios: filtro de pacotes e controle de aplicaes/contedo. Filtro de pacotes Utilizado em redes de pequeno ou mdio porte Filtros com base em endereos IP de origem e destino e portas UDP/TCP Capaz de analisar informaes sobre conexo e notar alteraes suspeitas Capaz de analisar o contedo de pacotes Firewall de aplicao Geralmente instalados em servidores e conhecidos como proxies Acompanhamento mais preciso do trfego passante Proxy firewalls: o Bastion hosts o Non-transparent proxies Firewall de inspeo de estado(stateful) SMLI Stateful Multi-Layer Inspection: velocidade de filtro de pacotes com a segurana de um gateway de aplicaes. Transparente para o usurio. Polticas de aplicao de regras aplicveis aos pacotes IP Descartar: Tudo que no expressamente permitido, proibido Encaminhar: Tudo que no expressamente proibido, permitido.

22. Redes Privadas Virtuais(VPN Virtual Private Networks)

O conceito de rede privada virtual consiste na interligao de duas ou mais redes, via de regra LANs, atravs do uso de uma rede intermediria, seja esta pblica ou mesmo outra rede privada, a qual prov os mecanismos de encapsulamento(tunelamento) e segurana(criptografia dos dados trafegados). O tunelamento tem por objetivo encapsular datagramas de um protocolo em outro, utilizado como transporte na rede intermediria. J a criptografia dos dados visa assegurar os atributos de segurana, como autenticao, integridade e confidencialidade. O cenrio mais comum o uso da Internet como rede de interconexo, integrando redes geograficamente distribudas de uma mesma empresa ou integrando redes de empresas parceiras de negcios, por exemplo. Protocolos de tunelamento no nvel 2(Enlace de dados) PPTP (Point-to-Point Tunneling Protocol Protocolo desenvolvido pela Microsoft, o PPTP permite que o trfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados atravs de redes pblicas ou privadas. L2TP(Layer 2 Tunneling Protocol) Desenvolvido pela IETF, permite que os protocolos da camada 3 sejam criptografados e enviados atravs de canais de comunicao ponto a ponto como IP, X.25, Frame Relay e ATM. L2F(Layer 2 Forwarding) proprietrio da Cisco e utilizado em conexes discadas. Tunelamento em nvel 3(rede IP sobre IP) Consiste no encapsulamento de datagrama IP, com um cabealho adicional deste mesmo protocolo, antes de envi-lo atravs da rede. O IPSec(IP Security Tunnel Mode), desenvolvido pela IETF funciona desta forma, e j foi desenvolvido pensando-se no IPv6.

37

Funcionamento dos tneis No tunelamento nvel 2, o comportamento similar ao estabelecimento de uma sesso, onde as pontas negociam a configurao de parmetros para estabelecimento do tnel, como endereamento, criptografia e compresso, e a gerncia do tnel realizada atravs de protocolos de manuteno. O tnel criado, mantido e ento, encerrado. Nas tecnologias de nvel 3, no h a fase de manuteno do tnel. Tipos de tneis Voluntrio um cliente VPN emite uma solicitao VPN para configurar e criar um tnel. Neste caso, o computador do usurio funciona como uma das extremidades do tnel, sendo tambm cliente do tnel. Compulsrio o cliente VPN faz uma conexo com o servidor que prov o acesso ao tnel, o qual mais comumente conhecido como FEP(Front End Processor). Estes, por sua vez, estabelecem os tneis com os servidores de Tnel. Esta configurao conhecida como tunelamento compulsrio devido ao fato de o cliente ser obrigado a utilizar o tnel criado pelo FEP. IPSEC Internet Protocol Security O IPSEC um protocolo padro da camada 3,projetado pela IETF, que oferece transferncia segura de informaes fim-a-fim atravs de redes IP pblicas ou privadas. Basicamente, ele recebe datagramas IP privados, realiza funes de segurana de dados(criptografia, autenticao e integridade) e os encapsula em outros datagramas IP, que sero ento transmitidos. Os requisitos de segurana podem ser divididos em dois grupos, independentes entre si, podendo ser utilizados separadamente ou em conjunto, de acordo com a necessidade. Eles esto separados em Autenticao e Integridade e Confidencialidade. Para atender os requisitos citados anteriormente, o IPSec utliza trs mecanismos: ISAKMP Internet Security Association and Key Management Protocol AH Authentication Header ESP Encapsulation Security Payload O ISAKMP combina conceitos de autenticao, gerenciamento de chaves e outros requisitos de segurana necessrios s transaes e comunicaes na Internet. Atravs deste mecanismo, duas mquinas negociam diversos aspectos de segurana, como mtodos de autenticao e gerao de chaves para cifrar/decifrar dados. Este protocolo define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as Associaes de Segurana(SA Security Associations). As SAs contm todas as informaes necessrias para a execuo de diversos servios de segurana na rede, como autenticao de cabealho e encapsulamento, por exemplo. O AH prov integridade e autenticao dos datagramas IP, aplicando-se um algoritmo sobre o contedo dos campos do datagrama, exceto aqueles que so passveis de modificao durante o transporte. J o ESP o mecanismo que garante a confidencialidade, provendo tambm a autenticao da origem dos dados, integridade da conexo e servio anti-replay. A confidencialidade pode ser implementada de duas maneiras e independentemente dos demais servios. O primeiro modo encapsula o pacote da camada de transporte dentro do ESP; no segundo, o datagrama IP totalmente encapsulado dentro do cabealho do ESP

23. Resposta a incidentes (RFC 2350)

Avaliao dos relatos (report assessment) o Interpretao o Priorizao o Correlao com incidentes em curso e tendncias

38

Verificao o Determinar se o incidente realmente ocorreu e seu escopo Coordenao de incidentes o Categorizao da informao classificao da informao relacionada ao incidente (arquivos de log, informaes de contato, etc.), de acordo com a poltica de divulgao. o Coordenao notificao das partes envolvidas. Resoluo de incidentes o Assistncia/suporte tcnico pode incluir a anlise dos sistemas comprometidos. o Erradicao eliminao da causa de um incidente de segurana (vulnerabilidade explorada). o Recuperao Auxlio na restaurao dos sistemas e servios a seus estados antes da ocorrncia do incidente (backup, anlise de vulnerabilidade, aplicao de atualizaes/correes, etc.). Atividades pr-ativas o Anlise/fornecimento de informaes (base de vulnerabilidades conhecidas, correes (patches), solues de problemas passados, participao em listas de discusso) o Ferramentas para auditoria de segurana de sites o Educao e treinamento o Avaliao de produtos o Auditoria e consultoria em segurana de sites Aprendizado o Poltica de atualizao o Auditoria de sistemas/redes o Protees

**********

39