[eBook Informática Português] - [Editora ] - Firewall - Segurança de Redes Linux

5/21/2018 [eBook Inform tica Portugu s] - [Editora ] - Firewall - Seguran a de Redes Linu...

http:///reader/full/ebook-informatica-portugues-editora-firewall-seguranca-de-

Firewall:Segurana de redes Linux

Paul Russell

Gleydson Mazioli da SilvaAlexandre Folle de Menezes

Traduo Oficial AlfamdiaAlexandre Folle de Menezes

Verso 1.1, agosto/2002.



As marcas registradas utilizadas no decorrer deste livro so usadasunicamente para fins didticos, sendo estas propriedade de suas respectivascompanhias.

A Alfamdia no assume qualquer responsabilidade por erros ou omisses, oupor danos resultantes do uso das informaes contidas neste livro.

O captulo 5 uma adaptao do texto:

Linux IPCHAINS-HOWTOCopyright 1999 Paul Russell, Traduo para o portugus por Gleydson Mazioli da Silva,

O captulo 6 uma adaptao do texto:

Guia Foca GNU/LinuxCopyleft 1999-2002 - Gleydson Mazioli da Silva.Fonte: http://focalinux.cipsga.org.br

Os captulos 1, 2 e 4 foram escritos por:

Copyright 2002 porAlexandre Folle de Menezes

Traduo para portugus - Brasil, 2002:

Alfamdia LtdaRua Flix da Cunha, 818Porto Alegre - RS - BrasilFone/Fax: +55 (51) 3346-7300

E-mail: [email protected]: http://www.alfamidia.com.br

Esta apostila uma coletnea de textos com licena GNU ou livresencontrados na Internet, conforme referncias acima.

Este material foi totalmente montado com fins didticos, sem objetivocomercial. Foram acrescentados exemplos e exerccios desenvolvidospela Alfamdia Ltda.



CONTEDO

CONTEDO................................................................................................................... 5

1 TCP/IP..................................................................................................................... 11

1.1 A CAMADA FSICA................................................................................................. 111.2 A CAMADA DE ENLACE DE DADOS ....................................................................... 12

1.3 A CAMADA DE REDE ............................................................................................. 12

1.3.1 O DATAGRAMA IP............................................................................................... 13

1.3.2 FRAGMENTAO DOS DATAGRAMAS.................................................................. 14

1.4 CAMADA DE TRANSPORTE.................................................................................... 14

1.4.1 TCP..................................................................................................................... 14

1.4.1.1 O pacote TCP.................................................................................................. 15

1.4.2 UDP.................................................................................................................... 16

1.4.3 ICMP.................................................................................................................. 161.5 MONTAGEM DOS PACOTES.................................................................................... 17

1.6 R OTEAMENTO ....................................................................................................... 18

1.6.1 REEMPACOTAMENTO........................................................................................... 20

EXERCCIOS.................................................................................................................... 21

2 ENDEREAMENTO............................................................................................. 22

2.1 ENDEREAMENTO DE ENLACE (MAC) ................................................................ 22

2.2 ENDEREAMENTO DE REDE (IP) .......................................................................... 22

2.2.1 MULTIHOMING.................................................................................................... 23

2.2.2 CLASSES DE REDE IP ........................................................................................... 232.2.3 ENDEREOS RESERVADOS PARA USO EM REDES PRIVADAS ................................. 24

2.2.4 ENDEREOS ESPECIAIS ........................................................................................ 24

2.2.4.1 O endereo de Rede......................................................................................... 24

2.2.4.2 O endereo deBroadcast................................................................................. 25

2.2.4.3 O endereo deLoopback................................................................................. 25

2.2.5 DIVISO EM SUB-REDES....................................................................................... 25

2.2.5.1 Mscaras de Sub-Rede.................................................................................... 25

2.2.6 SUPER-REDES E CDIR......................................................................................... 26

2.2.7 REFERNCIA RPIDA DE MSCARA DE REDES ...................................................... 262.3 ENDEREAMENTO DE SESSO (PORTAS) ............................................................. 27

EXERCCIOS.................................................................................................................... 28

3 CONECTANDO REDES....................................................................................... 29

3.1 R OTEAMENTO ....................................................................................................... 29

3.1.1 ROTAS ESTTICAS E DINMICAS .......................................................................... 29

3.1.2 GATEWAY............................................................................................................ 30


http:///reader/full/ebook-informatica-portugues-editora-firewall-seguranca-de-6

3.2 NETFILTER............................................................................................................ 30

3.2.1 ANATOMIA DO NETFILTER................................................................................... 31

3.2.2 NAT.................................................................................................................... 31

3.2.2.1 Tipos de NAT.................................................................................................. 32

3.2.3 IMPLEMENTAO DE UM SERVIONAT .............................................................. 32

4 VULNERABILIDADES NO PROTOCOLO TCP/IP ........................................ 334.1 DISPONIBILIDADE DOS DADOS............................................................................... 33

4.2 SOBRE O PROTOCOLO TCP/IP ............................................................................. 33

4.3 IP SPOOFING ......................................................................................................... 34

4.3.1 SERVIOS VULNERVEIS AO IP SPOOFING:.......................................................... 34

4.3.2 MEDIDAS PARA SE PREVENIR DE ATAQUES IP SPOOFING: .................................... 35

4.4 SOBRE OS ATAQUES............................................................................................... 35

4.4.1 SYN FLOODING................................................................................................... 35

4.4.2 LAND................................................................................................................... 35

4.4.3 WINNUKE............................................................................................................ 364.4.4 TEARDROP.......................................................................................................... 36

4.4.5 NEWTEAR............................................................................................................ 37

4.4.6 BONK/BOINK....................................................................................................... 37

4.4.7 SSPING................................................................................................................. 37

4.4.8 SMURF ................................................................................................................. 37

5 FIREWALL IPCHAINS........................................................................................ 39

5.1 INTRODUO......................................................................................................... 39

5.1.1 O QUE? ................................................................................................................ 39

5.1.2 POR QUE?............................................................................................................ 39

5.1.3 COMO?................................................................................................................ 39

5.1.4 ONDE? ................................................................................................................. 40

5.2 BSICO SOBRE A FILTRAGEM DE PACOTES........................................................... 40

5.2.1 O QUE ? ............................................................................................................. 40

5.2.2 POR QUE?............................................................................................................ 40

5.2.3 COMO?................................................................................................................ 41

5.2.3.1 Um kernel com filtragem de pacotes............................................................... 41

5.2.3.2 O ipchains .................................................................................................. 42

5.2.3.3 Fazendo regras permanentes............................................................................ 42

5.3 R OTEAMENTO, MASQUERADING, PORTFORWARDING, IPAUTOFW...................... 43

5.3.1 GUIA RPIDO DE TRS LINHAS PARA MASQUERADING......................................... 43

5.3.2 CONFIGURAES DE FIREWALL SIMPLES............................................................. 44

5.3.2.1 Rede Pblica.................................................................................................... 44

5.3.2.2 Rede Privada: Masquerading........................................................................... 45

5.3.2.3 Rede Privada: Proxies Transparentes .............................................................. 46

5.3.2.4 Rede Privada: Proxies Tradicionais................................................................. 47



5.3.2.5 Servios Internos Limitados............................................................................ 48

5.3.3 MAIS DETALHES SOBRE MASQUERADING ............................................................ 48

5.4 IP FIREWALLING CHAINS..................................................................................... 49

5.4.1 COMO OS PACOTES ATRAVESSAM OS FILTROS...................................................... 49

5.4.1.1 Usando ipchains......................................................................................... 50

5.4.1.2 Operaes em uma regra Simples................................................................... 51

5.4.1.3 Especificaes de Filtragem............................................................................ 535.4.1.4 Efeitos do Lado da Filtragem .......................................................................... 57

5.4.1.5 Operaes em Masquerading.......................................................................... 64

5.4.1.6 Checando um Pacote....................................................................................... 65

5.4.1.7 Multiplas Regras at Once and Watching What Happens................................ 65

5.4.2 EXEMPLOS TEIS ................................................................................................. 66

5.4.2.1 Usando ipchains-save............................................................................. 68

5.4.2.2 Usando ipchains-restore...................................................................... 68

5.5 DIVERSOS .............................................................................................................. 69

5.5.1 COMO ORGANIZAR SUAS REGRAS DE FIREWALL ................................................... 695.5.2 O QUE NO FILTRAR............................................................................................ 69

5.5.2.1 Pacotes ICMP .................................................................................................. 69

5.5.2.2 Conexes TCP para DNS (servidores de nomes)............................................ 70

5.5.2.3 Pesadelos FTP................................................................................................. 70

5.5.3 FILTRANDO O PING OF DEATH (PING DA MORTE) ................................................. 71

5.5.4 FILTRANDO O TEARDROP E BONK........................................................................ 71

5.5.5 FILTRANDO BOMBAS DE FRAGMENTO ................................................................. 71

5.5.6 MODIFICANDO REGRAS DO FIREWALL................................................................. 71

5.5.7 COMO EU CONFIGURO A PROTEO IP SPOOF?.................................................... 725.6 PROBLEMAS COMUNS............................................................................................ 73

5.6.1 IPCHAINS -L TRAVA! ........................................................................................... 73

5.6.2 MASQUERADING/FORWARDING NO FUNCIONA!................................................. 73

5.6.3 -J REDIRNO FUNCIONA!.............................................................................. 73

5.6.4 CORINGAS NAS INTERFACES NO FUNCINAM!..................................................... 74

5.6.5 TOSNO FUNCIONA! .......................................................................................... 74

5.6.6 IPAUTOFWE IPPORTFWNO FUNCIONAM!........................................................... 74

5.6.7 XOSVIEW EST QUEBRADO! ................................................................................. 74

5.6.8 FALTA DE SEGMENTAO COM -J REDIRECT! ............................................ 745.6.9 EU NO POSSO CONFIGURAR TEMPO LIMITE NO MASQUERADE! ........................... 74

5.6.10 EU DESEJO PROTEGER IPX!............................................................................... 75

6 FIREWALL IPTABLES........................................................................................ 76

6.1 INTRODUO......................................................................................................... 76

6.1.1 VERSO ............................................................................................................... 77

6.1.2 UM RESUMO DA HISTRIA DO IPTABLES............................................................... 77



6.1.3 CARACTERSTICAS DO FIREWALL IPTABLES ......................................................... 77

6.1.4 FICHA TCNICA.................................................................................................... 78

6.1.5 REQUERIMENTOS................................................................................................. 78

6.1.6 ARQUIVOS DE LOGS CRIADOS PELO IPTABLES ...................................................... 79

6.1.7 INSTALAO........................................................................................................ 79

6.1.8 ENVIANDO CORREES/CONTRIBUINDO COM O PROJETO.................................... 79

6.1.9 O QUE ACONTECEU COM O IPCHAINS E IPFWADM? ............................................... 796.1.10 TIPOS DE FIREWALLS ......................................................................................... 79

6.1.11 O QUE PROTEGER?............................................................................................. 80

6.1.12 O QUE SO REGRAS?.......................................................................................... 81

6.1.13 O QUE SO CHAINS? .......................................................................................... 81

6.1.14 O QUE SO TABELAS?........................................................................................ 81

6.1.15 HABILITANDO O SUPORTE AO IPTABLES NO KERNEL .......................................... 82

6.1.16 LIGANDO SUA REDE INTERNA A INTERNET......................................................... 84

6.2 MANIPULANDO CHAINS......................................................................................... 84

6.2.1 ADICIONANDO REGRAS - A.................................................................................. 846.2.2 LISTANDO REGRAS - L ......................................................................................... 85

6.2.3 APAGANDO UMA REGRA - D ................................................................................ 87

6.2.4 INSERINDO UMA REGRA - I................................................................................... 88

6.2.5 SUBSTITUINDO UMA REGRA - R........................................................................... 88

6.2.6 CRIANDO UM NOVO CHAIN - N............................................................................. 88

6.2.7 LISTANDO OS NOMES DE TODOS OS CHAINS ATUAIS ............................................. 90

6.2.8 LIMPANDO AS REGRAS DE UM CHAIN - F.............................................................. 90

6.2.9 APAGANDO UM CHAIN CRIADO PELO USURIO - X............................................... 90

6.2.10 ZERANDO CONTADOR DE BYTES DOS CHAINS - Z ............................................... 906.2.11 ESPECIFICANDO O POLICIAMENTO PADRO DE UM CHAIN - P............................. 91

6.3 OUTRAS OPES DO IPTABLES.............................................................................. 92

6.3.1 ESPECIFICANDO UM ENDEREO DE ORIGEM/DESTINO........................................... 92

6.3.2 ESPECIFICANDO A INTERFACE DE ORIGEM/DESTINO............................................. 92

6.3.3 ESPECIFICANDO UM PROTOCOLO......................................................................... 94

6.3.3.1 Especificando portas de origem/destino.......................................................... 94

6.3.3.2 Especificando mensagens do protocolo ICMP................................................ 94

6.3.3.3 Especificando pacotes syn............................................................................... 95

6.3.4 ESPECIFICANDO FRAGMENTOS............................................................................. 966.3.5 ESPECIFICANDO UMA EXCEO ........................................................................... 96

6.3.6 ESPECIFICANDO UM ALVO.................................................................................... 97

6.3.6.1 Alvo REJECT.................................................................................................. 98

6.3.6.2 Especificando LOG como alvo........................................................................ 98

6.3.6.3 Especificando RETURN como alvo.............................................................. 101

6.4 A TABELA NAT (NETWORK ADDRESS TRANSLATION) - FAZENDO NAT............. 101

6.4.1 CRIANDO UM NOVO CHAIN NA TABELANAT..................................................... 102



6.4.2 FAZENDO IP MASQUERADING (PARA OS APRESSADOS) ...................................... 102

6.4.3 FAZENDO SNAT................................................................................................ 102

6.4.3.1 Fazendo IP Masquerading ............................................................................. 104

6.4.4 FAZENDO DNAT............................................................................................... 105

6.4.4.1 Redirecionamento de portas .......................................................................... 105

6.4.5 MONITORANDO CONEXES FEITAS NA TABELA NAT.......................................... 106

6.5 A TABELA MANGLE ............................................................................................. 1066.5.1 ESPECIFICANDO O TIPO DE SERVIO................................................................... 106

6.5.1.1 Especificando o TOS para trfego de sada................................................... 107

6.5.1.2 Especificando o TOS para o trfego de entrada ............................................ 107

6.6 OUTROS MDULOS DO IPTABLES ........................................................................ 107

6.6.1 CONFERINDO DE ACORDO COM O ESTADO DA CONEXO .................................... 108

6.6.2 LIMITANDO O NMERO DE VEZES QUE A REGRA CONFERE................................. 108

6.6.3 PROTEO CONTRA PING DA MORTE .................................................................. 109

6.6.4 PROTEO CONTRA SYN FLOOD......................................................................... 109

6.6.5 PROTEO CONTRA IP SPOOFING...................................................................... 1096.6.6 ESPECIFICANDO MLTIPLAS PORTAS DE ORIGEM/DESTINO................................. 110

6.6.7 ESPECIFICANDO O ENDEREO MAC DA INTERFACE........................................... 110

6.6.8 CONFERINDO COM QUEM CRIOU O PACOTE ........................................................ 111

6.7 CAMINHO PERCORRIDO PELOS PACOTES NAS TABELAS E CHAINS .................... 111

6.7.1 PINGDE 192.168.1.1PARA 192.168.1.1 ............................................ 112

6.7.2 CONEXO FTP DE 192.168.1.1 PARA 192.168.1.1 ............................................ 112

6.7.3 CONEXO FTP DE 192.168.1.1 PARA 192.168.1.4 ............................................ 113

6.7.4 CONEXO FTP DE 200.217.29.67PARA FTP.DEBIAN.ORG.BR................. 114

6.7.5 PING DE 192.168.1.4 PARA 192.168.1.1 ............................................................ 1156.7.6 CONEXO FTP DE 192.168.1.4 PARA 192.168.1.1 ............................................ 116

6.7.7 CONEXO FTP DE 192.168.1.4 PARA FTP.DEBIAN.ORG.BR................................ 117

6.7.8 CONEXO FTP DE 200.198.129.162 PARA 200.217.29.167 .............................. 118

6.7.9 GRFICO GERAL DA PASSAGEM DOS PACOTES ................................................... 118

6.8 EXEMPLOS DE CONFIGURAES DO IPTABLES................................................... 119

6.8.1 BLOQUEANDO CONEXES DE FORA PARA SUA MQUINA ................................... 119

6.8.2 MONITORANDO TENTATIVA DE CONEXO DE TROJANS EM SUA MQUINA ......... 119

6.8.3 CONECTANDO SUA REDE INTERNA A INTERNET ................................................. 120

6.8.4 UM EXEMPLO DE FIREWALL SIMPLES ................................................................. 120

7 O PROXY SQUID ................................................................................................ 125

7.1 INTRODUO....................................................................................................... 125

7.2 R EQUISITOS BSICOS .......................................................................................... 125

7.3 O FEIJO COM ARROZ......................................................................................... 126

7.3.1 INSTALAO...................................................................................................... 126

7.3.2 CONFIGURAO................................................................................................ 127

7.4 CONTROLANDO OS USURIOS ............................................................................. 128



7.5 EXEMPLOS DE CONFIGURAO .......................................................................... 130

7.5.1 PERMITIR HTTP_ACCESS PARA APENAS UMA MQUINA COM MAC ADDRESS IGUALA 00:08:C7:9F:34:41 :.................................................................................................... 130

7.5.2 PARA RESTRINGIR ACESSO NAS HORAS DE TRABALHO (9 HORAS - 17 HORAS, DESEGUNDA SEXTA) DA FAIXA DE IP 192.168.2.0 MSCARA 255.255.255.0 :................... 130

7.5.3 POSSO USAR UMA LISTA DE CONTROLE COM MULTIPLOS HORRIOS PARADIFERENTES USURIOS?................................................................................................. 130

7.5.4 QUERO CRIAR UMA ACL PARA BLOQUEAR SITES COM A PALAVRA SEXO POIS MEUSFUNCIONRIOS FICAM BAIXANDO FILMES EM DIVX DE PORNOGRAFIA:.......................... 131

7.5.5 A IDIA ACIMA E TIMA, MAS EU TENHO UMA LISTA DE PALAVRAS PARA FAZER OMESMO. TEREI QUE REPETIR ESSE COMANDO VRIAS VEZES?........................................ 131

7.5.6 AINDA EXISTEM SITES QUE ESCAPAM A ESSE CONTROLE. GOSTARIA DE BLOQUE-LOS DIRETAMENTE. ........................................................................................................ 131

7.5.7 MEU DIRETOR RECLAMA QUE AGORA NO CONSEGUE MAIS LER AS ENTREVISTASNO SITE DA PLAYBOY..................................................................................................... 132

7.5.8 E UMA LISTA DE DIRETRIOS? ........................................................................... 132

7.6 R ECURSOS NA INTERNET .................................................................................... 132APNDICE A. LICENA DE PUBLICAO LIVRE...................................... 133



1 TCP/IP

O TCP/IP um protocolo que conecta redes LAN ou WAN, homogneasou heterogneas. Ele pode fazer tanto a comunicao entre hosts ponto-a-ponto, como a comunicao entre cliente e servidor.

Existem dois tipos de interao entre aplicaes.

Comunicao Orientada Conexo apropriada quando as aplicaesprecisam de uma troca contnua de dados.

Em contraste, a Comunicao No Orientada Conexo apropriadaquando as aplicaes trocam mensagens isoladas, geralmente comquantidades pequenas de dados.

Para conseguir uma troca de dados confivel entre os ns, sonecessrios vrios procedimentos: empacotamento dos dados, determinaodo caminho a ser seguido pelos pacotes, transmisso dos dados, adaptao dataxa de transmisso de acordo com a capacidade do destino de receber dados,gerenciamento de erros e retransmisso de dados.

Isso resulta em uma implementao complicada. Para facilitar essatarefa, pode se usar uma implementao modular, agrupando as tarefasrelacionadas em camadas distintas.

Para o TCP/IP foi adotado um modelo de comunicao dividido emcamadas, que depois viria a influenciar o modelo OSI que hoje consideradopadro.

Cada camada acrescenta informaes de controle ao pacote de dados etransmite seu pacote para a camada inferior, que tambm adiciona seus dados.

1.1 A camada Fsica

A camada fsica trabalha com a mdia fsica, conectores, e os sinais querepresentam 0 e 1. Por exemplo, um modem padro V.90 ou V.92implementam as funes da camada fsica.

Aplicaese

Servios

UDP

IP

PPP

V.90

Transporte

Rede

Enlace

Fsico

Sesso

Apresentao

Aplicao

TCP

Ethernet



1.2 A camada de Enlace de Dados

A camada de enlace de dados usa a capacidade de transmisso dedados brutos da camada fsica e transforma-a em uma linha que parea camada de rede ser livre de erros de transmisso. O protocolo PPP umexemplo de camada de enlace de dados.

Na camada de Enlace de Dados, os dados so organizados em quadros.

Cada quadro tem um cabealho que inclui o endereo e controla ainformao e um trailer que usado para deteco de erros.

Um cabealho de quadro de LAN contm a os endereos fsicos deorigem e destino, que identificam as placas de rede.

Note que o Enlace pode ser uma rede local ou uma conexo Ponto-a-Ponto.

1.3 A camada de Rede

O IP (Internet Protocol) executa as funes da camada de rede. O IProteia os dados entre sistemas. Os dados podem atravessar um nico enlaceou podem ser retransmitidos por vrios enlaces pela internet. As unidades dedados so chamadas datagramas.

Os datagramas tm um cabealho IP que contm endereamento derede. Os roteadores examinam o endereo de destino no cabealho IP paradirecionar os datagramas para seu destino.

A camada IP dita No-Orientada Conexo porque cada datagrama roteado independentemente e o IP no garante a entrega confivel ou emseqncia dos datagramas.

DadosHeader Trailer

Informao

Cabealho IP

Endereo IP OrigemEndereo IP Destino



1.3.1 O Datagrama IP

O cabealho de um datagrama IP pode ser visto na figura abaixo:

Os campos do cabealho tm o seguinte significado:

VERS: verso do protocolo IP que foi usada para criar o datagrama(4bits)

HLEN: comprimento do cabealho, medido em palavras de 32 bits (4bits)

TOTAL-LENGTH: este campo proporciona o comprimento dodatagrama medido em bytes, incluindo cabealho e dados.

SERVICE-TYPE: este campo especifica como o datagrama poderiaser manejado

TTL(Time To Live): especifica o tempo que o datagrama estpermitido a permanecer no sistema Internet. Gateways e hosts queprocessam o datagrama devem decrementar o campo TTL cada vezque um datagrama passa por eles e devem remov-lo quando seutempo expirar.

PROTOCOL: especifica qual protocolo de alto nvel foi usado para

criar a mensagem que est sendo transportada na rea de dados dodatagrama.

HEADER-CHECKSUM: assegura integridade dos valores docabealho.

SOURCE AND DESTINATION IP ADDRESS: especifica o endereoIP de 32 bits do remetente e receptor.

IDENTIFICATION, FLAGS e FRAGMENTS: estes trs camposcontrolam a fragmentao e a unio dos datagramas. O campo de

Verso Header Precedncia Length of Datagram

Identificao

0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7

Flags Offset do Fragmento

TTL Protocolo Checksum do Cabealho

Endereo IP Origem

Endereo IP Destino

Opes

Dados



identificao contm um nico inteiro que identifica o datagrama, um campo muito importante porque quando um gateway fragmentaum datagrama, ele copia a maioria dos campos do cabealho dodatagrama em cada fragmento, ento a identificao tambm deveser copiada, com o propsito de que o destino saiba quaisfragmentos pertencem a quais datagramas. Cada fragmento tem omesmo formato que um datagrama completo.

FRAGMENT OFFSET: especifica o incio do datagrama original dosdados que esto sendo transportados no fragmento. medido emunidades de 8 bytes.

1.3.2 Fragmentao dos Datagramas

Ao realizar trocas de pacotes, os aplicativos da Internet se deparam comum problema: A diferena do tamanho das mensagens nas diversas redes.Nesse caso, o protocolo IP suporta o processo de fragmentao, onde osdatagramas so divididos em unidades menores.

O procedimento de fragmentao realizado por um gateway, onde asmensagens so partidas em unidades menores e adequadamenteidentificadas. a estao destino ento reagrupar as instrues baseado nasidentificaes do gateway.

Na identificao dos fragmentos o gateway cria um header para cadafragmento.O header contm os endereos iniciais das redes e umaidentificao referente mensagem a qual faz parte.

J na fase de reagrupamento, a estao destino, ao receber o primeirofragmento, independentemente de estar na ordem correta, aciona um timer. Seuma margem de tempo padro for ultrapassada e a mensagem no estiver

completamente recontituida, a estao destino descarta os fragmentosrecebidos e retorna origem uma mensagem de erro.

1.4 Camada de Transporte

1.4.1 TCP

O TCP (Transmission Control Protocol) proporciona conexes de dadosconfiveis para as aplicaes. O TCP conta com mecanismos que garantemque os dados so entregues s suas aplicaes locais:

ntegros

Em seqncia

Completos

Sem duplicatas

Os mecanismos bsicos que o TCP usa para conseguir isso so:

Numerao dos segmentos



Estabelecimento de Timeout

Retransmisso dos segmentos

O lado que recebe os dados deve coloc-los em na seqncia correta,descartando duplicatas e confirmando o recebimento dos mesmos.

O TCP implementado apenas nos hosts. O TCP um protocolo full-duplex, ou seja, ambos os lados podem enviar dados ao mesmo tempo.

O TCP adiciona um cabealho ao pacote de dados da aplicao,formando um segmento.

O TCP passa os segmentos ao IP, que ento roteia os mesmos at seudestino. O TCP aceita segmentos do IP, determina qual aplicao o destino,e passa os dados para a aplicao apropriada.

1.4.1.1 O pacote TCP

Os campos do cabealho tm o seguinte significado:

Porta Origem e Destino: estes campos no cabealho TCP contm osnmeros de portas TCP que identificam os programas de aplicaodos extremos de uma conexo.

Nmero de sequncia (32 bits): identifica a posio no fluxo de bytesdo segmento enviado pelo transmissor.

Nmero de Reconhecimento (32 bits): este campo identifica aposio do byte mais alto (ou ltimo byte) que o fonte recebeu.

Porta Origem Porta Destino

Nmero de Seqncia

Nmero de Reconhecimento

Window

Urgent PointerChecksum

Opes

FlagsReservadoOffset

Dados

0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7



Offset: contm um inteiro que especifica o incio da poro de dadosdo segmento. Este campo necessrio j que o campo Options variaem comprimento dependendo de quais opes tenham sidoincludas.

Reserv: reservado para uso futuro.

Flags (6 bits): determina o propsito e contedo do segmento,

codificado assim:o URG - Campo de ponteiro Urgente vlido

o ACK - Campo de Reconhecimento vlido

o PSH - Este segmento solicita um PUSH

o RST - Reset da conexo

o SYN - Sincroniza numeros de sequncias

o FIN - O transmissor chega ao fim do fluxo de bytes.

WINDOW: atravs deste campo o software TCP indica quantos

dados ele tem capacidade de receber em seu buffer. URGENT POINTER: TCP atravs deste campo permite que o

transmissor especifique que alguns dados so urgentes, isto significaque os dados sero expedidos to rpido quanto seja possvel.

OPTIONS: o software TCP usa este campo para se comunicar com osoftware do outro extremo da conexo.

CHECKSUM: usado para verificar a integridade tanto do cabealhocomo dos dados do segmento TCP.

1.4.2 UDPO UDP no faz nenhuma garantia quanto entrega dos dados, e

dever da aplicao trocar informaes que confirmem a chegada dos dados. OUDP implementado apenas nos hosts.

Com o UDP (User Datagram Protocol), uma aplicao manda umamensagem isolada para outra aplicao. O UDP adiciona um cabealho,formando um datagrama UDP.

O UDP passa os segmentos ao IP, que ento roteia os mesmos at seudestino. O UDP aceita segmentos do IP, determina qual aplicao o destino,

e passa os dados para a aplicao apropriada.

1.4.3 ICMP

O IP tem um projeto simples e elegante. Em condies normais, o IP fazum uso muito eficiente da memria e recursos de transmisso.

Como IP prov um servio de expedio de datagramas sem conexo eno confivel, e alm disso um datagrama viaja de um gateway a outro atalcanar um gateway que possa exped-lo diretamente estao destino;



necessrio um mecanismo que emita informaes de controle e de errosquando acontecerem problemas na rede. Alguns dos problemas tpicos quepodem acontecer so:

Um gatewayno pode expedir ou rotear um datagrama;

Um gateway detecta uma condio no usual, tal comocongestionamento.

O mecanismo de controle que emite mensagens quando acontece algumerro a funo principal do protocolo ICMP. O ICMP permite aos gatewaysenviar mensagens de erros ou de controle a outros gatewaysou hosts. ICMPprov comunicao entre o software de IP numa mquina e o software de IPnuma outra mquina.

Tabela 1-1 Mensagens ICMP

Tipo Mensagem

0 Echo Reply

3 Destination Unreachable

4 Source Quench

5 Redirect

8 Echo

11 Time Exceeded

12 Parameter Problem

13 Time Stamp

14 Time Stamp Reply

ICMP somente reporta condies de erros fonte original. A fonte deverelatar os erros aos programas de aplicao individuais e tomar ao paracorrigir o problema. Uma das mensagens que o ICMP pode enviar :Destination Unreachable, o qual, por sua vez pode ser dos seguintes tipos:

Network Unreachable(rede no alcanvel)

Host Unreachable(mquina no alcanvel)

Port Unreachable(porta no alcanvel)

Destination Host Unknown(mquina destino desconhecido)

Destination Network Unknown(rede destino desconhecida)

1.5 Montagem dos pacotes

Na maioria das redes, a informao dividida em vrias partes,chamadas de pacotes, por duas razes: compartilhamento de recursos edeteco/correo de erros.



Obviamente no justo que um nico usurio da domine os recursos darede por muito tempo. Com a diviso da informao em pacotes, cada um dospacotes pode ser enviado/recebido individualmente, permitindo assim queoutros pacotes possam trafegar pela rede. Isso possibilita umcompartilhamento justo dos recursos.

Na maioria dos casos, os dispositivos so conectados atravs de cabos.Em alguns casos, usa-se ondas de rdio ou mesmo luz infravermelha. Ambas

as formas de conexo fsica esto sujeitas a interferncias, que podemcorromper os dados que trafegam na rede. Grande parte do trabalho complexoem redes detectar e solucionar os erros no trfego dos dados.

A maioria das tcnicas de deteco e correo de erros baseada nouso de checksums. Quando a informao enviada, anexado em seu finalum nmero indicando a soma de todos os bytes da mesma. Na recepo, essenmero comparado com a soma dos dados recebidos. Se houver diferena,a informao est corrompida e deve ser retransmitida.

Caso o bloco de dados seja muito grande, o reenvio vai tomar muitotempo, degradando a performance da rede. Para minimizar este problema,

divide-se a informao em pacotes. Se houver algum erro, basta retransmitirapenas os pacotes corrompidos.

1.6 Roteamento

O TCP/IP pode ser usado em redes locais e para interligao de redes.As diversas redes locais conversam atravs dos roteadores. Pode haver maisde um caminho entre dois pontos.

Dados FrameTrailer

TCP/UDPHeader

IPHeader

FrameHeader

DadosTCP/UDPHeader

IPHeader

DadosUDP

Header

DadosAplicaaoDados

TransporteDatagrama UDP

RedeDatagrama

EnlaceQuadro

DadosTCPHeader

TransporteSegmento TCP

{



As redes isoladas so conectadas por meio de Roteadores IP.Roteadores modernos so equipados com vrios slots que podem receberdiferentes tipos de adaptadores de rede: Ethernet, Token-Ring, FDDI, PPP, etc.

O software de IP roda nos hostse nos roteadores.

Se o destino est no mesmo enlace, manda-se o datagramadiretamente para ele;

Se o destino no est no mesmo enlace, manda-se o pacote para oroteador local;

Se o destino no estiver no mesmo enlace do roteador, este irrepass-lo ao prximo roteador. Este processo continua at que odestino seja atingido.

Pode ser til ilustrar isto com um exemplo. Imagine um simples roteadorde escritrio, ele pode ter um link intermitente com a Internet, um nmero desegmentos Ethernet alimentando as estaes de trabalho e outro link PPPintermitente fora de outro escritrio. Quando o roteador recebe um datagramade qualquer de suas conexes de rede, o mecanismo que usa determina qual a

prxima interface deve enviar o datagrama. Computadores simples tambmprecisam rotear, todos os computadores na Internet tm dois dispositivos derede. Um a interface loopback(explicada acima), o outro usado para falar

com o resto da rede, talvez uma interface Ethernet, talvez uma interface serialPPP ou SLIP.

Cada computador mantm uma lista de regras especiais de roteamento,chamada tabela de roteamento. Esta tabela contm colunas que tipicamentecontm no mnimo trs campos, o primeiro o endereo de destino, o segundo o nome da interface que o datagrama deve ser roteado e o terceiro opcionalmente o endereo IP da outra mquina que levar o datagrama em

RedeLocal

Internet

Roteador N

N

N

N

N

N

N

N

N

Roteador

Roteador



seu prximo passo atravs da rede. No GNU/Linux voc pode ver a tabela deroteamento usando um dos seguintes comandos:

cat /proc/net/route

route -n

netstat -r

O processo de roteamento muito simples: um datagrama (pacote IP) recebido, o endereo de destino (para quem ele ) examinado e comparadocom cada item da tabela de roteamento. O item que mais corresponder com oendereo selecionado e o datagrama direcionado a interface especificada.

Se o campo gateway estiver preenchido, ento o datagrama direcionado para aquele computador pela interface especificada, caso contrrioo endereo de destino assumido sendo uma rede suportada pela interface.

Em uma LAN pequena, as tabelas de roteamento podem ser feitasmanualmente. Em redes maiores, os roteadores mantm suas tabelasatualizadas trocando informaes entre si. Roteadores podem descobrir

eventos como:

Uma nova rede adicionada a internet;

Um caminho foi interrompido, e um destino no pode ser atingido;

Uma nova rota foi estabelecida para um destino.

No existe um padro nico para troca de informao entre roteadores.A liberdade de escolha do protocolo estimulou a competio e levou a grandesmelhorias nos protocolos.

Os protocolos de roteamento mais usados so o RIP e o OSPF.

1.6.1 Reempacotamento

Existe um evento olmpico onde um competidor nada uma parte dopercurso, pega uma bicicleta e pedala outra parte, e corre uma terceira etapa.O IP funciona da mesma maneira. O datagrama foi projetado para poder sermudado de uma mdia para outra at chegar ao seu destino.

Antes de um datagrama ser transmitido por um enlace, ele empacotado em um quadro apropriado para o enlace. Quando um roteadorrecebe o quadro:

O roteador desempacota o quadro e extrai o datagrama O roteador analisa o endereo de destino e descobre a mdia do

prximo trecho

O roteador reempacota o datagrama em um novo quadro, apropriadopara o prximo lao



Exerccios

1. Em que nvel de TCP/IP rodam o telnet e o ftp?

a) Fsico

b) Sesso

c) Aplicao

d) Transportee) Enlace

2. Qual das seguintes aplicaes no usa o protocolo UDP?

a) TFTP

b) DNS

c) RPC

d) FTP

e) SNMP



2 ENDEREAMENTO

Em uma rede, o endereo de um dispositivo uma forma de identificaresse dispositivo como sendo nico. Normalmente, os endereos de redepossuem um formato padronizado e bem definido.

2.1 Endereamento de Enlace (MAC)

Os endereos MAC (Media Access Control) so atribudos aosadaptadores de rede durante sua fabricao, sendo que cada adaptador temum endereo que o identifica como nico. Cada fabricante tem um cdigo queo diferencia dos demais.

Os endereos MAC so escritos no seguinte formato:

00-c0-49-3f-c6-0c

Os primeiros bytes contm o cdigo do fabricante, os demais contm o

modelo e nmero serial do adaptador de rede.

2.2 Endereamento de Rede (IP)

O protocolo IP usa Endereos IPpara identificar estaes e para rotearos dados para elas. cada estao deve ser atribudo um endereo IPexclusivo.

Um endereo IP um nmero de 32 bits. Este tamanho foi escolhidopara caber convenientemente em um registrador de 32 bits. O espao de

endereamento resultante possui 2

32

(ou 4.294.967.296) nmeros possveis.A notao de ponto foi inventada para facilitar a leitura e escrita dos

nmeros IP. Cada octeto do endereo convertido para um nmero decimal, eos nmeros so separados por pontos. Por exemplo, o endereo da estaoblintz.med.yale.edu 130.132.19.31.Em redes roteadas, o endereo composto de pelo menos dois nmeros: o da rede e o do n. Se doisdispositivos possurem endereos com o mesmo nmero de rede, ento elesesto localizados na mesma rede. Do contrrio, esto em redes distintas, masunidas atravs de um roteador. O nmero que ir diferencia-los dentro destarede o nmero do n.

Os endereos IP so nmeros que identificam seu computador em umarede TCP/IP. Inicialmente voc pode imaginar o IP como um nmero detelefone. O IP composto por quatro bytes e a conveno de escrita dosnmeros chamada de "notao decimal pontuada". Por conveno, cadainterface (placa usada p/ rede) do computador ou roteador tem um endereoIP. Tambm permitido que o mesmo endereo IP seja usado em mais deuma interface de uma mesma mquina, mas normalmente cada interface temseu prprio endereo IP.

As Redes do Protocolo Internet so seqncias contnuas de endereosIP. Todos os endereos dentro da rede tm um nmero de dgitos dentro dos



endereos em comum. A poro dos endereos que so comuns entre todosos endereos de uma rede chamada de poro da rede. O conjunto dosdgitos restantes chamado de poro dos hosts. O nmero de bits que socompartilhados por todos os endereos dentro da rede chamado de netmask(mscara da rede) e o papel da netmask determinar quais endereospertencem ou no a rede. Por exemplo, considere o seguinte:

Tabela 2-1 Formao de Endereos IP

Endereo do Host 192.168.110.23

Mscara da Rede 255.255.255.0

Poro da Rede 192.168.110.

Poro do Host .23

Endereo da Rede 192.168.110.0

Endereo Broadcast 192.168.110.255

Qualquer endereo que finalizado em zero em sua netmaskrevelar o

endereo da rede a que pertence. O endereo de rede ento sempre omenor endereo numrico dentro da escalas de endereos da rede e semprepossui aporo hostdos endereos codificada como zeros.

O endereo de broadcast um endereo especial que cada computadorem uma rede "escuta" em adio a seu prprio endereo. Este um endereoonde os datagramas enviados so recebidos por todos os computadores darede. Certos tipos de dados, como informaes de roteamento e mensagensde alerta, so transmitidos para o endereo broadcast, assim todo computadorna rede pode receb-las simultaneamente.

Existem dois padres normalmente usados para especificar o endereo

de broadcast. O mais amplamente aceito para usar o endereo mais alto darede como endereo broadcast. No exemplo acima este seria192.168.110.255. Por algumas razes outros sites tm adotado a convenode usar o endereo de rede como o endereo broadcast. Na prtica noimporta muito se usar este endereo, mas voc deve ter certeza que todocomputador na rede esteja configurado para escutar o mesmo endereobroadcast.

2.2.1 Multihoming

Os sistemas no tem endereos IP, as suas interfaces que os tm.

Um roteador com quatro interfaces de rede precisa de quatro endereos IP.Um sistema que est ligado a mais de uma sub-rede chamado de

multihomed.Classes de Rede IP

Por razes administrativas aps pouco tempo no desenvolvimento doprotocolo IP alguns grupos arbitrrios de endereos foram formados em redese estas redes foram agrupadas no que foram chamadas de classes. Estasclasses armazenam um tamanho padro de redes que podem ser usadas. Asfaixas alocadas so:



Tabela 2-2 Classes de Endereamento

ClasseBits Mais

SignificativosMscara de

RedeEndereos Possveis

na Rede

A 00000 255.0.0.0 0.0.0.0 127.255.255.255

B 10000 255.255.0.0 128.0.0.0 - 191.255.255.255

C 11000 255.255.255.0 192.0.0.0 - 223.255.255.255D 11100 240.0.0.0 224.0.0.0 - 239.255.255.255

E 11110 240.0.0.0 255.255.255.255

2.2.3 Endereos reservados para uso em Redes Privadas

Se voc estiver construindo uma rede privada que nunca ser conectadaa Internet, ento voc pode escolher qualquer endereo que quiser. Noentanto, para sua segurana e padronizao, existem alguns endereos IP'sque foram reservados especificamente para este propsito. Eles esto

especificados no RFC1597 e so os seguintes:Tabela 2-3 Endereos IP Reservados Para Redes Privadas

Classe Mscara de Rede Endereos Possveis na Rede

A 255.0.0.0 10.0.0.0 - 10.255.255.255

B 255.255.0.0 172.16.0.0 - 172.31.255.255

C 255.255.255.0 192.168.0.0 - 192.168.255.255

Voc deve decidir primeiro qual ser a largura de sua rede e entoescolher a classe de rede que ser usada.

Pode-se obter um software de Proxy que repassa a informao entre oscomputadores internos e o mundo exterior atravs do endereo de Classe Cregistrado.

2.2.4 Endereos Especiais

Nem todos os nmeros podem ser atribudos a uma sub-rede ouestao. Por exemplo, alguns endereos so reservados para broadcast,outros so reservados para tabelas de roteamento.

2.2.4.1 O endereo de Rede

Se um nmero IP tiver todos os bits da estao em 0, ele se refere rede, e no uma estao especfica. Por outro lado, se os bits da sub-redefossem todos 0, a identificao seria ambgua, por isso essa combinao invlida.



2.2.4.2 O endereo de Broadcast

O endereo IP 255.255.255.255 reservado para broadcast para todosos sistemas no link local.

Se os bits da estao forem todos 1, feito um broadcast para a sub-rede correspondente. Por exemplo, o Endereo 192.18.7.255 significa umbroadcast para a rede 192.18.7.0.

Se os bits da estao e sub-rede forem todos 1, feito um broadcastpara todas as estaes da rede indicada.

Um boa regra nunca usar endereos de rede ou estao cujos bitssejam todos iguais (0 ou 1). Da pode-se deduzir que um campo nunca pode termenos do que 2 bits.

2.2.4.3 O endereo de Loopback

No extremo oposto do broadcast, existem mensagens que nunca deixama estao local. Existem muitas estaes que contm processos clientes e

servidores. Os clientes locais comunicam-se com o servidor por IP. Para fazerisso, eles geralmente usam um endereo especial chamado Endereo deLoopback. Por conveno, qualquer endereo comeando com 127 reservado para esse propsito. Na prtica, apenas o endereo 127.0.0.1 usado.Diviso em sub-redes

Uma rede de Classe A tem 16.777.216 endereos, uma rede de ClasseB suporta 65.536 e uma de Classe C apenas 256. A grande diferena entreesses nmeros levam uma alocao muito ineficiente dos blocos e contribuipara o esgotamento dos endereos IP.

Por outro lado, uma organizao com um endereo de classe C s tem

um espao de endereamento de 1 byte. Pode ser feito ento a diviso de 4bits para o endereo de sub-rede e 4 bits para o endereo dosistemaMscaras de Sub-Rede

O trfego roteado para uma estao olhando para as partes de rede esub-rede do seu endereo IP. Um endereo de Classe A, B ou C tem a partede rede com tamanho fixo. Mas em organizaes que escolhem os seuscampos de sub-rede, como as estaes e roteadores reconhecem o campo?

A resposta que os sistemas tem que ser configurados para conhecer otamanho da parte de sub-rede do endereo. O tamanho do campo da sub-rede armazenado em um parmetro chamado Mscara de Sub-rede, ou Subnet

Mask. uma seqncia de 32 bits, onde os bits correspondentes rede e sub-rede so setados em 1, e os bits do sistema so setados em 0.

Por exemplo, se quisermos usar o terceiro byte de um endereo classeC para indicar a sub-rede, a mscara seria:

11111111 11111111 11111111 00000000

As mscaras geralmente so expressas usando a notao decimal,ento a mscara acima seria escrita como 255.255.255.0.

J no caso de querermos dividir um endereo Classe C usando 4 bitspara o campo da sub-rede, a mscara ficaria assim:



11111111 11111111 11111111 11110000

Ou, na forma decimal, 255.255.255.240.

Bits deSub-Rede

Nmeros deSub-Rede

Bits daEstao

Nmero deMquinas Mscara

0 0 8 254 255.255.255.0

1 2 7 128 255.255.255.128

2 4 6 62 255.255.255.192

3 8 5 30 255.255.255.224

4 16 4 14 255.255.255.240

5 32 3 6 255.255.255.248

6 64 2 2 255.255.255.252

7 - 1 - Invlido

A tabela acima mostra as vrias maneiras em que um endereo local declasse C pode ser dividido. Ele tambm mostra o nmero de sub-redes eestaes para cada partio. O nmero de sub-redes e estaes menor doque o que se espera porque alguns endereos so reservados para propsitosespecficos.Super-Redes e CDIR

O mtodo de atribuir blocos de endereos de classe A, B e C era muitoineficiente. Um bloco de Classe C proporciona 254 endereos, que pode sermuito ou pouco, dependendo do tamanho da organizao. Pode haverescassez ou desperdcio de endereos.

Faria mais sentido atribuir s organizaes o nmero de bits que elasrealmente precisam. Isso feito facilmente. Se uma organizao precisa de4000 endereos, ela ganha 12 bits para usar como parte local de seuendereamento. Os 20 bits restantes so o prefixo, usado como endereo desuper-rede ou prefixo. A maneira de nomear esse endereo sem classe /20. Obter um prefixo de 20 bits equivalente a obter 16 blocos contnuos declasse C.

Para rotear para uma organizao, o roteador precisa saber o nmerode bits no prefixo e o padro de bits designado para o prefixo da organizao.O roteador pode ento enviar trfego para a organizao com uma nicaentrada na tabela de roteamento. Isto chamado Classless Internet-DomainRouting(CDIR).Referncia rpida de mscara de redes

A tabela abaixo faz referncia s mscaras de rede mais comuns e a

quantidade de mquinas mximas que ela atinge. Note que a especificao damscara tem influncia direta na classe de rede usada:

Mscara(octal)

Mscara(32 bits)

Nmero deMquinas

Classe A:

/8 /255.0.0.0 16,777,214

/9 /255.128.0.0 8,388,606

/10 /255.192.0.0 4,194,302



/11 /255.224.0.0 2,197,150

/12 /255.240.0.0 1,048,574

/13 /255.148.0.0 524,286

/14 /255.252.0.0 262,142

/15 /255.254.0.0 131,070

Classe B:

/16 /255.255.0.0 65,534

/17 /255.255.128.0 32,766

/18 /255.255.192.0 16,382

/19 /255.255.224.0 8,190

/20 /255.255.240.0 4,094

/21 /255.255.248.0 2,046

/22 /255.255.252.0 1,022

/23 /255.255.254.0 510

Classe C:

/24 /255.255.255.0 254

/25 /255.255.255.128 126

/26 /255.255.255.192 62

/27 /255.255.255.224 30

/28 /255.255.255.240 14

/29 /255.255.255.248 6

/30 /255.255.255.252 2

/32 /255.255.255.255 1

Qualquer outra mscara fora desta tabela (principalmente para a classeA), dever ser redimensionada com uma calculadora de IP para chegar a umnmero aproximado de redes/mquinas aproximados que deseja.

2.3 Endereamento de Sesso (Portas)

Todo processo que deseje estabelecer comunicao com outro processodeve se identificar de alguma forma. O TCP/IP implementa essa comunicaoatravs do uso do conceito de portas (ouports).

A porta um nmero de 16 bits que identifica processos (ou servios derede). O nmero da porta de origem e o nmero da porta de destino esto

TCP UDP

Portas

Ap.23

Ap.53

Ap.161

Ap.80



includos no cabealho de cada segmento TCP ou pacote UDP.

Um socket uma combinao de um endereo IP com um nmero deporta, e identifica um processo como nico na rede.

Exerccios

1. O que significa a sigla MAC?

a) Media Assynchronous Connection

b) Master Assynchronous Connection

c) Media Access Connection

d) Media Access Control

e) Master Access Control

2. Que endereo de rede no roteado na internet?

a) 128.9.0.0

b) 10.0.0.0

c) 191.168.72.0

d) 171.20.20.0

e) 8.0.0.0

3. So mscaras padro de redes classe A, B e C:

a) 0.0.0.255, 0.0.255.255, 0.255.255.255

b) 0.0.0.0, 0.0.0.255, 0.0.255.255

c) 255.0.0.0, 255.255.0.0, 255.255.255.0

d) 0.0.0.0, 255.0.0.0, 255.255.0.0

e) 255.255.255.0, 255.255.0.0, 255.0.0.0



3 CONECTANDO REDES

Adaptado dehttp://www.conectiva.com/doc/livros/online/8.0/servidor/conectividade.html#CONECTANDO-

REDES

A criao de grandes redes de computadores possvel graas interligao de pequenas redes de computadores. No entanto, essa diviso deredes em pequenas unidades gera a necessidade de se criar meios quepermitam que essas unidades sejam capazes de se conectar e trocarinformaes.

Alm dos meios fsicos (cabos, hubs, roteadores, etc.) so necessriostambm os meios lgicos que permitam essa troca de informao. Seroestudados a seguir os conceitos bsicos sobre roteamento, e em seguida servisto um tipo particular de roteamento chamado NAT (Network AddressTranslation).

3.1 RoteamentoPara entender melhor como funciona o processo de transmisso de um

pacote de dados dentro de uma rede, pode ser feita uma analogia com oprocesso de uma ligao telefnica. Ao se discar o nmero do telefone comquem se deseja falar, a sua central telefnica verifica se o nmero estconectado a ela, se no estiver ela "encaminha" a sua ligao para outracentral que por sua vez faz o mesmo teste, at chegar a central onde selocaliza o nmero de destino. Os cdigos de pas, rea e o prefixo do telefoneso utilizados para determinar para qual central sua ligao deve serencaminhada. Cada central por onde a ligao passa, alm de decidir paraonde encaminhar a ligao, funciona tambm como uma espcie de

retransmissora ao receber sua ligao de uma central e repass-la para outra.Um processo bastante semelhante acontece em uma rede de

computadores, ou seja, quando um computador tenta se comunicar com outroque no esteja diretamente ligado a ele (ou em sua sub-rede), ele deve enviarseus datagramas para uma mquina especial, ligada a duas ou mais redes eque encaminhar os datagramas para o destino. Essa mquina especial recebeo nome de gatewayou roteador, e ao processo de decidir para onde repassaros datagramas chamamos de roteamento.

A idia bsica do roteamento a criao de regras que estabeleam quecaminho um datagrama deve tomar baseado no endereo de destino dele. Emuma mquina cliente essa regra bastante simples: tudo que no for para a

rede local deve ser enviado para a mquina gateway (essa regra chamadarota padro). J em uma mquina gatewaypodem ser necessrias muito maisregras, principalmente se essa mquina est conectada a um grande nmerode redes.

3.1.1 Rotas estticas e dinmicasExistem dois tipos de rotas que podem ser utilizadas por um roteador:

rotas estticas e dinmicas. As rotas estticas so explicitamente configuradas



pelo administrador, enquanto que as rotas dinmicas podem ser "aprendidas"atravs da utilizao de um servio especial para esse fim.

As rotas dinmicas utilizam protocolos especiais como o RIP (RoutingInformation Protocol), OSPF (Open Shortest Path First) e BGP (BorderGateway Protocol) para divulgar e aprender rotas. O Linux possui o serviorouted que capaz de utilizar estes protocolos.

As rotas estticas podem ser configuradas com o auxlio do Linuxconf, e

no necessitam de nenhum servio adicional. Ser visto aqui apenas aconfigurao de rotas estticas, j que a utilizao de rotas dinmicasnormalmente s necessria em grandes redes e Sistemas Autonmos (AS).

3.1.2 GatewayUm gateway ou roteador funciona como uma porta de sada de uma

rede; ele um mquina equipada com duas ou mais interfaces ou dispositivosde rede e capaz de fazer o repasse de datagramas para fora ou para dentroda rede.

Essa mquina possui diferentes nmeros IPs associados a cada

interface. O Linux capaz de decidir automaticamente por qual interface derede ele deve enviar datagramas baseado nos IPs de cada interface e nadefinio da rota padro.

Existem alguns casos nos quais necessrio informar ao seu gatewaycomo alcanar uma determinada rede, por exemplo, no caso dessa rede estarpor trs de um outro gateway. Para esses casos especiais necessrio inseriruma rota esttica para esta rede (caso no se esteja usando um servio derotas dinmicas).

3.2 NetfilterO kernel do Linux possui recursos bastante sofisticados para filtrar etransformar pacotes IP. Esses recursos, agrupados sob o nome de netfilter,podem ser configurados com o auxlio do comando iptables. O netfilter permitea construo de firewalls e de gateways com NAT (Network AddressTranslation). O site oficial do netfilter http://netfilter.gnumonks.org/.

Sero estudados aqui os conceitos bsicos do netfilter e como utilizar orecurso de NAT.



3.2.1 Anatomia do netfilterO netfilter possui um conjunto de ganchos (tambm chamados de

cadeias ou chain) em vrios pontos da pilha de um protocolo (ser consideradoaqui somente o protocolo IPv4). Cada gancho um ponto no caminho que umpacote IP percorre ao entrar ou sair de uma mquina, conforme a figura abaixo:

O gancho PRE-ROUTING est ligado entrada de pacotes na mquina;aps a deciso de roteamento os pacotes que no so destinados mquinalocal atravessam o gancho FORWARD e finalmente saem da mquinapassando pelo gancho POST-ROUTING. O gancho INPUT atravessado pelos

pacotes que chegam com destino mquina local enquanto que o ganchoOUTPUT utilizado pelos pacotes originados na mquina local.

Para filtrar ou transformar pacotes IP, o netfilter possui estruturaschamadas tabelas, que se ligam a conjuntos de ganchos. Essas tabelas soimplementadas atravs de mdulos do kernel. Por padro o kernel possui trstabelas: filter, nate mangle.

Cada tabela possui regras ligadas a cada um dos ganchos usados porela. Estas regras podem ser criadas pelo administrador, de acordo com suasnecessidades (isto , um firewall, NAT, etc.). Cada regra especifica um padroou critrio a ser comparado com pacotes IPs e um alvo, ou o que fazer comcada pacote que casa com o padro especificado. Os alvos podem ser aes

pr-definidas de cada tabela, como por exemplo, DROP ou MASQUERADE,que, respectivamente, descartam ou mascaram um pacote, ou ainda uma outraregra.

A tabela nat, que ser utilizada a seguir, est ligada aos ganchos PRE-ROUTING, POST-ROUTING e OUTPUT.

3.2.2 NATOs nmeros IPs da Internet so finitos e cada nmero deve ser nico. O

crescimento explosivo da Internet tem transformado estes nmeros em um

Figura 3-1Estrutura do Netfilter



recurso escasso, e para se obter um nmero ou conjunto de IPs vlidos necessrio requisit-los a um rgo regulador e pagar por eles. Logo, emmuitos casos no se justifica construir redes locais utilizando-se nmeros IPsvlidos.

Como alternativa certos intervalos de nmeros IPs so consideradosinvlidos, isto , no so utilizados na Internet, permitindo assim que elespossam ser utilizados em intranets sem problemas, ou seja, vrias intranets

podem utiliz-los desde que no estejam diretamente conectadas umas soutras. No entanto, isso cria um dilema: como conectar uma intranet que utilizanmeros IPs invlidos Internet?

A resposta a essa pergunta atravs da utilizao de um roteador quepossua um nmero IP vlido e que seja capaz de fazer uma traduo deendereos de rede (NAT). Para entender melhor o que isso significa considereo seguinte cenrio: uma rede local ligada Internet atravs de um roteadorcom conexo discada. Ao se conectar na Internet, a mquina gateway recebeum nmero IP vlido do provedor de acesso. Quando uma mquina da intranetprecisa se conectar a um site (por exemplo), ela envia seus pacotes IPs com arequisio mquina gateway, que por sua vez altera os cabealhos destes

pacotes inserindo o nmero IP que ela recebeu do provedor e os envia atravsde sua conexo. O site responde requisio enviando a resposta para amquina gatewayque altera novamente os cabealhos dos pacotes e os envia mquina que originalmente os requisitou. Dessa forma, cada mquina daintranet se comporta como se estivesse ligada diretamente Internet, enquantoque as vrias mquinas na Internet "enxergam" apenas a sua mquinagateway.

3.2.2.1 Tipos de NAT possvel dividir o NAT em dois tipos: o NAT de origem (SNAT) e o NAT

de destino (DNAT).O NAT de origem quando voc altera o endereo de origem de umpacote, isto , a conexo passa a ter um outro endereo de origem. Esse tipode NAT sempre criado utilizando-se o gancho POSTROUTING, logo antes dopacote sair da mquina. O mascaramento (como tambm conhecido) umaforma de SNAT.

O NAT de destino se caracteriza pela alterao do endereo de destinodo pacote, isto , alterando o destino de uma conexo que passa pelamquina. Este tipo de NAT sempre criado utilizando-se o gancho PRE-ROUTING. Balanceamento de carga, proxys transparentes e repasse de portasso tipos de DNAT.

3.2.3 Implementao de um servio NATUm servio de NAT necessrio em solues de Conexo Discada,

mas pode ser utilizado tambm como uma forma de aumentar a segurana deuma intranet, uma vez que ele "esconde" as mquinas da rede mostrando parao resto do mundo apenas a mquina gateway.



4 VULNERABILIDADES NO PROTOCOLO TCP/IP

Ultimamente temos presenciado um novo fenmeno no undergrounddigital. O fenmeno em si no novo, mas tornou-se muito fcil acessar asferramentas necessrias para fazer ms aes, temos experimentado muitasinstncias.O fenmeno conhecido por diferentes nomes (Smurph, Land,Bonk,etc). O intuito de todos, contudo, o mesmo: impedir computadoresdesabilitando seu uso como pretendido.

Esse captulo tenta explicar esses ataques.

4.1 Disponibilidade dos dados

Podemos dividir a segurana dos dados em trs partes diferentes:integridade, confidencialiade e disponibilidade. Se algum, que no autorizado, gerencia e muda seus dados, a integridade comprometida. Vocno poder mais acreditar que o valor dessa informao verdadeiro.

A confidencialidade da sua informao comprometida se uma pessoafor capaz de entrar no seu computador. Se puder conhecer uma informao aqual no se pretendia que essa pessoa conhecesse. Ela poder tambmdistribuir a informao.

A ltima categoria - disponibilidade - onde os ataques aqui discutidospertencem. A disponibilidade dos dados importante no decorrer dos negciose grandes perdas podem ocorrer se a informao importante no estiverdisponvel devido a um ataque contra um computador. Tais ataques sofrequentemente chamados de "Denial-of-Service" (DoS).

4.2 Sobre o protocolo TCP/IP

Todos os ataques discutidos aqui se beneficiam de vulnerabilidades naimplementao do protocolo TCP/IP visando a interrupo da atividade docomputador atacado. Para entender os ataques necessrio umconhecimento bsico de como o protocolo foi projetado para funcionar.

TCP/IP uma abreviao de Transmission Control Protocol/InternetProtocol e um dos vrios protocolos desenvolvidos pelo Departamento deDefesa dos Estados Unidos no final da dcada de 70. A razo pela qual o

protocolo foi desenhado era a necessidade de construir uma rede decomputadores capaz de se conectar com outra rede do mesmo tipo(roteamento). Essa rede chamou-se ARPANET (Advanced Research Project

Agency Internetwork), e a irm mais nova da Internet.

Antes de ler sobre os ataques, recomendo que voc leia a seo sobreTCP/IP.



4.3 IP Spoofing

Um ataque spoofing envolve a falsificao do endereo de origem. oato de usar uma mquina para representar o papel de outra. A maioria dasaplicaes e ferramentas no UNIX baseam-se na autenticao do IP de origem.Muitos programadores tm usado controle de acesso baseado na mquinapara segurana das suas redes. O endereo IP de origem um identificadornico mas no fivel. Ele pode facilmente ser forjado (spoofed). Paraentender o processo de spoofing, Primeiro vou explicar o o processo deautenticao do TCP e do IP e depois como um atacante pode enganar asua rede.

O sistema cliente comea por enviar uma mensagem SYN para oservidor. O servidor ento confirma a mensagem SYN enviando umamensagem de SYN-ACK para o cliente. O cliente ento completaestabelecendo a conexo respondendo com uma mensagem de ACK. Aconexo entre o cliente e o servidor ento aberta, e os dados especficos doservio podem ser trocado entre o cliente e o servidor. Cliente e servidorpodem agora enviar dados especficos do servio.

O TCP usa nmeros seqenciais. Quando um circuito virtual estabelecido entre duas mquinas, o TCP designa para cada pacote umnmero com um ndice identificador. Amboa as mquinas usam este nmeropara verificarem erros e fazerem relatrios.Rik Farrow, no seu artigo "Sequence Number Attacks", explica o sistema denmeros seqenciais como sendo o seguinte:

"Os nmeros seqenciais so usados para confirmar arecepo de dados. No incio de uma ligao TCP, o cliente enviaum pacote TCP com uma nmero seqencial inicial, mas nenhumreconhecimento. Se existir um servidor de aplicao a correr na

outra ponta da ligao, o servidor envia de volta um pacote TCPcom o seu prprio nmero seqencial, e o reconhecimento; onmero inicial do pacote do cliente mais um. Quando o sistemacliente recebe este pacote, ele deve enviar de volta o seu prprioreconhecimento; a sequncia de nmero inicial do servidor maisum."

Desta forma um atacante tem dois problemas:

1) Ele deve falsificar o endereo origem.

2) Ele deve manter um nmero seqencial com o destino.

A segunda tarefa a mais complicada porque quando o destino ajusta onmero seqencial inicial, o agressor deve responder corretamente. Assim queo agressor adivinhe o nmero seqencial correcto, pode ento sincronizar como destino e estabelecer uma sesso vlida.

4.3.1 Servios vulnerveis ao IP Spoofing:

Configuraes e servios que so vulnerveis ao IP spoofing :

RPC (Servios de Invocao Remota de Funes)



Qualquer servio que use autenticao de endereo IP

O sistema X Window

O conjunto de servios R (rlogin, rsh, etc.)

4.3.2 Medidas para se prevenir de ataques IP Spoofing:

Evite usar autenticao de endereo de origem. Implemente criptografiana autenticao em todo o sistema.

Configure a sua rede para rejeitar pacotes de redes externas quedeclaram ser de um endereo local. Isto geralmente feito com umrouter.

Se voc permitir ligaes externas de mquinas seguras, possibiliteencriptao da sesso no router.

4.4 Sobre os ataques

Os ataques descritos nesse documento so apenas alguns dos queesto disponveis na Internet. Seu denominador comum que todos usamvulnerabilidades ou implementaes errneas do protocolo TCP/IP ou ainda,vulnerabilidades na especificao do TCP/IP em si.

Qualquer um mais interessado pode dar uma olhada no sitewww.rootshell.com que descreve vrios ataques. Esse site tambm temlinks para download de programas que protegem contra esses ataques.

Todos os ataques descritos abaixo funcionam em computadores comWindows for Workgroups, Windows 95 ou Windows NT . Podem tambmfuncionar para outros sistemas operacionais. Uma vez mais indicowww.rootshell.com para uma lista completa de ataques que funcionam emdiferentes sistemas operacionais.

4.4.1 SYN Flooding

Esta a famlia dos ataques DoS (Denial-of-Service) que usa variaesda mesma tcnica. O ataque realizado enviando uma stream de pacotes

para o computador alvo requisitando uma conexo (a flag SYN setada). Acada vez que o computador alvo recebe tal requisio, recursos so alocados -mas nenhuma conexo efetivada. Quando muitas requisies so recebidaso computador alvo no pode mais alocar recursos para o trfego da rede -como resultado o computador pode parar.

4.4.2 Land

Aqui o ataque acontece enviando-se um pacote com a flag SYN setada(i.e. requisitando a abertura de uma conexo) para qualquer porta da mquina



alvo. O pacote modificado de tal maneira que os endereos de envio e derecebimento do pacote so idnticos (spoofing). Essa situao no corretamente manipulada por algumas implementaes do TCP/IP - ocomputador pra. Esse ataque direcionado porta 139 de mquinasrodando o sistema operacional Windows.

4.4.3 WinNukeO nuke tem sido uma atividade popular, principalmente em escolas.

Esse tipo de ataque voltado principalmente para computadores rodandoWindows. O efeito principal o congelamento do computador, que precisa serreiniciado.

A razo pela qual o computador trava que a Microsoft no manipulaum flag especial de status no protocolo TCP - a flag URG(para urgente). Esseflag setado em um pacote enviado para um computador rodando um sistemaoperacional Windows. O computador ir esperar por uma stream (cadeia dedados) da chamada Out-of-Band (OOB) banda de trfego do computador que

envia. Esse tipo de trfego tem prioridade mais alta que o trfego ordinrio darede. O problema surge quando tais mensagens no so enviadas: ocomputador para. Parece que se trata de resultado de uma m implementaodo protocolo TCP/IP da Microsoft, onde essa situao no tratadasatisfatoriamente.

Esse ataque muito simples de ser realizado (utiliza um canal legtimo)-tem sido at mesmo implementado com uma linha de cdigo na linguagemPerl. Normalmente, o ataque direcionado contra a porta 139 (ServioNetBIOS Session) do computador.

Por exemplo: suponhamos que um computador com IP 200.133.10.126esteja com a porta 139 aceitando conexes. Na barra de endereos doBrowser, podemos digitar: http://200.133.10.126:139 e se ficarmosatualizando a pgina, estaremos atacando essa mquina. Um simplesJavaScript pode automatizar essa tarefa.

Felizmente, fcil proteger um computador contra esse tipo de ataque.A Microsoft desenvolveu patches para download. Quando esse patches soinstalados, voc est protegido contra esse tipo de ataque.

4.4.4 TearDrop

Esse ataque utiliza outra vulnerabilidade na implementao do protocoloTCP/IP. O resultado desse ataque pode variar, mas, normalmente ocomputador trava e precisa ser reiniciado. Os sistemas operacionais maisvulnerveis so Windows(95/98/NT) e Linux.

A razo pela qual o ataque acontece deve-se a um erro em parte doprotocolo TCP/IP que toma conta de pacotes fragmentados. A fragmentaodo pacote pode ocorrer se o pacote que est sendo recebido for maior do que otamanho permitido pela rede. Caso positivo, o pacote dividido em pacotesmenores, consistindo em partes do pacote original. Quando os pacotes



menores chegam ao computador recipiente, ele tenta coloc-los juntos -aquiocorre o erro e o computador pra.

Tecnicamente, o ataque conduzido mandando uma combinaoespecial de dois pacotes UDP/IP. O primeiro tem deslocamento 0, a flag MF(mais fragmentos) setada para 1 e tamanho N. O segundo tem deslocamentomenor que N, flag MF resetada para 0 e tamanho menor que N. O segundopacote sobrepes-se ao primeiro. Uma implementao errnea do TCP/IP

interpreta o fim do pacote antes do seu comeo e o computador pra.

4.4.5 NewTear

Esse ataque parecido com o TearDrop. A diferena o tamanho dasobreposio dos pacotes (20 bytes, enquanto o TearDrop usa 28) e amanipulao do tamanho do UDP. Esse ataque funciona contra mquinasrodando Windows95/98 e NT mesmo que o patch TearDrop esteja instalado, oque demonstra que a Microsoft no levou as variaes do ataque em contaquando o patch foi programado.

4.4.6 Bonk/Boink

Outra variao do ataque TearDrop. O deslocamento do fragmento dosegundo pacote ajustado para ser maior do que o comprimento do cabealhoIP. Semelhante aos outros ataques, o computador pra. No se sabe porquesse ataque funciona.

O Bonk ataca a porta 55 das mquinas. O Boink uma variao doBonk - a diferena que esse ltimo permite ataques em outras portas, almda 55.

4.4.7 Ssping

Uma variao do ataque chamado "Ping da Morte". Uma pessoamanda um pacote ICMP (ECHO_REQUEST) com um tamanho anormal para amquina alvo. O tamanho mximo para datagramas TCP/IP 65536 octetos (1octeto = 8 bits). Contudo, possvel mandar datagramas maiores do que otamanho mximo definido. Quando a mquina alvo recebe tal pacote podeparar. Mais uma vez, o erro deve-se a m implementao na seco doTCP/IP que manipula pacotes fragmentados. Um teste simples para testar sevoc vulnervel pingar seu prprio computador. Use o comando ping -s

65510 seu_ip. Se sua mquina parar voc vulnervel a esse tipo deataque.

4.4.8 Smurf

Smurfing outro tipo de ataque semelhante aos que foram discutidosaqui. Esse tipo de ataque Smurf pode ser considerado mais perigoso que osoutros.



O ataque Smurf no tem inteno de parar um computador, mas simuma rede inteira. realizado enviando contnuas stream (cadeias) de pacoteICMP modificados para a rede alvo.

Os pacotes so modificados de modo que o endereo da mquina queenvia os dados idntico ao endereo do alvo (spoofing). Alm disso, ospacotes so enviados para os chamados endereos broadcast, o que resultaem os pacotes modificados serem enviados para todos os computadores de

uma rede. Os computadores dessa rede iro responder enviando umamensagem de ICMP ECHO_RESPONSE para o computador que elesassumem ter enviado a mensagem ( o computador alvo da rede).Se o atacantetiver uma conexo rpida,no preciso ser um grande matemtico para saberque a quantidade de dados gerados pode parar a rede atacada. A rede irparar at que o atacante pare de enviar os pacotes ou o trfego sejabloqueado.

Esse tipo de ataque tem sido usado para parar vrios Provedores deAcesso Internet e todos os seus usurios. Efetivamente, difcil se protegerdesse tipo de ataque.



5 FIREWALL IPCHAINS

Adaptado do Linux IPCHAINS-HOWTO, Paul Russell, ,v1.0.7, 12 March 1999

Traduo para o portugus por Gleydson Mazioli da Silva,

5.1 Introduo

Este o Linux IPCHAINS-HOWTO; Veja Onde? para o ver siteprincipal, que contm a ltima cpia. Voc tambm deve ler o Linux NET-3-HOWTO. O IP-Masquerading HOWTO, o PPP-HOWTO, o Ethernet-HOWTO eo Firewall HOWTO que podem ser uma leitura interessante. (Ento denovo aFAQ alt.fan.bigfoot).

Se a filtragem de pacotes passado para voc, leia a seo Porque?,Seo Como? e verifique os ttulos na seo IP Firewalling Chains.

Se voc esta convertendo atravs do ipfwadm, leia a secao Introduo,

Seo Como?, e os Apndices da seo Diferenas entre ipchains eipfwadm e a seo Usando o script ipfwadm-wrapper.

5.1.1 O que?

O ipchains do Linux uma regravao do codigo de firewall IPv4 dolinux (que foi originalmente roubado do BSD) e uma regravao do ipfwadm,que foi uma regravao do ipfw dos BSDs, eu acho. requerido paraadministrar os filtros de pacotes IP nos kernels do linux 2.1.102 e superiores.

5.1.2 Por que?

O antigo codigo do firewall do Linux no negociava com fragmentos,tinha contadores de 32 bits (no Intel no mnimo), no permitia especificao deoutros protocolos seno TCP, UDP ou ICMP, no faziam grandes alteraesdinmicamente, no especificava regras contrrias, possuia alguns truques, e dificil de gerenciar ( podendo causar erros do usurio).

5.1.3 Como?

Atualmente o cdigo est no kernel em desenvolvimento do 2.1.192.Para as sries do kernel 2.0, voc precisar fazer o download de um

patch da pgina Internet. Se seu kernel 2.0 mais recente que o patchfornecido, o patch antigo ser OK; esta parte dos kernels 2.0 razoavelmenteestvel (eg. o patch do kernel 2.0.34 funciona perfeitamente com o kernel2.0.35). Desde ento o patch 2.0 incompatvel com patches do ipportfw eipautofw, eu no recomendo aplica-los a no ser que voc ralmente necessitada funcionalidade que o ipchains oferece.



5.1.4 Onde?

A pgina oficial The Linux IP Firewall Chains Pagehttp://www.rustcorp.com/linux/ipchains

L existe uma lista de discusso para relatar bugs, discusses,desenvolvimento e uso. Entre na lista de discusso enviando uma mensagemcontendo a palavra subscribe para . Para

enviar E-Mails para a lista use ipchains ao invs de ipchains-request.

5.2 Bsico sobre a filtragem de pacotes

5.2.1 O que ?

Todo o trfego da rede enviado em forma de pacotes. Por exemplo,copiando este pacote (digamos de 50k) pode fazer voc receber 36 ou assimpacotes de 1460 bytes em cada um, (puxando nmeros ao acaso).

O inicio de cada pacote diz onde ele esta indo, de onde vem, o tipo dopacote, e outros detalhes administrativos. Isto inicia o pacote e chamado decabealho (head). O resto do pacote que contm o dado atual sendotransmitido, usualmente chamado de corpo (body).

Alguns protocolos, como TCP, que usado para o trafego na web, mail,e logins remotos, usam o conceito de conexoantes de qualquer pacotecom os dados atuais serem enviados, vrios pacotes de configurao (comcabealhos especiais) so trocados dizendo Eu desejo conectar, OK eObrigado. Ento os pacotes normais so trocados.

Uma filtragem de pacotes uma pea de software que olha nocabealho do pacote quando eles passam, e decide o destino de todo o pacote.

Ele pode decidir negar o pacote (DENY - ie. descartar o pacote como seele nunca tivesse o recebido), aceita o pacote (ACCEPT - ie. deixar o pacoteseguir adiante), ou rejeitar o pacote (REJECT - como negar, mas avisa aorigem do pacote sobre o acontecido).

No Linux, a filtragem de pacotes embutida no kernel, e aqui estoalgumas coisas que ns podemos fazer com os pacotes, mas o principio geral de olhar o cabealho dos pacotes e decidindo seu destino.

5.2.2 Por que?

Controle: quando voc est usando um computador linux paraconectar sua rede interna a outra rede (digo, a Internet) voc tem aoportunidade de permitir certos tipos de trfego, e desativar outros.Por exemplo, o cabealho do pacote contm o endereo de destinodo pacote, assim voc pode prevenir pacote de irem para certaspartes de fora da rede. Como outro exemplo, eu uso o Netscapepara acessar os arquivos Dilbert. L esto anncios da pginadoubleclick.net, e o Netscape desperdia partes do meu tempo


http:///reader/full/ebook-informatica-po

[eBook Informática Português] - [Editora ] - Firewall - Segurança de Redes Linux

Documents

Transcript of [eBook Informática Português] - [Editora ] - Firewall - Segurança de Redes Linux