Modelo de Referência OSI

Hoje vamos falar sobre o modelo de referência OSI (Open System Interconnection) porém, em vez de detalhar demais toda a história, será apresentado de forma prática e nada prolixa..

Lei de Kirchhoff

Lei de Kirchhoff Gustav Kirchhoff foi, pelo menos em minha humilde opinião, um dos físicos mais fantásticos, este teve uma contribuição interessante no ramo dos campos elétricos.

Quem sou eu

Meu nome é Cléber Brito, minha carreira como profissional começou à 14 anos atrás quando terminei o curso de eletrotécnica, naquela ocasião trabalhei como técnico em telefonia instalando e configurando.

Video Aula

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured post 5 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

27 de dezembro de 2009

IPSEC

Hoje vamos falar um pouco sobre o IPSEC, tenho como objetivo nesta postagem dá uma visão geral como base para práticas que faremos mais à frente.

Então vamos “arregaçar as mangas e mãos a obra!”

O IPSEC (Internet Protocol Security), originalmente projetado para o IPv6 foi criado com o intuito de proteger as redes mantendo seguros os pacotes IP através de: integridade dos dados trafegados na rede; confidencialidade (criptografia); autenticação da origem dos dados e proteção contra replay*. Podemos, portanto, dizer que o IPSEC tem como objetivos alcançar uma rede que contemple:

Confidencialidade; Integridade; Autenticação (CIA).

O primeiro passo ao entendimento é sabermos como uma rede baseada em IPSEC realiza as conexões. Ela é feita através da SA (Security Association) que nada mais é do que um estabelecimento de conexão segura entre dois pontos; esta comunicação pode incluir chaves de criptografia, certificados digitais, autenticação de dados, entres outros. Estes serviços de segurança são oferecidos pela Associação de Segurança através de AH (Authentication Header) e/ou ESP (Encapsutalating Security Payload).

Obs 1.Esta comunicação é simples, ou seja, se houver a necessidade de tráfego seguro em ambos os sentidos, será necessário duas SA.

Cabeçalho de Autenticação

Como o próprio nome já diz o AH é um cabeçalho que adiciona autenticidade e integridade entre o cabeçalho IP (Camada 3), e o TCP (Camada 4), conforme figura à baixo.

Referindo-se à autenticidade, o campo Autentication data (mostrado no último campo) está encarregado de exercer essa função. Neste campo há o ICV (Integrity Check Value). Segundo a RFC 2402, através do ICV são realizados cálculos sobre IP (como o endereço de origem nunca muda, coloca-lo na verificação torna quase impossível para um intruso falsificar a origem de um pacote) e todos os campos do AH, depois são enviados ao destinatário que, por sua vez, realiza os mesmos cálculos e compara o resultado para autenticar a comunicação e verificar a sua integridade. Este é construído no padrão de algoritmos hash** como o MD5 (quase que descontinuado por questão de segurança)*** ou o SHA-1**** para autenticação dos dados.
O uso do HMAC***** é interessante já que este incorpora um valor secreto durante a criação do ICV. Neste caso, se um invasor tentar recalcular um hash, sem o valor secreto será muito difícil recriar o ICV adequado.

Obs 2. O cabeçalho AH não permite criptografia dos dados; portanto, ele é útil principalmente quando a verificação da integridade é necessária, mas não o sigilo.

Encapsulamento de segurança da carga útil

o ESP (Encapsulating Security Payload) é usado para fornecer confidencialidade, autenticação da origem dos dados, integridade sem conexão, um serviço anti-repetição (uma forma parcial
de integridade) e confidencialidade do fluxo de tráfego limitado.
Bom pessoal, como vocês devem ter visto o ESP faz tudo que o AH faz e muito mais, vamos falar apenas a diferença que há entre eles.
Abaixo segue a estrutura do protocolo ESP.

Em termos simples, através do ESP é possível criar canais seguros com criptografia e, também, permitir a inclusão de assinatura digital em cada pacote transportado.
A criptografia pode ser feita de duas formas : criptografando apenas a camada original superior do protocolo ou todo o pacote IP original.
Modos de funcionamento
O IPSEC pode ser usado em dois modos: Modo de transporte e modo de túnel. Abaixo segue figura ilustrativa dos dois modos:


Como mostrado na figura acima, o modo de transporte a SA é feita entre os dois equipamentos finais. Isto pode representar algumas desvantagens, tais como: O cabeçalho IP é mantido intacto, ou seja, utiliza os endereços originais, e não recebe proteção, apenas o cabeçalho de transporte e os seus dados são encapsulados nos dados de carga útil.
Já no modo de túnel a comunicação é feita através de gateway que pode ser, um servidor VPN, um firewall. Neste caso todo o pacote é tratado como o módulo de dados de um novo pacote IP. Assim, pode ser usado para enviar dados cifrados através de um túnel, o que permite enviar dados independentemente da infraestrutura utilizada.


* O ataque de replay consiste em salvar os pacotes transmitidos por uma comunicação entre duas entidades e depois reutilizá-los na tentativa de forjar uma nova comunicação. Em alguns casos, mesmo o conteúdo cifrado pode ser alvo deste ataque. O ataque de replay também pode ser realizado, caso seja possível extrair porções corretas de texto cifrado associadas a informações importantes.
** Um hash é uma seqüencia de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números (0 a 9 e A a F), representando 1/2 byte cada. O conceito teórico diz que "hash é a transformação de uma grande quantidade de informações em uma pequena quantidade de informações".
***O MD5 (Message-Digest algorithm 5) é um algoritmo de hash de 128 bits unidirecional desenvolvido pela RSA Data Security, Inc., descrito na RFC 1321, e muito utilizado por softwares com protocolo par-a-par (P2P, ou Peer-to-Peer, em inglês), verificação de integridade e logins. Existem alguns métodos de ataque divulgados para o MD5[1][2].
**** Mecanismo de autenticação de mensagens usando funções de hash criptografadas. HMAC pode ser usado com qualquer função hash criptografada , por exemplo, MD5, SHA-1, em combinação com uma chave secreta compartilhada. A força de criptografia de HMAC depende das propriedades da função hash subjacente.








Referências:

http://unixwiz.net/techtips/iguide-ipsec.html
http://www.cic.unb.br/~pedro/trabs/vpn.pdf
http://pt.wikipedia.org/wiki/SHA1
http://www.faqs.org/rfcs/rfc2402.html
http://www.ietf.org/rfc/rfc2104.txt
www.ietf.org/rfc/rfc2401.txt
TCP/IP a Bíblia de RobScrimger, Paul LaSalle, Mridula Parihar e Meeta Gupta. - Editora Campus
Redes de Computadores de Andrew S. Tanenbaum  - 4ª edição


22 de dezembro de 2009

Ufá!!!

Galera, estava hoje fazendo uma prática de DHCP NAP e me deparei com um problema que pode parecer bobagem para alguns mas, para mim, me deu um certo trabalho. O cliente DHCP sempre pegava um IP desconhecido 192.168.85.2, daí, fazendo uma rápida pesquisa no Oraculo (Google) descobri como resolver este problema, lá vai.


Details
I want to disable the VMware DHCP service on my host computer. What steps do I need to take?

Solution
Follow the steps shown below for your host operating system. On a Windows host, you can choose to disable the service completely or to set it to start only when you start it manually.

Windows 2000

Click Start, then choose Settings>Control Panel>Administrative Tools>Services.
Scroll down and select VMware DHCP Service.
Right-click the highlighted line and choose Properties.
Click the Stop button.
In the Startup type list, select Disable or Manual.
Click OK.
Windows XP Home

Click Start, then choose Settings>Control Panel.
Click Performance and Maintenance.
Click Administrative Tools.
Double-click Services.
Scroll down and select VMware DHCP Service.
Right-click the highlighted line and choose Properties.
Click the Stop button.
In the Startup type list, select Disable or Manual.
Click OK.
Windows XP Professional or Windows Server 2003

Click Start, then choose Settings>Control Panel.
Click Administrative Tools.
Double-click Services.
Scroll down and select VMware DHCP Service.
Right-click the highlighted line and choose Properties.
Click the Stop button.
In the Startup type list, select Disable or Manual.
Click OK.
Linux for Workstation 5.x and VMware Server 1.x

Open the file /usr/lib/vmware/net-services.sh in a text editor.
Locate the following section (lines 697-699, as seen in Workstation 5.5.1, build 19175):
vmware_bg_exec 'Host-only networking on /dev/vmnet'"$vHubNr" \
  vmware_start_hostonly "$vHubNr" 'vmnet'"$vHubNr" \
  "$hostaddr" "$netmask" 'yes'
Change yes to no. The resulting section should look like this:
vmware_bg_exec 'Host-only networking on /dev/vmnet'"$vHubNr" \
  vmware_start_hostonly "$vHubNr" 'vmnet'"$vHubNr" \
  "$hostaddr" "$netmask" 'no'
Save the file.
As root, run /usr/lib/vmware/net-services.sh restart to restart the service.
Linux for Workstation 4.x and GSX Server 3.x

Power off any open virtual machines (and close any associated remote consoles).
Open the file /etc/init.d/vmware in a text editor.
Locate the following section:
# Start a DHCP server on a private IP network
vmware_start_dhcpd() {
  local vHostIf="$1" # IN

  # The daemon already logs its output in the system log, so we can safely
  # trash it
  cd "$vmdb_answer_BINDIR" && "$vmdb_answer_BINDIR"/"$dhcpd" \
    -cf "$vmware_etc_dir"/"$vHostIf"/dhcpd/dhcpd.conf \
    -lf "$vmware_etc_dir"/"$vHostIf"/dhcpd/dhcpd.leases \
    -pf /var/run/"$dhcpd"-"$vHostIf".pid "$vHostIf" >/dev/null 2>&1
}
Add the line exit 1 in the position shown below.
# Start a DHCP server on a private IP network
vmware_start_dhcpd() {
  local vHostIf="$1" # IN
  exit 1

  # The daemon already logs its output in the system log, so we can safely
  # trash it
  cd "$vmdb_answer_BINDIR" && "$vmdb_answer_BINDIR"/"$dhcpd" \
    -cf "$vmware_etc_dir"/"$vHostIf"/dhcpd/dhcpd.conf \
    -lf "$vmware_etc_dir"/"$vHostIf"/dhcpd/dhcpd.leases \
    -pf /var/run/"$dhcpd"-"$vHostIf".pid "$vHostIf" >/dev/null 2>&1
}
Save /etc/init.d/vmware.
Restart your host operating system.

Link da solução.

19 de dezembro de 2009

Modelo de referência OSI

Hoje vamos falar sobre o modelo de referência OSI (Open System Interconnection) porém, em vez de detalhar demais toda a história, será apresentado de forma prática e nada prolixa.
O modelo OSI consiste de 7 camadas. Cada camada define uma função específica duma rede que são divididas da seguinte maneira:

As três primeiras camadas embora sejam importantíssimas, não farão parte do nosso cotidiano, como administrador de redes, salvo a camada 7 em alguns casos.

Camada 7 (Aplicação) – Está relacionado com a interface entre a rede e a aplicação. Em termos simples pode-se dizer que está se refere aos serviços de comunicação para aplicativos.
Alguns dos protocolos relacionados são:
Telnet; HTTP; FTP; SMTP e etc.

Camada 6 (Apresentação) – Esta camada está mais relacionada a definir formatos de dados, como textos ASCII e EBCDIC. Uma outra parte que tem a ver é a criptografia.
Alguns dos exemplos:
JPEG, MPEG, GIF e etc.

Camada 5 (Sessão) – Trabalha junto os aplicativos fazendo com que estes se comuniquem, estabelecendo uma conexão virtual, através dessa conexão é onde ele define o início, o controle e o final da comunicação.
Alguns exemplos:
RPC, SQL, AppleTalk e etc.

A partir daqui as informações serão mais aproveitáveis ao nosso mundo das redes.

Camada 4 (Transporte) – Sua função é promover uma transferência de dados confiável e econômica entre as máquinas de origem e de destino, independente do que há entre elas, quer seja um simples switch ou uma rede complexa com centenas de ativos de redes. Além disso é nesta camada que há a correção de erros.
Alguns dos protocolos relacionados:
TCP, UDP, SPX.

Camada 3 (Rede) – Esta camada é que dá nome à nossa profissão (Administrador de REDES), a principal função desta camada é definir como os pacotes (dados) caminham, ou seja, define a entrega destes dados fim-a-fim. É responsável também pelo endereçamento lógico dos ativos de redes, este endereçamento chama-se IP (Internet Protocol).
Alguns protocolos relacionados são:
IP, IPX, RIP, OSPF e etc.

Camada 2 (Enlace) – Estado de enlace, como também e conhecido, define regras (protocolos) que determinam quando um dispositivo pode enviar dados sobre um determinado meio físico. Ele também detecta e em alguns casos, até mesmo corrige erros. Tem também como função endereçar fisicamente os NIC (Network Interface Card). E, por fim, em alguns padrões, como o IEEE 802, esta camada é dividida em duas partes: LLC (Logical Link Control) -  É nesta subcamada que é criado o quadro, também faz um tipo de controle de fluxo e, neste caso, evitando que um nó transmita frames a mais do que o destinatário possa aguentar e por fim faz a detecção de bits errados, podendo até mesmo fazer correções.
Alguns protocolos relacionados são:
HDLC, PPP, Frame-Relay e etc.

Camada 1 (Física) – É responsável primordialmente por servir como meio para o tráfego dos bits. Estes meios podem ser: ar, par metálico, fibra ótica.

Agora vem a questão: Por que ver a rede dividida dessa forma é importante?
Para mostrar a importância desse conceito, vou citar um exemplo real, aconteceu comigo.

Fui designado a resolver um problema de falha de comunicação do servidor num determinado banco aqui da Bahia, quando cheguei no CPD e vi vários racks com muitos roteadores, switches, servidores, e path-panels, pensei: - Não adianta se desesperar, ---risos--- divida o problema em camadas que tudo vai dar certo (pessoal, pode parecer que estou floreando a história, mas foi exatamente assim). A primeira coisa que observei foram os cabos de conexão (camada 1), já que o servidor (Sistema Operacional – Camada 7) estava funcionando corretamente, percebi que os cabos estavam em boas condições, ai pensei, não vou ligar para a operadora porque os outro servidores estão funcionando corretamente portanto as camadas Camada 3 roteamento e Camada 2 protocolo de WAN, estão funcionando corretamento, vou ver se a placa de rede está funcionando corretamente, e dei um ping no meu endereço de loopback para ver se o protocolo de camada 4 estava corretamente configurado e, para minha surpresa, não respondeu o ping, após uma minuciosa avaliação descobri que a placa do servidor estava com problema.
Esta manutenção não durou mais do que 20 minutos, percebam como o conhecimento referente ao modelo de referência OSI ajudou-me neste caso, além da questão de manutenção, dividir a rede em camadas ajuda também, na interoperabilidade, a engenharia modular e té mesmo no aprendizado, tanto sim que, embora este modelo não seja mais praticado pelo fabricantes, ainda assim é amplamente difundido nos meios acadêmicos.

Bom pessoal, este foi apenas um overview do que vem a ser este modelo, à medida que formos falando mais coisas iremos implementar informações que irão acrescentar a este conhecimento.



11 de dezembro de 2009

GNZ

O Global Names Zone (GNZ) é um novo recurso utilizado no Windows Server 2008 que habilita clientes DNS dentro duma floresta no AD a usar o simples nome para comunicação. Esta característica é útil levando-se em consideração que em muitas situações é mais interessante usar um nome simples para identificar um ativo numa grande rede do que o FQDN. Mas, talvez você pense que o GNZ veio para substituir o WINS, eu particularmente acho que não (pelo menos por enquanto), e digo apenas dois motivos que me veio neste momento a memória: o WINS faz atualização dinamicamente, o GNZ tem que ser feito manualmente através do DNS, o WINS pode trabalhar com S.O mais antigos, o GNZ só trabalha com servidores Windows 2008.
Mas o meu objetivo nesta postagem é falar bem do GNZ e não mal (risos), então vamos lá.
Se você está querendo aposentar o seu servidor WINS, ou está pensando em implantar IPv6 no seu ambiente, o Globalnames cairá como uma luva. Percebam que muitos clientes atualmente estão dando importância a resolver nomes na rede utilizando um único nome, no caso do GNZ estes nomes estão registrados no DNS para o domínio ao qual eles pertencem. Outro ponto legal é que para um cliente com vários domínios, gerir uma lista de pesquisa de sufixo para todos os clientes pode ser pesado, por este motivo em ambientes que exigem uma única resolução de nomes simples o GNZ oferece uma solução mais escalável.

Para ficar mais claro, vamos criar um pequeno cenário:

Os administradores de TI numa empresa decidiram que irão tirar todos os servidores WINS e parar de usar NetBT. Eles querem desenvolver um ambiente que trabalhe com o IPv4 e IPv6 . Eles também querem, no entanto, continuar a ser capaz de garantir que os nomes de host de servidores importantes, tais como servidores Web, permanecem originais por toda a floresta.
Após um estudo minucioso decidiram que um dos nomes que será chamado na Zona GlobalNames de serverwer, de modo que se um usuário digitar na barra de endereços do navegador serverweb, ele será direcionado para o nome de domínio totalmente qualificado que é configurado no GNZ.

Requisitos de configuração
Pré-requisitos

Para obter a funcionalidade GNZ num determinado domínio ou floresta, todos os servidores de DNS autoritários deve estar executando o Windows Server 2008.

Assegure-se que não há nenhuma zona previamente existente chamado GlobalNames. Se houver, você deve renomear a zona existente.

Assegurar que a definição de registo GlobalNames zona foi ativado em todos os servidores de DNS, incluindo aqueles que não hospeda o GNZ localmente, usando dnscmd como segue:
dnscmd ./ config /enableglobalnamessupport 1.

Pelo fato do GNZ ser estático na sua configuração, quando tem o AD DS integrado, ele não deve produzir uma quantidade excessiva de tráfego na rede entre os servidores de DNS do controlador de domínio que hospeda o GNZ.


Obs. 1 Galera, estou fazendo esta postagem às 02 da manhã, prometo a vocês que o mais breve possível mostrarei em uma vídeo aula como configurar o GNZ.

Ob. 2 Quanto ao curso de VBScript, eu não me esqueci, voltarei a postar o mais breve possível.

8 de dezembro de 2009

Roteador

O roteador é um dispositivo de rede, cuja característica principal é interligar subredes e tecnologias diferentes, normalmente trata-se de LAN ou WAN, e no caso das tecnologias, podem ser: tecnologias de camada 1 (mídias de comunicação. Não sendo esta uma característica apenas do roteador), protocolos de camada 2 ( HDLC, Frame-Relay), protocolos de roteamento (RIP, OSPF, EIGRP).
O que faz este equipamento ser interessante é a forma como ele encaminha os pacotes até o seu destino, imagine enviar pacotes a uma outra rede bem distante, principalmente quando entre elas há dezenas ou até mesmo centenas de outras redes? Para exemplificar, façamos uma comparação do processo de encaminhamento de pacotes, realizado pelo roteador, a um mapa geográfico, imagine que você esteja viajando para uma cidade a qual você não sabe o caminho, porém tem a certeza de onde quer chegar, a melhor maneira de você achar o local é utilizando um mapa, não é verdade? Pois bem, essa é uma das características do roteador, utiliza o protocolo de roteamento para identificar o “melhor” caminho para o destino dos pacotes. Sei que estou usando expressões que talvez sejam desconhecidas para alguns, mas fiquem tranquilos, todas elas serão explicadas mais tarde.

Segue abaixo um figura de um roteador Cisco:


O roteador, muito embora algumas vezes assemelha-se fisicamente a outros dispositivos de rede, como o Hub e o Switch, perceba que ele tem funcionalidades que o torna singular no processo de interconexão de ativos de redes.

Onde e quando usar o roteador?

Abaixo segue uma representação de uma rede onde mostrarei a utilidade de um roteador num cenário real. (Este é o layout da minha casa).



Repare que nesta rede há dois computadores físicos e um virtualizado, tendo dois roteadores. Este cenário é interessante pois mostra que um micro pode servidor como roteador, até mesmo alguns Access Point têm este recursos. Observe também que estou interligando três redes diferentes, uma 192.168.1.0/24 que corresponde a minha rede interna, outra 192.168.0.0/24 correspondente à rede virtual e um última que é a externa 189.- .- .- e consigo estabelecer comunicação com todas elas através do ping, isto se dá pela propriedade do roteador de interligar redes diferentes.

Bom pessoal, a ideia desta postagem é o de dar uma visão geral deste equipamento tão diversificado, à medida que passarmos para assuntos mais profundos, iremos tratar com mais calma sobre roteador.

Twitter Delicious Facebook Digg Stumbleupon Favorites More