Redes Frame Relay – Como funcionam

A Rede Frame Relay é uma forma de se conseguir múltiplas conexões de dados entre dois ou mais pontos (duas redes locais, por exemplo) através de uma rede púbica (WAN).

Para a utilização eficiente dos recursos da rede, o tráfego da informação em um único circuito físico é multiplexado (compartilhado) com base em estatísticas de utilização, enviando os “frames” na ordem correta e verificando erros de transmissão utilizando CRC. Os frames errados são descartados, ou seja, o Frame Relay precisa funcionar em um caminho livre de erros, como circuitos digitais ou fibra óptica e protocolos mais elevados irão lidar melhor com os erros.

Os protocolos da rede local, como o TCP/IP, funcionam sobre o Frame Relay, que é um protocolo leve baseado nos dois primeiros níveis do modelo OSI, porém com reduções, ignorando certas funções como retransmissão automática e outras, para aumentar sua velocidade.

A informação é transmitida através das unidades básicas chamadas “frames” (quadros), que são uma seqüência de dados contendo elementos como cabeçalho de identificação com endereço de origem e destino, dados do usuário, checagem de erro e outros dados de controle.

Os pacotes gerados pelos protocolos como TCP/IP e outros podem ser “encapsulados” dentro de um frame para serem transportados pela rede, dando a impressão ao usuário de que existe uma conexão direta e transparente entre os dois pontos da rede que estão se comunicando.

Atualmente as redes Frame Relay têm sido bastante utilizadas para conectar diversas LANs entre si, com velocidades que podem ser frações das fornecidas pelo E1 ou T1 (2Mbps ou 1.55Mbps), podendo chegar a velocidades de T3(45Mbps). As primeiras redes públicas de Frame Relay foram estabelecidas em 1991 e são consideradas uma evolução das redes que utilizam protocolo X.25 de comutação de pacotes.

Uma conexão a uma rede de comutação de pacotes envolve a implementação de um protocolo de acesso. O protocolo usualmente utilizado para acesso a redes públicas é o X.25, especificado na recomendação X.25 do ITU.

Esse protocolo contém as especificações correspondentes aos níveis físico, de enlace e de rede da arquitetura OSI.

O Nível de Rede executa as funções de estabelecimento das chamadas, a liberação das mesmas e gerencia a transferência de dados definindo como os dados do usuário e as informações de controle estão estruturados e como são apresentados para a rede.

Para que o nível de rede possa atender a uma larga gama de usuários, dois tipos de serviços foram definidos: o serviço de circuito virtual e o serviço de datagrama.

No serviço de circuito virtual a interface da camada de rede fornece aos seus usuários um meio de comunicação sem erros, através do qual mensagens são transportadas sem perdas, duplicações ou alterações de ordem.

No serviço de datagrama, os pacotes são transportados sem o estabelecimento de uma rota predeterminada através da rede. Os pacotes são então roteados, sendo que cada um deve possuir todas as informações necessárias para o seu próprio roteamento.

O Nível de enlace ou de quadros descreve procedimentos para controle da linha entre o host e um nó de comutação da rede. Tem ainda como funções o controle de fluxo, a delimitação do início e do fim do quadro e a manutenção da seqüência dos quadros.

O Nível físico descreve as características físicas, elétricas e mecânicas (tensão, conectores, pinagem, etc.).

O Frame Relay fornece um mecanismo de sinais e transferência de dados entre os endpoints, ou pontos, de uma rede. Permite que muitos usuários compartilhem largura de banda, criando largura de banda instantânea, conforme a demanda (“anexação”). Ele envia informações em pacotes chamados frames. E cada frame contém todas as informações necessárias para roteá-lo para o destino correto.

Funcionando desse modo, cada endpoint pode se comunicar com muitos destinos em uma conexão de acesso à rede. E ao invés de ter alocada uma parte fixa da largura de banda, o tráfego Frame Relay toma toda a largura de banda para transmissões curtas e explosivas.

As principais vantagens da rede frame relay são:
• Altas velocidades de acesso;
• Baixos retardos (fixos);
• Transparentes a protocolos;
• Alto “throughput”;
• Multiplexação estatística;
• Compartilhamento de portas;
• Alocação dinâmica da banda.

As principais desvantagens são:
• Ineficiente para aplicações em rajadas;
• Reserva fixa de banda;
• Custos elevados ( a menos de tráfego pesado e freqüente);

Roteamento e roteadores

Roteamento é a escolha do módulo do nó de origem ao nó de destino por onde as mensagens devem transitar. Na comutação de circuito, nas mensagens ou de pacote.

Primeiramente estabelece uma conexão entre nós de origem e destino, neste estabelecimento é definida a rota onde deverão transitar enquanto perdurar a conexão. Em segundo caso pode haver ou não o estabelecimento de conexão, mas independentemente disso cada nó intermediário do caminho é responsável pela escolha do próximo nó do caminho no instante em que recebe a mensagem.

Em redes geograficamente distribuídas, caberá à estação a escolha do melhor gateway ao qual será enviado o pacote, no caso de uma mensagem interredes, ou a qual estação, no caso de uma mensagem dentro da mesma rede.

Assim cabe a estação algum nível de roteamento. Ao gateway cabe escolher a melhor rota através de outros gateways, se for o caso, para o encaminhamento dos pacotes. Em redes que possuem mensagens por difusão, o roteamento realizado pelas estações pode ser relaxado.

Querendo enviar uma mensagem inter-redes, uma estação simplesmente transmitirá um pacote por difusão. Se a
mensagem é inter-redes cabe então aos gateways o reconhecimento de qual deles deverá se responsabilizar pela continuidade do encaminhamento da mensagem.

A implementação do roteamento exige uma estrutura de dados que informe os possíveis caminhos e seus custos, a fim de que se possa decidir qual o melhor. Diversos métodos têm sido utilizados para a manutenção da estrutura de
dados.

Existem vários tipos de roteamento. São eles:

  • Roteamento Centralizado Neste existe, em algum lugar da rede, um Centro de Controle de Roteamento (CCR) responsável pelo cálculo da tabelas de rotas. O CCR tem o poder de tomar decisões precisas sobre o caminho ótimo, uma vez que possui todas informações da rede.
  • Roteamento Isolado No roteamento isolado, a atualização é realizada com base nas filas de
    mensagens para os diversos caminhos e outras informações locais, verificando-se
    vários aspectos de acordo com algoritmos criados.
  • Roteamento Distribuído Neste modo, cada nó envia periodicamente aos outros nós, incluindo os
    gateways, informações locais sobre a carga na rede. Essas informações são
    utilizadas para o cálculo da nova tabela.
  • Roteamento hierárquico Quando as redes tornam-se muito grandes, o número de entradas na
    tabela de rotas pode ser tão elevado que as tornam impossíveis de serem armazenadas ou percorridas. A solução, nesse caso, é realizar o roteamento hierarquicamente. Neste roteamento os nós são divididos em regiões, com cada nó capaz de manter as informações de rotas das regiões a que pertence.

Roteadores

Os Gateways são usualmente classificados em dois tipos: Gateways Conversores de Meio (Media-Conversion Gateways) e Gateways Tradutores de Protocolos (Protocol-Translation Gateways).

Os Gateways conversores de meio são os mais simples, bastante utilizados em inter-redes que oferecem o serviço de datagrama, suas funções resumem-se em receber um pacote do nível inferior, tratar o cabeçalho inter-redes do pacote, descobrindo o roteamento necessário, construir novo cabeçalho interredes se necessário e enviar esse novo pacote ao próximo destino, segundo o protocolo da rede local em que se encontra. Esse tipo de Gateway é também chamado de Roteador.

Os Gateways tradutores de protocolo são mais utilizados em inter-redes que utilizam circuitos virtuais passo a passo. Eles atuam traduzindo mensagens de uma rede, em mensagens da outra rede, com a mesma semântica de protocolo.

Nem todos os protocolos podem ser mapeados entre si e o subconjunto formado pela interseção dos serviços comuns é o serviço que deverá ser oferecido como base para a interligação. As dificuldades na tradução dos protocolos tornam tais gateways bastante complexos e de difícil realização, o que pode aumentar em muito o custo da interligação. Quando os gateways interligam duas redes cuja administração pertence a duas organizações diferentes, possivelmente em países diferentes, a operação do gateway pode causar sérios problemas.

Como a estrutura de ligação em cada uma das redes é completamente independente, para facilitar a implementação e a operação, é comum separar essas entidades também fisicamente. A cada uma dessas interfaces denominamos half-gateway. Cabe ao half-gateway a realização do protocolo de comunicação entre eles.

Quando o Gateway é dividido em metades seu projeto torna-se bem mais simples e estruturado, além de ter maior flexibilidade quanto à distância física das redes.

A utilização de gateways para a conexão de redes locais idênticas não sofrem nenhuma restrição. A desvantagem está na sua maior complexidade, na exigência de um protocolo inter-redes, enfim, no custo da interligação.

Aspectos Técnicos

Existem duas atividades que são básicas a um roteador. São elas:

  • A determinação das melhores rotas – Determinar a melhor rota é definir por qual enlace uma determinada mensagem deve ser enviada para chegar ao seu destino de forma segura e eficiente. Para realizar esta função, o roteador utiliza dois conceitos muito importantes: o conceito de métrica e o conceito de tabelas de roteadores.
  • O transporte dos pacotes – Transportar os pacotes pela rede é uma função relativamente simples realizada pelos roteadores. Consiste em verificar o endereço de rede para quem a mensagem está destinada, determinar se conhece este endereço. E, por fim, traduzir para um novo endereço físico e enviar pacote.

Métrica

Métrica é o padrão de medida que é usado pelos algoritmos de roteamento para determinar o melhor caminho para um destino. Pode-se utilizar apenas um parâmetro ou vários parâmetros. A utilização de vários parâmetros permite uma melhor modelagem da métrica e uma decisão mais eficiente de qual é o melhor caminho. Alguns dos parâmetros utilizados são:

  • Tamanho do caminho
  • Confiabilidade
  • Atraso
  • Largura de banda
  • Carga
  • Custo da comunicação

 

Tabela de roteamento

Os roteadores constroem tabelas de roteamento para realizarem as suas tarefas. Estas tabelas de roteamento contêm entradas que relacionam um determinado destino com um enlace e uma métrica. Dependento das implementações, podem apresentar mais dados, entretanto estes três são os dados essenciais.
Abaixo é apresentada a tabela de roteamento do roteador A.

Requisitos de um roteador

Para um roteador funcionar de forma adequada é necessário que ele faça algumas tarefas.

  • O roteador deve conhecer a topologia da subrede e escolher os caminhos adequados dentro da mesma.
  • O roteador deve cuidar para que algumas rotas não sejam sobrecarregadas, enquanto outras fiquem sem uso.
  • O roteador deve resolver os problemas que ocorrem quando a origem e o destino estão em redes diferentes

Algoritmo de roteamento

O algoritmo de roteamento é a parte do programa de nível de rede responsável por decidir para qual linha um pacote deve ser enviado a fim de chegar ao seu destino. Todos os roteadores executam um algoritmo de roteamento.

Características desejadas em um algoritmo de roteamento

Correção

O algoritmo de roteamento tem de calcular rotas corretas para todos os destinos, não pode falhar para nenhum e não pode indicar uma rota inexistente. Esta é uma característica evidente que deve ser, ainda, complementada pela derivação da melhor rota. Não basta que o algoritmo descubra uma rota para um destino, é necessário que ele descubra a melhor rota possível.

Simplicidade

O algoritmo de roteamento tem de ser eficiente sem sobrecarregar a máquina. Além disso, é importante que o administrador da rede possa entender como o algoritmo é executado.

Estabilidade

O algoritmo de roteamento tem de convergir rapidamente. Convergir é ficar em um estado correto. Por exemplo, quando acontece alguma modificação na topologia da rede, as tabelas de roteamento de alguns roteadores apresentarão uma informação errada. No momento em que todos os roteadores da rede estiverem com suas tabelas certas, diz-se que o algoritmo convergiu. Quanto mais rápido for este processo, melhor.

Robustez

Uma vez que a rede entre em operação, deve permanecer assim durante anos, sem que ocorram falhas de todo o sistema. Durante este período, ocorrerão falhas isoladas de hardware e software e a topologia da rede modificar-se-á diversas vezes. O algoritmo de roteamento deve ser capaz de resolver estas modificações sem requerer uma reinicialização.

Consideração com o usuário e eficiência global

Estes dois requisitos são, de certa forma, contraditórios. Existe um compromisso entre eles. Às vezes, para melhorar o fluxo de dados na rede toda, seria necessário terminar com o fluxo de dados entre duas máquinas específicas . Evidentemente, isto prejudicaria os usuários destas duas máquinas. Desta forma a melhora da eficiência global somente seria alcançada a partir da desconsideração de alguns usuários. Um algoritmo de roteamento deve melhorar a eficiência da rede sem deixar de levar em conta os diversos usuários.

Tipos de algoritmo

Estático

Um algoritmo de roteamento do tipo estático não baseia as suas decisões de roteamento em medidas ou estimativas de tráfego e em topologias correntes. As rotas são definidas anteriormente e carregadas no roteador na inicialização da rede.

Dinâmico

Um algoritmo de roteamento dinâmico tenta mudar as suas decisões de roteamento de acordo com as mudanças de tráfego e de topologia. A tabela de roteamento vai-se modificando com o passar do tempo. Evidentemente que este tipo de roteamento apresenta uma flexibilidade e uma eficiência em condições adversas muito maiores.

Estrutura plana

Neste tipo de algoritmo, todos os roteadores estão em um mesmo nível. As informações não são organizadas e distribuídas hierarquicamente.

Estrutura hierárquica

Neste tipo de algoritmo as informações de roteamento são organizadas hierarquicamente. Dependendo da hierarquia do roteador, a sua tabela de roteamento e a sua comunicação com outros roteadores são diferentes.

Algoritmos intra-domínio

Estes são algoritmos que são executados por roteadores de dentro de um determinado Sistema Autônomo (AS-Autonomous System). Permitem que sejam definidas as rotas para dentro da rede de uma determinada organização.

Algoritmos inter-domínios

Estes são algoritmos que são executados por roteadores que estão nos limites dos domínios. Permitem a definição das rotas que são utilizadas para a comunicação com equipamentos de fora de um determinado Sistema Autônomo.

Dois algoritmos são os mais comumente utilizados por protocolos de roteamento:

  • Algoritmo de Vetor de Distância (Distance Vector)

1. O roteador apresenta em sua tabela a rota para os roteadores vizinhos.
2. Em intervalos de tempo regulares o roteador envia toda a sua tabela de rotas para, e somente para, os seus vizinhos.
3. Após algum tempo os diversos roteadores da rede convergem (ficam com as suas tabelas completas e atualizadas).
4. As tabelas apresentam o endereço destino, a métrica, e o próximo roteador para onde a mensagem deve ser enviada.
5. Exige menos recursos de memória e processamento do que o algoritmo de Estado do Enlace.
6. Apresenta convergência mais lenta e alguns problemas enquanto o algoritmo não se estabilizou.

  • Algoritmo de Estado do Enlace (Link State)

Neste algoritmo o roteador faz as seguintes tarefas:
1. Descobre quem são os vizinhos e qual o estado do enlace dos vizinhos.
2. Mede os custos associados aos diversos enlaces que possui.
3. Transmite as informações sobre os enlaces para todos os roteadores da rede.
4. Recebe o estado de todos os enlaces da rede.
5. Constrói um mapa completo da rede.
6. Constrói o melhor caminhos para cada roteador da rede utilizando o algoritmo de Dijkstra.

Protocolos de Roteamento

A função dos protocolos de roteamento é construir as tabelas de roteamento completas nos diversos roteadores de uma rede através da troca de mensagens entre eles.

  • igp (interior gateway protocol) – Estes são utilizados para realizar o roteamento
    dentro de um Sistema Autônomo:

    • RIP (Routing Information Protocol)
    • IGRP (Interior Gateway Routing Protocol)
    • Enhanced IGRP
    • OSPF (Open Shortest Path First)
    • IS-IS (Intermediate System-to-Intermediate System)
  • egp (exterior gateway protocol) – Estes são utilizados para realizar o roteamento entre Sistemas Autônomos diferentes.
    1. EGP Exterior Gateway Protocol) – este protocolo apresenta o mesmo nome que o seu tipo.
    1. BGP (Border Gateway Protocol)

    RIP (Routing Information Protocol)

    Características básicas

  • Projetado como um protocolo intra-domínio (igp).
  • Utiliza um algoritmo do tipo Vetor de Distância.
  • A métrica utilizada é a distância da origem até o destino em número de enlaces que devem ser percorridos.
  • Não permite o balanceamento do tráfego.
  • A rota inatingível apresenta uma métrica igual a 16.
  • Realiza atualizações a cada 30 segundos.

Informações guardadas na tabela de roteamento

  • endereço de destino
  • endereço do próximo roteador
  • interface do host a ser utilizada
  • métrica da rota
  • flags e timers que controlam tempos de atualização

Dados transmitidos nas mensagens de atualização

  • Comando (Request ou Response)
  • Identificador da família de endereçoes
  • Endereço destino
  • Métrica

Atualização da tabela de roteamento a cada chegada de um Response

As atualizações sempre chegam por mensagens designadas como Response. Cada
vez que chega uma atualização o roteador busca na tabela a entrada correspondente e
modifica se as seguintes condições forem satisfeitas:

  • Se a rota não existe: acrescenta 1 à métrica recebida e coloca a rota na tabela.
  • Se a rota já existe na tabela e apresenta métrica maior: substitui a rota atual pela que chegou com métrica menor.
  • Se a rota já existe na tabela e o roteador destino é o mesmo: atualiza a métrica independente se aumentou ou diminuiu.

Características de estabilidade

Para que o algoritmo de Vetor de Distância, utilizado no RIP, funcione de forma eficiente os seguintes mecanismos de estabilidade relacionados abaixo são utilizados no RIP.

  • Hop-count limit
  • Hold-down
  • Split horizon
  • Poison reverse updates
  • Triggered updates – são transmitidas apenas as rotas modificadas

Características gerais

  • O endereço default é referenciado pelo destino 0.0.0.0.
  • A mensagem de Request é utilizada para que um roteador solicite a tabela de
    roteamento de um vizinho, ou apenas uma rota para um determinado destino.
  • Apresenta implementação simples, uma vez que utiliza um algoritmo simples e
    apenas duas mensagens.
  • Apresenta uma convergência lenta.
  • Os estados intermediários, isto é, até os roteadores convergirem, podem
    apresentar laços.

 

Como funciona a criptografia

Como funciona a criptografia?

O único método disponível que oferece proteção tanto no armazenamento, quanto no transporte de informações por uma rede pública ou pela Internet, é a criptografia.

A criptografia é tão antiga quanto a própria escrita. Foi depois da segunda Guerra Mundial, que ela começou a crescer e hoje em dia e largamente usada. A criptografia, formou a base para a computação moderna.

Quando se fala sobre criptografia, fala-se também sobre chaves, pois elas, são quem fecham e abrem a criptografia dos dados, existem dois métodos para se trabalhar com chaves criptográficas, eles são:

Criptografia de chaves simétricas

Esse método, conhecido também como criptografia tradicional, funciona bem em aplicações limitadas, onde o remetente e o destinatário se preparam antecipadamente para o uso da chave.

Para que esse método funcione, todas as pessoas envolvidas devem conhecer a chave, pois quando uma mensagem criptografada chega a caixa de entrada, ela só pode ser aberta por quem possui a chave.

Esse método não é muito eficiente em conexões inseguras, no entanto, quando é utilizado sobre conexões seguras a criptografia simétrica se torna bem eficiente.

Existem vários algoritmos de chaves simétricas, entre elas estão as seguintes:

  • DES (Data Encryption Standard). O DES utiliza uma chave de 56 bits e opera em blocos de 64 bits. Foi projetado inicialmente para ser utilizado em componentes de hardware, nos dias atuais, ele é usado na Internet em conexões Web segura, pois o SSL se utiliza do DES. Ele é um algoritmo seguro para a maioria das aplicações, entretanto, em aplicações altamente secretas, ele não deve ser usado, pois existe o perigo de violação.
  • RC2 e RC4. Mais rápidos do que o DES, esses códigos podem se tornar mais seguros com o simples aumento do tamanho das chaves, O RC2 pode substituir perfeitamente o DES com a vantagem de ser 2 vezes mais rápido, já o RC4 fica 10 vezes mais rápido.
  • IDEA (International Data Encryption Algorithm). Criado em 1991. Ele foi projetado para ser facilmente programado, é forte e resistente a muitas formas de criptoanálise.

Como funciona a criptografia?

Figura 1: A ilustração acima, demostra de forma simples a chave simétrica em funcionamento. A soma da mensagem mais chave gera uma mensagem criptografada, após a geração, ela é enviada através da rede, e ao chegar ao lado oposto, ela é descriptografada através da chave que está no destino.Conclusão, como vantagens temos, o fato de ser facilmente implementado em hardware além da rapidez, e como desvantagem o fato de que as chaves são iguais, é de difícil distribuição, além de não aceitar a assinatura digital.

Criptografia de chaves assimétricas

A criptografia de chave pública ou criptografia assimétrica, foi criada em 1970. Esse método funciona com uma chave para criptografar, e outra para descriptografar a mesma mensagem.

No sistema de chave pública, cada pessoa tem que ter duas chaves, uma que fica publicamente disponível, e outra, que deve ser mantida em segredo.

O algoritmo que se mantém até hoje é o RSA, que é patenteado pela RSADSI (RSA Data Security Incorporated) nos Estados Unidos.

Para entender como funciona, observe a figura abaixo:

Como funciona a criptografia?
Figura 2: A ilustração acima, demostra como funciona a criptografia assimétrica.

» As pessoas (A) e (C), escrevem mensagens, utilizando a chave pública da pessoa (B), note que, a partir desse momento somente ela, poderá ler as mensagens;

» As mensagens são enviadas a pessoa (B) através da Internet;

» A pessoa (B), recebe as mensagens de (A) e (C), na qual ela usa a chave privada para descriptografar;

» A pessoa (B), lê as mensagens, e se, tiver que responde-las, deverá usar as chaves públicas de criptografia de (A) e ou (C).

Nesse momento, é importante enfatizar que o sigilo da chave privada é muito importante, pois, a criptografia assimétrica, se baseia no fato de que a chave privada, é realmente privada, por isso, somente seu detentor deve ter acesso.

Assinatura digital

Se a chave privada for usada para escrita, o sentido das chaves acaba sendo outro, pois, todos que tem a chave pública vão conseguir ler essa mensagem, entretanto, somente quem tem a chave privada vai conseguir escrever, logo, a mensagem deixa de ser secreta, e se torna uma mensagem autêntica, a isso, chamamos de mensagem com Assinatura Digital.

Assinatura digital + Criptografia assimétrica

Nesse método, temos certeza de que a pessoa que nos enviou a mensagem é realmente ela, pois, usamos sua chave pública para abrir a mensagem, entretanto, precisamos da nossa chave privada, para abrir o texto que está dentro da mensagem, sendo assim, obtivemos um nível de proteção excelente.

Conclusão, como vantagens temos, utilização de chaves distintas, integridade, fácil distribuição e a assinatura digital, e como desvantagem a lentidão.

Para que serve o Proxy ?

Os servidores proxy são usados para permitir aos micros de uma rede interna o acesso à Web, FTP e outros serviços mais, no qual ele foi previamente configurado. O proxy é um servidor especial, que roda em uma máquina que pode agir também como se fosse um Firewall, escondendo os computadores da rede interna.

Basicamente, ele recebe requisições de máquinas que estão na rede interna, envia aos servidores que estão do lado externo da rede, lê as respostas externas e envia de volta o resultado aos clientes da rede interna.

Normalmente, o mesmo servidor proxy é usado para todos os clientes em uma rede interna, que pode ou não ser constituída de sub-redes.

Os tipos de servidores Proxy mais utilizados, são:

» Os Proxies genéricos, que oferecem serviços de proxy para várias aplicações (por exemplo Web, Ftp, Gopher e Telnet) em um único servidor.

» Os Proxies específicos, que oferecem serviços de proxy para uma determinada aplicação, como é o caso do Web Proxy, que é um proxy que tem por finalidade, fazer caching de documentos Web que foram acessados, reduzindo de forma considerável, o tráfego de acesso à Internet em requisições futuras.

Nota: A habilidade de fazer cache dos documentos acessados, tornou atrativo o seu uso dentro de empresas e provedores de acesso à Internet, pois, com ele, existe o ganho de “banda virtual”, tendo em mente que documentos freqüentemente acessados, serão retornados do cache local ao invés de um servidor remoto distante.

O proxy é um servidor especial, que roda em uma máquina que pode agir também como se fosse um Firewall, escondendo os computadores da rede interna.
Figura 1: Demonstração do Fluxo de informações no Proxy.

Na ilustração acima, temos uma demonstração de como funciona o fluxo dentro de um servidor Web Proxy, ele recebe as requisições, faz uma análise no cache local, e se o documento estiver no cache, ele responde automaticamente, caso contrário, se o documento não estiver no cache, ou, se ele estiver precisando de atualização, ele vai ao endereço remoto e busca o documento, ou as atualizações e guarda no cache local, para ser usado nas requisições futuras.

» Os Proxies de circuitos, que oferecem conexões virtuais ponto a ponto entre o cliente e o destino final, eles normalmente fazem a autenticação antes de estabelecer a conexão final, agindo como se fosse um controlador. Esse tipo de proxy, baseia-se livremente no conceito de proxy genérico.

Para que serve o Firewall ?

Para que serve o Firewall ?

Firewall é o mecanismo de segurança interposto entre a rede interna e a rede externa com a finalidade de liberar ou bloquear o acesso de computadores remotos aos serviços que são oferecidos em um perímetro ou dentro da rede corporativa. Este mecanismo de segurança pode ser baseado em hardware, software ou uma mistura dos dois.

Três fatores estão em risco quando nos conectamos a Internet, são eles, a reputação, os computadores e as informações guardadas, e três fatores precisam ser resguardados, a privacidade, a integridade e a disponibilidade. Existem situações de riscos como, roubo de conexão depois dela ter sido autenticada, espionagem de dados secretos enquanto em trânsito pela rede e um usuário não autenticado convence a rede que ele foi autenticado.

Ele é o ponto de conexão com a Internet, tudo o que chega à rede interna deve passar pelo Firewall, ele é também o responsável por aplicar as regras de segurança, autenticar usuários, logar tráfego para auditoria e deve limitar a exposição dos hosts internos aos hosts da Internet, entretanto, algumas tarefas não podem ser executadas, como, proteger a rede contra usuários internos mal intencionados, conexões que não passam por ele, ameaças novas, no qual ele não foi parametrizado para executar uma ação.

Arquiteturas de Firewall

Normalmente, as empresas preferem implementar um Firewall baseado apenas em uma máquina, seja ele um host PC ou um roteador, entretanto, os Firewalls mais robustos, são compostos de várias partes, veja algumas arquiteturas a seguir:

Roteador com Triagem (Screening Router)
Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é zero, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.

Roteador com Triagem (Screening Router) Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil elaboração, é rápido de se implementar e seu custo é zero, entretanto, se as regras do roteador forem quebradas, a rede da empresa ficará totalmente vulnerável.

Figura 1 : Screened Router

Gateway de Base Dupla (Dual Homed Gateway)
Aqui, é posto uma única máquina com duas interfaces de rede entre as duas redes (a Internet e a rede da empresa). Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa. Como na arquitetura anterior, se o Proxy for quebrado, a rede da empresa ficará totalmente vulnerável.

Gateway de Base Dupla (Dual Homed Gateway)
Figura 2 : Dual Homed Gateway

Gateway Host com Triagem (Screened Host Gateway)
Roteador e Gateway aqui, são usados conjuntamente em uma arquitetura, formando assim, duas camadas de proteção.

Observe a figura abaixo:

Gateway Host com Triagem (Screened Host Gateway)
Figura 3: Screened Host Gateway

A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o “filtro de pacotes” que está implementado no roteador e tem como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa.

A segunda camada, é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna.

Sub-rede com Triagem (Screened Subnet)
Roteador e Gateway, são usados aqui também conjuntamente em uma arquitetura que é bem parecida com a arquitetura anterior, entretanto, a camada de serviços nesta, fica na mesma linha da camada interna, atrás do Bastion Host Gateway, em uma das sub-redes que podem ser criadas nele, fortalecendo bem os serviços contra ataques.

Observe a figura abaixo:

Sub-rede com Triagem (Screened Subnet)
Figura 4: Screened Subnets

A primeira camada, é a externa, que está interligada com a Internet através do roteador, nesta camada a rede só conta com o “filtro de pacotes” que está implementado no roteador, e tem como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa.

A segunda camada, está dividida em duas partes, a de serviços prestados (Exemplo, E-mail, Web, Ftp e Ras) e a interna (rede da empresa), e elas, recebem duas filtragens, a do roteador e a do próprio programa Firewall. Esta camada utiliza também uma outra técnica chamada NAT, que tem por finalidade transcrever números de internet em números privados, fortalecendo bem a transparência da camada.

Entendendo o Bastion Host

Bastion Host é qualquer computador configurado para desempenhar algum papel crítico na segurança da rede interna, ele fica publicamente presente na Internet, provendo os serviços permitidos pela política de segurança da empresa.

Componentes de um bom Firewall

Autenticação – Processo que verifica a identidade de um usuário para assegurar de que o mesmo que está pedindo o acesso, seja de fato, o mesmo a quem o acesso é autorizado.

Controle de Acesso – Processo que bloqueia ou permite conexões de entrada ou de saída baseado em filtros de acesso ou através de mecanismos inteligentes que detectam o uso abusivo, bloqueando o acesso temporariamente.

Compatibilidade – O Firewall deve permitir o pleno funcionamento dos serviços prestados na rede, bem como, interagir ou até mesmo se integrar com as aplicações servidoras escolhidas pela corporação.

Auditoria – Processo vital na detecção de vulnerabilidades e acessos indevidos.

Flexibilidade – Facilidade no uso, ferramentas de administração de boa compreensão e suporte técnico.

Nota: Um bom programa de segurança de rede, é construído por um conjunto de programas e técnicas que tem por finalidade liberar ou bloquear serviços dentro de uma rede interligada à Internet de forma controlada. Embora o Firewall seja a parte mais importante em um programa de segurança, não devemos esquecer a importância de se utilizar ferramentas que auxiliam na detecção de brechas e vulnerabilidades dos sistemas operacionais que estão em uso na rede, bem como, o uso de programas que detectam intrusos ou ataques. É importante também, saber qual ação a ser tomada quando uma violação ou um serviço importante parar.