Endereçamento Privado Proxy e NAT 2008, Edgard Jamhour Motivação para o Endereçamento IP Privado • Crescimento do IPv4 07/2007 490 milhões de hosts 01/2008 542 milhões de hosts IPv4 permite endereçar 32 bilhões de hosts. PREVISÃO DE ESGOTAMENTO = 1994 2008, Edgard Jamhour Autoridades de Registro de Endereço IANA ARIN RIPE NCC AfriNIC LACNIC APNIC América do Norte Europa, Oriente e Asia Central Africa América Latina e Caribe Ásia e Pacífico Endereços Privados: RFC 1918 Prefixo Faixa de Endereços Descrição 10.0.0.0/8 10.0.0.0 a Uma rede de endereços classe A. 10.255.255.255 172.16.0.0/12 172.16.0.0 a 172.31.255.255 192.168.0.0/16 192.168.0.0 a 192.168.255.255 16 redes contíguas de endereços classe B. 256 redes contíguas de endereços classe C. Tipos de Hosts (RFC 1918) categoria III categoria I IPv4 categoria II tradutor de IP NAT IPv4 Roteador Interno e Gateway Default ip publico gateway default (não roteia IP privado) ip publico ip publico 2 ip publico ip privado ip privado 1 ip privado (roteador interno) roteia IP privado IPv4 Endereços e Roteamento 200.0.0.2 200.0.0.3 200.0.0.4 2 IPv4 200.0.0.1 192.168.0.2 192.168.0.3 1 192.168.0.1 192.168.0.0/24 via direta 200.0.0.0/24 via direta 0.0.0.0/0 via provedor 200.0.0.0/24 via direta Hosts Categoria 2 200.0.0.2 roteador com NAT se ip_origem = 192.168.0.0/24 traduzir para 200.1.0.1 200.0.0.3 200.0.0.4 2 IPv4 200.0.0.1 192.168.0.2 192.168.0.3 200.1.0.1 1 192.168.0.1 192.168.0.0/24 via direta 200.0.0.0/24 via direta 0.0.0.0/0 via provedor 200.0.0.0/24 via direta Tradutores de Endereço • Implementados ao nível das funções de Roteamento: NAT (Network Address Translation) NAPT (Network Address and Port Translation). • Implementados com servidores: Proxy de Aplicação Proxy Socks. 2008, Edgard Jamhour NAT e NAPT IPprivado1 NAT IPpúblico 1 IPprivado2 IPpúblico2 IPprivado3 IPpúblico3 IPprivado1 NAPT IPpúblico1:Porta1 IPprivado2 IPpúblico1:Porta2 IPprivado3 IPpúblico1:Porta3 2008, Edgard Jamhour Tipos de Mapeamento NAT • NAT (Network Address Translation) Converte apenas endereços IP Efetua mapeamentos de um-para-um Cada endereço IP privado é mapeado em um endereço IP público distinto. • NAPT (Network Address and Port Translation) Utiliza informações das porta de transporte (TCP ou UDP) Efetua mapeamentos de um-para-muitos. Múltiplos endereços privados podem ser mapeados em um único endereço IP público. 2008, Edgard Jamhour Mapeamento Estático e Dinâmico • Estático: Os mapeamentos são definidos previamente, de maneira que um dado endereço IP privado está sempre mapeado em um mesmo IP público • Dinâmico. Os mapeamentos são configuradas dinamicamente, quando um novo fluxo é detectado. Os mapeamentos dinâmicos são temporários, sendo automaticamente desfeitos quando o IP privado deixa de ser utilizado por muito tempo. 2008, Edgard Jamhour SNAT e DNAT Interface de Entrada Pré-Roteamento [DNAT] Interface de Saída roteamento Pós-Roteamento [SNAT] decisão sobre o encaminhamento do pacote 2008, Edgard Jamhour Source NAT e Destination NAT • Source NAT: SNAT Altera o endereço de origem do pacote É implementado após a ação de roteamento (pósroteamento). • Masquerading • Destination NAT: DNAT Altera o endereço de destino do pacote É implementado antes do roteamento (préroteamento). • Redirecionamento de Portas • Balanceamento de Carga • Proxies transparentes 2008, Edgard Jamhour SNAT: Network Address Translation 1 192.168.0.2 4 60.1.2.3 60.1.2.3 192.168.0.2 checksum1 checksum4 2 210.0.0.1 3 60.1.2.3 60.1.2.3 checksum2 210.0.0.1 checksum3 tabela de mapeamento 192.168.0.2 192.168.0.2 = 210.0.0.1 192.168.0.3 = 210.0.0.2 60.1.2.3 192.168.0.1 IPv4 Privado IPv4 Network 210.0.0.1 to 210.0.0.10 192.168.0.3 2008, Edgard Jamhour NAT (IPTABLES) • SNAT para endereço fixo: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 210.0.0.1 • SNAT com pool de endereços: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 210.0.0.1-210.0.0.10 • Masquerading efetua o mapeamento ao IP atribuído a interface definida por -o iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 2008, Edgard Jamhour SNAPT (Network Address and Port Translation) request clientes 1024 1026 192.168.0.2 IP Privado:Porta Origem IP Público:Porta Origem 192.168.0.2 :1024 192.168.0.2 :1026 192.168.0.3 :1024 192.168.0.4 :1025 210.0.0.1 :1024 210.0.0.1 :1026 210.0.0.1 :1025 210.0.0.1 :1027 reply 1024 1025 1024 1026 IPv4 192.168.0.3 1025 1027 Endereço IP Público 210.0.0.1 servidor 192.168.0.4 2008, Edgard Jamhour SNAPT • No Linux, o mapeamento por SNAPT é configurado através do IP tables, conforme o exemplo a seguir. • Altera o endereço de origem para 210.0.0.1, usando as portas 1024-65535 iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1024-65535 2008, Edgard Jamhour Mapeamentos Reversos: DNAT servidores reply IP Privado:Porta Destino 192.168.0.2 :80 192.168.0.2 :25 192.168.0.3 :80 192.168.0.4 :22 80 25 IP Público:Porta Destino request 210.0.0.1 :80 210.0.0.1 :25 210.0.0.1 :8080 210.0.0.1 :8081 192.168.0.2 80 25 80 192.168.0.1 8080 IPv4 192.168.0.3 22 8081 Endereço IP Público 210.0.0.1 espec.ppgia.pucpr.br cliente 192.168.0.4 2008, Edgard Jamhour DNAT • DNAT da porta 8080 para IP 192.168.0.3:80. iptables -t nat -A PREROUTING -p tcp --dport 8080 -i eth0 -j DNAT --to 192.168.0.2:80 • Redirect da porta 80 para 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 • DNAT balanceado para 192.168.0.2 até 192.168.0.5. iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.0.2-192.168.0.5 2008, Edgard Jamhour Problemas com o NAT 1 192.168.0.2 60.1.2.3 PORT 192.168.0.2: 1025 2 210.0.0.1 3 60.1.2.3 PORT 192.168.0.2: 1025 60.1.2.3 192.168.0.2 payload tabela de mapeamento 192.168.0.2 192.168.0.2 = 210.0.0.1 60.1.2.3 192.168.0.1 IPv4 Privado IPv4 Network 210.0.0.1 2008, Edgard Jamhour Tipos de FTP • O FTP usa uma conexão de comando, e outra para transferência de dados. Duas formas de operação: PORT (Ativo) • O cliente conecta-se a porta 21 do servidor FTP pela porta N (>1023) • O cliente envia o comando PORT indicado que aguarda uma conexão na porta porta N+1 • O servidor se conecta ao cliente pela porta 20. PASV (Passivo). • O cliente conecta-se a porta 21 do servidor FTP • O cliente envia um comando PASV indicado que deseja se conectar em modo passivo. • O servidor abre uma porta aleatória para receber a conexão de dados, e informa essa porta para o cliente através da conexão de comando. 2008, Edgard Jamhour Servidor Proxy 192.168.0.2 60.1.2.3 1024 80 192.168.0.1 210.0.0.1 IPv4 Privado IPv4 Network NAT 192.168.0.2 1024 60.1.2.3 3128 1025 192.168.0.1 IPv4 Privado 80 210.0.0.1 Proxy IPv4 Network Proxy de Aplicação e Proxy Socks • Proxy de Aplicação utiliza informações dos protocolos da camada de aplicação precisa “conhecer” as aplicações usadas pelos clientes a fim de operar • Proxy SOCKS. atua apenas no nível de transporte pode suportar virtualmente qualquer tipo de aplicação, de forma semelhante ao NAT. 2008, Edgard Jamhour Funcionamento do Proxy 192.168.0.2 192.168.0.1 1024 3128 GET /~jamhour/natproxy.tar.gz HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n 192.168.0.2 1024 3128 1025 192.168.0.1 IPv4 Privado 210.0.0.1 60.1.2.3 210.0.0.1 Proxy 1025 60.1.2.3 80 IPv4 Network 80 GET /~jamhour/natproxy.tar.gz HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n Como o proxy determina o endereço do destinatário? • No proxy de aplicação: O endereço e a porta do destinatário são descobertos analisando as informações contidas no cabeçalho HTTP. O próprio servidor proxy consulta o servidor DNS para traduzir o nome do servidor HTTP de destino em um endereço IP. • No proxy SOCKS: Informações adicionais são incluídas pelo cliente para facilitar a localização do servidor de destino. O proxy não precisa interpretar o protocolo de aplicação. 2008, Edgard Jamhour Proxy depende da Aplicação Seqüência de empacotamento aplicação Protocolo de Aplicação HTTP, FTP, SMTP, etc TCP, UDP segmento TCP datagrama UDP pacote IP Ethernet quadro http ftp ssl O proxy de aplicação precisa interpretar as informações do protocolo de aplicação (dispositivo de camada 7) Proxy de Aplicação • Cada protocolo de aplicação formata seu cabeçalho de maneira diferente. O HTTP identifica o destino através de um campo do tipo string, denominado “Host”. O SMPT utiliza a mensagem “RCPT TO” • Um proxy de aplicação é capaz de operar apenas com um conjunto limitado de protocolos que ele conhece. “HTTP”, “FTP”, “SSL” e “Gopher”. • Inconvenientes: O aplicativo do cliente precisa estar preparado. É necessário configurar cada um dos aplicativos informando o endereço e a porta do proxy. 2008, Edgard Jamhour Exemplo de script de configuração function FindProxyForURL(url,host) { if(isInNet(host, "127.0.0.0", "255.0.0.0") || isInNet(host, "192.168.0.0", "255.255.0.0") || url.substring(0, 4) == "ftp:") { return "DIRECT"; } else { return "PROXY 200.192.112.146:3128"; } } 2008, Edgard Jamhour Mapeamento de Conexões pelo Proxy request clientes 1024 1026 192.168.0.2 192.168.0.3 IP Público:Porta Origem 192.168.0.2 :1024 192.168.0.2 :1026 192.168.0.3 :1024 192.168.0.4 :1025 210.0.0.3 :1024 210.0.0.3 :1026 210.0.0.3 :1025 210.0.0.3 :1027 1026 1025 192.168.0.4 IPv4 1027 192.168.0.1 210.0.0.3 1025 reply 1024 3128 1024 IP Privado:Porta Origem 210.0.0.1 servidor Mapeamento de Conexões pelo Proxy • Semelhante ao NAPT. Para cada conexão de cliente recebida, o proxy abre uma nova conexão com o servidor de destino utilizando uma porta ainda não utilizada. Um proxy pode atender a aproximadamente 63K clientes com um único endereço IP. • A conexões criadas pelo proxy são dinâmicas. O servidor proxy encerra a conexão com o servidor de destino no momento que o cliente encerrar a conexão correspondente com o proxy. Conexões sem uso por um tempo excessivo podem ser encerradas de por iniciativa do proxy. O HTTP encerra a conexão com o servidor assim que as informações de uma página Web são recebidas por completo. 2008, Edgard Jamhour Outras Funções do Proxy de Aplicação Controle de acesso por login Filtragem de endereços e conteúdo. Cache de objetos Web Filtragem de Virus e Malware Proxy de Aplicação Cache GET HTTP/1.1 200 OK\r\n GET GET HTTP/1.1 200 OK\r\n HTTP/1.1 304 Not Modified\r\n Serviços Adicionais do Proxy 1. Cache de objetos HTTP: • armazena objetos mais acessados em cache • permite reduzir a banda utilizada do link com a Internet. 2. Autenticação: • controla o acesso a Internet através de um pedido de autenticação para usuário. 3. Filtragem de endereços URL: proíbe o acesso a certos endereços na Internet. 4. Filtragem de conteúdo: • proíbe a transferência de objetos com certos tipos MIME (video, áudio, executáveis, etc.) 5. Bloqueio e remoção de virus e malware: • proibe a entrega de objetos com virus ou algum tipo de malware. 2008, Edgard Jamhour Proxy Socks user jamhour want connect to 60.1.2.3:80 request granted user jamhour want bind to 60.1.2.3:80 proxy socks bind on 210.0.0.3:4000 1024 4000 1080 IPv4 cliente 192.168.0.3 192.168.0.1 210.0.0.3 servidor 60.1.2.3 2008, Edgard Jamhour Versões do SOCKS • Originalmente desenvolvido por David Koblas, e subseqüentemente modificado e entendido pelo IETF. permite que o cliente se identifique e que informe os dados do servidor que deseja acessar. funciona para qualquer tipo de serviço: http, ftp, ssh, etc. • Atualmente, existem duas versões do protocolo SOCKS: • versão 4 (v4): suporta apenas TCP. funciona como um redirecionador de conexões TCP permite acesso a qualquer serviço através de firewalls. • versão 5 (v5): suporta ambos os protocolos de transporte: TCP e UDP. 2008, Edgard Jamhour SOCKv4 • Oferece dois serviços para os clientes: connect e bind. • connect é usado quando o cliente deseja fazer uma conexão com um servidor externo. o cliente fornece seu login, o IP e a porta do servidor que deseja acessar. • bind é usado para que o cliente possa receber uma conexão de um host externo. o cliente solicita ao Proxy que ele crie uma porta para receber conexões de um determinado host externo. o proxy SOCKS cria a porta, e responde para o cliente informando em qual porta e endereço IP (caso ele tenha múltiplas interfaces de rede) o host externo poderá fazer a conexão. 2008, Edgard Jamhour Proxy Socks configuração global para todos os aplicativos aplicação biblioteca sockets modificada S.O. proxy SOCKS TCP UDP servidor IP IPv4 cliente protocolo SOCKS TCP ou UDP não modificado 2008, Edgard Jamhour SOCKSv5 • A versão corrente do protocolo SOCKs é 5.0 definido nas RFCs 1928 e 1929. Melhorias: o suporte a aplicações UDP e a vários métodos de autenticação. • Além do connect e bind, foi incluido o serviço UDP Associate. O cliente envia o UDP Associate via TCP, informando o IP e a porta do servidor de destino. O cliente transmite dados via datagrams UDP modificados, que incluem um pequeno cabeçalho com o endereço IP e porta do servidor de destino. O proxy SOCKs só aceita encaminhar datagramas UDP para UDP Associates previamente criados. 2008, Edgard Jamhour Formas de Configuração • Por aplicativo: Similar ao proxy de aplicação Cada aplicativo precisa ser modificado para gerar as mensagens connect, bind e UDP Associate necessárias. • No sistema operacional Cliente proxy SOCKS. Esse cliente modifica a biblioteca de Chamadas TCP e UDP são modificadas para incluir as mensagens SOCKS Funciona com aplicativos legados Permite uma única configuração global para todo o sistema. 2008, Edgard Jamhour Conclusão • • • IP privado resposta a tendência de esgotamento de endereços IPv4, que se acelerou no início dos anos 90. poucas limitações para hots clientes bastante limitante para hosts servidores forma mais segura de se navegar pela Internet NATs uso transparente para os clientes pouco limitantes em relação as aplicações suportadas incapazes de prestar serviços dependentes da camada de aplicação, como cache HTTP Proxy não transparente para os clientes quebram o modelo cliente-servidor menos escaláveis que os NATs proxies de aplicação podem prestar inúmeros serviços adicionais que melhoram a segurança e o desempenho da rede. 2008, Edgard Jamhour