CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede
Verses para Uso Industrial e Corporativo Adaptador ou Placa de Interface (NIC)
Conexo do equipamento (PC, CLP, IHM, Inversor, Vlvula, etc) rede de comunicao. Atuao na camada fsica e de enlace de rede Converso dos dados em Sinais Eltricos/ticos Endereamento e Conexo

1. A montagem de uma rede de dispositivos, sejam eles de uso corporativo, domstico ou industrial, requer vrios tipos de equipamentos que viabilizem as suas interconexes. 2. Um ambiente industrial, sujeito a impactos fsicos, vibraes, resduos lquidos e gasosos e ainda intensas interferncias eletromagnticas, com a necessidade de funcionamento contnuo, muitas vezes envolvendo a segurana de pessoas, de instalaes e do meio ambiente, requer dispositivos robustos, muitas vezes com redundncia de alimentao eltrica, cabeamento e processamento. 3. No transmissor o adaptador, ou NIC (Network Interface Card), responsvel pelo encapsulamento de um datagrama recebido do processador em um quadro e pela transmisso deste quadro para o meio fsico de transmisso. 4. No receptor ele responsvel pela recepo do quadro, pela extrao do datagrama de rede e envio para o processador do n. 5. Ele pode ser considerado uma unidade semi-autnoma , pois pode descartar quadros errados recebidos sem notificar o processador do n. 6. Tambm so responsveis pela codificao dos dados a serem transmitidos em sinais eltricos adequados aos meios fsicos. 7. Os adaptadores compartilham alimentao eltrica e barramento do processador, com a tendncia de incorporao destas interfaces a placa me do prprio equipamento, tanto em PCs quanto em CLPs. 8. Cada interface tem o seu endereo, o qual pode ser configurado via software ou hardware (chaves) ou ainda pr-definido pelo fabricante em uma memria ROM.

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede
Placa de Interface (NIC)
Memria + DSP + Interface de Barramento + Interface de Enlace

Barramento de E/S do N

Interface de Barramento

Interface de Enlace

Enlace de Rede

1. Os componentes principais de um adaptador so a interface de barramento e a interface de enlace. 2. A interface de barramento responsvel pela comunicao com o processador do dispositivo. 3. A interface de enlace responsvel pela implementao do protocolo da camada de enlace, isto , montagem e desmontagem de quadros de dados, deteco de erros e controle de acesso. 4. A interface de enlace tambm inclui os conjuntos de circuitos de transmisso e recepo de sinais.

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede
Repetidor
Amplificam e ressincronizam os sinais do meio fsico. Permitem o aumento das distncias entre os dispositivos. Possibilitam a ligao entre meios fsicos diferentes.

1. O repetidor lida com dois problemas que aparecem a medida que a distncia aumenta: atenuao e skew. 2. Skew a perda de sincronismo do sinal, isto , alteraes na sua freqncia. 3. Cada tipo de rede especifica o nmero mximo de repetidores que podem ser utilizados em cada segmento de rede. 4. comum o uso de repetidores para efetuar a mudana de meio fsico, por exemplo, de par tranado para fibra tica ou cabo coaxial para fibra tica.

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede
Concentrador - HUB
Equipamento usado para concentrar as conexes de cada dispositivo da rede. Transmite os dados simultaneamente a todos os dispositivos criando um Domnio de Coliso Repetidor com varias entradas e sadas Especificao:
Quantidade de portas Velocidade Gerenciamento

1. O seu baixo custo permitiu migrao das redes locais da topologia fsica em barra para topologia fsica em estrela. 2. O sinal recebido pelo HUB restaurado e transmitido para as demais portas sem nenhuma anlise do contedo transmitido. Com isto eventuais erros como troca de bits sero propagados. 3. Dizemos que o HUB atua na camada FSICA do modelo OSI. 4. Como os dispositivos ligados as portas do HUB esto sujeitos a coliso de dados, dizemos que ele cria um DOMNIO DE COLISO e as estaes devem fazer uso de algum protocolo de controle de acesso ao meio como o CSMA/CD. 5. HUBs gerenciveis permitem monitorar o trfego de suas portas, desligar portas e definir segmentos de rede remotamente. 6. Em redes Ethernet permitido o cascateamento de HUBs a partir de portas especiais (cross-overs) ou cabos de rede cruzados (cross cables).

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede
Ponte - Bridge
Segmentam uma rede local em sub-redes para diminuir o trfego. Diminuem o Domnio de Coliso, mas criam o Domnio de Broadcast. Difere de um repetidor por no retransmitir erros, quadros mal formados e rudos. L e analisa os quadros de dados identificando o endereo fsico (MAC).

1. As pontes efetuam a leitura dos dados recebidos, analisando a presena de erros de transmisso, portanto um dispositivo que trabalha na camada de ENLACE do modelo OSI. 2. A bridge s repassa o quadro recebido se o endereo do destinatrio realmente estiver conectado a sua outra interface. 3. No entanto, h determinados quadros com um endereo de destino que precisa ser repassado a todos os dispositivos da rede. Neste caso as bridges sempre espalham e multiplicam este tipo especial de quadros de dados. 4. Esses quadros de dados ocorrem quando um dispositivo em uma rede deseja alcanar outro dispositivo na rede, mas no sabe o endereo de destino do dispositivo, portanto ele emite um broadcast para todos os dispositivos na rede. Como cada dispositivo na rede tem que estar atento a tais broadcasts, as bridges sempre os encaminham. 5. Se muitos broadcasts so emitidos atravs da rede, isso pode resultar em uma tempestade de broadcast. Uma tempestade de broadcast pode causar interrupes na rede, retardos no trfego e fazer com que a rede opere com um desempenho menor do que o aceitvel.

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede - Pontes

1. Quando os dados vm pelos meios de rede, uma ponte compara os endereos MAC de destino transportados pelos dados com os endereos MAC contidos nas suas tabelas. 2. Se a bridge determinar que o endereo MAC de destino dos dados do mesmo segmento de rede da origem, ela no os encaminhar para outros segmentos da rede. 3. Se a bridge determinar que o endereo MAC de destino dos dados no do mesmo segmento de rede que o da origem, ela encaminhar os dados ao segmento apropriado. Fazendo isso, as bridges podem reduzir significativamente a quantidade de trfego entre os segmentos de rede, eliminando o trfego desnecessrio. 4. A aprendizagem dinmica. De cada quadro recebido retirado o endereo do remetente e este vinculado a porta de entrada do quadro. 5. necessrio algum mecanismo para atualizar os endereos.

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede
Comutador - Switch
Pontes com vrias portas. Identifica os endereos fsico de cada dispositivo e s envia os dados para o destinatrio. Aumentam o desempenho da rede por permitir conexes simultneas. Dispositivo plug and play, aprendizagem dinmica de endereos Atuao na camada de Enlace

1. O Comutador ou Switch um hub com endereamento de portas. 2. A cada porta de switch h um conjunto de endereos correspondentes. 3. Uma informao endereada a uma porta especfica do switch estar presente apenas nessa porta, deixando as demais livres para tratamento dos dispositivos a elas conectados. 4. Tipos de comutao e encaminhamento de pacotes: Store-and-Forward: O switch recebe o quadro, armazena-o todo na memria, checa o CRC para verificar se houve erro de transmisso, descarta o quadro se ocorreu erro de CRC, seno encaminha o quadro para a porta de destino. Cut-through: O quadro enviado da entrada para a sada sem esperar pela montagem do quadro inteiro, lendo apenas o endereo de destino, sem testar o CRC.

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede - Switch

1. Com a utilizao de switchs em redes ethernet, o problema da coliso minimizado, j que somente a teremos em momentos de broadcast. 2. Conexes simultneas so possveis entre dispositivos distintos e, apesar de ainda no termos o DETERMINISMO, possvel estimar tempos de acesso a rede.

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Switch Comercial x Industrial

Modelo Industrial Componentes industriais Ventilao forada Sinalizao de falha a rel Adequado para temperatura e vibraes extremas Resistente a choques mecnicos

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Hardware de Rede
Roteador - Router
Usados para interligar diferentes redes. Examina os dados da rede, extrai o endereo lgico de seus destinos e direciona os dados entre os caminhos possveis. Podem interligar redes com arquiteturas diferentes (gateways de rede). Requer configuraes, como tabelas de roteamento. Atuao na Camada de Rede

1. So equipamentos que fornecem interconectividade entre redes locais e entre LAN e WAN. 2. Suportam vrios dispositivos de redes locais e podem empregar um a variedade de protocolos entre redes. 3. O roteador mais simples e comum o de duas portas, uma LAN e uma WAN para conexo de redes locais com a internet. A porta LAN geralmente segue o padro ethernet, enquanto que a WAN depende do meio de transmisso utilizado para conexo. Pode ser RS-232 para ligao com Modens Telefnicos ou Rdio-Modens, ADSL, ou ainda CABO. 4. Eles otimizam o trfego na ligao com a internet ou WAN, bloqueando o trfego local, somente propagando o trfego que relamente deve sair da rede. 5. Os roteadores limitam as tempestades de broadcast, definindo os limites de um DOMNIO DE BROADCAST. 6. Roteadores multiportas permitem ainda a implementao de protocolos de roteamento definindo o melhor caminho para o encaminhamento dos dados. 7. A funo de roteador pode ser implementada em um PC utilizando o software adequado, no entanto CPUs tradicionais podem no conseguir lidar com altos trfegos de quadros por segundo.

10

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Arquiteturas Tpicas de Rede

Domnio de Coliso
Dispositivos ligados por HUBs

Domnio de Broadcast
Dispositivos Ligados por Switchs

1. Dizemos que os equipamentos esto em um domnio de coliso se todos eles escutam os pacotes enviados por participante da rede. Tipic amente isto acontece quando os equipamentos esto interligados por Hubs. 2. Dizemos que os equipamentos esto em um domnio de broadcast se todos eles escutam os pacotes enviados via broadcast por algum participante da rede. 3. Equipamentos ligados por switchs esto em um mesmo dominio de broadcast. Apenas os roteadores limitam os domnios de broadcast, pois eles no repassam estes pacotes de dados.

11

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Arquiteturas Tpicas de Rede

1. A figura mostra a estrutura tpica de uma rede local com interligao a rede WAN via roteador. 2. O switch efetua a segmentao da rede em domnios de coliso formado pelos grupos de usurios interligados pelos hubs. 3. O switch permite uma otimizao do trfego aos servidores de rede, permitindo acessos simultneos a rede externa, servidor web interno e correio. 4. O roteador efetua o encaminhamento do trfego externo, juntamente com uma adequao ao meio fsico usado para acesso a Internet (ADSL, CABO, RADIO, MODEM)

12

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Arquiteturas Tpicas de Rede

1. A figura mostra ROTEADORES sendo utilizados para interligao de duas redes locais privadas (LANs) formando uma WAN, atravs de uma linha dedicada, privada ou alugada. 2. Novamente COMUTADORES so utilizados para segmentao da rede em grupos de usurios.

13

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Arquiteturas Tpicas de Rede

1. Esta figura mostra a utilizao de ROTEADORES para a interligao de vrias redes privadas (LANs) utilizando a estrutura de comunicao de um provedor de telecomunicaes (EMBRATEL, TELEMAR, ETC). 2. Cada rede tem acesso a trs outras redes usando apenas uma conexo de sada. 3. A rede do provedor de telecomunicaes utilizando protocolos como Frame-relay efetuam o encaminhamento dos dados ao seu destino. 4. Observamos que cada rede local tem o seu servidor para minimizar a necessidade de trfego externo.

14

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Segurana Bsica de Redes

Por que se preocupar com Segurana?
Informao pessoal ou da empresa pode ser transformada em dinheiro, ou utilizada para chantagem ou extorso.
Cartes de Crdito, Senhas bancrias, Fotos ntimas etc. Relatrios financeiros, Projetos, Extratos bancrios

O ambiente corporativo cheio de informaes privilegiadas, de negcios imediatos ou futuros.

Novos produtos, Campanhas Publicitrias

15

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Segurana Bsica de Redes

Algumas Ameaas Virtuais
Virus e Worms Back doors e Trojans War dialling Ataques de Negao de Servio (DoS) Botnets e Maquinas Zumbi

1. 2.

3.

4.

5.

6.

7.

Segurana em redes visa evitar que invasores utilizem, alterem ou danifiquem mquinas e/ou dados existentes em uma rede interna. Vrus um programa malicioso desenvolvido por programadores que, tal como um vrus biolgico, infecta o sistema, faz cpias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios, embora que, hoje em dia, a maioria das contaminaes ocorram pela ao do usurio executando o anexo de um e-mail. Worms so programas de computador que se auto reproduzem. Ele usa a rede para enviar copias de si mesmo para outros computadores da rede e pode fazer isto sem qualquer interveno do usurio. Diferente de um vrus, ele no precisa infectar um programa existente. Worms prejudicam a rede gerando trafego extra e podem ser usados para instalar backdoors ou trojans. Backdoors um trecho de cdigo mal-intencionado que cria uma ou mais falhas de segurana para dar acesso a computadores para pessoas no autorizadas, permitindo o acesso a dados sigilosos ou o uso dos recursos da mquina infect ada para outros fins. Os programas que instalam backdoors so geralmente chamados de trojans fazem uso de engenharia social para serem voluntariamente instalados. War Dialling um mtodo de automaticamente escanear nmeros de telefone usando um modem, geralmente discando todos os nmeros de telefone de uma empresa ou determinada rea para encontrar onde computadores esto disponveis para acesso remoto. Um ataque de negao de servio (tambm conhecido como DoS, um acrnimo em ingls para Denial of Service), uma tentativa em tornar os recursos de um sistema indisponveis para seus utilizadores. Alvos tpicos so servidores web, e o at aque tenta tornar as pginas hospedadas t indisponveis. No trata-se de uma invaso de sistema e sim sua invalidao por sobrecarga. Os ataques de negao de servio so feitos geralmente de duas formas: - Forar o sistema atacado a reinicializar ou consumir todos os seus recursos (como memria ou processamento por exemplo) de forma que ele no pode mais fornecer seu servio. - Obstruir o canal de comunicao entre os clientes e o servidor atacado de forma a no comunicarem-se adequadamente. Botnets um jargo para um conjunto de softwares robs, ou bots, que rodam de forma autnoma. Tambm pode ser usado para designar uma rede de comput adores usando software de processamento distribudo. Botnets so ameaas quando mquinas infectadas com virus, worms ou backdoors executam programas maliciosos sob um comando remoto sem o conhecimento do proprietrio da mquina, tornando-se uma mquina zumbi.

16

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Segurana Bsica de Redes

Firewall
Apenas o trfego permitido deve entrar e sair da rede local. Instalado em todas as sadas da rede. Implementado em software ou hardware.

1. Praticamente todas as estruturas de seguranas de redes dependem do conceito de Firewall. Trata-se de um equipamento, com duas ou mais interfaces de rede, interligado entre a rede interna e externa, por onde obrigatoriamente deve passar todo o trfego de dados. 2. O nvel de segurana alcanado vai depender da configurao do Firewall. O mais alto nvel de segurana seria bloquear todo o trfego, contudo isto no faz sentido se uma conexo a uma rede externa foi instalada. 3. A configurao do firewall efetuada implementando-se regras de segurana. Por exemplo, somente uma determinada mquina pode receber solicitaes de conexo FTP, HTTP ou TELNET. 4. O Firewall pode ser um software instalado em um computador da sua casa ou empresa que tem uma conexo com a internet. Este comutador considerado um gateway, porque ele fornece o nico ponto de acesso entre a sua rede interna e a internet. 5. Com um Firewall implementado em hardware, ele em si o gateway. Um exemplo so os roteadores usados nas conexes a cabo e ADSL. Ele s disponibilizam uma ou mais interfaces de rede embutida. Computadores em sua rede interna acessam o roteador que por sua vez acessam o modem a cabo ou ADSL. Voc configura o roteador via uma interface WEB atravs do navegador do seu computador ajustando filtros ou qualquer informao adicional. Estes Hardware Firewalls so bastante seguros e no muito caros.

17

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Segurana Bsica de Redes

Tcnicas de Controle
Filtragem de Pacotes
Endereos IP de Origem e de Destino Portas TCP ou UDP de Origem e Destino Tipos de mensagens ICMP Endereos MAC de origem Bloqueio de URL Bloqueio de Domnio

1. Os filtros de pacotes analisam o cabealho dos datagramas e aplicam regras de filtragem especificadas pelo administrador da rede determinando se o datagrama ser descartado ou ser repassado. 2. Como exemplo, um filtro pode ser ajustado para bloquear todos os segmentos referentes a um determinado protocolo como o TELNET. Esta configurao evita que pessoas externas se conectem com mquinas internas usando o TELNET e que o pessoal interno se conecte com mquinas externas usando TELNET, bloqueando todos os segmentos T CP cujo numero de porta de origem ou de destino seja 23 (TELNET). 3. Um filtro que bloqueie o protocolo UDP pode impedir o trafego de udio e vdeo contnuo como Rdios On-line. 4. A poltica tambm pode ser baseada em combinaes de endereos e nmeros de portas. Por exemplo, o roteador pode bloquear todos os datagramas HTTP (os que tem porta 80) exceto os que esto indo para uma lista de endereos IP especficas. Desta forma pode-se restringir o acesso a pginas WEB a alguns servidores. 5. O bloqueio de tipos de mensagens ICMP pode impedir que mquinas externas mal intencionadas usem comandos como PING para efetuar mapeamentos de endereos para futuros ataques, ainda impedindo que as mquinas internas sofram ataques SMURF, ou seja, inundao de pacotes ICMP com solicitao de ECO. 6. O Bloqueio de URL(Uniform Resource Locator) pode ser usado para impedir o acesso a sites com determinadas palavras chaves. Bastante usado como restrio de acesso por contedo inadequado. 7. O Bloqueio de Domnio pode ser usado para impedir o acesso a determinados sites, atravs de qualquer protocolo.

18

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Regras de Firewall Domstico

1. A figura mostra a os parmetros necessrios para a definio de regras de acesso de um Firewall de uso em redes de pequenas empresas e uso domstico.

19

CEFET-RN / Curso Superior de Tecnologia em Automao Industrial / Comunicao de Dados Aula 04

Segurana Bsica de Redes

Servio Proxy
Hardware ou Software Centraliza o acesso a homepages externas Armazena as homepages mais acessadas Bloqueia servidores e contedo Otimiza o acesso a rede externa

1. Uma funo combinada freqentemente com um Firewall um servio proxy ou cache web, o qual tambm pode funcionar como um dispositivo de segurana de uma rede. 2. O Servio proxy pode ser executado em uma mquina dedicada, chamada de servidor proxy, ou pode ser um software executado em uma mquina de uso geral. 3. Quando um computador interno solicita uma pgina a um servidor WEB usando o protocolo HTTP, o servio proxy: - Verifica se tem uma copia do objeto armazenado localmente. Se tiver, envia o objeto ao browser do cliente, dentro de mensagem de resposta HTTP. - Se no tiver o objeto, o proxy abre uma conexo TCP com o servidor de origem e envia a requisio HTTP. - O servidor de origem envia o objeto a mquina proxy, dentro de uma mensagem HTTP. - Quando recebe o objeto, o proxy guarda uma copia em seu armazenamento local e envia outra, dentro de uma mensagem de resposta, ao browser do cliente. 4. Perceba que o servidor proxy , ao mesmo tempo, um servidor e um cliente. 5. O efeito desta ao que o computador distante nunca entra em contato direto com qualquer computador interno, sempre o contato efetuado pelo proxy. Isto evita que servidores maliciosos armazenem endereos IP de clientes para futuros ataques. 6. Alm disto o proxy, ao armazenar as pginas mais acessadas, diminui o trfego externo. 7. Para evitar a desatualizao das pginas armazenadas, usado um mecanismo disponibilizado pelo HTTP chamado de GET condicional, que compara a data da ltima modificao da pgina a ser acessada com a data da existente no seu local de armazenamento. 8. O Proxy torna-se um dispositivo de segurana quando so aplicadas regras de controle de acesso, bloqueando determinados sitios pelo endereo IP, nome ou contedo, ao no processar as solicitaes HTTP proibidas.

20