ROTEADORES
Entenda como Funciona 2004
Prof.: JosĂŠ Aristides
Roteadores Introdução
A função da camada de rede é realizar a entrega consistente de pacotes
fim-a-fim,
para
aplicações
ou
outras
camadas
de
protocolos, através de uma infra-estrutura de redes interconectadas; Executa funções de determinação de caminhos de comunicação, de comutação de pacotes por estes caminhos e de processamento de rotas para um determinado sistema de comunicação; O serviço de roteamento permite que o roteador avalie os caminhos disponíveis para um determinado destino e estabeleça qual o caminho de preferência para o envio de pacotes para este destino.
2004
Prof.: José Aristides
Roteadores Introdução Na determinação de caminhos de comunicação, os serviços de roteamento executam: Inicialização e manutenção de tabelas de rotas; Processos e protocolos de atualização de rotas; Especificação de endereços e domínios de roteamento; Atribuição e controle de métricas de roteamento. Roteamento é o ato de passar adiante pacotes baseando-se em informações da tabela de roteamento. Protocolos de roteamento são protocolos que trocam informações utilizadas para construir tabelas de roteamento.
2004
Prof.: José Aristides
Roteadores Introdução É importante distinguir a diferença entre protocolos de roteamento (routing protocols) e protocolos roteados (routed protocols). Protocolo roteado é aquele que fornece informação adequada em seu endereçamento de rede para que seus pacotes sejam roteados, como o TCP/IP e o IPX. Protocolo de roteamento possui mecanismos para o compartilhamento de informações de rotas entre os dispositivos de roteamento de uma rede, permitindo o roteamento dos pacotes de um protocolo roteado. Note-se que um protocolo de roteamento usa um protocolo roteado para trocar informações entre dispositivos roteadores. Exemplos de protocolos de roteamento são o RIP (com implementações para TCP/IP e IPX) e o EGRP.
2004
Prof.: José Aristides
Roteamento Estático e Roteamento Dinâmico Roteamento Estático: Uma rede com um número limitado de roteadores para outras redes pode ser configurada com roteamento estático. Tabela de roteamento estático - construída manualmente pelo administrador do sistema. Tabelas estáticas não se ajustam automaticamente a alterações na rede, portanto devem ser utilizadas somente onde as rotas não sofrem alterações. Vantagens do roteamento estático: segurança obtida pela não divulgação de rotas que devem permanecer escondidas; redução do overhead introduzido pela troca de mensagens de roteamento na rede. 2004
Prof.: José Aristides
Roteamento Estático e Roteamento Dinâmico Roteamento dinâmico: Redes com mais de uma rota possível para o mesmo ponto devem utilizar roteamento dinâmico. Tabela de roteamento dinâmico é construída a partir de informações trocadas entre protocolos de roteamento. Protocolos
de
roteamento
podem
resolver
situações complexas
de
roteamento mais rápida e eficientemente que o administrador do sistema. Protocolos de roteamento são desenvolvidos para trocar para uma rota alternativa quando a rota primária se torna inoperável e para decidir qual é a rota preferida para um destino. Em redes onde existem várias alternativas de rotas para um destino devem ser utilizados protocolos de roteamento. 2004
Prof.: José Aristides
Protocolos de Roteamento Determinam a rota preferida para cada destino e distribuem informações de roteamento entre os sistemas da rede. Características que diferenciam os protocolos de roteamento: Convergência: quando a topologia de uma rede muda graças a crescimento, reconfiguração ou falha; Overhead: o processo de roteamento não deve consumir recursos excessivos para atingir seus objetivos; Cálculo das métricas: a métrica de um determinado caminho para o envio de pacotes através de uma rede é a medida da qualidade deste caminho, sendo que quanto menor a métrica de um caminho, melhor ele é.
2004
Prof.: José Aristides
Protocolos de Roteamento Os algorítmos de roteamento calculam a métrica baseando-se em uma única característica de um caminho ou combinando várias características, como: Capacidade de tráfego de um enlace (ou banda disponível); Atrasos envolvidos no enlace, que podem ser influenciados pela banda disponível ou por possíveis congestionamentos no mesmo; Confiabilidade, referente à taxa de erros presente no enlace; Carga, que demonstra a ocupação do enlace; Hop count, ou o número de roteadores pelos quais um pacote passa até chegar ao destino.
2004
Prof.: José Aristides
Protocolos de Roteamento A implementação de um protocolo de roteamento envolve a execução de um algorítmo para a determinação das rotas para envio de pacotes. Estes algorítmos podem ser classificados em dois tipos principais:
Distance-vector e Link-state. Algorítmos distance-vector: Os algorítmos distance-vector mantém uma base de dados de informação de topologia que permite a determinação da direção (vector) e distância para qualquer enlace na rede. Roteador não conhece a exata topologia de uma inter-rede, pois armazenam nas tabelas de rotas somente a informação da sua porta ou do roteador (direção) e da distância (métrica). As atualizações de rotas são executadas periodicamente ou toda vez que for detectada uma mudança na topologia da rede. 2004
Prof.: José Aristides
Protocolos de Roteamento Algorítmos link-state: Os algorítmos link-state (shortest-path-first) mantém uma base de dados complexa com informações de todos os roteadores e como eles se interconectam. Recriação da exata topologia da inter-rede. As atualizações de rotas com o envio de mensagens chamadas LSP(link state packets) que descrevem o estado corrente de todos os enlaces aos quais ele está conectado. Cada vez que um LSP causa uma mudança na base de dados de estado de conexão de um roteador, o algorítmo recalcula os melhores caminhos e atualiza a tabela de rotas deste roteador.
2004
Prof.: José Aristides
Protocolos de Roteamento Protocolos de roteamento são divididos em dois grupos gerais: Protocolos de roteamento internos e externos. Protocolos internos são utilizados dentro de sistemas de rede independentes. (AS - autonomous systems). Em sistemas autônomos, informações são trocadas através do protocolo interno escolhido pelo administrador do sistema autônomo. Existem vários protocolos internos, como por exemplo RIP e Hello. Protocolos externos são utilizados para trocar informações de roteamento entre sistemas autônomos. As informações de roteamento que passam entre sistemas autônomos são chamadas de informações de alcançabilidade (reachability). Existem vários protocolos externos, como por exemplo EGP e BGP .
2004
Prof.: José Aristides
Protocolos de Roteamento Protocolos de roteamento interno: Rounting Information Protocol (RIP) é o protocolo interno mais comum. RIP seleciona a rota com o menor "hop count" (métrica) como a melhor rota. Hop count - número de gateways através do qual os dados devem passar para chegar ao destino. RIP assume que a melhor rota é a que utiliza o menor número de gateways. Esta forma de escolher a melhor rota algumas vezes é chamado de algoritmo distance-vector. O caminho mais longo que RIP aceita são 15 hops. Se a métrica de uma rota é maior que 15, RIP considera o destino unreachable e descarta a rota. Hello calcula a melhor rota baseado no delay. Delay é o tempo que um pacote leva para fazer a viagem entre a origem e o destino. Um pacote Hello contém a hora em que foi enviado. 2004
Prof.: José Aristides
Protocolos de Roteamento Protocolos de roteamento externo: Exterior Gateway Protocol (EGP) é um dos protocolos de roteamento externos mais comum. Implementações de EGP não tentam escolher a melhor rota para um destino. EGP atualiza informações de distance-vector, mas não avalia estas informações. Os valores de distance-vector de sistemas autônomos distintos não são comparados diretamente, porque cada sistema autônomo pode utilizar um critério diferente para desenvolver estes valores. EGP deixa a decisão da "melhor" rota para outro protocolo. O EGP foi substituído pelo BGP (Border Gateway Protocol) que hoje já está na versão 4, ou seja BGP4. 2004
Prof.: José Aristides
Protocolos de Roteamento Protocolos de roteamento externo: BGP troca informações de alcançabilidade entre sistemas autônomos, mas pode fornecer mais informações sobre cada rota, e pode utilizar estas informações para selecionar a melhor rota. Estas informações de "atributos de caminho". Estes atributos podem incluir informações utilizadas para selecionar rotas baseando-se em preferências administrativas. Este tipo de roteamento (algumas vezes chamado de Policy Rased Routing) utiliza razões não técnicas (por exemplo, política organizacional ou de segurança) para fazer decisões de roteamento. Somente o gateway que conecta os dois sistemas autônomos precisa executar um protocolo de roteamento externo.
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux !
2004
Prof.: JosĂŠ Aristides
Montando um Roteador/Firewall no Linux ! Introdução Quando estamos conectado a rede Internet, surge de maneira natural, em muitas empresas, a necessidade de criar um roteador para fazer a divisão entre as duas redes, uma a rede externa, onde normalmente rodam alguns serviços prestados, e a outra, a corporativa, onde estão os dados da própria empresa.
Para que as conexões vindas da rede externa não ultrapassem o perímetro interno, surge a necessidade de se montar um filtro em cima desse roteador, criando assim um Firewall de pacotes.
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux !
Esta arquitetura de rede chama-se Screened Host Gateway. A rede sofre duas filtragens: 1 - feita pelo roteador interligado à Internet; 2 - PC que faz o roteamento de pacotes entre as duas redes.
Essa solução, tem como principal vantagem, o custo, pois, os roteadores possuem em seu programa interno, a capacidade de filtragem de pacotes e o Linux, por ser um sistema operacional robusto e acessível em termos de preço.
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Material necessário: um PC; duas placas de rede; software (IPCHAINS) que está disponível na maioria das distribuições do sistema operacional Linux.
Instalação do Sistema Operacional: Na instalação do SO, escolha o perfil de Roteador/Firewall, para evitar de recompilar o kernel depois de tudo instalado. Versões como o RedHat (Fedora) ou o Conectiva fazem instalações de perfil enxutas.
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Instalado o SO, verificaremos as placas de rede. edite o arquivo: /etc/modules.conf com o editor vi ou mcedit para verificar ou adicionar as seguintes linhas: alias eth0 DRIVE_DO_ADAPTADOR alias eth1 DRIVE_DO_ADAPTADOR Após a configuração ou edição salve tudo e dê um boot no computador. Tão logo ele volte e você se logue novamente, verifique com o comando lsmod para ter certeza que tudo correu bem. Module DRIVE_DO_ADAPTADOR
2004
Size
Used by
13500
1
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Verificando a configuração das duas placas. Use o programa Linuxconf ou edite os arquivos: /etc/sysconfig/network-scripts/ifcfg-eth0 e ifcfg-eth1. Eles devem apresentar-se mais ou menos assim:
ifcfg-eth0
ifcfg-eth1
INTERFACE=eth0
INTERFACE=eth1
ONBOOT=yes
ONBOOT=yes
BOOTPROTO=static
BOOTPROTO=static
IPADDR=192.168.1.254
IPADDR=200.133.1.254
NETMASK=255.255.255.0
NETMASK=255.255.255.0
NETWORK=192.168.1.0 2004
NETWORK=200.133.1.0 Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! O próximo passo é, verificar ou editar o arquivo: /etc/sysconfig/network que deverá conter as seguintes linhas: NETWORKING=yes FORWARD_IPV4=yes HOSTNAME="nome + domínio" GATEWAY=200.133.1.1* GATEWAYDEV=eth1 * Endereço do Roteador. Se você editou o arquivo, deve então, salvar e reiniciar o servidor. Logo após a máquina entrar novamente, digite route -n e a tabela de roteamento deverá aparecer.
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Veja um exemplo de tabela de roteamento Destination
Gateway
192.168.1.0
0.0.0.0
200.133.1.0 127.0.0.1 0.0.0.0
Flags
Metric
255.255.255.0
U
0
0.0.0.0
255.255.255.0
U
0.0.0.0
255.0.0.0 0.0.0.0
200.133.1.1
Genmask
Ref
Use
IFace
0
0
eth0
0
0
0
eth1
U
0
0
0
lo
UG
1
0
0
eth1
A partir de agora, você já pode implementar as regras de filtragem que representam a política que vai ser usada nos acessos.
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Implementando as regras de filtragem. 1 - Crie um arquivo que vai conter todos os comandos que compõem as regras baseadas na política adotada (Exemplo: regras) 2 - Copie o arquivo regras para o diretório /etc/rc.d/init.d 3 - Se desloque para o diretório /etc/rc.d/rc3.d 4 - Digite os comando abaixo: "ln -s /etc/rc.d/init.d/regras /etc/rc.d/rc3.d/S95regras“ "chmod 700 /etc/rc.d/init.d/regras“ 5 - Após os passos acima, você deve dar um boot, e analisar se na carga do sistema o arquivo S95regras foi executado ou não, algo parecido como nas linhas abaixo: Iniciando Keytable:
[ OK ]
Iniciando regras
[ OK ] «
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Arquivo exemplo contendo regras de filtragem.
Entendendo como as regras são processadas. As regras processadas pelo IPCHAINS, são vistas em três pontos:
1. A entrada das interfaces; 2. O repasse da interface de entrada para a interface de saída não importando o sentido de para onde vai; 3. A saída das interfaces.
2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Para que um pacote passe de uma rede para outra, ele tem que ser aceito na entrada, saída e repasse de uma interface para a outra dentro do roteador. Existem casos especiais como o mascaramento, onde o pacote é aceito na entrada, mas não na saída, só que, quando o mesmo passa pelo repasse, ele é mascarado, e a interface de saída permite a passagem do endereço mascarado, sendo assim, o pacote passa.
Ilustração do fluxo de regras dentro de um roteado Linux.
2004
Placa Placa ENCAMINHAMENTO Interna Externa
Prof.: José Aristides
Montando um Roteador/Firewall no Linux !
O artifício de mascaramento, é útil quando um ou mais endereços privados precisam atravessar o roteador para chegar até um ou mais endereços válidos na Internet, como os endereços privados não tem rotas pré-estabelecidas na Internet, normalmente o endereço mascarado é um endereço válido na faixa de endereços válidos da Internet.
Nota: Com o IPCHAINS é possível construir um firewall, só que, a nível de filtro de pacotes. Com ele, não será possível a integração e o controle de usuários ou grupos dentro de um domínio, onde se pode, de forma rápida, colocar, retirar ou deslocar usuários dentro de grupos de permissões ou de
negações, ao invés disso, será preciso manipular regras através de
endereços IPs. 2004
Prof.: José Aristides
Montando um Roteador/Firewall no Linux ! Bibliografia:
http://www.clubdasredes.eti.br/artigrede.htm
2004
Prof.: JosĂŠ Aristides