A Camada de Aplicação

REDES DE COMPUTADORES
UFPB / CCT / DSC / PSN, 2001 * Parte 2: Arquitetura - Camada de Aplicao * Pg. 1
2.5 A CAMADA DE APLICAO
! A camada de aplicao fornece os servios "reais" de rede para os
usurios. Os nveis abaixo da aplicao fornecem servios de
transporte de dados para o nvel de aplicao, mas no fazem
nenhum trabalho real para os usurios.
Consideraes de Segurana
! " fcil ter um sistema de computao seguro. Voc meramente
tem de desconectar seu sistema de qualquer rede externa, e
permitir somente terminais ligados diretamente a ele. Pr a
mquina e seus terminais em uma sala fechada, e por um guarda
na porta." F.T. Grampp e R.H. Morris
! Por que segurana necessria? Para proteger o patrimnio fsico
(equipamentos, perifricos, meios de armazenamento) e lgico
(informao, identidades).
! Quanto proteger? Depende do "valor" do que vai ser protegido.
Depende de quanto custa a proteo e de qual o custo das
perdas em caso de ataque.
! Quem ataca? Diversos tipos de pessoas. A tabela a seguir mostra
alguns [poucos] exemplos.
Adversrio Objetivo
Estudante Para obter uma informao engraada do
correio eletrnico de algum
Hacker Para testar a segurana de um sistema; para
obter dados s escondidas
Representante de
vendas
Para conseguir representar em Fortaleza ou
Recife, e no em Areia e Bananeiras
Empresrio Para descobrir o plano estratgico de marketing
de um concorrente
Ex-empregado Para se vingar da demisso
Contador Para desviar dinheiro da empresa
Corretor Para no cumprir uma promessa feita um
cliente por e-mail
Espio Para descobrir uma estratgia militar do inimigo
Terrorista Para roubar segredos sobre guerra biolgica
! Hacker: pessoa que sente prazer em aprender os detalhes dos
sistemas de programao e sugar o mximo de suas capacidades -
ao aposto da maioria que prefere aprender o mnimo necessrio.
! Cracker: quem usa seus conhecimentos sobre sistemas
computacionais para fins ilcitos.
! Poltica de segurana: determina limites aceitveis de
comportamento e punies adequadas. Define o que ou no
permitido fazer com a rede (p.ex. trfego ftp para fora).
! Idia chave: (a) qualquer coisa que voc no entende
completamente perigosa, at voc entend-la; (b) tudo que no
for explicitamente permitido, proibido.
! Segundo o Orange Book, existem 7 nveis de segurana definidos.
Alguns mais conhecidos so:
Nvel D: proteo mnima;
Nvel C: controle de acesso discreto (UNIX, WinNT);
Nvel B: controle de acesso mandatrio (VAX);
Nvel A1: projeto de segurana aprovado;
Nvel C2: identificao e autenticao obrigatria de usurios,
senhas ocultas para recursos e servios, etc.
! Diversas formas de ataque so usadas hoje em via. Algumas delas
so mostradas na tabela a seguir.
Ataque Descrio
Portas dos
fundos (Back
Doors)
Pedaos de cdigo escritos em aplicaes ou sistemas
operacionais, que realizam servios no previstos em
sua especificao; Ex. verses alteradas de login,
telnet e ftp, que aceitam uma seqncia de teclas para
abrir um acesso ao intruso
Bombas
lgicas (Logic
Bombs)
Caractersticas ocultas em programas, que ficam
dormentes por um longo perodo de tempo, tornando-
se ativas sob certas condies
Viroses
(Viruses)
seqncia de cdigo inserida em um programa
executvel; Quando o programa executado, o cdigo
do vrus tambm executado, copiando a si mesmo
para outros programas
Vermes
(Worms)
programas que executam de forma independente,
viajando de uma mquina para outra atravs da rede
Cavalos de
Tria (Troj an
Horses)
programas que assemelham-se com um programa que
o usurio deseja executar (um jogo, um editor, o
programa de login); Enquanto aparente fazer o que o
usurio quer, est fazendo algo diferente
Bactria
(Rabbits)
programas cuja nica proposta a replicao;
Reproduzem-se exponencialmente, consumindo
memria, CPU, disco, etc.
! Origem: (a) externa (atravs da rede); (b) interna (atravs da
rede interna e/ou por meio de acesso fsico).
! Como tentar evitar ataques externos?
Melhoras senhas;
Ateno permanente do administrador;
Configurao da rede visando a segurana do sistema;
Usar ferramentas de monitorao;
Implantar as correes (patches) do sistema;
Bloquear conexes e origens indesejadas;
Usar paredes corta-fogo (Firewalls);
Usar modems com recurso de chamada reversa (call-back).
! Como tentar evitar ataques internos?
Bloquear o acesso fsico as instalaes;
Criar uma poltica de segurana;
Usar criptografia;
No abusar de programas de domnio pblico (p.ex. FTP
annimo).
Segurana de Senhas
! "Armado de um dicionrio de 250.000 palavras, um cracker pode
comparar todas as suas codificaes de palavras com aquelas de
um cadastro de senhas em pouco mais de 5 minutos, usando uma
nica estao de trabalho".
! Como elaborar senhas boas? A tabela a seguir d uma idia inicial.
Item Descrio
1 Usar geradores automticos de senhas (p.ex. PrKv-10b2)
2 Substituir letras por nmeros em senhas fceis de memorizar
(p.ex. w1nd0ws)
3 Substituir letras por caracteres especiais em senhas fceis de
memorizar (p.ex. w!ndow$)
4 Usar algumas letras em maisculo na senha (p.ex. WinDowS)
5 Usar mtodo simples de criptografia s conhecido por voc
(banana = edqdqd)
6 Usar combinaes de letras e abreviaturas (p.ex. peter@DSC)
7 Usar iniciais de frases (p.ex. Esqueci da senha de novo! =
edsdn!
8 Combinar todos os anteriores
SERVIOS BSICOS DE REDE
DNS Domain Name Service
Conceituao
! O esquema de endereamento TCP/IP prev que cada elemento da
rede seja identificado de forma nica atravs de um nmero o
endereo IP;
! Trabalhar com nmeros mais natural para as mquinas, mas as
pessoas preferem trabalhar com nomes; muito mais fcil
lembrar, por exemplo, que informaes sobre a Universidade
Federal da Paraba esto disponveis na mquina www.ufpb.br ao
invs da mquina 150.165.132.1.
! Guardar uma tabela com todos os nomes e nmeros de mquinas
da Internet em cada mquina conectada rede impossvel (no
s pelo tamanho, como pela velocidade de atualizao da base
para mant-la consistente);
! Como resolver o problema? Criar um mecanismo (ou servio) que
permita que o mapeamento de nomes em nmeros seja feito de
forma distribuda, com muitos computadores (servidores) na rede
tomando conta de quantidades mais manipulveis de nomes;
! Idia ! Organizar a Internet em Domnios Administrativos e criar
um banco de dados hierrquico, distribudo, onde exista um ou
mais servidores em cada nvel da hierarquia, responsveis por
fornecer informaes sobre nomes que se situam abaixo desse
ponto da hierarquia (apenas um nvel).
! A definio de domnios administrativos e a imposio de que no
se cadastre equipamentos e subdomnios com o mesmo nome em
um domnio, evita a utilizao de um mesmo nome para mais de
um equipamento na rede.
! O nome de todo equipamento na rede vai ser composto de um
nome local (que pode se repetir em domnios diferentes), seguido
por uma hierarquia de domnios; o nome completo do
equipamento passa a ser seu Nome de Domnio Totalmente
Qualificado Fully Qualified Domain Name FQDN.
! Domnios na Internet refletem uma organizao institucional e/ou
geogrfica; nos Estados Unidos tem-se, por exemplo:
Domnio Tipo de Instituio Exemplo
.mil Instituies com fins militares antiSaddan.mil
.edu Instituies educacionais berkeley.edu
.com Instituies comerciais microsoft.com
.gov Instituies governamentais whitehouse.gov
.org Instituies no-
governamentais
linux.org
.net Instituies ligadas rede internic.net
! No Brasil, tem-se uma organizao semelhante, acrescentando-se
o sufixo .br aos domnios anteriores:
Domnio Tipo de Instituio Exemplo
.mil.br Instituies com fins militares emfa.mil.br
.edu.br Instituies educacionais pioXI.edu.br
.com.br Instituies comerciais varig.com.br
.gov.br Instituies governamentais mare.gov.br
.org.br Instituies no-
governamentais
atecel.org.br
.net.br Instituies ligadas rede embratel.net.br
.
edu br pt com net gov mil fr
com ufpb ufal . . .
. . .
net gov org
dsc prai dee
bidu
floquinho
IP=150.165.2.33
mingau
. . .
floquinho . dsc . ufpb . br = Nome de Domnio Totalmente Qualificado
(nico na Internet)
Figura 1. Hierarquia de nomes na I nternet
! Toda vez que algum (em geral, software de aplicao) precisa
descobrir o endereo IP associado a algum nome na rede, faz uma
consulta padro (consulta ao DNS direto) comeando na raiz da
hierarquia, descendo pelos ramos at encontrar a informao
procurada ou descobrir que a mesma no existe na rede (ou no
est cadastrada nos servidores de nomes).
Servidor DNS
DSC
( dsc.ufpb.br)
Servidor DNS
UFPB
( ufpb.br)
Servidor DNS
Brasil
( .br )
Servidor DNS
raz
( . )
Servidor
DNS
do meu
domnio
Pergunto:
Qual o endereo IP da mquina
bidu.dsc.ufpb.br?
1

2
4
6
5
7

3
10
Responde:
150.165.2.75!

9

8
Figura 2. Consulta ao DNS direto
! De modo semelhante, algum pode querer saber qual o nome
associado algum endereo IP. Nesse caso, faz uma consulta
padro (consulta ao DNS reverso) tambm comeando pela raiz da
hierarquia.
Servidor
DNS
raz
( . )
Servidor DNS
do meu
domnio
Pergunto:
Qual nome da mquina cujo
endereo IP 200.129.69.1?
1
6
arpa
in-addr
150 151
. . .
. . .
166 165 . . . . . .
2
3
Resposta:
server.fapesq.rpp.br!
ns.ufpb.br responde pelo
DNS reverso da classe B 150.165
200
129
69
130
admin.fapesq.rpp.br responde pelo
DNS reverso da classe C 200.129.69
4
5
Figura 3. Consulta ao DNS reverso
SMTP SI MPLE MAI L TRANSPORT PROTOCOL Correio Eletrnico
Conceituao
! O servio de correio eletrnico permite a troca de informao
(mensagens, documentos, etc.) de forma rpida e conveniente
entre dois ou mais usurios da Internet; ele prov comunicao
entre dois pontos distintos na rede, mesmo que o destino no
esteja ativo no momento do envio da informao.
! O servio bastante semelhante ao servio de correio postal,
podendo ser feitas, inclusive, vrias analogias entre elementos
atuantes no correio postal e no correio eletrnico; em ambos,
temos:
Nome e endereo do remetente;
Nome e endereo do destinatrio;
Agente de coleta/exibio de correspondncia;
Agente de despacho e recepo de correspondncia;
Agente de entrega de correspondncia.
fila de
sada
interface
com
o usurio
agente de
transporte
(cliente)
caixas
postais
agente de
transporte
(servidor)
conexo
TCP para
mensagens
entrantes
conexo
TCP para
mensagens
saintes
usurio
envia
mensagem
usurio
recebe
mensagem
agente
de
entrega
fila de
entrada
Figura 4. Esquema conceitual do servio de correio eletrnico
! As interfaces com o usurio mais comuns no ambiente UNIX so:
mail, elm, pine, mailtool.
! O agente de transporte mais comum no ambiente UNIX o
programa sendmail.
! agente de entrega varia de acordo com a origem da mensagens
(Internet, Uucp).
! Basicamente, o sendmail responsvel por:
Aceitar mensagens das interfaces (agentes) do usurio;
Reescrever os endereos de acordo com o agente de entrega
adequado;
Encaminhar mensagens santes aos destinos;
Receber mensagens entrantes das origens;
Escolher o agente de entrega apropriado para as mensagens
entrantes.
Endereos Eletrnicos
! Para identificar usurios em um ambiente computacional,
estabeleceu-se uma conveno que define um endereo eletrnico
como sendo:
usurio @ domnio
ou
usurio @ mquina . domnio
! A primeira forma prefervel porque abstrai o nome da mquina
do endereo do usurio (a mquina pode deixar de existir que o
endereo do usurio continua vlido).
Formato de Mensagens
! Mensagens enviadas/recebidas pelo correio eletrnico tm um
formato padro.
cabealho
corpo
From xuxa @ xuxapark.com.br Mon Feb 7 10:05:30 2000
Delivery-Date: Sat, 07 Mon 2000 10:05:20 BSB
Return-Path: xuxa@xuxapark.com.br
Received: from mail.xuxapark.com.br (201.202.203.254) by
mail.sua_casa.com.br (8.8.5/8.8.5) id AA00123; Mon 7 feb 2000 10:05:10 BSB
Received: from camarim.xuxapark.com.br (201.202.203.1) by
mail.xuxapark.com.br (8.8.5/8.8.5) id AA00123; Mon 7 feb 2000 09:15:45 BSB
Date: Mon, 7 feb 2000 09:15:10 BSB
From: xuxa@xuxapark.com.br (Xuxa Meneguel)
Message-Id: <200002070915.AA00123@xuxapark.com.br>
Subject: alo baixinho!
To: seu_filho@sua_casa
Ola baixinho! Como vai voc?
Figura 5. Formato de mensagens
HTTP Hiper Text Transfer Protocol / WWW World Wide Web
Conceituao
! O sistema WWW define um mecanismo de busca e recuperao de
informao baseado no conceito de hipertexto/hipermdia;
! Atravs dele possvel a recuperao de informao na forma de
texto, imagens (estticas e animadas) e sons na rede, em uma
estrutura cliente/servidor onde o servidor armazena um conjunto
de arquivos de dados que so transferidos para o cliente
(disponvel em vrias plataformas) sob demanda;
! Os arquivos de dados (texto) so armazenados no servidor na
linguagem HTML (HyperText Makup Language);
! O sistema prope uma forma de identificao de servidores,
servios e arquivos de modo universal atravs do localizador
universal de recursos ( Universal Resource Locator URL);
protocolo://servidor[:porta]/caminho/arquivo
! Protocolo indica o servio desejado; pode ser:
http: para Hypertext Transfer Protocol
ftp: para File Transfer Protocol
mailto: para correio eletrnico
telnet: para terminal remoto
file: para arquivo local
! Servidor[:porta] indica o endereo (FDQN ou IP) do servidor
desejado (e a porta, opcionalmente; default 80);
! Caminho: indica o caminho (path) dentro do sistema de arquivos
do servidor;
! Arquivo: indica o arquivo desejado;
! Exemplos:
http://www.dsc.ufpb.br
http://www.copex.dsc.ufpb.br
ftp://ftp.mcafee.com
servidor
HTTP
cliente WEB
servidor WEB
Internet
depsito
de
arquivos
Figura 6. Esquema conceitual do HTTP/ WEB
! O cliente WEB disponibiliza para o usurio, atravs de um
navegador (browser), um mecanismo de busca, transferncia e
apresentao de dados contidos em servidores WEB;
! Diversos navegadores esto disponveis:
Mosaic;
Netscape;
Internet Explorer.

A Camada de Aplicação

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

A Camada de Aplicação

Caricato da

Copyright:

Formati disponibili

REDES DE COMPUTADORES

Potrebbero piacerti anche