introdução ao modelo de referência osi -...
Post on 11-Nov-2018
215 Views
Preview:
TRANSCRIPT
Conteudo
Conteudo da especificacao do OSI
Definicoes
Arquitetura em camadas
Modelo de Referencia Basico – Parte 2: Arquitetura deSeguranca
2/70
O modelo OSI
I A ISO foi criada em 1947I ISO = International Organization for Standardization1
I ABNT e membro da ISO
I Modelo de Referencia OSI: inıcio na decada de 1970I OSI = Open Systems Interconnection2
I Modelagem de um sistema de comunicacoes em camadas
I ISO/IEC 7498-1: 1994I International Electrotechnical Commission (IEC)I Comite Brasileiro de Eletricidade, Eletronica, Iluminacao e
Telecomunicacoes (Cobei) e membro do IEC
1http://www.iso.org2http://www.iso.org/iso/catalogue_detail.htm?csnumber=20269
3/70
Princıpio de redes em camadas
Artigo: OSI Reference Model – The ISO Model of Architecture forOpen Systems Interconnection. H. Zimmermann
4/70
Princıpio de redes em camadas
I Cada camada agrega valor aos servicos fornecidos pelascamadas inferiores
I O uso de camadas divide o problema em pequenos pedacos
I Garantia de independencia de cada camada ao definir servicosprovidos por uma camada para a camada mais alta,independentemente de como esses servicos sao realizados.
I Permite mudancas na camada dado que ainda oferecem osmesmos servicos para a camada superior
I Tecnica similar ao uso de modulos e bibliotecas de funcoes emprogramacao estruturada
I Um camada somente se comunica com camadas adjacentes
5/70
Ideia geral do Modelo OSI
I Problemas: caos em redesI Checagem de errosI Envio de mensagensI AplicacoesI CriptografiaI Codificacao no meio fısicoI Como chegar ao servidor
certo
I OSI simplifica entendimentoe implementacao
7
6
5
4
3
2
1
Aplicacao - Funcoes ePrograma de Usuarios
Apresentacao - Dados co-dificados - forma utilizavel
Sessao - Ligacao logica:especıfico a sistemas
Transporte - Ligacao logica:independente de sistemas
Rede - Enderecamento e roteamento
Enlace - Transmissao sem erros
Fısica - Modo de conexao
6/70
Camada 1 - Fısica
Patch Pannel
HubRepetidor Walljack
Conector deparede
NetworkInterfaceCard (NIC)
7/70
Camada 1 - Fısica
I ConectoresI RJ*I Atribuicoes de pinos em conectoresI Adaptadores para a interface
I InterfacesI Network Interface Card (NIC)I Repetidores
I Meio (exemplo: tipo de cabo)I Especificacoes eletricas/mecanicas procedimentais e funcionaisI Transmissao de bitsI Ethernet
Figura: Conector do padrao X.21ITU-T, ate 2Mbps (anos 1970).
Figura: Pinagem do conector dopadrao RJ45, o 8P8C IEC 60603-7. 8/70
Camada 2 - Enlace
A8-14-2C-55-AE-DD5B-2B-14-C0-68-4198-8E-DE-F3-D0-8A
Ponte nıvel 2 (bridging)
I Endereco MAC na camada de enlace 98-8E-DE-F3-D0-8A
I MAC = Media Access Control
9/70
Camada 2 - Enlace
I Permite dispositivo enviar e receber mensagens
I Atribui um endereco fısico para identificar o dispositivo
I Deteccao e recuperacao de erros de transmissao
I Orientados a bits (HDLC) ou orientados a caracteres (PPP)I Transmissao de Bit/Quadro (Frame)
I Ethernet: 1500 octetos
I Protocolo High-Level Data Link Control (HDLC) - ISO13239(2002)
I FCS = x16 + x12 + x5 + 1
Flag Address Control Data FCS Flag
8 bits 8+ bits 8/16 bits 0+ 16/32 bits 8 bits
Figura: Formato do quadro do protocolo HDLC.
10/70
Camada 3 - Rede
sub-rede1LAN
WAN
sub-rede3LAN
camada de rede permite hostsda sub-rede1 conversarem comhosts da sub-rede3
12/70
Camada 3 - Rede
I Permite um sistema de transmissao entre diferentes redes
I Controla o caminho que pacotes percorrem
I Responsavel por fragmentacao de pacotes para transmissao nacamada 2
I Verifica erros e decarta pacotes se necessario
I User Datagram Protocol (UDP)
I Transmissao de Pacote/Datagrama
13/70
Camada 4 - Transporte
Cliente
Rede
Servidor
I Abstracao da rede
I Conexao ponto-a-ponto (aplicacao cliente e aplicacao servidor)
14/70
Camada 4 - Transporte
I Permite comunicacao fim-a-fim entre aplicacoes emdispositivos na rede.
I Identificacao da aplicacao (porta)
I Identificacao da entidade do lado do cliente
I Deteccao e correcao de erros
I Garante sequencia dos dados e detecta duplicatas
I Confirmacao da chegada de dados
I Oferece servicos orientados a conexao
I Transmissao de segmentosI Transport Control Protocol (TCP)
I 1976 - IFIP-WG 6.1 Proposal for an internetwork end-to-endtransport protocol.
15/70
Camada 5 - Sessao
Dispositivodo usuario(PDA)
OK recebi 47 bytes.
Enviei 47 bytes.
Servidor dearquivos
Rede
I Personal Digital Assistant (PDA)
16/70
Camada 5 - Sessao
I Sessao: permite aplicacoes manter conhecimento entreconexoes em dispositivos
I Uma sessao = um dialogo entre aplicacoes: inıcio, controle efim de conversas
I Negociacao e gerenciamento de parametros de conexoesI Procedimentos de gerenciamento de conexoes
I Terminacao e reinicializacaoI Checkpoint e recuperacao
I Conexoes virtuais entre diferentes aplicacoesI Na epoca da proposta (1980), a camada de sessao fazia parte
de outras camadas: Virtual Terminal e File TransferI “A standard Session Layer Protocol can easily be extraced
from existing higher layer protocols.”
I ExemploI Zone Information Protocol (ZIP) do AppleTalk
17/70
Camada 6 - Apresentacao
I Permite aplicacoes a ler e “entender” dados
I Criptografia
I Compressao
I Formato de imagens
I Traducao de textos
I Reduz custos para interface devido a variabilidade etransformacoes necessarias
I Virtual Terminal Protocols e Virtual File (FileTransfer Protocols)
I Permite a iteracao entre hosts por meio de terminaisI Exemplos: PuTTY, SSH
I Extended Control Characters for I/O Imaging
Devices
19/70
Camada 7 - Aplicacao
I E-mail, Transmissao de Arquivos, Navegador Web
I Interface para usuario
I Iniciar, manter, terminar e registrar dados entre aplicacoes
I Outras camadas somente existem para fornecer servicos a esta
20/70
Escopo do Modelo de Referencia OSI
I Promover padronizacao
I Definir o que sao sistema “abertos” para comunicacao entre si
I Identificar oportunidades de padronizacao e melhorias
I Prove arcabouco conceitual e funcional para odesenvolvimento de funcionalidades de comunicacao
I Nao especifica, nem detalha, implementacao ou tipo detecnologia
I Focado em terminais, computadores e dispositivos similares
21/70
OSI: Foco na comunicacao entre sistemas abertos
Figura: Modelo OSI e dedicado apenas a interconexao de sistemas.Outros aspectos nao relacionados com interconexao nao estao no escopodo modelo OSI. Fonte: OSI (1994)
22/70
Conteudo
Conteudo da especificacao do OSI
Definicoes
Arquitetura em camadas
Modelo de Referencia Basico – Parte 2: Arquitetura deSeguranca
23/70
OSI
I OSI – Numero de referencia ISO/IEC 7498-1 : 1994(E)
I Modelo de Referencia Basico para a interconexao de sistemasabertos (OSI): O modelo basico
24/70
O que e estar conectado segundo OSI?
I O que e conexao, escopo de interconexao, princıpios demodelagem
I Natureza em camadas, o que sao camadas e princıpios paradescrever camadas
I Apresentacao e descricao das camadas
I Administracao das camadas
I Aderencia a norma e consistencia
I Como as camadas OSI foram definidas
25/70
Conteudo
Conteudo da especificacao do OSI
Definicoes
Arquitetura em camadas
Modelo de Referencia Basico – Parte 2: Arquitetura deSeguranca
26/70
Notacao (N)−, (N + 1)− e (N − 1)−
I Serve para referenciar elementos do modeloI camadasI protocolosI servicosI entidadesI pontos de acesso a servicos
I Exemplo:I Camada (N)−: qualquer camadaI Camada (N + 1)−: camada logo acima de (N)−I Camada (N − 1)−: camada logo abaixo de (N)−
27/70
Definicoes gerais
I Cooperacao entre (N)-entidades e governada por(N)-protocolos
I (N)-protocolos definem como (N)-entidades usam(N)-servicos
I (N)-servicos definem (N)-funcionalidades
I Juntos, as (N)-agregam valor a (N − 1)-camada para fornecerservicos a (N + 1)-camada
I (N)-servicos sao oferecidos as (N + 1)-entidades em(N)-pontos de acesso a servicos
I Os (N)-pontos de acesso a servicos formam a interface logicaentre (N)-entidades e (N + 1)-entidades
28/70
Introducao ao OSI
I OSI = Open Systems Interconnection = Interconexao deSistemas Abertos
I Sistema Real: conjunto de um ou mais computadores,software associado, perifericos, terminais, operadoreshumanos, processos fısicos e meios de transmissao deinformacao capaz de processar e/ou transferir informacao
I Sistema Real Aberto: um sistema real que atende aosrequisitos OSI em comunicacoes
I Sistema Aberto: a representacao aspectos de um sistemareal aberto pertinentes a modelo OSI
Objetivo do OSI
Definir conjunto de padroes para capacitar sistemas reais abertos acooperarem.
29/70
OSI: aspectos de cooperacao
I OSI nao trata somente transmissao de informacao.I OSI trata tambem de aspectos de interconexao para
cooperacao entre sistemas.I Atividades de cooperacao:
I Comunicacao interprocessosI Troca de informacao e sincronizacao de atividades entre
processos de aplicativos
I Representacao de dadosI Criacao e manutencao de descricoes e transformacoes de
dados para troca entre sistemas abertos
I Armazenamento de dadosI Acesso a dados, modo de armazenamento, sistemas de
arquivos e bancos de dados
I Gerenciamento de processos e recursosI Meio que processos de aplicativos OSI sao declarados,
inicializados, controlados e como eles obtem recuros OSI
I Integridade e segurancaI Relacionado as restricoes e condicoes que devem ser
preservadas ou asseguradas
I Suporte a programasI Definicao, compilacao, teste, armazenamento, transferencia e
acesso de aplicacoes executadas por processos de aplicativosOSI
30/70
Definicoes: aplicacao
I Processo de aplicativo: elemento em um sistema real abertoque realiza processamento de informacao para um aplicacaoespecıfica
I OSI environment (OSIE): ambiente OSI – representacaoabstrata do conjunto de conceitos, elementos, funcoes,servicos, protocolos conforme define no modelo OSI
I Local System Environment (LSE): ambiente de sistemalocal – representacao abstracao da parte do sistema real quenao e pertinente ao OSI
I Invocao de processo de aplicativo: utilizacao especıfica decapacidades de um processo de aplicativo em processamentode informacao
I Tipo de processo de aplicativo: descricao de uma classe deaplicacoes-processos em termos em um conjunto decapacidades de processamento de informacao
31/70
Exemplo de processos de aplicativos
Processo de aplicativo: elemento em um sistema real aberto querealiza processamento de informacao para uma aplicacao especıfica
I Uma pessoa operando um terminal bancario e um processo deaplicativo manual.
I Um programa FORTRAN executando em um computadorcentral e acessando um bando de dados remoto e um processode aplicativo computadorizado.
I Um programa de controle de processos executando em umcomputador dedicado e anexo a um equipamento industrial eligado a um sistema de controle industrial e um processo deaplicativo fısico
Um processo de aplicativo representa recursos em um sistema realaberto que podem ser usados em uma aplicacao.
32/70
Modelagem do ambiente OSI
I Uso de modelos abstratos
I Cada sistema real e substituıdo funcionalmento por ummodelo abstrato no sistema aberto
I Somente aspectos de interconnexao sao incluıdos nos modelosabstrato
33/70
Modelagem do ambiente OSI
I Modelagem e feita em dois passos:
1. Elementos basicos de sistemas abertos e decisoes chavesrelacionadas a organizacao e ao funcionamento sao definidos.Esta parte constitue o Modelo de Referencia Basico do OSI
2. Descricao detalhada e precisa do funcionamento do sistemaaberto e definida segundo o Modelo de Referencia Basico
34/70
Elementos basicos do OSI
Figura: Aspectos considerados no Modelo de Referencia Basico OSI.Fonte: OSI (1994)
35/70
Conteudo
Conteudo da especificacao do OSI
Definicoes
Arquitetura em camadas
Modelo de Referencia Basico – Parte 2: Arquitetura deSeguranca
36/70
Arquitetura em camadas
I Conceitos: Clausula 5I Estabelece conceitos arquiteturais aplicados no
desenvolvimento do Modelo OSII Define o conceito de uma arquitetura em camadasI Apresenta entidades, pontos de acesso a servico, conexoes
e unidades de dadosI Descreve elementos de operacoes de camadas como conexoes,
transmissao de dados e funcoes de erro.I Apresenta aspectos de roteamento e gerenciamento
37/70
Elementos basicos do Modelo de Referencia
I Sistemas abertos
I Entidades-aplicacoes que existem no ambiente OSI
I Associacoes que unem entidades-aplicacoes e permitem atroca de informacoes
I Meio fısico do OSI
38/70
Princıpios de sistemas em camadas
I Cada sistema aberto e composto por um conjunto de(N)-subsistemas
Figura: Camadas em sistemas abertos em cooperacao.
39/70
Relacionamentos entre camadas
I (N)-subsistemas do mesmo nıvel N formam a camada (N) doModelo OSI
I Existe apenas um (N)−subsistema em um sistema abertopara a camada N
I Um (N)-subsistema consiste de uma ou varias (N)-entidades
Figura: (N + 1)-Entidades na camada (N + 1) comunicam por meio da(N)-camada.
40/70
I A comunicacao entre (N)-entidades e governada por(N)-protocolos
Figura: (N)-Protocolos entre (N)-entidades.
41/70
Modos de comunicacao
I Comunicacao por conexao
I Conexao e uma associacao para transferencia de dados entreduas ou mais (N)-entidades-pares
I Tres fases
1. Estabelecimento da conexao2. Transferencia de dados3. Encerramento da conexao
I Para estabelecer uma conexao entre entidades ocorre umanegociacao de parametros e opcoes
I Em uma conexao, mantem-se uma sequencia
42/70
Modos de comunicacao
I Comunicacao sem conexao
I Transmissao de apenas uma unidade de dados
I Nao ha duracao estabelecida
I Nao ha acordo pre-definido
I Nao ha qualidade garantida (sequencia ou entrega)
43/70
Comunicacao com conexao vs. sem conexao
Funcao Com conexao Sem ConexaoEstabelecimento de dialogo Sim Nao
Suspensao Sim NaoContinuacao Sim Nao
Bloqueio Sim NaoSegmentacao Sim Sim
Sequenciamento Sim IndiretoReset Sim Nao
Roteamento Sim SimDeteccao de erros Sim Parcial
Qualidade de servico Sim Parcial
44/70
Comunicacao entre entidades-pares: Definicoes
I Entidades-pares sao (N)-entidades da mesma (N)-camada.I (N)-associacao: relacao de cooperacao entre (N)-entidades.I (N)-conexao: uma conexao requisitada entre uma
(N + 1)-entidade para transferencia de dados entre duas oumais (N + 1)-entidades.
I (N)-relay: uma funcao por meio da qual uma (N)-entidaderedireciona dados recebidos entre (N)-entidades-pares
I Para transmitir informacao entre duas (N)-entidades enecessario estabelecer uma (N)-associacao entre elas na(N)-camada e com um (N)-protocolo.
Figura: Comunicacao por um relay (retransmissor).45/70
Figura: Entidades, pontos de acesso a servicos e identificadores
I (N)-entity-title (em portugues, nome de entidade) e a formade referenciar uma determinada entidade definida em umdiretorio
I (N)-connection-endpoint-identifier e o identificador do pontode conexao entre entidades em camadas subsequentes
46/70
Um (N)-diretorio de entity-titles
(N)-title (N-1)-enderecoA 352B 237B 015C 015
I Existem tıtulos globais e tıtulos locais
47/70
Figura: Relacionamentos entre unidades de dados
Controle Dados Combinado
(N)-(N)-entidades-pares
(N)-informacao decontrole do proto-colo
(N)-dados-usuario
(N)-unidades dedados do protocolo
I Protocol-control-information = PCI
I Protocol-data-unit = PDU
50/70
Figura: Um exemplo de mapeamento entre unidades de dados emcamadas adjacentes.
I Cabecalho de uma camada: PCI - Protocol ControlInformation
I Dados recebidos: SDU - Service Data Unit
I PDU - Protocol Data Unit
I PDU = PCI + SDU
51/70
Exemplo relacionamento entre unidades de dados
7. Aplicacao
6. Apresentacao
Encapsulamentode dados
Extracao dedados
I Quando mudar para camada (N − 1), e necessario encapsulardados da camada (N)
I Quando mudar para camada (N), e necessario extrair osdados da camada (N)
52/70
7 Aplicacao
6 Apresentacao
5 Sessao
4 Transporte
3 Rede
2 Enlace
1 Fısica
D dados
PDU da camada 7 SDU da camada 7
7 D
6 7 D
5 6 7 D
4 5 6 7 D
3 4 5 6 7 D
2 3 4 5 6 7 D 2
1 2 3 4 5 6 7 D 2 1
Encapsulamento
53/70
Figura: Fonte: livro Computer Networks, 5ed. Tanembaum.
Layer
Presentation
Application
Session
Transport
Network
Data link
Physical
7
6
5
4
3
2
1
Interface
Host A
Name of unit
exchanged
APDU
PPDU
SPDU
TPDU
Packet
Frame
Bit
Presentation
Application
Session
Transport
Network
Data link
Physical
Host B
Network Network
Data link Data link
Physical Physical
Router Router
Internal subnet protocol
Application protocol
Presentation protocol
Transport protocol
Session protocol
Communication subnet boundary
Network layer host-router protocol
Data link layer host-router protocol
Physical layer host-router protocol
Figure 1-20. The OSI reference model.
54/70
Link Ethernet802.11SONETDSL
IP ICMP
HTTP RTPSMTP DNS
TCP UDP
Internet
Transport
Layers
Application
5 Application
4 Transport
3 Network
2 Link
1 Physical
Figura: Figura adaptada do livro Computer Networks, 5ed. Tanembaum.
55/70
Aspectos de gerenciamento
Funcoes de gerenciamentosao aplicaveis da ultimacamada para todas asoutras por meio de umainterface especial.
I informacao sobreconfiguracao da rede
I inicializacao edesligamento deequipamentos
I monitoramento
I diagnostico
I reconfiguracao56/70
Crıtica do modelo OSI e seus protocolos
I Por um tempo acreditou-se que OSI seria a solucao para redesI Problemas surgiram
I Ciclo de pesquisa, definicao de padroes e industrializacaoI TCP/IP apareceu antes, durante pesquisaI Industria nao quis investir em dobro: OSI e TCP/IP
I Tecnologia OSI foram mal escolhidas/projetadasI Camadas de sessao e apresentacao pouco uteisI Difıcil implementar e complexo demaisI Repeticao de questoes como enderecamento, controle de erro
e fluxo
I Implementacoes iniciais de tecnologias OSI foram ruinsI Questoes polıticas
I Proximidade grande entre Unix e TCP/IPI OSI era visto como algo burocratico
58/70
ISO7498: parte 2
I Cobre aspectos de seguranca de elementos arquiteturais deprotocolos de comunicacao
I Estabelecer controles de seguranca para proteger dadostrocados
I Custo de obter ou modificar dados de maneira nao autorizadadeve ser maior que as vantagens obtidas disso
I Fazer com que tempo para obter/modificar dados seja alta deforma a inviabilizar a atividade
59/70
O que deve ser protegido
I Dados e informacoes
I Software e senhas (meta-dados)
I Servicos de comunicacao e processamento de dados
I Equipamentos e instalacoes
60/70
Ameacas
I Destruicao de informacao e outros recursos
I Copia nao autorizada, remocao e alteracao de dados
I Publicacao nao autorizada de dados
I Interrupcao de servicos
61/70
Tipos de ameacas
I IncidentaisI sem premeditacao: bugs, erros operacionais
I IntencionaisI MonitoracaoI Uso de brechas: ataques
I PassivasI Nao resultam em modificacoes dos dadosI Nao interferem no funcionamento do sistema
I AtivasI Alteram dadosI Interferem no funcionamento do sistema
62/70
Tipos de ataques
I Masquerade: uma entidade finge ser outraI em geral para obter privilegiosI Spoofing: IP, ARP, GPS, E-mail
I Replay: parte de mensagem/comunicacao e repetidaI repeticao de parte da mensagem de comunicacao para fazer
masquerade
I Modificacao de mensagensI “permitir que Joao N, acesse banco de contas” para “permitir
que J. Sparrow acesso banco de contas”
I Negacao de servicosI Impossibilitar um entidade fornecer seus servicos
63/70
Tipos de ataques
I Ataques internosI Usuarios legıtimos realizam ataques
I Ataques externosI Monitoramento em meio fısico (wiretapping)I Interceptacao de comunicacaoI MasqueradeI Ataques a mecanismos de autenticacao
64/70
Tipos de ataques
I TrapdoorI Uma entidade e modificada por um atacante para produzir
uma serie de efeitosI A validacao de senha e modificada para aceitar a autenticacao
do atacante
I Cavalo de Troia (Trojan)I Um sistema com funcoes adicionais nao autorizadas alem de
uma funcao autorizada
66/70
Avaliacao de ameacas, riscos e contra-medidas
I Medidas de seguranca aumentam custo e complexidade de umsistema
I Avaliacao de ameacas e risco servem para identificar quaismedidas de seguranca sao necessarias
I identificar de vulnerabilidadesI avaliar a chance de ameacas explorarem essas vulnerabilidadesI avaliar as consequencias se cada ameaca se concretizadaI estimar o custo de execucao de cada ameacaI estimar o custo de contra-medidasI selecionar e implementar mecanismos de seguranca justificaveis
I Seguranca perfeita nao existe.
Objetivo da seguranca
“fazer o custo de um ataque alto o suficiente para reduzir o risco anıveis aceitaveis”
67/70
Polıtica de seguranca
I Uma polıtica de seguranca define o que e e o que nao epermitido na operacao de um sistema.
I Polıtica de seguranca sao genericas e devem ser refinadas pararegras que devem ser aplicadas.
68/70
Conclusoes
I ISO 7498-1 – Modelo BasicoI 7 camadas do modelo OSII Servicos, enderecos e funcionalidades
I ISO 7498-2 – Aspectos de Seguranca
I ISO 7498-3 – Nomes e enderecamento
I ISO 7498-4 – Arcabouco de gerenciamento
I Proximas aulasI Protocolos de comunicacaoI Aspectos de cada camada
69/70
Referencias
I H. Zimmermann. OSI Reference Model – The ISO Model ofArchitecture for Open Systems Interconnection, IEEETransactions on Communications, 1980.
I Basic Reference Model – Part 2: Security Architecture –Aspectos de seguranca que sao elementos arquiteturais deprotocolos sao discutidos em ISO 7498-2:19893
I Basic Reference Model: Naming and addressing ISO/IEC7498-3:19974
I Basic Reference Model – Part 4: Management framework –ISO/IEC 7498-4:19895
3http://www.iso.org/iso/home/store/catalogue_tc/catalogue_
detail.htm?csnumber=142564http://www.iso.org/iso/home/store/catalogue_tc/catalogue_
detail.htm?csnumber=250225http://www.iso.org/iso/home/store/catalogue_tc/catalogue_
detail.htm?csnumber=1425870/70
top related