Arquitetura TCP/IP em

UNIDERP
Universidade para o Desenvolvimento do Estado e da Regio do Pantanal
Arquitetura TCP/IP
Julho de 2004
Campo Grande MS
Tecnologia em Redes de Computadores

Arquitetura TCP/IP
Prof. Cleber Costa Gomes
Sumrio
Item Descrio
1.
Pgina
Introduo ........................................................................................................................... 05
1.1
O que TCP/IP? ......................................................................................................... 05
1.2
Histrico .................................................................................................................... 05
1.3
Caractersticas ............................................................................................................ 05
1.4
Conceitos Bsicos ....................................................................................................... 07

1.4.1 Endereamento .................................................................................................. 07
1.4.2 Pacotes ............................................................................................................. 07
1.4.3 Protocolo ........................................................................................................... 08
2.
Roteadores e Ns de Extremidade ......................................................................................... 09

2.1
Comportamento de Envio e Recebimento do N de Extremidade .................................... 09
2.2
Comportamento de Envio e Recebimento do Roteador .................................................. 09
2.3
Formato de um Endereo IP ........................................................................................ 10
2.4
Limites de endereamento .......................................................................................... 10
2.5
Endereos reservados ................................................................................................. 11

2.4.1 Endereo de Rede .............................................................................................. 11
2.4.2 Endereo de Broadcast ....................................................................................... 11
2.4.3 Endereo de LOOPBACK ................................................................................... 11
2.4.4 Mscara de Rede ................................................................................................ 11
3.
4.
Subredes ............................................................................................................................. 13
3.1
Criando Subredes (Subnets) ........................................................................................ 13
3.2
Mscara de Subrede(Subnet Mask) .............................................................................. 13
3.2
Atribuio de Endereo IP a dispositivos TCP/IP ............................................................ 14
Arquitetura TCP/IP ............................................................................................................... 16

4.1
Camada de Interface de Rede ..................................................................................... 16

4.1.1 Mapeamento de endereos lgicos Internet em endereos fsicos de rede .............. 16
4.1.2 Mapeamento de endereos fsicos de rede em endereos lgicos Internet .............. 17
4.2
Camada de Inter-rede (ou somente Rede) .................................................................... 17

4.2.1 Datagrama IP .................................................................................................... 18
4.2.2 Roteamento de Datagramas ................................................................................ 18
4.3
Camada de Transporte ................................................................................................ 19

4.3.1 Protocolo UDP .................................................................................................... 19
4.3.2 Protocolo TCP .................................................................................................... 19
4.4
Camada de Aplicao .................................................................................................. 20

2

Arquitetura TCP/IP
5.
4.5
Encapsulamento de Dados .......................................................................................... 21
4.6
Arquitetura TCP/IP versus Arquitetura RM-OSI ............................................................. 21
Roteamento ......................................................................................................................... 22
5.1
Conceituao ............................................................................................................. 22
5.2
Vantagens do Roteamento .......................................................................................... 22
5.3
Mecanismos de Entrega de Dados ................................................................................ 23

5.3.1 Entrega Direta ................................................................................................... 23
5.3.2 Entrega Indireta ................................................................................................. 23
6.
5.4
Mscara de Rede e Roteamento .................................................................................. 23
5.5
Tabela de Roteamento ................................................................................................ 24
5.6
Entradas na Tabela de Roteamento ............................................................................. 24
5.7
Algoritmo de Roteamento ............................................................................................ 25
DNS Domain Name Service .............................................................................................. 26

6.1
7.
Procedimentos para registro de nomes ......................................................................... 27
Aplicativos ........................................................................................................................... 29
7.1
Aplicativos de Login Remoto ........................................................................................ 29

7.1.1 TELNET ............................................................................................................. 29
7.2
Aplicativos de acesso e transferncia de arquivos .......................................................... 29

7.2.1 FTP (File Transfer Protocol) ................................................................................ 30
7.2.2 TFTP (Trivial File Transfer Protocol) ..................................................................... 30
7.2.3 NFS (Network File System) ................................................................................. 30
7.2.1 Implementao .......................................................................................... 31
7.2.2 Estudos Adicionais ...................................................................................... 31
7.3
Aplicativos de Correio Eletrnico .................................................................................. 31

7.3.1 SMTP (SIMPLE MAIL TRANSPORT PROTOCOL) .................................................... 32
7.3.2 Extenso MIME para dados no ASCII ................................................................. 32
7.3.3 POP (Post Office Protocol) / IMAP( "Internet Mail Access Protocol) . 32
7.3.4 HTTP (Hiper Text Transfer Protocol)/WWW (World Wide Web) 33
7.4
Aplicativos de Gerenciamento da interligao em redes ................................................. 34

SNMP (Simple Network Management Protocol) .. 34
8.
Redes Privadas .................................................................................................................... 36

8.1
Internet, internets, intranets e extranets ...................................................................... 36
8.2
Endereos reservados para redes Privadas ................................................................... 37
8.3
NAT - Network Address Translation (mascaramento) ..................................................... 37
8.4
Proxies e HTTP ..................................................... 38

3

Arquitetura TCP/IP
8.5
9.
VPNs ......................................................... 39
Segurana da Interligao em redes ...................................................................................... 40

9.1
Introduo ................................................................................................................. 40
9.2
Necessidade de uma poltica de Informao ................................................................. 41
9.3
Mecanismos de autenticao ....................................................................................... 41
9.4
Mecanismos de privacidade ......................................................................................... 42
9.5
Firewalls e acesso interligao em redes .................................................................... 42
9.6
Vrias conexes e enlaces mais fracos ......................................................................... 42
9.7
Implementao do firewall e hardware de alta velocidade ............................................. 43
9.8
Filtros de nvel de pacotes ........................................................................................... 43
9.9
Segurana e especificao de filtro de pacote ............................................................... 44
9.10 A conseqncia do acesso restrito a clientes ................................................................. 44

9.11 Acesso a servios atravs do firewall ............................................................................ 44
9.12 Os detalhes da arquitetura de firewall .......................................................................... 45
9.13 Rede Stub .................................................................................................................. 46
9.14 Uma implementao alternativa de firewall ................................................................... 46
9.15 Monitoramento e registro no log .................................................................................. 46

Arquitetura TCP/IP
Introduo
O que o TCP/IP ?
O TCP/IP uma famlia de protocolos utilizada nas comunicaes de computador. TCP/IP o acrnimo para
Transmission Control Protocol / Internet Protocol. O TCP e o IP so protocolos individuais que podem ser
discutidos de modo isolados, mas eles no so os nicos protocolos que compem essa famlia. Pode acontecer
de um usurio TCP/IP no utilizar o protocolo TCP propriamente dito, mais sim alguns outros da famlia. A
Utilizao do TCP/IP no deixa de ser apropriada porque o nome se aplica de modo genrico ao uso de qualquer
protocolo da famlia TCP/IP.
A famlia de protocolos TCP/IP inclui protocolos como o IP (Internet Protocol), ARP (Address Resolution
Protocol), ICMP (Internet Control Message Protocol), UDP (User Datagram Protocol), TCP (Transmission Control
Protocol), Telnet, SMTP (Simple Mail Transfer Protocol), DNS (Domain Name System) e muitos outros.
Histrico
- 1969, Defense Advanced Research Projects Agency (DARPA) cria m projeto de pesquisa para criar uma rede
experimental de comutao de pacotes ARPANET que deveria prover: robustez; confiabilidade; e
comunicao de dados independente de fornecedores.
- 1975, Devido ao grande sucesso, a ARPANET deixa uso experimental e passa a ter uso operacional; seu
desenvolvimento continua e a famlia de protocolos TCP/IP comea a ser concebida.
- 1979, Internet Control and Configuration Board define o projeto de um protocolo para interconexo de redes;
- 1980, TCP/IP torna-se padro na ARPANET;
- 1983, TCP/IP adotado como padro militar e a Defence Communication Agency pede a diviso da ARPANET:
Internet = ARPANET + MILNET
TCP/IP integrado ao BSD/UNIX e disponibilizado a baixo custo;
- 1985, Nacional Science Foundation (NSF) promove expanso da Internet para a comunidade cientfica
americana NSFNET
- 1986 ... 1992, NSF disponibiliza acesso para comunidade cientfica fora dos Estados Unidos (chegando
inclusive ao Brasil);
- 1993 ... 1998, TCP/IP torna-se padro de fato para interconexo de redes de diferentes tecnologias; rede
passa a ser usada para os mais variados fins;
- 1997 ... 2000, Mundo usa massivamente a Internet, articula-se e implementa-se em alguns pases a Internet 2
(inclusive o Brasil com a RNP2); comunicao em alta velocidade (155/622 Mbps em grosso, 256, 1024, 2048
Mbps no varejo).
Caractersticas
- Padro de protocolos aberto, no associado a nenhum tipo especfico de hardware (computador) ou sistema
operacional;
- Independente de hardware especfico para acesso ao meio fsico de transmisso (TCP/IP funciona sobre
Ethernet, Token-ring, linha discada, X.25, e qualquer outro tipo de meio de transmisso);
5

Arquitetura TCP/IP
- Esquema de endereamento comum que permite a identificao nica de um elemento da rede
(na rede local, ou no planeta);
- Protocolos de alto nvel padronizados para disponibilizao universal e consistente de servios aos usurios.
- Documentao ampla acessvel na prpria rede sob a forma de Request for Comments RFCs que no
sofrem do rigor imposto aos relatrios tcnicos formais. As RFCs contm as ltimas verses das especificaes
de todos os protocolos TCP/IP padres;
- Interconexo cooperativa de redes, suportando servios de comunicao universal (usada em uma rede local
ou em uma rede [inter] planetria);
- Utilizao de tecnologia adequada s necessidades locais em cada rede;
- Independncia de hardware e sistemas operacionais;
- Interconexo de redes se d por meio de roteadores.
- Protocolos mais importantes:
TCP: Transmission Control Protocol
UDP: User Datagram Protocol
IP: Internet Protocol
- Criao de uma rede virtual nica para os usurios:

Arquitetura TCP/IP
- Na realidade a rede real se apresenta como um conjunto de redes com diversas
arquiteturas/topologias, interligadas por roteadores:
Conceitos Bsicos
Antes de iniciarmos a abordagem para entender como funciona o fluxo de informaes em uma rede
baseada no TCP/IP, teremos que entender alguns termos e conceitos que sero discutidos.
Endereamento
O conceito fundamental de interligao em rede o endereamento. Em uma ligao em rede, o
endereo de um dispositivo sua identificao exclusiva. Normalmente os endereos so numricos e seguem
um formato padro bem definido (cada formato definido no prprio documento de especificao). preciso
atribuir a todos os dispositivos em uma rede um identificador exclusivo que satisfaa ao formato padro. Esse
identificador o endereo do dispositivo. Nas redes roteadas, o endereo contm, pelos menos, duas partes:
uma rede e um n (ou host).
Se dois dispositivos em uma rede tiverem endereos com o mesmo nmero de rede, eles sero alocados
na mesma rede e, conseqentemente no mesmo fio. Os dispositivos de um mesmo fio podem se comunicar
diretamente uns com os outros, utilizando o protocolo da camada de enlace de dados (ou seja, a Ethernet, por
exemplo). Apesar das possveis diferenas entre conexes de outros meios fsicos, os conceitos so os mesmos
para as redes Token Ring, na FDDI ou em muitos outros meios fsicos comuns.
A atribuio correta de endereos dos dispositivos em uma rede torna necessrio que todo dispositivo
conectado mesma rede (ou fio) seja configurado com o mesmo nmero de rede. Tambm, todo dispositivo
que apresente o mesmo nmero de rede precisa ter um nmero de n (ou host) diferente dos demais
dispositivos que contenham o mesmo nmero de rede. Em suma, toda rede precisa ter um nmero de rede
exclusivo. O nmero de rede e o de host tem que exclusivos dentro de uma sub-rede e da rede respectivamente.
Alm dos endereos exclusivos de rede e de host, costuma-se utilizar endereos especiais para
enderearem vrios ns ao mesmo tempo. Eles so denominados endereos de difuso (broadcast) ou de grupo
(multicast).
Pacotes
Na maioria das redes TCP/IP, as informaes enviadas so desmembradas em partes denominadas
pacotes (ou datagramas). Isso acontece por dois motivos principais: compartilhamento de recursos e deteco e
correo de erros.
Se dois dispositivos estiverem se comunicando, nenhum outro dispositivo poderia se comunicar ao
mesmo tempo. Nesse sentido, uma rede funciona com uma linha compartilhada. Caso dois dispositivos queiram
compartilhar um grande volume de informaes, seria injusto que eles monopolizassem a rede durante muito
tempo, impedindo que informaes mais urgentes fossem transmitidas. Quando um grande bloco de
informaes desmembrado em blocos menores, cada bloco menor pode ser enviado individualmente,
permitindo que outros dispositivos entrecruzem suas prprias mensagens entre os pacotes.
7

Arquitetura TCP/IP
A outra principal utilizao dos pacotes a deteco e correo de erros. Basicamente as
redes so construdas de fios, ondas de rdio ou raios luminosos sujeitos a interferncias que podem danificar
um sinal enviado atravs deles. Saber lidar com essas mensagens adulteradas uma questo importante da
interligao de redes.
Se o meio fsico da transmisso apresentar um taxa mdia de erros de um em um milho de bits, ento
consideramos alto o limite prtico para a quantidade de dados que pode ser enviada em uma transmisso.
Imagine que dez milhos de bits sejam enviados. Normalmente, uma transmisso desse tamanho contm dez
erros, a soma de verificao est errada e o emissor ser orientado para retransmitir a mensagem. O tamanho
da retransmisso o mesmo da transmisso original. Ento a mdia de erros ser mesma: dez. A nica soluo
para sair desse loop desmembrar os dados em partes menores, cada uma com sua soma de verificao,
que podem ser transmitidos individualmente.
Protocolos
Cada um desses pacotes um fluxo de dados. Para que uma comunicao seja estabelecida, esses
bytes devem conter significados associados a eles. Esse significado fornecido pela especificao do protocolo.
Um protocolo um conjunto de regras que define o formato dos pacotes e a semntica de utilizao desses
pacotes.
A maioria desses pacotes tem um formato que inclui um cabealho e um corpo. Geralmente o cabealho
contm informaes, tais como o endereo de origem e o de destino. O comprimento do pacote e algum tipo de
indicador que permita ao receptor decodificar o corpo. O corpo pode consistir de dados brutos (por exemplo,
uma parte de um arquivo ou uma mensagem de correio eletrnico), ou conter outro pacote cujo formato seja
definido pela prpria especificao.
Mas, para compreender o protocolo, no suficiente conhecer o formato de um pacote. Voc tambm
precisa saber o momento de enviar os pacotes, quais pacotes devem ser enviados e o que fazer quando eles
forem recebidos. Muitos protocolos apresentam formatos bastante simples, mas sua utilizao muito complexa.
No mundo TCP/IP, a maioria das especificaes de protocolo est disponvel no modo on-line como
RFCs (Request for Comments). Essas especificaes so muito tcnicas e direcionadas queles que desejem
implementar esses protocolos. O local do site ftp.internic.net um dos locais da Internet em que as RFCs
encontram-se disponveis para ftp annimo.

Arquitetura TCP/IP
Roteadores e Ns de Extremidade
As redes roteadas apresentam duas classes de dispositivos: ns de extremidade e roteadores. Os ns de
extremidade so dispositivos com os quais os usurios interagem (estaes de trabalho, impressoras, servidores
e outros dispositivos). Os roteadores so dispositivos que estabelecem uma conexo entre as redes. Eles so
responsveis por saber como toda a rede est conectada e como transmitir informaes de uma parte da rede
para outra. Os roteadores podem estar conectados a duas ou mais redes.
Existem inmeros motivos para utilizar roteadores nas redes. Eles permitem que mais dispositivos sejam
interconectados porque estendem o espao de endereo disponvel atravs de vrios nmeros de rede. Os
roteadores ajudam a vencer as limitaes fsicas do meio fsico estabelecendo a conexo de diversos cabos.
O principal objetivo da utilizao de um roteador manter um isolamento poltico. Os roteadores
permitem que dois grupos de equipamentos se comuniquem entre si e, ao mesmo tempo, continuem
fisicamente isolados. Isso muito importante quando dois grupos so controlados por empresas diferentes.
Muitos roteadores possuem funes de filtragem que permitem ao administrador de rede controlar com rigor
quem utiliza a rede e o que utilizado na rede. Os problemas que ocorrem em uma rede nem sempre causam o
rompimento das outras.
Comportamento de Envio e Recebimento do N de Extremidade
Quando um n em uma rede TCP/IP contm um pacote IP e deseja envia-lo para um outro n, ele
segue um nico algoritmo de modo a decidir como proceder. O n que est realizando a transmisso compara a
parte de rede referente ao endereo destino com a do seu prprio endereo. Se as duas partes forem iguais,
isso significa que os dois ns esto no mesmo fio, seja conectado ao mesmo cabo ou cabos separados por
somente por repetidores ou pontes. Neste caso os ns podem se comunicar diretamente atravs da camada de
enlace de dados. O n de origem utiliza ARP para saber o endereo fsico do n de destino e encapsular o
pacote IP em um quadro da camada de enlace de dados. Assim, possvel transmitir o pacote diretamente para
o n de destino.
Se as partes da rede forem diferentes, os dois ns estaro separados por pelo menos um roteador. Isso
significa que o n de origem no conseguir transmitir o pacote sem utilizar um roteador como intermedirio. O
pacote encapsulado em um quadro da camada de enlace de dados direcionado ao endereo fsico de um
roteador no mesmo fio. Se no houver um roteador no cabo, essa rede estar isolada e no ser possvel enviar
pacotes para outras redes. O roteador transmite o pacote IP para a rede remota.
Quando um n de extremidade recebe um pacote IP, ele compara o endereo de destino no pacote IP
com o seu prprio endereo e com o endereo de broadcast IP com o qual est configurado. Se o endereo de
destino corresponder a um desses endereos, o n de extremidade aceitar o pacote e o processar
posteriormente. O modo de processamento desse pacote varia em funo do subprotocolo de IP em que ele
est. Se o endereo destino no coincidir, o pacote ser interrompido (ignorado).
Comportamento de Envio e Recebimento do Roteador
Quando um n estiver desempenhando o papel de um roteador e receber um pacote IP, ele examinar
o endereo IP de destino do pacote e ir compar-lo com o seu prprio endereo IP. Se os endereos forem
iguais ou o endereo IP de destino for o mesmo que o de broadcast (difuso), o pacote ser processado como
seria para um n de extremidade. Ao contrrio do que acontece em um n de extremidade, o roteador no
interrompe automaticamente os pacotes que o n de extremidade na rede esto enviando para o roteador a fim
de serem encaminhados para outras redes. Todos o roteadores mantm tabelas de roteamento que indicam
como atingir outras redes. O roteador compara a parte da rede referente ao endereo de destino com cada rede
na tabela de roteamento. Se o roteador no conseguir localizar a rede de destino na tabela de roteamento
correspondente, ele verificar a rota padro (normalmente, ela listada com uma rota para 0.0.0.0). Se essa
rota no for localizada, o pacote ser interrompido (e uma mensagem de destino inacessvel ICMP ser enviada
para o endereo IP de origem no pacote interrompido).
9

Arquitetura TCP/IP
No TCP/IP, todos os protocolos so transportados por uma rede e encapsulados em pacotes IP. O IP
um protocolo rotevel. Isso significa que dois ns que estejam se comunicando com o IP no iro precisar estar
conectados ao mesmo fio fsico.
Formato de um Endereo IP
Para que um protocolo rotevel tenha uma capacidade de roteamento eficiente, o endereo deve ser
composto por duas partes. Os endereos TCP/IP apresentam dois componentes: um componente de rede e um
componente de host (ou de n). Os endereos utilizados com o TCP/IP so compostos por quatro bytes (32 bits)
e denominados simplesmente endereo IP. Um exemplo seria 234.17.200.2. Como cada parte do endereo IP
representa um byte, seu valor tem de estar entre 0 e 255, inclusive. Por exemplo, o endereo IP 190.270.45.1
talvez no fosse um endereo IP adequado porque 270 maior do que 255 e, portanto, no caberia em um
nico byte.
Para uma utilizao de endereo adequada, os endereos IP so divididos em classes. A comunidade
definiu cinco classes de endereo, sendo que as trs mais importantes de rede so A, B e C. Os endereos IP
so divididos nessas 5 classes de acordo com o descrito abaixo:
A Classe A possui endereos suficientes para enderear 128 redes diferentes com at 16.777.216 hosts
(estaes) cada uma.
A Classe B possui endereos suficientes para enderear 16.284 redes diferentes com at 65.536 hosts cada
uma.
A Classe C possui endereos suficientes para enderear 2.097.152 redes diferentes com at 256 hosts cada
uma.
As mquinas com mais de uma interface de rede (caso dos roteadores ou mquinas interligadas a mais de uma
rede, mas que no efetuam a funo de roteamento) possuem um endereo IP para cada uma, e podem ser
identificados por qualquer um dos dois de modo independente. Um endereo IP identifica no uma mquina,
mas uma conexo rede.
Limites de endereamento
Classe
A
B
C
D
E
Menor Endereo
1.0.0.0
128.0.0.0
192.0.0.0
224.0.0.0
240.0.0.0
Maior Endereo
127.255.255.255
191.255.255.255
223.255.255.255
239.255.255.255
247.255.255.255
10

Arquitetura TCP/IP
Endereos reservados
Alguns endereos so reservados para funes especiais:
Endereo de Rede: Identifica a prpria rede e no uma interface de rede especfica, representada por todos
os bits de mquina com o valor ZERO.
Endereo de Broadcast: Identifica todas as mquinas na rede especfica, representado por todos os bits de
mquina com o valor UM.
Observao: desta forma, para cada rede A, B ou C, o primeiro endereo e o ltimo so reservados e no
podem ser usados por interfaces de rede.
Endereo de LOOPBACK
O endereo 127.0.0.1 da classe A reservado;
usado para testes do TCP / IP e para comunicao interprocessos em uma mquina local;
Quando uma aplicao usa o endereo de loopback como destino, o software do protocolo TCP/IP devolve os
dados sem gerar trfego na rede;
a forma simples de fazer com que um cliente local fale com o servidor local correspondente, sem que se tenha
de alterar o programa cliente e/ou o programa servidor;
Do ponto de vista do programador de aplicaes, seu software funciona sempre do mesmo jeito, no
importando se est ou no usando a rede de comunicao.
Mscara de Rede
Serve para extrair a identificao de rede de um endereo IP atravs de uma operao simples de AND
binrio.
Exemplo:
Endereo IP:
200 . 237 . 190 . 21 AND
Mscara de rede: 255 . 255 . 255 . 0
=====================
200 . 237 . 190 . 0 Endereo de rede
Para obter o endereo de mquina faz-se uma operao binria AND com o complemento da mscara de rede.
Endereo IP:
200 . 237 . 190 . 21 AND
Mscara de rede: 0 . 0
. 0 . 255
=====================
0.0 .
0 . 21 Endereo de mquina
Endereo de Difuso (BROADCAST)
Serve para enderear simultaneamente todas as mquinas da rede (vale, em geral, somente para mquinas de
uma mesma rede local);
formado colocando-se todos os bits da parte de endereamento de mquina de um endereo IP com valor 1.
11

Arquitetura TCP/IP
Exemplo
Exemplo final
Exemplo de uma rede Ethernet
12

Arquitetura TCP/IP
Subredes
A estrutura de endereamento IP pode ser mudada localmente (a critrio do administrador de rede),
usando-se bits de endereamento de mquina como um adicional para endereamento de rede;
Para tanto, deve-se definir uma mscara de rede no padro que permita extrair os endereos de rede e
de mquina corretamente.
Criando Subredes (Subnets)
Subredes so usadas para dividir uma rede grande em subredes menores.
As subredes so criadas com diversos propsitos:
Conectar diferentes redes fsicas. As redes tornam-se subredes de uma grande rede conectadas por
roteadores;
Distino entre diferentes LANs;
Isolamento de partes da rede. Pode-se querer restringir o trfego em uma subrede para segurana
de dados.
Para criar endereos em uma rede com subnets, o administrador da rede deve decidir o nmero de subredes
necessrias e o nmero de mquinas (hosts) conectado a cada subrede.
A base do endereo IP consiste no par:
<endereo de rede><endereo de host>
Subnets so endereadas como uma extenso do nmero da rede. Sendo assim para enderearmos as subnets
de uma rede, utilizamos a parte <endereo do host> como um <endereo de rede local> ou <endereo da
subnet>.
Os endereos IP passam ento a ser interpretados como:
<endereo de rede><endereo de subnet><endereo de host>
Mscara de Subrede(Subnet Mask)

Mscara de subrede uma mscara que tem a funo de simplificar o roteamento de pacotes de informao em
uma rede. Da mesma forma que um endereo IP, uma mscara de subrede tem 32 bits divididos em 4 bytes.
Em uma mscara de subrede utiliza-se o dgito 1 para especificar bits de rede e de subrede enquanto o dgito 0
usado ara especificar bits de host.
Por exemplo, o administrador da classe B 150.165 (que comporta aproximadamente 256 x 256 mquinas) pode
tirar 8 bits do endereo de mquina e acrescentar 8 bits no endereo de rede, passando a dispor das redes:
150 . 165 . 1 . 0
150 . 165 . 2 . 0
...
150 . 165 . 254 . 0
Cada subrede dispe de endereos de mquina variando de 1 a 254;
A mscara de subrede usada passaria a ser 255 . 255 . 255 . 0.
13

Arquitetura TCP/IP
Algo semelhando pode ser feito com a classe C 200.237.190.0, tirando-se 3 bits do endereo de
mquina, colocando-os no endereo de rede:
A mscara de subrede usada passaria a ser 255.255.255.224.
Observa-se que um endereo IP deve ser atribudo a cada interface de comunicao de um equipamento ligado
em rede. Na figura anterior, o roteador est conectado em ambas as redes R1 e R2, tendo em cada uma um
endereo.
Atribuio de Endereo IP a dispositivos TCP/IP
Os endereos podem ser atribudos de vrias maneiras. Se uma empresa quiser estruturar uma rede
TCP/IP que nunca ser conectada com outras redes TCP/IP fora dessa empresa, ento ser possvel utilizar
qualquer nmero de rede de classe A, B ou C que permita um nmero apropriado de hosts nela. Esse mtodo
extremamente limitado porque duas das principais vantagens de uma rede TCP/IP so sua capacidade de
conexo com o mundo externo e o compartilhamento de recursos entre as empresas, tais como o
estabelecimento de uma conexo com a Internet. Uma estratgia mais apropriada seria entrar em contato com
a InterNIC na Network Solution, Inc. ou Fapesp e solicitar um nmero de rede, que ento ser atribudo a um
14

Arquitetura TCP/IP
requerente ser exclusivo. Todas as identificaes de mquinas (hosts) naquela rede esto
disponveis para serem atribudas da maneira como o cessionrio considerar mais adequada. Somente a partir
da e que ser possvel iniciar a atribuio de endereos IP de mquina (hosts) especficos dentro da empresa.
A maioria dos dispositivos IP exige uma configurao manual. A pessoa que tiver instalando o
dispositivo tem de obter um IP exclusivo e correto e digita-lo em um console ou programa de configurao,
normalmente junto de outras informaes, tais como endereo IP de difuso (broadcast), mscara de subrede e
endereos de gateway padro.
Alguns locais de instalao aceitam uma configurao dinmica dos dispositivos IP. Os protocolos, tais
como BOOTP (Boot Protocol) e DHCP (Dynamic Host Configuration Protocol), permitem a utilizao de
servidores centralizados para distribuir endereos IP exclusivos e outras informaes de configurao a medida
em que seja necessrio.
15

Arquitetura TCP/IP
Arquitetura TCP/IP
- A arquitetura TCP/IP Internet organizada em quatro camadas (ou nveis) conceituais, construdas sobre
uma quinta camada que no faz parte do modelo chamada intra-rede como mostrado abaixo.
Camada de Interface de Rede

Fornece o servio de entrega de dados entre mquinas diretamente conectadas entre si; Em geral, desempenha
as funes de enlace de dados e de acesso fsico do padro RM-OSI.
Suas funes compreendem:
. Recebe datagramas IP da camada rede (ou inter-rede) e os transmite sobre a tecnologia de rede fsica
disponvel;
. Faz o encapsulamento de datagramas IP em quadros da rede (eventualmente com fragmentao);
. Faz o mapeamento de endereos lgicos Internet em endereos fsicos de equipamentos na rede;
. Em geral implementada atravs de gerentes (drivers) de dispositivos;
. Permite a implantao do TCP/IP sobre qualquer hardware de rede ou sistema de comunicao de dados
(Ethernet, Token Ring, FDDI, X25, Frame Relay, ATM, linhas seriais, etc.). Em linhas seriais comum o uso do
protocolo SLIP, PPP ou outro protocolo proprietrio.
Mapeamento de endereos lgicos Internet em endereos fsicos de rede
Endereos IP so lgicos (s existem em software). Para usar a rede fsica necessrio que se faa o
mapeamento do endereo lgico no endereo fsico. Codificando o endereo fsico no endereo IP;
16

Arquitetura TCP/IP
Usando o protocolo ARP Address Resolution Protocol Atravs de uma mensagem de difuso (broadcast)
uma mquina pergunta na rede qual o endereo fsico correspondente a um determinado endereo IP. Somente
a mquina referenciada responde solicitao.
Funciona eficientemente porque h uma tabela de mapeamento ARP em cada mquina da rede. A mquina que
faz uma pergunta na rede j informa seu endereo IP e seu endereo fsico; as mquinas que ouvem a pergunta
armazenam essa informao nas suas tabelas ARP.
Mapeamento de endereos fsicos de rede em endereos lgicos Internet
De modo semelhante ao ARP, um servio de mapeamento de endereos fsicos em endereos lgicos Internet
pode ser disponibilizado atravs do protocolo RARP Reverse Address Resolution Protocol. Usado por
estaes sem disco (diskless).
Atravs de uma mensagem de difuso uma mquina pergunta qual o endereo lgico Internet corresponde ao
seu endereo fsico. Uma mquina da rede configurada como servidor RARP vai responder a pergunta,
consultando uma base de dados.
Camada de Inter-rede (ou somente Rede)

A camada de inter-rede fornece o servio de entrega de datagramas IP, sobre o qual baseada a rede TCP/IP.
o tijolo de construo da Internet. Suas funes compreendem:
. Montagem de datagramas IP a partir de segmentos recebidos da camada de transporte (fragmentao de
segmentos);
. Montagem de segmentos para a camada de transporte a partir de datagramas IP recebidos da camada de
acesso ao meio fsico (desfragmentao de segmentos);
. Transmisso de dados sem conexo e no confivel (modo datagrama);
. Identificao de mquina de origem e mquina de destino;
. Encaminhamento (roteamento) de datagramas IP atravs da rede lgica;
. Integrao de diversas redes fsicas formando uma nica rede lgica.
17

Arquitetura TCP/IP
Datagrama IP
Version: verso do IP (atualmente 4);

Hlen: tamanho do cabealho do datagrama;
ToS: tipo do servio (precedncia normal/controle, baixo retardo, alta eficincia, alta confiabilidade), sem
garantia de cumprimento;
Total Length: tamanho total do datagrama (mximo de 64 Kbytes);
Ident: identificao do datagrama (nico para cada datagrama);
Flags: controle de fragmentao (habilita/desabilita fragmentao, marca de fim do datagrama original);
Fragmentation Offset: deslocamento do fragmento;
TTL: tempo de vida do datagrama (inicia em N, decrementa a cada passagem por um roteador; chegando em 0
(zero), o datagrama descartado e gerada uma mensagem de erro);
Protocol: protocolo de nvel superior (TCP, UDP);
Header checksun verificao de integridade do datagrama;
Source Address: endereo origem (mquina emissora);
Dest Address: endereo destino (mquina receptora);
Options: opes de teste e depurao:
. Record Route Option: datagrama guarda endereos de roteadores intermedirios por onde passou;
. Source Route Option: sistema origem define rota que um datagrama deve seguir;
. Timestamp Option: datagrama guarda informao sobre data e hora que chegou aos roteadores
intermedirios;
Padding: preenchimento;
Data: dados transportados.
Roteamento de Datagramas
Roteamento refere-se forma de encaminhamento dos datagramas atravs da rede. Nessa tarefa so
identificados dois elementos bsicos: mquinas emissoras/receptoras (hosts) e mquinas intermedirias
(routers e gateways).
18

Arquitetura TCP/IP
Camada de Transporte
A camada de transporte fornece o servio de comunicao fim-afim (computador-a-computador) confivel. Suas
funes compreendem:
. Montagem de segmentos para a camada de rede a partir de mensagens vindas da camada de aplicao
(fragmentao);
. Montagem de mensagens para a camada de aplicao a partir de segmentos vindos da camada de rede
(desfragmentao);
. Transmisso de dados sem conexo e no confivel (protocolo UDP) ou com conexo e confivel (cria circuito
virtual atravs do protocolo TCP);
. Retransmisso temporizada, sequenciamento de segmentos (max. de 64 KB cada), controle de fluxo (atravs
de janela deslizante);
. Armazenamento temporrio (buffering) na recepo e transmisso;
. Identificao de processos origem e destino.
Protocolo UDP
Transporte de dados baseado em servio sem conexo (conection less);
Baixa sobrecarga;
No confivel;
Sem deteco de erros;
Sem controle de seqncia;
Bom para pequenas quantidades de dados a transmitir;
Bom para aplicaes do tipo consulta / resposta;
Bom para aplicaes que tem seus prprios mecanismos de entrega confivel.
Campos:
Source/Destination Port: porta de origem/destino (identificam os processos envolvidos na conexo);
Message Lenght: tamanho do segmento;
Checksun: verificao de erro;
Data: incio dos dados
Protocolo TCP
Baseado em seqncias de bytes no estruturados (streams);
Transporte de dados baseado em servio com conexo (virtual circuit):
. Estabelecimento de conexo;
. Transferncia de dados;
. Encerramento de conexo;
Maior sobrecarga;
Confivel;
Com deteco e correo de erros;
Com controle de seqncia;
Necessrio para maiores quantidades de dados a transmitir;
Necessrio para aplicao do tipo interativa;
Necessrio para aplicao que no tem seu prprio mecanismo de entrega confivel.
19

Arquitetura TCP/IP
Source/Destination Port: porta de origem/destino (identificam os processos envolvidos na conexo);

Sequence Number: posio do segmento dentro da seqncia de bytes da/para a aplicao;
Acknowledgment Number: nmero do prximo byte esperado no destino;
Hlen: tamanho do cabealho;
Reserved: reservado;
Code bits: finalidade do segmento:
. URG: campo Urgent Pointer vlido;
. ACK: campo Ack number vlido;
. PSH: segmento requer um push;
. RST: reset a conexo;
. SYN: sincronize nmeros de seqncia;
. FIN: origem terminou sua seqncia de bytes
Window: tamanho da janela deslizante (nmero de segmentos enviados em seqncia antes de receber
reconhecimento);
Checksun: verificao de erro no segmento;
Urgent Pointer: posio onde os dados urgentes se encontram no segmento;
Options: tamanho (opcional) mximo de segmento (Maximum Segment Size);
Padding: preenchimento;
Data: dados do segmento.
Camada de Aplicao
TELNET Terminal Network Protocol: prov o servio de terminal remoto atravs da rede;
FTP File Transfer Protocol: prov o servio de transferncia de arquivos;
SMTP Simple Mail Transport Protocol: prov o servio de correio eletrnico;
DNS Domain Name Service: prov o servio de mapeamento de nomes em nmeros IP (e vice-versa);
NFS Network File System: prov o servio de compartilhamento de sistemas de arquivos atravs da rede;
SNMP Simple Network Management Protocol: prov o servio de gerenciamento de equipamentos de forma
remota.
20

Arquitetura TCP/IP
Encapsulamento de Dados
Arquitetura TCP/IP versus Arquitetura RM-OSI
21

Arquitetura TCP/IP
Roteamento
Conceituao
Roteamento o mecanismo atravs do qual duas mquinas em comunicao acham e usam um caminho
timo (o melhor) atravs de uma rede. O processo envolve:
Determinar que caminhos esto disponveis;
Selecionar o melhor caminho para uma finalidade particular;
Usar o caminho para chegar aos outros sistemas;
Ajustar o formato dos dados (datagramas) s tecnologias de transporte disponveis (MTU, MSS, etc.).
Na arquitetura TCP/IP, o roteamento baseado no endereamento IP, particularmente, na parte de
identificao de rede de um endereo IP. Toda a tarefa desenvolvida na camada Inter-rede da pilha de
protocolos TCP/IP.
Vantagens do Roteamento
Melhor escolha de rota: com o uso de protocolos de roteamento modernos, podem-se ter mltiplos caminhos
operando em paralelo, distribuindo trfego (multiplexando caminhos) de acordo com critrios especificados pelo
administrador da rede ou dos prprios softwares envolvidos; Adaptao a diferentes tecnologias de redes
fsicas: sistemas de comunicao de longa distncia (ponto-a-ponto) e sistemas de comunicao de curta
distncia (os mais variados), com caractersticas de performance e forma de transmisses variadas podem ser
integrados facilmente;
Confiana e controle: roteadores normalmente no propagam dados oriundos de difuso (broadcast ou
multicast) em nvel de enlace de dados; agem como barreiras entre redes distintas prevenindo a propagao
de alguns tipos de falhas (por exemplo, uma tempestade de difuso) ou mesmo de alguns tipos de acessos
indevidos (baseado em endereos de origem/destino dos dados);
Reportagem de erro: roteadores usam o protocolo ICMP (Internet Control Message Protocol) para
relatar/tratar condies de erro (por exemplo, congestionamento de rede).
22

Arquitetura TCP/IP
Mecanismos de Entrega de Dados
Entrega Direta: feita quando a mquina destino encontra-se na mesma rede fsica da mquina origem; nesse
caso faz-se o mapeamento do endereo lgico (IP) para o endereo fsico (Ethernet, Token-ring, ATM), seguido
da entrega dos dados.
Entrega Indireta: feita quando a mquina destino no se encontra na mesma rede fsica da mquina origem;
nesse caso os dados so enviados para o roteador (gateway) mais prximo, e assim sucessivamente at
atingirem a mquina destino.
Mscara de Rede e Roteamento

Para saber como entregar um datagrama, a mquina/roteador origem precisa saber se a mquina/roteador
destino pertence a uma rede diretamente conectada ou no.
Isso feito atravs de uma operao de AND binrio do endereo IP prprio, e do endereo IP destino, com a
mscara de rede. Se a identificao de rede do endereo IP local for igual identificao de rede do endereo
IP destino, origem e destino esto na mesma rede fsica.
23

Arquitetura TCP/IP
Mscara de Rede (255.255.255.224)
Endereo IP Byte 3 e 2 Byte 1 e 0 (3 bits)

Byte 0 (5 bits) Endereo de Rede
Tabela de Roteamento
Cada mquina/roteador da rede precisa dispor de informaes sobre a(s) rede(s) a(is) qual(is) est conectada.
Tais informaes permitem mquina/roteador fazer a entrega de dados como visto anteriormente. A esse
conjunto de informaes d-se o nome de Tabela de Roteamento;
A tabela de roteamento deve guardar informaes sobre que conexes esto disponveis para se atingir uma
determinada rede e alguma indicao de performance ou custo do uso de uma dada conexo;
Antes de enviar um datagrama, uma mquina/roteador precisa consultar a tabela de roteamento para decidir
por qual conexo de rede envi-lo;
Obtida a resposta, a mquina faz a entrega do datagrama de forma direta (destino em rede diretamente
conectada) ou atravs de um roteador (destino no em rede diretamente conectada).
Entradas na Tabela de Roteamento

As entradas da tabela de roteamento fornecem informaes sobre roteamento para redes lgicas; cada entrada
tem (basicamente) a forma:
Cada entrada especifica uma rede destino, a mscara de rede e o prximo roteador a ser usado para se chegar
rede destino;
Para redes diretamente conectadas, o endereo IP do roteador destino o endereo da interface de conexo
rede;
Algumas entradas podem especificar (ocasionalmente) o endereo IP de uma mquina destino;
24

Arquitetura TCP/IP
comum a existncia de uma entrada para a rede destino default, cujo roteador indicado deve
receber o datagrama cujo endereo destino no pertena a nenhuma das redes destino registradas na tabela
(indicada como rede 0.0.0.0 com mscara 0.0.0.0).
Algoritmo de Roteamento
Dada a tabela de roteamento e um datagrama a ser encaminhado (roteado):
Extrair o endereo IP destino (IP-dest) do datagrama;
Para cada entrada i da tabela de roteamento (Di, Mi, Ri):
Calcular o endereo IP da rede destino (IPR-dest) fazendo
IPR-dest = IP-dest AND Mi;
Fim para
Se IPR-dest = Di, encaminhe o datagrama para o roteador Ri;
Se no encontrar nenhuma alternativa para encaminhamento do datagrama, declare Erro de Roteamento.
25

Arquitetura TCP/IP
DNS Domain Name Service
O esquema de endereamento TCP/IP prev que cada elemento da rede seja identificado de forma nica
atravs de um nmero o endereo IP;
- Trabalhar com nmeros mais natural para as mquinas, mas as pessoas preferem trabalhar com nomes;
muito mais fcil lembrar, por exemplo, que informaes sobre a Universidade Federal da Paraba esto
disponveis na mquina www.ufpb.br ao invs da mquina 150.165.132.1. Para isso ser possvel necessrio
existir um mecanismo de traduo de nomes para endereos numricos. Esse mecanismo o DNS (Domain
Name System).
- um diretrio de nomes e nmeros em que um usurio poderia digitar um nome e ter um nmero retornado
(ou vice-versa) de um arquivo de texto.
- O DNS pode ser entendido de forma bastante simples como sendo uma tabela muito, muito grande, mas
similar s que estamos acostumados a lidar quando compomos uma planilha ou quando lidamos com bases
relacionais. O formato desse tabela seria algo semelhante ao que segue:
Name
Ibm.com
NS
Ns.Watson.ibm.com,
Ns.almedem.ibm.com
MX
Ns.Watson.ibm.com
Linuxtoday.com
Ns1.internet.com,
Ns3.internet.com
Mail.linuxtoday.com
A
204.146.81.99,
198.133.16.99,
198.133.17.99,
204.146.80.99
63.236.72.248
NS: indica os servidores de nomes associados ao domnio.

MX: indica os servidores SMTP responsveis pelo recebimento de e-mail do domnio em questo.
A: Indica o endereo associado a um nome.
- Alm das colunas indicadas, h outras que omitimos para facilitar a visualizao. Quando uma entidade, uma
empresa, ou uma pessoa registra um domnio na Internet (por exemplo uniderp.br, uol.com.br, e assim por
diante), ela torna-se a responsvel por todas as linhas da tabela DNS derivadas desse domnio (isto , aquelas
onde o nome se refere esse domnio, como por exemplo www.linux.org no caso de domnio linux.org)
- importante observar que o administrador de um domnio pode definir a sua prpria poltica de criao de
nomes para esse domnio. hbito que todo domnio possua um www associado ao endereo do servidor
WEB, mas a associao do nome www ao servio http convencional e no compulsria.
- Guardar uma tabela com todos os nomes e nmeros de mquinas da Internet em cada mquina conectada
rede impossvel (no s pelo tamanho, como pela impossibilidade de atualizao da base para mant-la
consistente);
- Como resolver o problema? Criar um mecanismo (ou servio) que permita que o mapeamento de nomes em
nmeros seja feito de forma distribuda, com muitos computadores (servidores) na rede tomando conta de
quantidades mais manipulveis de nomes;
- Idia! Organizar a Internet em Domnios Administrativos e criar um banco de dados hierrquico, distribudo,
onde exista um ou mais servidores em cada nvel da hierarquia, responsveis por fornecer informaes sobre
nomes que se situam abaixo desse ponto da hierarquia (apenas um nvel).
- A definio de domnios administrativos e a imposio de que no se cadastre equipamentos e subdomnios
com o mesmo nome em um domnio, evita a utilizao de um mesmo nome para mais de um equipamento na
rede;
- O nome de todo equipamento na rede vai ser composto de um nome local (que pode se repetir em domnios
diferentes), seguido por uma hierarquia de domnios; o nome completo do equipamento passa a ser seu Nome
de Domnio Totalmente Qualificado Fully Qualified Domain Name FQDN;
26

Arquitetura TCP/IP
Procedimentos para registro de nomes
A estrutura hierrquica do DNS faz com que o registro de um domnio (isto , a incluso de mais um domnio na
tabela DNS global) s pode ser feito junto entidade responsvel pelo domnio hierarquicamente acima do que
se deseja registrar. O domnio .br est sob a responsabilidade da FAPESP (Fundao de Amparo Pesquisa do
Estado de So Paulo), e por isso o registro de nomes que terminem em.br como .com.br ou .org.br deve ser
feito junto a ela. Historicamente o registro de nomes foi sempre feito atravs do envio de formulrios pelo
correio eletrnico, mas recentemente a FAPESP criou uma interface web para o registro e a manuteno de
nomes (http://registro.br).
Empresas, entidades e pessoas jurdicas no Brasil via de regra registram nomes .br ou alternativamente .com ou
.org ou .net. Os domnios .com, .org e .net no esto sob a autoridade da FAPESP, e o registro de domnios
nesse caso deve ser feito junto a Internic (http://www.internic.net) ou mais precisamente junto aos "registrars"
que ela credenciou. Esses registrars oferecem interfaces web atravs das quais o domnio pode ser registrado.
Quais so as exigncias para o registro de um domnio? Isso depende da entidade responsvel, e em geral
envolve o pagamento de taxas. No Brasil, as normas para registro de domnios so determinadas pelo Comit
Gestor (http://www.cg.org). Alm disso, todo domnio precisa ter um contato administrativo e um contato
tcnico (isto pessoas que respondam por esse domnio).
- Domnios na Internet refletem uma organizao institucional e/ou geogrfica; nos Estados Unidos tem-se, por
exemplo:
- No Brasil, tem-se uma organizao semelhante, acrescentando-se o sufixo.br aos domnios anteriores:
27

Arquitetura TCP/IP
- Toda vez que algum (em geral, software de aplicao) precisa descobrir o endereo IP associado
a algum nome na rede, faz uma consulta padro (consulta ao DNS direto) comeando na raiz da hierarquia,
descendo pelos ramos at encontrar a informao procurada ou descobrir que a mesma no existe na rede (ou
no est cadastrada nos servidores de nomes).
- De modo semelhante, algum pode querer saber qual o nome associado algum endereo IP. Nesse caso,
faz uma consulta padro (consulta ao DNS reverso) tambm comeando pela raiz da hierarquia.
28

Arquitetura TCP/IP
Aplicativos
Aplicativos de Login Remoto
Veremos que os servios de alto nvel fornecem maior funcionalidade s comunicaes e permitem que
os usurios e programas interajam com servios automatizados em maquinas remotas e usurios remotos.
Veremos tambm que os protocolos de alto nvel so implementados com programas aplicativos e vamos
compreender como eles dependem do nvel dos servios da rede.
TELNET
A seqncia de protocolos TCP/IP inclui um protocolo simples de terminal remoto denominado TELNET.
O TELNET oferece um servio de uso remoto de computadores atravs da rede e permite que um usurio em
uma mquina A abra uma conexo TCP com uma mquina B (situado em outro site ou no) e passe a us-la
como se estivesse conectado mesma localmente.
Grande parte da rica funcionalidade associada ao TCP/IP resulta de uma grande variedade de servios
de alto nvel fornecidos pelos programas aplicativos. Os protocolos de alto nvel de Login Remoto usados por
esses programas so voltados para servios bsicos: remessa no confivel de datagrama e stream de
transmisso confivel. Os servios geralmente seguem o modelo cliente/servidor em que os servidores operam
em portas de protocolos identificadas para que os clientes saibam como contat-los.
Aplicativos de acesso e transferncia de arquivos
Muitos sistemas de redes fornecem computadores com capacidade para acessar arquivos em mquinas
remotas. Os projetistas exploraram uma variedade de abordagens ao acesso remoto. Por exemplo, alguns
projetos usam acesso a arquivo remoto para reduzir o custo total. Nesses sistemas de arquitetura, um
sistema de arquivo centralizado e nico fornece armazenamento secundrio para um conjunto de
computadores baratos sem armazenagem de disco local.
29

Arquitetura TCP/IP
FTP (File Transfer Protocol)

A transferncia de arquivos um dos aplicativos TCP/IP usados com mais freqncia e responde por
grande parte do trfego da rede. O FTP usa cpia integral de arquivo e permite que o usurio liste diretrios na
mquina remota e tambm faa a transferncia de arquivos em ambas as direes.
Com um protocolo de transporte fim a fim confivel como TCP, a transferncia de arquivos pode parecer
trivial. No entanto, os detalhes da autorizao, denominao e representao entre mquinas heterogneas
fazem com que o protocolo se torne complexo.
Acesso interativo
Especificao de formato (ASCII ou EDCDIC)
Controle de autenticao
Geralmente, tanto o cliente como o servidor cria um processo separado para tratar da transferncia de
dados. Considerando que os detalhes exatos da arquitetura do processo dependam do Sistema Operacional
usado, a figura abaixo ilustra o conceito:
TFTP (Trivial File Transfer Protocol)

A pilha de protocolos TCP/IP contm um protocolo de transferncia de arquivos que fornece servio a
preo acessvel e sem sofisticao.
O TFTP restringe a operaes para simples transferncias de arquivos e no fornece autenticao.
O lado do transmissor transmite um arquivo em blocos de 512 bytes (tamanho fixo) e aguarda a
confirmao de cada bloco antes de enviar o prximo.
Diferente do FTP o TFTP no requer um servio de transporte stream confivel. Ele roda acima do UDP
ou em qualquer outro sistema de entrega no confivel, usando time out e retransmisso para assegurar a
chegada dos dados. O TFTP fornece uma alternativa simples e limitada ao TFP para aplicativos que precisam
apenas de transferncia de arquivos. Por ser suficientemente pequeno para estar contido na ROM, o TFTP pode
ser usado para inicializao de mquinas sem disco.
NFS (Network File System)
Desenvolvido inicialmente pela SUN Microsystem, o NFS fornece acesso de arquivo on-line
compartilhado que transparente e integrado. Muitos sites TCP/IP usam NFS para interconectar seus sistemas
de arquivo de computadores.
Da perspectiva de usurio, o NFS praticamente invisvel. Um usurio pode executar um programa
aplicativo arbitrrio e usar arquivos no indica se eles so locais ou remotos.
30

Arquitetura TCP/IP
Implementao
implementado atravs de chamadas remotas de procedimentos (RPC). Seguindo uma Arquitetura
cliente/servidor; no guardando nenhuma informao em relao ao estado dos arquivos abertos em uso pelos
clientes. NFS apresenta as seguintes vantagens:
- Transparncia: o usurio final no sabe (e precisa?) onde os arquivos ficam realmente
armazenados;
- Unificao de comandos: os comandos de manipulao de arquivos locais e remotos so
exatamente os mesmos;
- Reduo de espao local: no preciso dispor de muito espao em disco em todas as mquinas
da rede (ex. todos os aplicativos podem residir em uma nica mquina);
- Independncia de sistema operacional;
- Consistncia no uso de bases de dados.
Estudos Adicionais
FTP ([RFC 959], [RFC 913], [RFC 1068])
TFTP ([RFC 783] e [RFC 906])
NFS ([RFC 1094], [RFC 1057], [RFC 1014])
Aplicativos de Correio Eletrnico
Muitos usurios tm seu primeiro contato com redes de computadores atravs do correio eletrnico (email), ou seja, quando enviam mensagens para um site remoto ou recebem mensagem deste. o servio
aplicativo mais utilizado. Na realidade, somente atravs dele que muitos usurios de computadores acessam
as redes.
Trata-se de um servio popular porque oferece um mtodo rpido e conveniente de transferncia de
informaes, alm de acomodar, com um nico mecanismo, de pequenas notas at grandes quantidades de
memorandos. No deve ser novidade que existem mais usurios enviando arquivos pelo correio eletrnico do
que pelos protocolos de transferncia de arquivos.
31

Arquitetura TCP/IP
SMTP (SIMPLE MAIL TRANSPORT PROTOCOL)
O servio de correio eletrnico permite a troca de informao (mensagem, documentos e assim por
diante) de forma rpida e conveniente entre dois pontos distintos na rede, mesmo que o destino no esteja
ativo no momento do envio da informao.
O servio bastante semelhante ao servio de correio postal podendo ser feitas, inclusive, vrias
analogias entre elementos atuantes no correio postal e no eletrnico:
Nome e endereo do remetente;
Nome e endereo do destinatrio;
Agente de coleta/exibio de correspondncia;
Agente de despacho e recepo de correspondncia;
Agente de entrega de correspondncia.
Extenso MIME para dados no ASCII

O protocolo SMTP bsico orientado para a transmisso de caracteres ASCII puros, no admitindo a
transferncia de mensagens que contenham caracteres do conjunto ASCII estendido (programas executveis,
imagens, documentos formatados via Word, entre outros).
MIME Multipurpose Internet Mail Extensions uma extenso que supre essa deficincia do SMTP;
basicamente ele permite a transferncia de qualquer tipo de dados atravs do SMTP, codificando-os em uma
representao de 7 bits usando a codificao base64.
A extenso MIME s pode ser usada se ambas as interfaces de usurio forem capazes de codific-la e
decodific-la.
POP (Post Office Protocol) / IMAP( "Internet Mail Access Protocol)
POP/IMAP um servio geralmente disponvel em servidores de correio eletrnico para permitir aos
usurios acesso s suas caixas postais a partir de estaes remotas (em geral, com sistema operacional
diferente do usado no servidor);
POP/IMAP permite que o usurio recupere e remova mensagens da sua caixa postal no seu servidor de
correio eletrnico a partir de qualquer mquina conectada na Internet;
32

Arquitetura TCP/IP
IMAP oferece funcionalidades adicionais, permitindo a criao/manuteno de pastas de
mensagens no prprio servidor.
HTTP (Hiper Text Transfer Protocol)/WWW (World Wide Web)

O sistema WWW define um mecanismo de busca e recuperao de informao baseado no conceito de
hipertexto/hipermdia;
Atravs dele possvel recuperao de informao na forma de texto, imagens (estticas e animadas)
e sons na rede, em uma estrutura cliente/servidor onde o servidor armazena um conjunto de arquivos de dados
que so transferidos para o cliente (disponvel em vrias plataformas) sob demanda;
Os arquivos de dados (texto) so armazenados no servidor na linguagem HTML (HyperText Makup
Language);
O sistema prope uma forma de identificao de servidores, servios e arquivos de modo universal
atravs do localizador universal de recursos (Universal Resource Locator URL);
Protocolo indica o servio desejado; pode ser:
http: para Hypertext Transfer Protocol;
ftp: para File Transfer Protocol
mailto: para correio eletrnico
telnet: para terminal remoto
file: para arquivo local
Servidor[:porta] indica o endereo (FDQN ou IP) do servidor desejado (e a porta, opcionalmente;
default 80);
Caminho: indica o caminho (path) dentro do sistema de arquivos do servidor;
Arquivo: indica o arquivo desejado;
Exemplos:
http://www.dsc.ufcg.edu.br
http://www.acme.com.br
ftp://ftp.mcafee.com
-
33

Arquitetura TCP/IP
O cliente WEB disponibiliza para o usurio, atravs de um navegador (browser), um mecanismo de

busca, transferncia e apresentao de dados contidos em servidores WEB;
Diversos navegadores esto disponveis:
- Mosaic;
- Netscape;
- Internet Explorer.
Aplicativos de Gerenciamento da interligao em redes
Alm de protocolos que fornecem servios em nvel de rede e programas aplicativos que utilizam esses
servios, uma interligao em redes precisa de um software que permita aos administradores detectar
problemas, controlar roteamentos e localizar computadores que estejam violando os padres do protocolo.
Chamamos a tais atividades gerenciamento da interligao em redes.
Em uma interligao em redes TCP/IP, os roteadores IP formam os comutadores ativos que os
administradores precisam examinar e controlar. Como os roteadores conectam-se a redes heterogneas, os
protocolos para gerenciamento da interligao em redes operam em nvel de aplicativo e comunicam-se
usando os protocolos de nvel de transporte TCP/IP.
SNMP (Simple Network Management Protocol)

Os protocolos de gerenciamento de rede especificam a comunicao entre o programa cliente de
gerenciamento de rede chamado pelo administrador e o programa do servidor de rede que est sendo
executado em um host ou roteador. Alm de definir a forma e o significado das mensagens trocadas e a
representao de nomes e valores daquelas mensagens, os protocolos de gerenciamento de rede tambm
definem relaes administrativas entre os roteadores que esto sendo gerenciados.
O protocolo padro de gerenciamento de redes TCP/IP o SNMP. O SNMP define um protocolo de
gerenciamento de baixo nvel que fornece duas operaes bsicas: buscar o valor de uma varivel ou armazenar
um valor de uma varivel. No SNMP, todas as operaes ocorrem como efeitos colaterais do armazenamento de
valores em variveis. O SNMP define o formato de mensagens que trafegam entre o computador de um
administrador e uma entidade gerenciada.
O padro que acompanha o SNMP define o conjunto de variveis que uma entidade gerenciada mantm.
O padro conhecido como Management Information Base, ou MIB. As variveis MIB so descritas usando
ANSI.1, umas notaes precisas, legveis para o homem, para nomes e objetos. A ANSI.1 usa um espao de
nome hierrquico para assegurar que todos os nomes da MIB sejam nicos globalmente, embora ainda permita
que subgrupos atribuam partes do espao de nome.
34

Arquitetura TCP/IP
A MIB (Management Information Base) para TCP/IP classifica as informaes de
gerenciamento em 8 categorias:
Categoria da MIB
Sistema
Interfaces
Conv. End.
IP
ICMP
TCP
UDP
EGP
Inclui Informao sobre

O Sistema Operacional do roteador ou do host
Interfaces de rede especficas
Converso de endereo (por exemplo, mapeamento ARP)
Software do Protocolo Internet
Software do Protocolo de Controle de Mensagens da Internet
Software do Protocolo de Controle de Transmisso
Software do Protocolo de Datagrama do Usurio
Software do Protocolo de Gateway Externo
Exemplos de variveis da MIB:

Variveis do MIB
SysUpTime
IfNumber
IfMTU
IpDefaultTTL
IplnReceives
IpForwDatagra
IpOutNoRoutes
IpReasmOks
IpFragOks
IpRoutingTable
IcmplnEchos
TcpRtoMin
TcpMaxConn
TcplnSegs
UdplnDatagrams
EgplnMsgs
Categoria
Sistema
Interfaces
Interfaces
IP
IP
IP
IP
IP
IP
IP
ICMP
TCP
TCP
TCP
UDP
EGP
Significado
Tempo desde a ltima reinicializao
Nmero de interfaces de rede
MTU para uma interface especial
Valor que o IP usa em campo de tempo de vida
Nmero de datagramas recebidos
Nmero de datagramas enviados
Nmero de falhas de roteamento
Nmero de datagramas remontados
Nmero de datagramas fragmentados
Tabela de roteamentos IP
Nmero de solicitaes ECHO ICMP recebidas
Tempo mnimo de retransmisso permitido pelo TCP/IP
Conexes mximas de TCP/IP permitidas
Nmero de segmentos recebidos pelo TCP
Nmero de datagramas de UDP recebidos
Nmero de mensagens EGP recebidas
35

Arquitetura TCP/IP
Redes Privadas
Internet, internets, intranets e extranets
O termo "internet", ao mesmo tempo em que denota a rede mundial que estamos acostumados a
utilizar para enviar e-mails, acessar o Altavista, comprar livros, etc, tambm um termo genrico que significa
"rede de redes IP". Se montarmos, por exemplo, trs pequenas LANs corporativas, cada uma utilizando IP, e as
interligarmos com linhas telefnicas, teremos criado uma rede de redes IP (ainda que minscula), que pode ser
chamada de "internet". Douglas Comer costuma utilizar o termo "Internet" (com "I" maisculo) para denotar a
rede mundial, e o termo "internet" (com "i" minsculo) para denotar genericamente uma rede de redes IP. Essa
conveno, entretanto no necessariamente seguida por todas as pessoas.
O termo "intranet" denota uma rede IP, eventualmente com os mesmos servios oferecidos pela
"Internet" (SMTP, HTTP, etc), mas para fins internos (por exemplo, correio eletrnico interno de uma empresa,
sistema de informaes interno, etc). Note que do ponto de vista de TCP/IP, o termo "intranet" no acrescenta
nada, visto que ele quer qualificar apenas o contedo da comunicao, e no os mecanismos utilizados por ela.
O termo "extranet" por sua vez denota uma "intranet" oferecida para um pblico externo corporao,
mas restrito. Seria o caso, por exemplo, onde uma empresa abre o acessa sua intranet ou parte dela para
uma outra empresa. Assim como o termo "intranet", o termo "extranet" tambm no acrescenta nada ao TCP/IP
entendido tecnicamente.
A situao tpica para uma empresa ou organizao que se conecte a Internet a de possuir uma rede
privada (que chamaremos de "rede interna") oferecendo servios internos (um servidor de disco, um servidor de
base de dados, etc) e um link com a Internet para que a partir da rede interna seja possvel utilizar servios da
Internet (envio de e-mails, acesso a pginas web, etc). Essa empresa ou organizao poder tambm oferecer
servios para a Internet, como por exemplo, um servidor de nomes respondendo pelos nomes da empresa ou
organizao (algo como www.empresa.com), um servidor SMTP operando como o MX para os domnios da
empresa ou organizao e um servidor web.
Esse tipo de situao cria uma certa quantidade de problemas tpicos que o profissional que trabalha
com Internet deve conhecer. Os mais comuns so:
As mquinas da rede interna tero que ter o TCP/IP configurado e, portanto, ser necessrio escolher
os endereos que sero utilizados.
Para as mquinas da rede interna fazerem resoluo de nomes, em geral ser conveniente oferecer a
elas um servidor de nomes que cacheie os registros que forem sendo consultados a fim de acelerar as consultas
de nomes.
Para as mquinas da rede interna fazerem o despacho de e-mails para a Internet, via de regra
conveniente que exista um servidor SMTP local utilizado pelas mquinas internas, e que cuide do despacho para
os destinatrios finais ou para um relay.
Para as mquinas da rede interna fazerem acesso web, em geral ser conveniente criar um servidor
Proxy HTTP que cacheie as pginas que forem sendo acessadas a fim de evitar o download mltiplo de pginas
muito consultadas, e com isso obter uma economia de banda.
O oferecimento dos servios DNS, SMTP e HTTP Internet cria a necessidade de se implantar esses
servios, o que corresponde eventual necessidade de um hardware especfico, e ao conhecimento dos
softwares utilizados (Sendmail, IIS, etc). Se for oferecido SMTP, ento um servio de download de e-mails como
o POP tambm ter que ser implantado.
A conectividade fsica com a Internet cria a possibilidade de ataques tanto s mquinas que oferecem
servios para a Internet quanto para as mquinas destinadas exclusivamente para uso interno.
36

Arquitetura TCP/IP
Endereos reservados para redes Privadas
A exausto do espao de endereamento IP da Internet tornou conveniente a reserva de alguns
endereos para uso em redes privadas. Esses endereos so:
10.0.0.0
- 10.255.255.255
172.16.0.0
- 172.31.255.255
192.168.0.0 - 192.168.255.255
Como so eles utilizados na prtica? suponha que uma empresa implante uma rede IP para uso interno.
Se essa rede estiver totalmente isolada da Internet, ento em princpio ela pode utilizar quaisquer endereos
IPv4 para configurar as interfaces. Em geral entretanto as redes privadas no esto totalmente isoladas da
Internet, e dispe no mnimo de uma conexo discada, e nesse caso no poderemos utilizar IPs j outorgados
para outros.
Como difcil ou talvez impossvel obter para essa rede endereos IP "oficiais" (roteveis), pode-se
optar pelo uso desses networks reservados para redes privadas, pois se garante que esses endereos no esto
em uso na Internet. Ou seja, no existe na Internet nenhum servidor web configurado com IP 172.16.14 e
nenhum servidor SMTP com endereo 10.5.6.7.
Assim, importante nesses casos utilizar esses endereos reservados. Para dar um exemplo, uma rede
privada pequena poderia utilizar o endereo de rede 192.168.1.0 com mscara 255.255.255.0. O administrador
ir ento configurar as interfaces das mquinas com IPs da forma 192.168.1.X. Essas mquinas podero estar
fisicamente conectadas Internet, mas no podero ser atingidas por pacotes originados na Internet. De fato,
os roteadores da Internet no sabero encontrar endereos que no foram oficialmente outorgados a ningum,
e que inclusive podem estar sendo utilizados simultneamente em muitas redes privadas diferentes ao longo do
mundo.
Se, entretanto a rede possuir ao menos um IP "oficial", as mquinas configuradas com IPs de rede
interna podero acessar a Internet como clientes atravs do mecanismo de mascaramento (nat) indicando essa
mquina que possui o IP oficial como gateway.
NAT - Network Address Translation (mascaramento)
Como vimos anteriormente, uma mquina IP cujas interfaces estejam configuradas com endereos
reservados para redes privadas no pode participar da Internet porque no existiro as rotas de retorno. O
mascaramento soluciona parcialmente este problema, desde que exista ao menos uma interface (dentre todas
as mquinas da rede privada, que chamaremos de "rede interna") um IP "oficial" (isto , rotevel).
O mascaramento consiste em utilizar a mquina com o IP oficial como gateway para a Internet,
configurando-a para substituir o endereo do remetente no cabealho IP de cada pacote por ela repassado para
a Internet pelo seu prprio endereo oficial. Dessa maneira, os pacotes gerados pelo servidor acessado podero
ser regularmente roteados de volta at atingir o gateway. Quando isso acontece, o gateway destroca o
endereo de destino desses pacotes (que neste momento o seu prprio) colocando no seu lugar o endereo
do remetente original. Assim, do ponto de vista do servidor externo, o acesso foi gerado pelo gateway e no
pelo cliente com o IP de rede interna.
Ao receber um pacote da Internet, como procede o gateway para determinar se esse pacote dirigido
para ele mesmo ou se deve ser re-roteado? Isso feito atravs da alocao, no gateway, de uma porta
exclusiva para cada conexo TCP gerada por um cliente da rede interna. Uma tabela mantida associando essa
porta nica com o IP e a porta de origem da conexo. Assim, os pacotes gerados pelo cliente ao passarem pelo
gateway tero tanto o IP de origem quanto a porta de origem trocados. No momento em que a conexo
encerrada aquela porta alocada no gateway fica livre para ser reutilizada. Para evitar um esgotamento das
37

Arquitetura TCP/IP
portas no gateway, implementa-se tambm a liberao das portas de conexes que tenham
permanecido sem atividade por um certo tempo (por exemplo, dez minutos).
O mascaramento tem vrias limitaes. Uma delas que o cliente da rede interna nunca pode ser a
parte passiva da conexo (isto , aquela que mantm a porta em listen) porque o seu IP no rotevel (isso
at certo ponto pode ser considerado bom do ponto de vista de segurana). Essa deficincia pode
eventualmente ser contornada pelo uso de mapeadores de portas. Uma outra limitao que alguns protocolos
no operam corretamente com o mascaramento, ou s operam corretamente se o gateway mascarador tiver um
suporte especfico para esses protocolos. Um desses protocolos o FTP. O FTP utiliza duas conexes TCP, uma
para comandos e outra para dados. A conexo de comandos estabelecida primeira. atravs dela que usamos
os comandos PROMPT, ASC, etc. Por vezes conseguimos conectar um servidor ftp e executar comandos como
ASC, mas no comandos como DIR ou GET. Esse sintoma via de regra indica a existncia de um gateway
mascarador onde o suporte para FTP no existe ou no est ativado.
Proxies e HTTP
Um Proxy algum (um computador) que se faz passar por um outro (computador). O modo mais
simples de se entender isso no contexto de circuito virtual, que no caso do TCP/IP so circuitos ou canais ou
conexes TCP.
Um canal TCP tem sempre exatamente duas extremidades, uma ativa, que tomou a iniciativa (chamada
cliente) e a outra passiva, que aguardava a solicitao do cliente (o servidor).
H situaes onde o cliente no pode ou no deseja identificar-se como tal. Isso ocorre quando ele est
numa rede protegida por um firewall, ou quando ele no possui um endereo IP "oficial" da Internet.
Pois bem, num caso como esse, o cliente solicita a uma outra mquina que se faa passar por cliente.
Essa outra mquina far, portanto o papel de intermedirio. Ela abrir o canal TCP com o servidor, mas
redirecionar todo o trfego proveniente do servidor para o cliente oculto, e todo trfego proveniente do cliente
oculto ser redirecionado para o servidor.
O recurso de poder usar um Proxy em geral necessita estar previsto no cliente. Por exemplo, os
browsers web costumam ter na sua configurao o servidor Proxy como um item (no Netscape veja o menu
Options/Network Preferences/Proxies).
Apesar de serem noes bastante diferentes, difcil entender porque usar um Proxy diferente de
mascarar IP, pois a funcionalidade de ambos semelhante. Para se compreender a distino, necessrio ter
uma boa noo de como a implementao do TCP/IP numa mquina, e os vrios papis que tipicamente so
desempenhados pelo "layer" TCP/IP e pelas aplicaes.
No contexto de circuitos virtuais, no caso do Proxy existem efetivamente dois canais TCP, um entre
cliente e Proxy, e outro entre Proxy e servidor. No caso do mascaramento de IP, s h um canal TCP, e o
gateway mascarador simplesmente troca nos frames os endereos e as portas do remetente ou do destinatrio,
dependendo do caso, a fim de que o servidor pense que o cliente o gateway.
Isso significa, por exemplo, que no caso do mascaramento, o gateway comporta-se apenas como um
roteador de pacotes, enquanto no caso do Proxy ele remonta (no caso de TCP) o stream que o cliente envia
antes de retransmiti-lo ao servidor, e vice-versa, tendo, portanto um overhead maior.
Proxies so comumente utilizados para HTTP e, neste caso, alm de operar como intermedirio, o Proxy
tambm pode cachear as pginas web obtidas no seu winchester. Dessa forma, uma segunda requisio de uma
mesma pgina no ir baix-la novamente do servidor remoto, mas ir recuper-la do winchester. Alguns
proxies adicionam recursos muitos teis, como por exemplo, a possibilidade de se realizar buscas nas pginas
cacheadas.
38

Arquitetura TCP/IP
VPNs
O entendimento da operao do TCP/IP em comunicao serial e do conceito de canal virtual torna
imediato o entendimento da noo de VPN, ou ao menos de uma das suas modalidades.
Vimos nas notas sobre comunicao serial que para se fazer com que duas mquinas se comunicassem
via IP bastou existir um mecanismo que transportasse bytes de uma para outra. Sobre esse mecanismo
podemos implementar um software que realize o envio ou o recebimento de pacotes atravs do SLIP ou do PPP.
Bem, um canal TCP um mecanismo de envio de bytes entre dois computadores. Assim, um canal TCP que
atravesse parte da Internet pode ser utilizado para encapsular SLIP ou PPP (por exemplo).
Nesse caso, os pacotes referentes ao canal TCP utilizado para o encapsulamento (e que chamaremos de
tnel) transportam na sua rea de dados a mesma seqncia de bytes que seria trocada num link SLIP ou PPP,
e que no caso incluir os cabealhos dos pacotes encapsulados. Assim, ser gerado um overhead de
comunicao, pois teremos cabealhos duplicados.
Por outro lado, o encapsulamento cria algumas vantagens. Uma primeira vantagem que as aplicaes
que criam o tnel podem incluir filtros que criptografem e/ou comprimam os dados que esto sendo enviados
por ele. Se repararmos nos exemplos dados de servidor e cliente TCP minimais, veremos que no h dificuldade
nisso, pois basta anteceder a chamada dos servios de envio ou de recebimento com a desses filtros. Dessa
maneira podemos adicionar criptografia ao nvel do IP atingindo dessa forma todos os servios de rede
utilizados, mesmo aqueles que originalmente no previam suporte para criptografia.
Uma segunda vantagem que o roteamento do trfego encapsulado independe do roteamento da
Internet (estamos supondo que o tnel utiliza a Internet), visto que o roteamento da Internet atua sobre os
cabealhos dos pacotes da conexo TCP usada como tnel, e no sobre os cabealhos encapsulados. Estes so
manipulados apenas pelas aplicaes que lem e escrevem nas duas pontas do tnel. Essas aplicaes criam
interfaces virtuais nas mquinas em que esto operando, associam a elas IPs, adicionam rotas nessas mquinas
apontando para essas interfaces virtuais, e passam a operar como gateways nas extremidades do tnel. Dessa
forma, possvel criar uma rede IP privada com uma estrutura de roteamento independente da Internet, mas
utilizando a Internet como carrier, o que vantajoso em termos de custo operacional.
39

Arquitetura TCP/IP
Segurana da Interligao em redes
Introduo
Assim como os pertences precisam de cadeados para que fiquem seguros, os computadores e redes de
dados necessitam de dispositivos para garantir a segurana da informao. A segurana em um ambiente de
interligao em redes ao mesmo tempo importante e difcil. Primeiramente, porque a informao tem
importncia significativa ela pode ser comprada e vendida diretamente ou usada indiretamente para criar
novos produtos e servios que produzem lucros elevados. A segurana em uma interligao em redes difcil
porque requer um entendimento da ocasio e do modo como os participantes (usurios, computadores, servios
e redes) podem confiar um no outro, assim como uma compreenso dos detalhes tcnicos do hardware da rede
e dos protocolos. A segurana de toda uma interligao em redes pode ser comprometida por um nico
computador. Mais importante: como o TCP/IP suporta uma grande variedade de usurios, servios e redes, e
como uma interligao em redes pode abranges muitos limites polticos e organizacionais, os indivduos e as
organizaes participantes talvez no concordem em nvel de confiana ou de polticas para manipular os dados.
Proteo de Recursos
Os termos segurana de rede e segurana de informao referem-se, em geral, certeza de que as
informaes e os servios disponveis em uma rede no podem ser acessados por usurios no autorizados.
Segurana implica proteo, inclusive garantia da integridade dos dados, proteo contra acesso no-autorizado
dos recursos do computador, pessoas investigando ou fazendo ligaes clandestinas de escuta, e contra a
interrupo de servios. Naturalmente, assim como nenhuma rede tambm est totalmente segura. As
organizaes esforam para tornar seguros edifcios e escritrios: embora uma organizao no possa impedir
totalmente o crime, medidas bsicas de segurana o podem desencorajar tornando-o significativamente mais
difcil de ser impetrado.
Fornecer segurana de informaes requer proteo no apenas dos recursos fsicos como dos recursos
abstratos. Recursos fsicos incluem dispositivos de armazenagem passiva, tais como fitas magnticas e discos, e
tambm dispositivos ativos, como computadores de usurios. Em um ambiente de rede, a segurana fsica
estende-se a cabos, pontes e roteadores que constituem a infra-estrutura da rede. Na realidade, embora a
segurana raramente seja mencionada, ela desempenha, na maioria das vezes, um papel preponderante no
plano da segurana geral. Obviamente, a segurana fsica pode impedir a escuta telefnica. Uma segurana
fsica eficaz pode tambm eliminar ataques que impliquem sabotagem (exemplo: desativar um roteador para
fazer com que os pacotes sejam roteados atravs de um trajeto alternativo e menos seguro).
Proteger um recurso abstrato como a informao via de regra mais difcil do que fornecer segurana
fsica, porque a informao algo abstrato. A integridade dos dados (isto , proteo contra mudanas noautorizadas) crucial; tambm o a disponibilidade de dados (isto , a garantia de que pessoas de fora no
tenham a capacidade de impedir o acesso legtimo aos dados atravs da saturao do trfego de uma rede).
Como a informao pode ser copiada medida que trafega por uma rede deve incluir a garantia de privacidade.
J que as informaes podem ser acessadas e transferidas em alta velocidade, pode ser difcil perceber a
diferena entre um acesso legtimo e um ilegtimo quando estiver ocorrendo uma transferncia. Mais importante,
enquanto a segurana fsica geralmente classifica pessoas e recursos em categorias amplas (por exemplo,
proibir o acesso privativo a todos que no sejam funcionrios), a segurana para a informao geralmente
precisa ser mais restritiva (isto , certas partes do registro de um funcionrio s esto disponveis para o
departamento pessoal, outras somente para a chefia e outras para o setor de contabilidade).
40

Arquitetura TCP/IP
Necessidade de uma poltica de Informao
Antes que uma organizao possa reforar a segurana da rede, ela deve analisar os riscos e
desenvolver uma poltica clara em relao ao acesso e proteo das informaes. Essa poltica dever
explicitar quem ter acesso a cada setor da informao, as regras que algum deve observar ao difundir a
informao entre terceiros e uma declarao de como a organizao vai reagir s violaes.
Apesar de parecer bvio a necessidade de uma poltica, muitas organizaes tentam tornar segura sua
rede sem que antes tenha definido o que significa segurana. Nas organizaes que adotam uma poltica de
informao comum, os funcionrios podem no estar a par dela, das motivaes que levaram a organizao a
adotar tal poltica ou das conseqncias de sua violao. Estabelecer uma poltica de informaes e educar os
empregados de suma importncia porque:
Geralmente, as pessoas so o ponto mais suscetvel em um esquema de segurana. Um trabalhador
malicioso, descuidado ou alheio poltica de informao de uma organizao pode comprometer at a melhor
segurana.
Uma poltica de informaes deve ser ampla o suficiente para abranger as informaes contidas no
papel e tambm as informaes armazenadas no computador, bem como deve englobar aspectos como as
informaes que entram e as que saem da organizao. Alm disso, uma poltica deve incluir detalhes como
informaes confiadas organizao por clientes, durante o curso normal do desenrolar de seus negcios, e
aquelas que podem ser deduzidas ou partem dos clientes atravs de seus pedidos de mercadorias e servios.
Depois de definida uma poltica de informaes, alcanar o nvel desejado de segurana pode ser
complicado porque isso significa reforar a poltica em toda a organizao. As dificuldades surgem ao se lidar
com organizaes externas e o trabalho de interligao em redes torna essa interao conveniente e freqente.
Em particular, como uma interligao em redes pode incluir vrias organizaes, as polticas tendem a se chocar.
Considere, por exemplo, trs organizaes A, B e C. Suponha que a poltica de A permita que a informao seja
exportada para B, mas no para C. Se a poltica de B permite exportar para C, as informaes podem fluir de A
a C, atravs de B. Mais importante, apesar de o resultado final poder comprometer a segurana, nenhum
funcionrio de nenhuma organizao violaria a poltica de sua organizao.
Mecanismos de autenticao
Os mecanismos de autenticao solucionam o problema de examinar a identificao. Exemplificando,
muitos servidores so configurados para rejeitar uma solicitao, a menos que ela se origine de um cliente
autorizado. Quando um cliente faz o primeiro contato, o servidor deve conhecer a sua identidade; uma forma
fraca de autenticar o conjunto de redes interligadas consiste em usar os endereos IP. Ao usar esse tipo de
autenticao, um administrador configura um servidor com uma lista de endereos de origem IP vlidos. O
servidor examina os endereos de origem IP em cada solicitao de entrada e s aceita solicitaes de
computadores clientes que constem da lista autorizada.
A autenticao IP de origem fraca porque pode ser rompida facilmente. Em uma interligao em redes
onde os datagramas passam atravs de redes e de roteadores intermedirios, a autenticao de origem pode
ser atacada em uma das mquinas intermedirias. Por exemplo, suponha que um impostor adquira controle
sobre um roteador R que est entre um cliente vlido e um servidor. Para acessar o servidor, o impostor
primeiro altera rotas em R para direcionar o trfego de volta a si prprio. Ele ento gera uma solicitao usando
um endereo do cliente autorizado como um endereo de origem. O servidor aceitar a solicitao e enviar a
resposta ao cliente autorizado. Quando essa resposta alcanar o roteador comprometido, R, ela ser enviada
atravs da rota incorreta ao impostor, onde poder ser interceptada. Se o impostor enviar todo o trfego,
exceto respostas a solicitaes ilegtimas, nem o cliente em o servidor detectar a invaso.
Um esquema de autorizao que use um endereo IP de uma mquina remota para autenticar sua
identidade no previne ataques de impostores atravs de uma interligao em redes insegura; isso porque um
impostor que obtm o controle de um roteador intermedirio pode personificar um cliente autorizado.
Curiosamente, os clientes enfrentam o mesmo problema que os servidores porque um impostor pode
tambm personificar um servidor.
41

Arquitetura TCP/IP
Mecanismos de privacidade
A criptografia pode tambm tratar de problemas de privacidade. Exemplificando, se um transmissor e
um receptor usarem um esquema de criptografia de chave pblica, o transmissor ode assegurar que somente o
receptor de destino poder ler a mensagem. Para isso, o transmissor usa a chave pblica do receptor para
codificar a mensagem, e o receptor usa sua chave particular para decodific-la. J que somente o receptor de
destino tem a chave particular necessria, nenhuma outra pessoa pode decodificar a mensagem. Assim, a
privacidade pode ser reforada mesmo se uma terceira pessoa obtiver uma cpia dos datagramas quando eles
passarem entre o transmissor e o receptor.
Mecanismos como criptografia de chave pblica podem ser usados para ajudar a resolver os problemas
de autenticao, autorizao e privacidade. Tanto o software do cliente quanto do servidor devem ser
modificados para usar tais mecanismos.
Firewalls e acesso interligao em redes
Os mecanismos que controlam o acesso interligao em redes lidam com o problema de filtrar uma
rede ou organizao em particular de uma comunicao indesejada. Tais mecanismos podem ajudar a prevenir
que estranhos: obtenham informaes, alterem informaes ou interrompam a comunicao em uma
interligao em redes interna de uma organizao. Especificamente, o controle de acesso bem-sucedido requer
uma combinao cuidadosa de restries na topologia da rede, preparao das informaes intermedirias e
filtros de pacotes.
Uma tcnica nica surgiu como a base para o controle de acesso interligao em redes. A tcnica
coloca um bloco conhecido como firewall de interligao em redes na entrada da parte da interligao que deve
ser protegida. Uma organizao pode colocar um firewall na sua conexo da Internet global para proteg-la de
acesso indesejado. Um firewall divide uma interligao em redes em duas regies informalmente denominadas
interior e exterior.
Firewall da organizao
Restante da
interligao em Redes
parte da interligao
em Redes da
Organizao
A colocao conceitual de um firewall de interligao em redes que protege redes internas da

organizao, roteadores, computadores e dados contra comunicao indesejvel de estranhos.
Vrias conexes e enlaces mais fracos
Embora o quadro na figura acima parea simples, os detalhes podem complicar a construo do firewall.
Em particular, uma interligao em redes de uma organizao pode ter vrias conexes externas. Vrias
conexes externas apresentam um problema especial para a segurana. A organizao deve formar um
permetro de segurana instalando um firewall em cada conexo externa. Mais importante, para garantir a
eficcia do permetro, a organizao deve coordenar todos os firewalls para usar exatamente as mesmas
restries de acesso. Por outro lado, pode ser possvel ludibriar as restries impostas por um firewall
entrando na interligao em redes da organizao atravs de outra diferente.
Enganar um firewall pode ser intencional ou no. Naturalmente, algum com a inteno de obter acesso
escolher atacar o ponto mais fraco se a organizao tiver uma conexo desprotegida, um intruso achar mais
42

Arquitetura TCP/IP
fcil localiza-la e usa-la do que subverter o mecanismo de segurana em uma conexo protegida.
De fato, a idia de que um sistema de segurana s to forte quanto seu ponto mais fraco bastante
conhecida e foi denominado axioma de elo mais fraco.
Lamentavelmente, coordenar vrios firewalls pode ser difcil. Restries necessrias a um site no
parecem importantes para outros. Por isso, os responsveis por firewalls de interligao em redes de uma
organizao devem coordenar seus esforos cuidadosamente. Podemos resumir a importncia de um permetro
de segurana uniforme.
Implementao do firewall e hardware de alta velocidade
Em teoria, um firewall simplesmente bloqueia qualquer comunicao no-autorizada entre os
computadores da organizao e computadores fora dela. Na prtica, os detalhes dependem da tecnologia de
rede, da capacidade da conexo, da carga do trfego e da poltica da organizao.
Um firewall precisa da capacidade de potncia de computao suficiente para examinar todas as
mensagens que chegam e saem. Como preciso examinar cada datagrama que vai entre as partes internas e
externas da interligao em redes, o firewall da organizao deve lidar com programas com a mesma velocidade
de conexo.
Para funcionar na velocidade da rede, um firewall deve ter hardware e software ideais para isso.
Felizmente, muitos roteadores comerciais incluem um mecanismo de filtragem de alta velocidade, que pode ser
usado para executar grande parte do trabalho necessrio.
Filtros de nvel de pacotes
Muitos roteadores comerciais oferecem um mecanismo que aumenta o roteamento normal e permite
que o administrador exera um controle mais rigoroso sobre o processamento de pacotes. Informalmente
chamado de filtro de pacote, o mecanismo requer que o administrador pode escolher filtrar (isto , bloquear)
todos os datagramas que chegam de origem especfica ou aqueles usados por um aplicativo especfico,
enquanto opta por rotear outros datagramas at o seu destino.
Exterior
Interior
Interface
Origem IP
Destino IP
Protocolo
Porta de Origem
Porta de Destino
TCP
21
TCP
23
128.5.*.*
TCP
25
UDP
43
UDP
69
TCP
79
O filtro bloqueia todos os datagramas que saem, originrios de qualquer host da rede classe B 128.5.0.0
e destinados a um servidor de correio eletrnico remoto (TCP porta 25). O filtro bloqueia tambm os
43

Arquitetura TCP/IP
datagramas que chegam destinados a FTP (TCP porta 21), TELNET (TCP porta 23), Whois (UDP
porta 43), TFTP (UDP porta 69) ou FINGER (TCP porta 79).
Segurana e especificao de filtro de pacote
Apesar de a mesma configurao de filtro especificar uma pequena lista de servios que devem ser
bloqueados, tal abordagem no funciona bem para um firewall eficaz. Existem trs razes para isso. Primeira, o
nmero de portas conhecidas (well-Know ports) grande e est aumentando. Assim, um administrador deve
precisar atualizar tal lista continuamente, porque um simples erro de omisso pode deixar um firewall
vulnervel. Segunda, muito do trfego de uma interligao de redes no trafega para e de uma porta conhecida
(well-know port). Alm dos programadores que podem optar por nmeros de portas para seus aplicativos
cliente/servidor privativos, servios como Remote Procedure Call (RPC) designam gateways automaticamente.
Terceira, listar portas de servios conhecidos deixa o firewall vulnervel ao envelopamento, tcnica na qual um
datagrama temporariamente encapsulado em outro, para a transferncia atravs de parte de uma interligao
em redes. O envelopamento usado para ludibriar a segurana fazendo com que um host ou um roteador de
dentro aceite datagramas encapsulados de um estranho, remova uma camada de encapsulao e envie o
datagrama para o servio que, de outro modo, seria restringido pelo firewall.
Como um firewall pode usar um filtro de pacote com eficcia? A resposta inverter a idia de um filtro:
em vez de especificar os datagramas que devem ser filtrados, um firewall deve ser configurado para bloquear
todos os datagramas, exceto aqueles destinados a redes especficas, hosts e portas de protocolo para as quais a
comunicao externa tenha sido aprovada. Um administrador deve partir do pressuposto que a comunicao
no permitida, e depois deve examinar cuidadosamente a poltica de informao da organizao antes de
habilitar qualquer porta. De fato, muitos filtros de pacotes permitem que um administrador especifique um
conjunto de datagramas a serem admitidos, em vez de um conjunto de datagramas a serem bloqueados.
A conseqncia do acesso restrito a clientes
Uma proibio geral relacionada aos datagramas que chegam em uma porta de protocolo desconhecida
parece resolver muitos problemas potenciais de segurana, j que impede que estranhos acessem servidores
arbitrrios na organizao.
Se um firewall de uma organizao restringe os datagramas que chegam, exceto para portas que
correspondam aos servios que a organizao torna disponveis externamente, um aplicativo arbitrrio dentro da
organizao no pode tornar-se cliente de um servidor fora dela.
Acesso a servios atravs do firewall
Nos casos em que um firewall necessrio para prevenir acesso involuntrio, os usurios internos
precisam de um mecanismo seguro que fornea acesso a servios externos. Esse mecanismo forma a segunda
maior pea da arquitetura firewall.
Em geral, uma organizao pode fornecer acesso seguro apenas para servios externos atravs de um
computador seguro. Em vez de tentar tornar seguros todos os sistemas de computador da organizao (tarefa
rdua), uma organizao geralmente associa um computador seguro a cada firewall. Como um computador
deve ser extremamente forte para servir de canal de comunicao seguro, geralmente ele chamado bastion
host.
44

Arquitetura TCP/IP
Bastion Host
Interligao em
Redes Externa
Interligao em
Redes Interna
Desvio ativado manualmente
O bastion host proporciona o acesso seguro a servidores externos sem exigir que a organizao admita
datagramas com destinos arbitrrios.
Para permitir o acesso seguro, o firewall tem suas barreiras ideais. A barreira externa bloqueia todo o
trfego de entra exceto: (1) os datagramas destinados a servios do bastion host que a organizao decida
tornar disponveis ao acesso externo e (2) os datagramas destinados a clientes do bastion host. A barreira
interna bloqueia o trfego de entrada, exceto os datagramas que tm origem no bastion host. A maioria dos
firewalls contm tambm um desvio manual, que permite que os administradores temporariamente passem uma
parte do trfego ou o trafego integral entre um host da organizao e outro externo. Em geral, as organizaes
que desejam obter a mxima segurana possvel nunca ativam um desvio desse tipo.
Para entender a operao de um bastion host, considere o servio FTP. Suponha que um usurio da
organizao precise acessar um servidor FTP externo para obter uma cpia de um arquivo. Como o firewall
impede que o computador do usurio receba datagramas de entrada, o usurio no pode ativar o software do
cliente FTP diretamente. O usurio deve executar o cliente FTP diretamente. O usurio deve executar o cliente
FTP no bastion host. Aps copiar o arquivo para o bastion host, o usurio pode executar uma transferncia de
arquivo entre o bastion host e seu computador local. Duas abordagens so utilizadas: a primeira a utilizao
de alguma aplicao de login remoto e a outra a utilizao de aplicaes clientes especficas.
Os detalhes da arquitetura de firewall
Cada barreira de firewall necessita de um roteador que tenha filtro de pacote. As redes interconectam
os roteadores e um bastion host. Por exemplo, uma organizao que se conecta a Internet global atravs de
uma linha serial pode preferir implementar um firewall, com mostra a figura abaixo.
Interligao em
Redes Externa
(Internet Global)
Bastion host
R2
R1
Interligao em
Redes Interna
45

Arquitetura TCP/IP
Como mostra a figura, o roteador R2 implementa a barreira externa, ou seja, filtra todo o
trfego, exceto os datagramas destinados ao bastion host, H. O roteador R1 implementa a barreira interna que
isola de estranhos o resto da interligao em redes associada, bloqueando todos os datagramas que entram,
exceto aqueles que se originam no bastion host.
Apesar de o bastion host ser essencial para a comunicao atravs de um firewall, a segurana do
firewall depende da segurana do bastion host. Um intruso que explora uma falha de segurana no sistema
operacional do bastion host pode ter acesso dentro de um firewall.
Rede Stub
Pode parecer que a figura acima contenha uma rede suprflua que conecta os dois roteadores e o
bastion host. Tal rede geralmente conhecida como rede stub porque consiste em um fio curto (stubby) ao
quais somente trs computadores se conectam.
A rede stub isola a organizao do trfego de datagrama que entra. Em particular, como o roteador R2
admite todos os datagramas que so destinados ao bastion host, um estranho pode enviar um nmero arbitrrio
de tais datagramas da rede stub. Se uma conexo externa for lenta em relao capacidade de uma rede stub,
um fio fsico pode ser desnecessrio. No entanto, uma rede stub geralmente uma maneira barata de uma
organizao se proteger da interrupo do servio de uma rede de produo interna.
Uma implementao alternativa de firewall
Suponha que uma companhia tenha mais de uma conexo externa, mas deseja ter um nico firewall.
Conexes Externas
R3
R2
Bastion Host
R4
R5
R1
Interligao em
Redes Interna
Usar um firewall para vrias conexes pode reduzir o custo. Para compreender por que os firewalls com
vrias conexes geralmente usam um roteador por conexo, lembre-se de que todos os sites desconfiam um do
outro. Quando vrios sites externos conectam-se atravs de um nico firewall, uma arquitetura que possua um
roteador por conexo externa pode evitar o fluxo no desejado de pacotes de um site externo a outro.
Monitoramento e registro no log

O monitoramento um dos aspectos mais importantes de um projeto de firewall. O administrador da
rede responsvel por um firewall precisa estar ciente das tentativas de burlar a segurana; a no ser que um
firewall relate os incidentes, um administrador pode no perceber os problemas.
O monitoramento pode ser ativo ou passivo. No primeiro caso, um firewall notifica o administrador
sempre que um incidente ocorre. A grande vantagem desse tipo de monitoramento a rapidez - o
administrador fica a par do problema em potencial imediatamente. A grande desvantagem o monitoramento
46

Arquitetura TCP/IP
ativo geralmente produz tantas informaes que o administrador no pode compreend-la ou se
dar conta delas.
No monitoramento passivo, um firewall registra a ocorrncia de cada incidente em um arquivo de disco.
Esse tipo de monitoramento geralmente registra as informaes sobre trafego normal (isto , simples
caractersticas) assim como os datagramas no filtrados. O administrador pode acessar o registro a qualquer
hora. Muitos administradores usam um programa de computador. A principal vantagem do monitoramento
passivo surge a partir de seus registros dos acontecimentos um administrador pode consultar o registro para
observar as tendncias e, ao perceber um problema de segurana, rev o histrico dos acontecimentos que
ocasionaram o problema. Mais importante, um administrador pode analisar o registro periodicamente (ou seja,
diariamente) para determinar se as tentativas de acessar a organizao aumentam ou diminuem com o passar
do tempo.
47

Arquitetura TCP/IP em

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Arquitetura TCP/IP em

Uploaded by

Copyright:

Available Formats

UNIDERP

Universidade para o Desenvolvimento do Estado e da Regio do Pantanal

Tecnologia em Redes de Computadores

O que TCP/IP? ......................................................................................................... 05

Conceitos Bsicos ....................................................................................................... 07

Roteadores e Ns de Extremidade ......................................................................................... 09

Comportamento de Envio e Recebimento do N de Extremidade .................................... 09

Comportamento de Envio e Recebimento do Roteador .................................................. 09

Formato de um Endereo IP ........................................................................................ 10

Limites de endereamento .......................................................................................... 10

Endereos reservados ................................................................................................. 11

Criando Subredes (Subnets) ........................................................................................ 13

Mscara de Subrede(Subnet Mask) .............................................................................. 13

Atribuio de Endereo IP a dispositivos TCP/IP ............................................................ 14

Arquitetura TCP/IP ............................................................................................................... 16

Camada de Interface de Rede ..................................................................................... 16

Camada de Inter-rede (ou somente Rede) .................................................................... 17

Camada de Transporte ................................................................................................ 19

Camada de Aplicao .................................................................................................. 20

Tecnologia em Redes de Computadores

Encapsulamento de Dados .......................................................................................... 21

Arquitetura TCP/IP versus Arquitetura RM-OSI ............................................................. 21

Vantagens do Roteamento .......................................................................................... 22

Mecanismos de Entrega de Dados ................................................................................ 23

Mscara de Rede e Roteamento .................................................................................. 23

Tabela de Roteamento ................................................................................................ 24

Entradas na Tabela de Roteamento ............................................................................. 24

Algoritmo de Roteamento ............................................................................................ 25

DNS Domain Name Service .............................................................................................. 26

Procedimentos para registro de nomes ......................................................................... 27

Aplicativos de Login Remoto ........................................................................................ 29

Aplicativos de acesso e transferncia de arquivos .......................................................... 29

Aplicativos de Correio Eletrnico .................................................................................. 31

Aplicativos de Gerenciamento da interligao em redes ................................................. 34

Redes Privadas .................................................................................................................... 36

Internet, internets, intranets e extranets ...................................................................... 36

Endereos reservados para redes Privadas ................................................................... 37

NAT - Network Address Translation (mascaramento) ..................................................... 37

Proxies e HTTP ..................................................... 38

Tecnologia em Redes de Computadores

Segurana da Interligao em redes ...................................................................................... 40

Necessidade de uma poltica de Informao ................................................................. 41

Mecanismos de autenticao ....................................................................................... 41

Mecanismos de privacidade ......................................................................................... 42

Firewalls e acesso interligao em redes .................................................................... 42

Vrias conexes e enlaces mais fracos ......................................................................... 42

Implementao do firewall e hardware de alta velocidade ............................................. 43

Filtros de nvel de pacotes ........................................................................................... 43

Segurana e especificao de filtro de pacote ............................................................... 44

9.10 A conseqncia do acesso restrito a clientes ................................................................. 44

Tecnologia em Redes de Computadores

Tecnologia em Redes de Computadores

- Criao de uma rede virtual nica para os usurios:

Tecnologia em Redes de Computadores

Tecnologia em Redes de Computadores

Tecnologia em Redes de Computadores

Tecnologia em Redes de Computadores

Tecnologia em Redes de Computadores

Tecnologia em Redes de Computadores

Exemplo de uma rede Ethernet

Tecnologia em Redes de Computadores

Mscara de Subrede(Subnet Mask)

Tecnologia em Redes de Computadores