VPN - Virtual Private Networks

Virtual Private Networks

Introdução

Quando temos uma conexão dedicada entre dois pontos, não temos muitas preocupações em termos de segurança, já que o circuito ponto a ponto nos pertence e não é compartilhado com mais ninguém. Entretanto, com a crescente oferta de banda e melhora de performance dos links da internet, muitas empresas enxergaram um modo barato de interconectar dois pontos remotos. O problema é que a internet é um meio publico, ou seja, além de não pertencer à sua empresa, è compartilhado por milhões de pessoas.

Muitas empresas têm instalações espalhadas por todo o país ou ao redor do mundo, e há uma coisa que todos eles precisam: uma forma de manter uma comunicação rápida, segura e confiável onde seus escritórios estejam.

Até recentemente, isso significou o uso de linhas dedicadas para manter uma rede de área ampla (WAN). Linhas dedicadas, variando desde ISDN (integrated services digital network, 128 Kbps) para OC3 (Optical Carrier-3, 155 Mbps) fibra, desde que uma empresa com uma forma de expandir a sua rede privada além de sua área geográfica imediata. A WAN tem clara vantagem sobre uma rede pública como a Internet, quando ele veio para, desempenho, confiabilidade e segurança. Mas manter uma rede WAN, especialmente quando usamos linhas dedicadas, pode se tornar muito caro e muitas vezes aumenta o custo a medida que a distância entre os de escritórios aumenta.

Como a popularidade da Internet cresceu, as empresas se voltaram para ele como um meio de ampliar suas próprias redes. Primeiro veio as intranet, que são protegidos por senha sites projetados para uso somente por funcionários da empresa. Agora, muitas empresas estão criando suas próprias VPN (rede privada virtual) para acomodar as necessidades de funcionários conectados remotamente ou de escritórios distantes.

Basicamente, uma VPN é uma rede privada que usa uma rede pública (geralmente a Internet) para conectar pontos remotos ou usuários. Uma VPN usa conexões virtuais roteadas através da Internet a partir da rede privada da empresa para o ponto remoto ou empregado.

O que faz uma VPN?

Uma VPN bem projetada pode beneficiar muito uma empresa. Por exemplo, pode:

• Estender a conectividade geográfica.
• Melhorar a segurança.
• Reduza os custos operacionais versus WAN tradicionais.
• Reduzir custos de tempo de trânsito e transporte para os usuários remotos.
• Melhorar a produtividade.
• Simplificar a topologia da rede.
• Proporcionar oportunidades de networking global.
• Prestar apoio teletrabalhador.
• Fornecer banda larga compatibilidade de rede.
• Fornecer mais rápido ROI (retorno sobre o investimento) do que a tradicional WAN.

Que recursos são necessários em uma VPN bem projetada? Ele deve incorporar:

• Segurança
• Confiabilidade
• Escalabilidade
• gerenciamento de rede
• gestão da Política

VPN de acesso remoto

Existem dois tipos comuns de VPN. Remoto acesso, também chamado de virtual private network-dial up (VPDN), é um-para-LAN conexão do usuário usado por uma empresa que tem funcionários que precisam se conectar à rede privada de vários locais remotos. Normalmente, uma empresa que pretende configurar uma VPN de acesso remoto grande vai terceirizar para um provedor de serviços da empresa (ESP). O ESP configura um servidor de acesso à rede (NAS) e fornece a usuários remotos com o software cliente de desktop para seus computadores. O tele pode discar um número toll-free para chegar ao NAS e usar seu software de cliente VPN para acessar a rede corporativa.

Um bom exemplo de uma empresa que precisa de um acesso VPN remoto seria uma grande empresa com centenas de vendedores em campo. VPNs permite segurança de acesso remoto, criptografando as conexões entre empresa privada e uma rede de usuários remotos através de um parceiro prestador de serviços terceirizado.

VPN ponto-a-ponto

Através do uso de equipamentos dedicados e criptografia em grande escala, uma empresa pode conectar múltiplos locais fixos através de uma rede pública como a Internet. VPNs ponto a ponto podem ser de dois tipos:

• Baseados em intranet - Se uma empresa tem um ou mais locais remotos que desejam ingressar em uma única rede privada, eles podem criar uma VPN intranet para conectar LAN a LAN.
• Baseados em extranet - Quando uma empresa tem uma relação estreita com outra empresa (por exemplo, um parceiro, fornecedor ou cliente), eles podem construir uma VPN extranet que conecta LAN para LAN, e que permite que todas as diversas empresas para trabalhar em um ambiente compartilhado.

Segurança da VPN:

Uma VPN bem concebido utiliza vários métodos para manter sua conexão de dados segura:

• Firewalls
• Criptografia
• IPSec
• AAA Server

Vamos começar com o firewall.

Firewall

Você pode configurar firewalls para restringir o número de portas abertas, que tipo de pacotes são passados através de protocolos e que são permitidos. Alguns produtos de VPN, tais como roteadores Cisco 1700 , pode ser atualizado para incluir capacidades de firewall, executando o adequado Cisco IOS sobre eles. Você já deve ter um bom firewall no lugar antes de implementar uma VPN, mas um firewall também pode ser usado para encerrar as sessões de VPN.

Criptografia

Criptografia é o processo de tomada de todos os dados que um computador envia para outro e codificá-los de forma que somente o outro computador será capaz de decodificar. A maioria dos sistemas de criptografia de computadores pertencem a uma das duas categorias:

• criptografia de chave simétrica
• criptografia de chave pública

Em criptografia de chave simétrica, cada computador tem uma chave secreta (código) que pode ser usada para criptografar um pacote de informações antes de ser enviado pela rede para outro computador. A chave simétrica exige que você saiba quais computadores irão se comunicar uns com os outros para que você possa instalar a chave em cada um. Criptografia de chave simétrica é basicamente o mesmo que um código secreto que cada um dos dois computadores precisa saber a fim de decodificar as informações. O código fornece a chave para decodificar a mensagem. Pense assim: Você cria uma mensagem codificada para enviar a um amigo em que cada letra é substituída pela letra que é de dois para baixo do que no alfabeto. Assim, "A" se torna "C" e "B" torna-se "D". Você já disse um amigo de confiança que o código é "Shift por 2". Seu amigo recebe a mensagem e a decodifica. Qualquer pessoa que vê a mensagem verá somente um disparate.

Criptografia de chave pública utiliza uma combinação de uma chave privada e uma chave pública. A chave privada é conhecida apenas para o seu computador, enquanto a chave pública é dada pelo seu computador para qualquer computador que deseja se comunicar de forma segura com ele. Para decodificar uma mensagem criptografada, um computador deve usar a chave pública, fornecida pelo computador de origem, e sua chave privada. A criptografia de chave pública utilitário muito popular é chamado Pretty Good Privacy (PGP).

IPSec

Internet Protocol Security (IPSec) fornece recursos de segurança, tais como melhores algoritmos de criptografia e de autenticação mais abrangente.

IPSec tem dois modos de criptografia: túnel e transporte. Túnel criptografa o cabeçalho e o payload de cada pacote, enquanto que o transporte só criptografa a carga. Apenas os sistemas que são compatíveis com IPSec podem tirar vantagem desse protocolo. Além disso, todos os dispositivos têm de utilizar uma chave comum e os firewalls de cada rede deve ter políticas de segurança muito similares criados. IPSec pode criptografar os dados entre vários dispositivos, tais como:

• Roteador para roteador
• Firewall para roteador
• PC ao roteador
• PC para servidor

servidores AAA

AAA (autenticação, autorização e contabilidade) servidores são utilizados para um acesso mais seguro em um ambiente de VPN de acesso remoto. Quando uma solicitação para estabelecer uma sessão vem de um cliente dial-up, a solicitação será intermediada por proxy para o servidor AAA.

AAA em seguida, verifica o seguinte:

• Quem você é (autenticação)
• O que você está autorizado a fazer (autorização)
• O que você realmente faz (contabilidade)

As informações contábeis é especialmente útil para monitorar o uso do cliente para auditoria de segurança, cobrança ou relatórios.

Tecnologia VPN

Dependendo do tipo de VPN (acesso remoto ou ponto-a-ponto), você terá que colocar no lugar certo, componentes para construir a sua VPN.

Estes podem incluir:

• Desktop software cliente para cada usuário remoto
• Hardware dedicado, como um concentrador VPN ou seguro PIX firewall
• Servidor Dedicado VPN para serviços dial-up
• NAS (servidor de acesso à rede) usado pelo provedor de serviços para usuários de acesso remoto VPN
• VPN e rede de centros de gestão de políticas

Porque não há nenhum padrão amplamente aceito para implementação de uma VPN, muitas empresas têm desenvolvido soluções.

Tunelamento

A maioria das VPNs dependem de tunelamento para criar uma rede privada que atinge toda a Internet. Essencialmente, o encapsulamento é o processo de colocar todo um pacote dentro de outro pacote e enviá-la através de uma rede. O protocolo do pacote exterior é compreendido pela rede e os dois pontos, interfaces túnel chamado, onde o pacote entra e sai da rede.

Tunneling requer três protocolos diferentes:

• Carrier protocolo - o protocolo utilizado pela rede que a informação está viajando ao longo.
• Encapsulating protocolo - o protocolo (GRE, IPSec, L2F, PPTP, L2TP), que está enrolado com os dados originais
• Passenger protocol - Os dados originais (IPX, NetBEUI, IP) que está sendo realizado

Tunneling tem implicações surpreendentes para VPNs. Por exemplo, você pode colocar um pacote que usa um protocolo não suportado na Internet (como o NetBEUI) dentro de um pacote IP e enviá-lo de forma segura através da Internet. Ou você pode colocar um pacote que usa um IP (não roteável) Endereço privado dentro de um pacote que usa um endereço IP globalmente únicos para estender uma rede privada através da Internet.

Tunelamento: Ponto a Ponto

Em um site a site VPN, GRE (encapsulamento de roteamento genérico) é normalmente o protocolo de encapsulamento que fornece o quadro para saber como pacote do protocolo de transporte de passageiros sobre o protocolo de transporte, que é geralmente baseada em IP. Isso inclui informações sobre o tipo de pacote você encapsular e informações sobre a conexão entre o cliente eo servidor. Em vez de GRE, IPSec em modo túnel é usado às vezes como o protocolo de encapsulamento. IPSec funciona bem em ambos o acesso remoto e VPNs site-to-site IPSec deve ser suportada em ambas as interfaces do túnel.

No VPN acesso remoto, o tunelamento normalmente ocorre através de PPP. Parte da pilha TCP / IP, PPP é a transportadora para outros protocolos IP na comunicação através da rede entre o computador host e um sistema remoto.

Cada um dos protocolos listados abaixo foram construídos usando a estrutura básica do PPP e são usados por VPNs de acesso remoto.

• L2F (Layer 2 Forwarding) - Desenvolvido pela Cisco, L2F usarão qualquer esquema de autenticação suportado pelo PPP.
• PPTP (Point-to-Point Tunneling Protocol) - PPTP foi criada pelo PPTP Forum, um consórcio que inclui EUA Robotics, Microsoft, 3Com, Ascend e ECI Telematics. PPTP suporta 40-bit e encriptação 128-bit e usarão qualquer esquema de autenticação suportado pelo PPP.
• L2TP é o produto de uma parceria entre os membros do fórum PPTP, Cisco e IETF (Internet Engineering Task Force). Combinando recursos de ambos os protocolos PPTP e L2F, L2TP também suporta IPSec.

L2TP pode ser utilizado como um protocolo de encapsulamento de site a site VPN, assim como VPNs de acesso remoto.

• Cliente e roteador
• NAS e o roteador
• Roteador e o roteador

Conclusão

Vemos que as VPNs resolvem dois problemas : o de segurança, uma vez que os pacotes enviados via VPN são criptografados, ou seja , se forem interceptados não terão valor algum, e resolvem o problema de endereçamento e roteamento de IP, já que, se utilizássemos a internet para conectar dois pontos, não teríamos que rotear pacotes de um ponto ao outro, já que não temos controle sobre os roteadores que se encontram no meio do caminho. Quando um túnel VPN é fechado entre dois pontos, para todos os efeitos, o que temos é uma conexão ponto a ponto, e podemos configurar rotas ou rodar o protocolo de roteamento que bem entendemos, como em uma verdadeira rede privada.

CiscoWorks LMS

O CiscoWorks LMS (Lan Management Solution) é um dos principais Sistemas de Gerenciamento da Cisco®. Tentaremos compreender um pouco sobre essa ferramenta e entender o modelo de gerência de forma macro. “há grande demanda de empregos em boa parte do Brasil para atuar com plataformas de gerenciamento”.

Fora {

1.1. Conceitos elementares

O SNMP (Simple Network Management Protocol) é o protocolo mais importante de gerenciamento de TCP/IP. Seu funcionamento é baseado em polling, ou seja, em períodos de tempos para realização de coleta de informação. Ele utiliza o protocolo UDP para suas comunicações de atribuições, por padrão as portas utilizadas são 161/162. Ele possui três versões 1, 2 e 3. A versão 3 difere das demais, por possuir recursos de segurança capazes de criptografar a string da comunidade SNMP. Apesar disso, a versão mais utilizada do SNMP ainda é a versão 2c. Os modos de atuação desse protocolo podem ser RO (Read-only) ou RW (Read-Write).

Comunidade SNMP é como se fosse uma senha, o valor padrão para RO é public e o valor padrão para RW é private. Assim, é altamente recomendável a alteração desses valores.

Gerente SNMP é quem realizada as consultas e manipulações SNMP. Existem três tipos de ações que os gerentes executam, são elas: GET, GET Bulk (GETs múltiplos) e SET (alteração de valor). Os gerentes mandam mensagens de solicitações (requests) e recebem mensagens de repostas (responses).

OID trata-se dos objetos gerenciáveis, exemplo: o estado de uma porta RJ45 de um switch. Eles são representados por números, exemplo a OID ‘1.3.6.1.4.x.y.z.k’ representa o estado de uma porta de um switch cisco.

MIB (Management Information Base) é a base onde há um conjunto de OIDs. É comum fazermos alusão das MIBs como se fossem árvores. Existem atualmente a MIB-I e a MIB-II.

Agente SNMP é o guardião da MIB ele espera a solicitação de seus gerentes e ordena respostas (responses) de SNMP para eles. Além disso, os agentes podem enviar TRAPS, que são mensagens de alertas unidirecionais para os gerentes. Os TRAPS são disparados automaticamente quando um evento de mudança de estado for acionado.

ASN.1 (Abstract Syntax Notation One) é a linguagem usada para representar tipos e estruturas de gerenciamentos, permitindo a visualização e alteração dos OIDs.

Cenário e mensagens do SNMP

Agora imaginemos o seguinte quadro: o gerente trata-se do CiscoWorks e o agente será uma switch.

O CiscoWorks manda um Get Request para a porta Gi0/1 de a Switch. A Switch então manda um Get Reponse (reposta) informando que o status da interface está down. Assim, a ferramenta CiscoWorks mandará um Set Request para alterar a interface para UP, a switch logo manda um Set Response dizendo que a interface Gi0/1 agora está UP. Sendo que com o passar do tempo, alguém vai até a switch e desconecta o cabo da porta Gi0/1, logo ela irá mandar um TRAP para o gerente utilizando o protocolo UDP porta 162 informando que a interface agora está down.

2. CiscoWorks LMS visão geral

É o Sistema de Gerenciamento baseado em WEB feito em JAVA capaz de gerenciar equipamentos do fabricante Cisco Systems®, facilitando assim a administração, o monitoramento e principalmente a resolução de problemas de redes, pois se trata de uma ferramenta completa que atua de forma precisa e pró-ativa. Por padrão ele utiliza a porta 1741 para conexão HTTP.

Ele pode ser instalado nos sistemas operacionais: Windows 2003 e Solaris. Atualmente a versão mais recente do produto é a 3.0.1 que foi lançada em meados de dezembro do ano passado.

A Cisco® disponibiliza versões evaluations que podem ser encontradas no URL:http://cisco.mediuscorp.com/lms(requer CSCO). Essas releases têm limitações de gerência de até 100 dispositivos e duração de 90 dias. Portanto se você está pensando em rodar sua VM, prepare-se para entrar no mundo do CiscoWorks! No caso da aquisição permanente do produto, deve-se adquirir alguma das licenças do CiscoWorks LMS. Essas estão disponíveis em pacotes de 100, 300, 1.500, 5.000 ou 10.000 dispositivos.

O requisito de hardware para rodar o CiscoWorks varia conforme o número de licenças dos dispositivos. Como exemplo para 1500 dispositivos, a Cisco® recomenda os seguintes hardwares:

· Plataforma Solaris: SunFire v440 – 2 UltraSPARC IIIi CPU em 1.28Ghz com 4GB RAM e 8GB de SWAP.

· Plataforma Windows 2003: Versão Server Standard ou Enterprise Editions com 2 Intel Xeon CPU de 3.66Ghz e 4GB RAM e 8GB de SWAP. Consideração importante: a versão desse S.O. só pode ser em inglês ou japonês.

O CiscoWorks possui recurso de tableless em seu portal e sua customização é altamente flexível. A figura abaixo ilustra o portal CiscoWorks.

De modo geral, o CiscoWorks é capaz de realizar descoberta dos equipamentos, modelar topologias, fornecer configuração de forma centralizada, atualizar IOS de forma serializada ou paralela dentro do seu inventário, efetuar monitoramento em tempo real, gerenciar VLANs, prevenir e identificar falhas de forma pró-ativa.

3. Componentes do CiscoWorks LMS

3.1. CS (Common Services)

Trata-se da base para todas as demais ferramentas do CiscoWorks. Contempla o serviço de servidor de Web e realiza a intercomunicação dos módulos do CiscoWorks LMS.

É através do CS onde podemos manipular os processos, adicionar e deletar usuários, grupos e atribuir jobs de backups contínuos do Sistema de Gerência.

A função mais importante do CS é a realização da descoberta dos equipamentos (Device Discovery).

3.2. CM (Campus Manager)

Trata-se da ferramenta de gerência para a arquitetura da rede LAN e WAN. Sua principal função é a modelagem dos dispositivos na rede.

3.2.1. Realização das configurações mínimas nos equipamentos

As configurações mínimas devem ser aplicadas nos roteadores ou switches. Estas são feitas no modo global.

|snmp-server community COMUNIDADE-X RW

|snmp-server enable traps

|snmp-server host traps COMUNIDADE-X

3.2.2. Realização do Discovery dos Equipamentos

Para a realização do discovery acesse: CM > Administration > Discovery Devices > TOC > Start Discovery

3.2.3. Montagem de topologia

Para a visualização da topologia e modelagem, acesse: CM > Administration > Topology View

3.2.4. Path Analysis

A ferramenta path analysis do CM realiza traces gráficos tanto de dados quanto de voz, a figura abaixo ilustra um Data Trace. Ela é muito útil para resoluções de problemas. Componente utilizado para avaliar o desempenho de tráfegos de camadas 2 e 3. Possui recursos capazes de identificar percursos de rotas e falhas de conectividade.

Para acessar essa ferramenta, acesse: CM > Tools > Path Analysis.

3.3. IPM (Internetwork Performance Monitor)

É a ferramenta capaz de monitorar o tráfego através da medição de latência, jitter, perda de pacote e disponbilidade. Ela é capaz de exibir gráficos em tempo real ou armazenando um histórico baseado em data/hora.

Para rodar o IPM é necessário instalar o plugin flash mais recente em cada estação que estiver acessando o CiscoWorks LMS. Ele é capaz de medir latência, jitter (variação da latência), perda de pacote e disponibilidade.

Para que o IPM funcione, torna-se necessário a configuração do IP-SLA nos roteadores de modo fim-a-fim. Essa característica deve está presente no IOS dos equipamentos. Para configurá-los, basta incluir a seguinte linha abaixo no modo global:

| ip sla responder

3.4. DFM (Device Fault Manager)

É o gerenciador de falhas dos dispositivos, que possui recursos ricos de alertas, incluindo reportes de erros e tratamento preventivo das falhas. A seguir, demonstra-se a imagem do DFM.

3.5. RME (Resource Manager Essentials)

Contribui para redução e eliminação de erros causados por tarefas mal executadas pelos operadores como por exemplo: má configuração dos dispositivos. O RME salva as versões anteriores das configurações para a realização de analogias e resolução de problemas. Ele também é responsável pela atualização de IOS.

O RME mantem um inventário de imagens, que podem ser atualizados diretamente do site da Cisco® ou mesmo localizar imagens através de diretórios da rede. O processo de atualização pode ser feito de modo serializado (roteador-a-roteador) ou mesmo de forma paralela (como um broadcast).

3.6. CiscoView

Demonstra o Front-End e Back-End de cada equipamento de modo a facilitar o manuseio dos dispositivos de forma prática e visual. A nível de visualização é possível perceber o uso de memória, o status das interfaces, percentual do tráfego passante e descartado. Já em se tratando de modelagem, varia conforme o modelo do equipamento, mas é possível tirar e colocar portas em shutdown por exemplo.

*Jitter é uma variação estatística do retardo na entrega de dados em uma rede, ou seja, pode ser definida como a medida de variação do atraso entre os pacotes sucessivos de dados.

Algoritmos de Criptografia ( DES, 3DES, AES, RC4)

Data Encryption Standard (DES):

DES é tipo de cifra em bloco, ou seja, um algoritmo que toma uma string de tamanho fixo de um texto plano e a transforma, através de uma série de complicadas operações, em um texto cifrado de mesmo tamanho. No caso do DES, o tamanho do bloco é 64 bits. DES também usa uma chave para personalizar a transformação, de modo que a descriptografia somente seria possível, teoricamente, por aqueles que conhecem a chave particular utilizada para criptografar. A chave consiste nominalmente de 64 bits, porém somente 56 deles são realmente utilizados pelo algoritmo. Os oito bits restantes são utilizados para checar a paridade e depois são descartados, portanto o tamanho efetivo da chave é de 56 bits, e assim é citado o tamanho de sua chave.

Como outras cifras de bloco, o DES sozinho não é um meio seguro de criptografia, deve ser utilizado em um modo de operação.

O algoritmo trabalha com 64 bits de dados a cada vez. Cada bloco de 64 bits de dados sofre de 1 a 16 iterações (16 é o padrão DES). Para cada iteração um pedaço de 48 bits da chave de 56 bits entra no bloco de encriptação representado pelo retângulo tracejado no diagrama acima. A decriptação é o processo inverso. O módulo "F" mostrado no diagrama é o coração do DES. Atualmente ele consiste de diferentes transformadas e substituições não-lineares.

Uma maneira de se aumentar a segurança ao utilizar o DES é usar o DES TRPLO, onde criptografa-se a mensagem, e a chave (em geral a chave usando-se chave assimétrica), junta-se chave criptografada mais mensagem criptografada e faz-se nova criptografia usando DES. Isto aumenta enormemente a dificuldade de se quebrar a criptografia.

O DES foi desenvolvido há mais de 20 anos, e nestes 20 anos não apareceu nenhuma descrição de um caminho de quebrá-lo, exceto pela força bruta.

História

As origens do DES remontam ao início da década de 1970. Em 1972, após concluir um estudo sobre as necessidades de segurança de informação do governo norte-americano, o então NBS (National Bureau of Standards), atualmente conhecido como NIST (National Institute of Standards and Technology), na época o órgão de padrões do governo norte-americano) identificou a necessidade de um padrão governamental para criptografia de informações não confidenciais, porém sensíveis. Em conseqüência, em 15 de Maio de 1973, após uma consulta à NSA, o NBS solicitou proposta para um algoritmo de criptografia que atendesse a critérios rigorosos de projeto. Entretanto, nenhuma das propostas recebidas se mostrou viável. Uma segunda solicitação foi aberta em 27 de Agosto de 1974. Desta vez, a IBM submeteu uma proposta candidata que foi considerada aceitável: um algoritmo de criptografia desenvolvido no período de 1973-1974 baseado num algoritmo mais antigo, o algoritmo Lucifer de Horst Feistel. A equipe da IBM envolvida no projeto do algoritmo incluía Feistel, Walter Tuchman, Don Coppersmith, Alan Konheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith, and Bryant Tuckerman.

Segurança do DES

No DES existem 256 chaves possíveis de 56 bits (~ 7,2×1016)

Em 1993 foi feito um estudo de custo de uma máquina paralela para quebrar o DES:

Desafio

– Em 29 de janeiro de 1997, RSA Laboratories publicou um desafio de quebrar uma mensagem cifrada com DES

– Um consultor desenvolveu um programa de força bruta e o distribuiu pela Internet

– 96 dias depois a mensagem foi quebrada

– Mais de 70.000 máquinas foram usadas.

Triple Data Encryption Standard (3DES)

O 3DES(Triplo DES), sigla para Triple Data Encryption Standard é um padrão de criptografia baseado no algoritmo de criptografia DES desenvolvido pela IBM em 1974 e adotado como padrão em 1977. 3DES usa 3 chaves de 64 bits (o tamanho máximo da chave é de 192 bits, embora o comprimento atual seja de 56 bits). Os dados são encriptados com a primeira chave, decriptado com a segunda chave e finalmente encriptado novamente com a terceira chave. Isto faz do 3DES ser mais lento que o DES original, mas oferece maior segurança. Em vez de 3 chaves, podem ser utilizadas apenas 2, fazendo-se K1 = K3.

A variante mais simples do 3DES opera da seguinte forma: DES(k₃;DES(k₂;DES(k₁;M))), onde M é o bloco de mensagem a ser criptografado e k1, k2 e k3 são chaves DES.

O 3DES é uma simples variação do DES, utilizando-o em três ciframentos suscessivos, podendo empregar um versão com duas ou com três chaves diferentes. É seguro, porém muito lento para ser um algoritmo padrão.

Advanced Encryption Standard (AES)

É uma cifra de bloco adotada como padrão de criptografia pelo governo dos Estados Unidos. Espera-se que seja utilizado em todo o mundo e analisada extensivamente, assim como foi seu predecessor, o Data Encryption Standard (DES). O AES foi anunciado pelo NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) como U.S. FIPS PUB (FIPS 197) em 26 de Novembro de 2001, depois de 5 anos de um processo de padronização. Tornou-se um padrão efetivo em 26 de Maio de 2002. Em 2006, o AES já é um dos algoritmos mais populares usados para criptografia de chave simétrica.

O atual padrão de criptografia dos EUA se originou de um concurso lançado em 1997 pelo NIST (National Institute of Standards and Technology). Nesse momento havia a necessidade de escolher um algoritmo mais seguro e eficiente para substituir o DES (Data Encryption Standard), que apresentou fragilidades.

O novo algoritmo deveria atender a certos pré-requisitos como: ser divulgado publicamente e não possuir patentes; cifrar em blocos de 128 bits usando chaves de 128, 192 e 256 bits; ser implementado tanto em software quanto em hardware; ter maior rapidez em relação ao 3DES, uma variação recursiva do antigo padrão DES. Em 1998, na Primeira Conferencia dos Candidatos AES, apresentaram-se 15 candidatos e, um ano depois, na Segunda Conferencia, foram indicados 5 destes como finalistas: MARS, RC6, Rijndael, Serpent e Twofish. Em 2000, é conhecido o vencedor: Rijndael. O algoritmo, criado pelos belgas

Vincent Rijmen e Joan Daemen, foi escolhido com base em qualidades como segurança, flexibilidade, bom desempenho em software e hardware etc.

Funcionamento

No AES o numero de rodadas depende do tamanho da chave, sendo Nr igual a 10, 12 e 14, para Nk igual a 4, 6 e 8, respectivamente. O algoritmo possui uma chave principal e, a partir dela, são geradas Nr + 1 chaves, geralmente chamadas de chaves de rodada, pois cada uma será usada em uma rodada diferente. Além disso, a própria chave principal é usada antes da primeira rodada. A chave principal é alocada em uma matriz de 4 linhas e Nk colunas, e cada chave de rodada é agrupada da mesma maneira que o bloco de dados.

Em cada etapa, são executados substituições e transposições

Substituição de bytes (byte substitution);

Permutação de bytes entre grupos (shift rows);

Substituição usando matrizes dos grupos (mix collumns);

Execução de um XOR com a chave (add round key);

RC4

Em 1987Ron Rivest desenvolveu o algoritmo RC4 para a empresa RSA Data Security, Inc., líder mundial em algoritmos de criptografia. Foi, durante tempos, um segredo comercial muito bem guardado, muito popular, e utilizado largamente em software, como Lotus Notes, Apple Computer’s AOCE, Oracle Secure SQL, Internet Explorer, Netscape e Adobe Acrobat.

Sete anos depois, surge numa mailing list dedicada à criptografia (Cypherpunks) código alegadamente equivalente ao RC4. Utilizadores com cópias legais puderam confirmar a compatibilidade. É de realçar, no entanto, que esta não é a implementação comercial, e, como tal, é habitualmente referida como ARC4 (Alleged RC4).

As transformações neste algoritmo são lineares, não são necessários cálculos complexos, já que o sistema funciona basicamente por permutações e somas de valores inteiros, o que torna este algoritmo muito simples e rápido. Um raro exemplo de Barato, Rápido e Bom.

De uma forma geral, o algoritmo consiste em utilizar um array que a cada utilização tem os seus valores permutados, e misturados com a chave, o que provoca que seja muito dependente desta. Esta chave, utilizada na inicialização do array, pode ter até 256 bytes (2048 bits), embora o algoritmo seja mais eficiente quando é menor, pois a perturbação aleatória induzida no array é superior.

Aplicação e segurança

Em criptografia, RC4 (ou ARC4) é o algoritmo de criptografia de fluxo mais usado no software e utilizado nos protocolos mais conhecidos, como Secure Socket Layers (SSL) (para proteger o tráfego Internet) e WEP (para a segurança de redes sem fios. RC4 não é considerado um dos melhores sistemas criptográficos pelos adeptos da criptografia, e em algumas aplicações podem converter-se em sistemas muito inseguros. No entanto, alguns sistemas baseados em RC4 são seguros o bastante num contexto prático.


As mais lindas praias de Pernambuco.

As gatinhas mais lindas da Net.

Socks

Socks

SOCKS é um protocolo que executa requisições de proxy para um cliente. O SOCKS é capaz de autenticar e criptografar o tráfego, e é freqüentemente encontrado em configurações corporativas.

O SOCKS é um protocolo utilizado para suportar tráfego TCP através de um proxy server. É utilizado por diferentes tipos de dados (FTP, Telnet, entre outros).

Como SOCKS é passível de vulnerabilidades que permitem ataques do tipo Denial of Service, assim como buffer overflows, caso seja necessária a utilização do mesmo é de extrema importância revisar as regras do sistema de Firewall para especificar explicitamente, o máximo possível, a origem e o destino de tráfego. É importante não permitir, por exemplo, acesso externo a servidores de Proxy.

Diffserv

Diffserv:

resumo:

Os serviços diferenciados (diffServ) podem ser oferecidos por um conjunto de roteadores que formam um domínio administrativo (por exemplo, um ISP ou uma empresa de telecomunicações). A administração define um conjunto de classes de serviço com regras de encaminhamento correspondentes a os pacotes do cliente que entrarem no domínio que poderão incluir um campo Tipo de serviço, sendo fornecido um serviço melhor para algumas classes (por exemplo, um serviço especial) melhor que a outras. O trafego dentro de uma classe talvez tenha de obedecer a alguma forma especifica, como a de um balde furado com alguma taxa de escoamento especificada.

Introdução

Os algoritmos baseados no fluxo tem potencial para oferecer boa qualidade de serviço a um ou mais fluxos, porque eles reservam quaisquer recursos necessários ao longo da rota. Porem, eles também tem a desvantagem de exigirem uma configuração antecipada para estabelecer cada fluxo, algo que não se ajusta bem quando existem milhares ou milhões de fluxos. Alem disso, eles mantém o estado interno por fluxo nos roteadores, tornando-os vulneráveis a quedas de roteadores. Por fim, as mudança as exigidas no código do roteador são substanciais e envolvem trocas complexas de roteador para roteador, a fim de configurar os fluxos. Em conseqüência disso, ainda existem poucas implementações de RSVP ou de algo semelhante.

Por essas razoes, a IETF também criou uma abordagem mais simples para oferecer qualidade de serviço, uma estratégia que pode ser implementada em grande parte no local em cada roteador, sem configuração antecipada e sem ter de envolver todo o caminho. Essa abordagem e conhecida como qualidade de serviço baseada na classe (em vez de ser baseada no fluxo). A IETF padronizou uma arquitetura para ela, chamada arquitetura de serviços diferenciados, descrita nas RFCs 2474, 2475 e varias outras.

DA ARQUITETURA DIFFSERV

A arquitetura DiffServ visa prover diferenciação de serviço escalável e flexível – isto é, a capacidade de manipular diferentes ‘classes’ de trafego de maneiras diferentes dentro da internet. A necessidade de escalabilidade surge do fato de que centenas de fluxos de tráfego fonte-destino simultaneamente podem estar presentes em um roteador de blackbone da internet.Veremos que essa necessidade é satisfeita pela introdução de uma funcionalidade simples no núcleo da rede, com a implementação de operações de controle mais complexas na borda da rede. A necessidade de flexibilidade surge do fato de que novas classes de serviços podem surgir e velhas classes de serviços podem se tornar obsoletas. A arquitetura DiffServ é flexível, no sentido de que não define serviços nem classes de serviços especificas (como é o caso, por exemplo da arquitetura IntServ). Em vez disso, ela fornece os componentes funcionais, isto é, as peças de uma arquitetura de rede com as quais esses serviços podem ser montados.

Diferenças entre Qualidade baseada em Fluxo e Classe.

Para tornar mais clara a diferença entre a qualidade de serviço baseada no fluxo e a qualidade de serviço baseada na classe, vamos considerar o exemplo da telefonia na Internet. Com um esquema baseado no fluxo, cada chamada telefônica obtém seus próprios recursos e suas garantias. Com um esquema baseado na classe, todas as chamadas telefônicas juntas obtêm os recursos reservados para a telefonia da classe. Esses recursos não podem ser tirados pelos pacotes da classe de transferência de arquivos ou de outras classes, mas nenhuma chamada telefônica recebe quaisquer recursos privados reservados apenas para ela.

Encaminhamento expedido

A escolha de classes de serviço cabe a cada operadora, mas, como os pacotes com freqüência são encaminhados entre sub-redes pertencentes a diferentes operadoras, a IETF esta trabalhando na definicao de classes de serviço independentes da rede. A mais simples dessas classes e a de encaminhamento expedido; portanto, vamos começar por ela. Essa classe e descrita na RFC 3246.

A idéia que rege o encaminhamento expedido e muito simples. Ha duas classes de serviço disponíveis: regular e expedido. A vasta maioria do trafego deve ser regular, mas uma pequena fração dos pacotes e expedida. Os pacotes expedidos devem ser capazes de transitar pela sub-rede como se nenhum outro pacote estivesse presente. Uma representação simbólica desse sistema de "dois tubos" e dada na Figura logo abaixo Observe que ainda existe apenas uma linha física. Os dois canais lógicos mostrados na figura representam um modo de reservar largura de banda, e não uma segunda linha física.

Um modo de implementar essa estratégia e programar os roteadores para terem duas filas de saída correspondentes a cada linha de saída, uma para pacotes expedidos e outra para pacotes regulares. Quando um pacote chega, ele enfileirado de acordo com seu tipo. A programação de pacotes deve usar algo semelhante ao enfileiramento justo ponderado. Por exemplo, se 10% do trafego for expedido e 90% for regular, 20% da largura de banda poderá ser dedicada ao trafego expedido, e o restante ao trafego regular. Isso daria ao trafego expedido o dobro da largura de banda de que ele necessitasse, com a finalidade de proporcionar baixo retardo para esse tipo de trafego. Essa alocação pode ser2 alcançada transmitindo um pacote expedido para cada quatro pacotes regulares (supondo-se que a distribuição de tamanhos para ambas as classes seja semelhante). Desse modo, espera-se que os pacotes expedidos encontrem uma sub-rede não carregada, mesmo quando houver de fato uma carga pesada.

Encaminhamento garantido

Um esquema um pouco mais elaborado para gerenciar as classes de serviço e chamado

encaminhamento garantido. Ele e descrito na RFC 2597 e especifica que haverá quatro classes de prioridade, e cada classe terá seus próprios recursos. Alem disso, ele define três probabilidades de descarte de pacotes que estejam sofrendo congestionamento: baixo, medio e alto. Considerados em conjunto, esses dois fatores definem 12 classes de serviço.

A Figura a ser mostrada mostra uma forma possível de processar pacotes no esquema de encaminhamento garantido. A etapa 1 consiste em classificar os pacotes em uma das quatro classes de prioridade.

Essa etapa poderia ser feita no host transmissor (como mostra a figura) ou no roteador de ingresso (o primeiro). A vantagem de fazer a classificação no host transmissor e que nesse local ha mais informações disponíveis sobre quais pacotes pertencem a quais fluxos.

A figura abaixo é uma implementação possível do fluxo de dados para encaminhamento garantido.

A etapa 2 e a marcação dos pacotes de acordo com sua classe. E necessário um campo de

cabeçalho para esse propósito. Felizmente, ha um campo de 8 bits Type of service disponível no cabeçalho IP, como veremos em breve. A RFC 2597 especifica que seis desses bits devem ser usados para a classe de serviço, deixando espaço de codificação para classes de serviço históricas e futuras.

A etapa 3 consiste em fazer os pacotes passarem por um filtro modelador/regulador que pode

retardar ou descartar alguns deles para modelar os quatro fluxos em formas aceitáveis; por

exemplo, usando o balde furado ou o balde de símbolos. Se houver muitos pacotes, alguns deles talvez sejam descartados aqui, pela categoria de descarte. Também são possíveis esquemas mais elaborados, envolvendo medição ou feedback.

Nesse exemplo, essas três etapas são executadas no host de transmissão, e assim o fluxo de saída e agora entregue ao roteador de ingresso. Vale a pena notar que essas etapas podem ser executadas por software em rede especial, ou ate mesmo pelo sistema operacional, a fim de evitar a necessidade de trocas entre aplicações existentes.

Conclusão

Visando sempre um melhor serviço vemos o crescente uso de QoS em grandes redes, a implantação de QoS em uma rede IP traz profundas mudanças no cenário a internet. Certamente, uma delas é a possibilidade de provedores de serviços oferecerem telefonia de boa qualidade e alta confiabilidade NE internet. Podemos inferir que o sucesso dessas propostas mudará o blackbone das empresas de telecomunicação, pois todas as propostas de QoS implicam no uso racional da banda de passagem disponível e no suporte ao trafego real.

Pouco sobre as ISO

Sobre as ISO

O âmbito da norma ISO / IEC 27003 é o de "proporcionar uma orientação prática para a criação e implementação de um sistema de gestão da segurança da informação em conformidade com a norma ISO / IEC 27001. This document describes the implementation of an ISMS focusing on the part from the first approval for the ISMS implementation in an organization to the beginning of the ISMS operations that correspond to the plan and do phases of an ISMS PDCA cycle. This document includes the explanations of the design activities related to operating, monitoring, reviewing, and improving though such activities themselves are not included in implementation. Este documento descreve a implementação de um ISMS incidindo sobre a parte da primeira aprovação para a ISMS implementação em uma organização para o início do ISMS operações que correspondem ao plano e fazer um ISMS fases do ciclo PDCA. Este documento inclui as declarações de atividades relacionadas com a concepção de funcionamento, acompanhamento, revisão e melhoria embora tais atividades próprias não são incluídos na sua aplicação esta isso ainda não foi implementada.

A norma (ISO / IEC 27002) destina-se a implementação de controles de segurança a ISO / IEC 27004 cobrirá gestão da segurança da informação medições. A norma se destina a ajudar as organizações a medir e relatar a eficácia dos seus sistemas de gestão da segurança da informação, abrangendo tanto os processos de gestão da segurança (definidas na norma ISO / IEC 27001) e os controles de segurança (ISO / IEC 27002). E "oferece orientação e aconselhamento sobre o desenvolvimento e a utilização de medidas e de medição, a fim de avaliar a eficácia de um sistema de gestão da segurança da informação (ISMS), incluindo a política e os objetivos ISMS e controles de segurança na Declaração de Aplicabilidade utilizadas para implementar e gerenciar segurança da informação, tal como especificado na norma ISO / IEC 27001. Um apêndice sugerindo métricas que alinham com as seções da norma ISO / IEC 27002 foi recentemente adicionado, o que eleva o padrão um pouco mais para a orientação e implementação ISO27k métricas papel desenvolvido pela ISO27k Implementers' Fórum.

ISO / IEC 27005:2008 fornece diretrizes para a segurança da informação de gestão de risco. Suporta os conceitos gerais especificados na norma ISO / IEC 27001 e é projetado para auxiliar a execução satisfatória da segurança da informação, baseada em uma abordagem de gestão de risco. O conhecimento dos conceitos, modelos, processos e terminologias descritos na norma ISO / IEC 27001 e ISO / IEC 27002 é importante para uma completa compreensão da norma ISO / IEC 27005:2008. ISO / IEC 27005:2008 é aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos), que pretendem gerir os riscos que podem comprometer a organização da segurança da informação.

ISO / IEC 27006 é publicada a norma ISO / IEC acredita norma que orienta sobre os organismos de certificação formal de processos de certificação ou registrando outras organizações "sistemas de gestão da segurança da informação.

O âmbito da norma ISO / IEC 27006 é "para especificar requisitos gerais a um terceiro órgão operacional ISMS certificação / registro tem de enfrentar, se é para ser reconhecido como competente e de confiança no funcionamento do ISMS certificação / registro."

ISO / IEC 27006 especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação (ISMS), além das exigências contidas na norma ISO / IEC 17021-1 de que é proveniente e ISO / IEC 27001. É essencialmente destinado a apoiar a credibilidade de organismos de certificação ISMS fornecendo certificação.

Servicos integrados(intServ)

Servicos integrados(intServ)

Entre 1995 e 1997, a IETF dedicou um grande esforço a criação de uma arquitetura para multimídia de fluxo. Esse trabalho resultou em mais de duas dezenas de RFCs, começando com as RFCs 2205 a 2210. O nome genérico desse trabalho e algoritmos baseados no fluxo ou serviços integrados. Ele teve como objetivo as aplicações de unidifusão e multidifusão. Um exemplo do primeiro tipo de aplicação e um único usuário que recebe um fluxo de um videoclipe transmitido por um site de noticias. Um exemplo do outro tipo de aplicação e um conjunto de estações de televisão digital que transmitem seus programas sob a forma de fluxos de pacotes IP para muitos receptores situados em diversos locais. Vamos nos conectar a seguir na multidifusão, pois a unidifusão e um caso especial de multidifusão.

Em muitas aplicações de multidifusão, os grupos podem alterar seus membros dinamicamente; por exemplo, quando as pessoas entram em uma vídeo conferencia ou se entediam e passam para uma novela ou para o canal de esportes. Nessas condições, a estratégia de fazer com que os transmissores reservem largura de banda com antecedência não funciona muito bem, pois ela exigiria que cada transmissor rastreasse todas as entradas e saídas de sua audiência. No caso de um sistema projetado para transmitir imagens de televisão a cabo, com milhões de assinantes,esse esquema não funcionaria de forma alguma.

RSVP — Resource reSerVation Protocol

O principal protocolo da IETF para a arquitetura de serviços integrados e o RSVP, descrito na RFC 2205 e em outras. Esse protocolo e empregado para fazer as reservas; outros protocolos são usados para transmitir os dados. O RSVP permite que vários transmissores enviem os dados para vários grupos de receptores, torna possível receptores individuais mudarem livremente de canais e otimiza o uso da largura de banda ao mesmo tempo que elimina o congestionamento.

Em sua forma mais simples, o protocolo utiliza roteamento por multidifusão com arvores de amplitude, como discutimos anteriormente. Cada grupo recebe um endereço de grupo. Para transmitir dados a um grupo, um transmissor coloca o endereço desse grupo em seus pacotes. Em seguida, o algoritmo de roteamento por multidifusão padrão constrói uma arvore de amplitude que cobre todos os membros. O algoritmo de roteamento não faz parte do RSVP. A única diferença em relação a multidifusão normal são algumas informações extras transmitidas periodicamente ao grupo por multidifusão, a fim de informar aos roteadores ao longo da arvore que devem manter certas estruturas de dados em suas respectivas memórias.

Para obter uma melhor recepção e eliminar o congestionamento, qualquer um dos receptores de um grupo pode enviar uma mensagem de reserva pela arvore para o transmissor. A mensagem e propagada com a utilização do algoritmo de encaminhamento pelo caminho inverso, discutido antes. Em cada hop, o roteador detecta a reserva e guarda a largura de banda necessária. Se a largura de banda disponível não for suficiente, ele reporta a falha. No momento em que a mensagem retornar a origem, a largura de banda já terá sido reservada ao longo de todo o caminho entre o transmissor e o receptor, fazendo a solicitação de reserva ao longo da arvore de amplitude.

Ao fazer uma reserva, um receptor pode (opcionalmente) especificar uma ou mais origens a partir das quais deseja receber informações. Ele também pode especificar se essas opções serão fixas durante o período de reserva, ou se o receptor deseja manter em aberto a opção de alterar as origens mais tarde. Os roteadores utilizam essas informações para otimizar o planejamento da largura de banda. Em particular, dois receptores só são configurados para compartilhar um caminho se ambos concordarem em não alterar as origens posteriormente.

O motivo para essa estratégia no caso totalmente dinâmico e que a largura de banda reservada e desacoplada da opção de origem. Quando reserva a largura de banda, um receptor pode alternar para outra origem e manter a parte do caminho existente que for valida para a nova origem.

O que é Intserv

IntServ ou Serviços Integrados é um modelo de implementação do QoS desenvolvido para garantir a qualidade do serviço para fluxos individuais de trafego utilizando para tanto a sinalização fim-a-fim e a reserva de recursos por toda a rede, dos roteadores intermediários até o roteador de destino.

Características

-Reserva de recursos: o roteador deve saber a quantidade de recursos (buffers, largura de banda) que já está reservada para as sessões em andamento;
-Estabelecimento de chamadas: uma sessão que exige garantias de QoS deve, primeiramente, estar habilitada a reservar recursos suficientes em cada roteador da rede no trajeto fonte-destino (processo de aceitação de chamada)

-Alta granulariadade

-04 elementos componentes: escalonador de pacotes, controlador de admissão, classificador e protocolo de reserva de recursos,

-Como características principais do IntServ temos:

*Reserva de recursos: o roteador deve saber a quantidade de recursos (buffers, largura de banda) que já está reservada para as sessões em andamento;

*Estabelecimento de chamada: uma sessão que exige garantias de QoS deve, primeiramente, estar habilitada a reservar recursos suficientes em cada roteador da rede no trajeto fonte-destino;

*Alta granularidade no controle do fluxos;

*Composto por 4 itens: escalonador de pacotes, controlador de admissão, classificador e protocolo de reserva de recursos

MODELO DE QoS

O DiffServ ou Serviços Diferenciados trabalha o QoS em relação aos grandes fluxos de dados em oposição as reservas individuais de recursos do IntServ. Desta forma o DiffServ requer a negociação dos recursos para todos os pacotes de uma rede.

Características
a) Menor granularidade na alocação de recursos;

b) Simplicidade no processamento dos roteadores de núcleo;

c) Apenas funções simples no núcleo da rede e funções relativamente complexas nos rotedores que se encontram nas extremidades (ou hosts);

d) Fluxos são agregados em classes de serviço Diffserv (não existe controle individual sobre cada fluxo)

e) Não é necessária sinalização entre cada roteador da rede

f) Tráfego é dividido em um número limitado de diferentes classes, com diferentes requisitos de QoS;

Serviços integrados

O modelo de serviços integrados é caracterizado pela reserva de recursos. Antes de iniciar uma comunicação, o emissor solicita ao receptor a alocação de recursos necessárias para definir-se uma boa qualidade na transmissão dos dados. O protocolo RSVP (Resource Reservation Protocol) é utilizado, nesse modelo, para troca de mensagens de controle de alocação dos recursos. A alocação de recursos diz respeito a largura de banda e ao tempo em que será mantida a conexão. Neste período de tempo, o emissor daquele serviço tem uma faixa da largura de banda disponível para transmitir seus dados.

O IntServ é caracterizado pela alocação de recursos para dois novos tipos de serviços que são os serviços garantidos para aplicações que necessitam de um atraso constante, e serviços de carga controlada para aplicações que requerem segurança e destacam o serviço de melhor esforço.

Na ilustração acima suponhamos que a máquina jazz.empresa1.com.br deseje fazer uma comunicação de voz através da Internet (voz sobre IP) com a máquina ciranda.empresa2.com.br. Esta aplicação requer baixo atraso e baixa variação do atraso (jitter) para que sejam mantidos os requisitos de qualidade. Então, jazz envia uma mensagem especificando as características para o tráfego (path) para ciranda. Quando a mensagem de path chega a ciranda, inicia-se o procedimento de reserva de recursos (resv) por todo caminho entre este dois nós da rede. Todos os roteadores entre os dois pontos passam pelo processo de alocação de recursos e qualquer um deles pode rejeitar a solicitação, informando para jazz que a solicitação não foi aceita. Caso todos os roteadores tenham condições de disponibilizar os recursos solicitados, é alocada a largura de banda e buffer necessários para a aplicação.

Durante a transmissão dos pacotes, são feitas classificações nos roteadores para cada fluxo, colocando-os em filas específicas para a aplicação. Como o controle é feito, basicamente, nos roteadores. Isso exige grande capacidade de processamento, armazenamento e bons algoritmos para tratamento de filas. Ou seja, aumenta o grau de complexidade nos roteadores.

Serviços diferenciados ( diffServ )

O modelo de serviços diferenciados implementa QoS com base na definição de tipos de serviços. No cabeçalho de um pacote IP, existe um campo chamado TOS (Type of Service) que pode representar o tipo do serviço. No entanto, serviços diferenciados ampliam a representação de serviços e o tratamento que pode ser dado para encaminhar um pacote, definindo um novo layout para o TOS, passando a chamá-lo de DS Field (Differentiated Service Field). No DS Field, são codificadas as classes para serviços diferenciados. O campo TOS já existia na definição do pacote IP, mas só recentemente se definiu uma utilização para o mesmo.

A arquitetura DiffServ parte do princípio que domínios adjacentes tenham um acordo sobre os serviços que serão disponibilizados entre os mesmos. Este acordo denomina-se SLA – Service Level Agreement. Um SLA determina as classes de serviços suportadas e a quantidade de tráfego na banda entre os domínios. Os domínios podem definir um SLA estático ou dinâmico, sendo que, neste último caso, um protocolo de sinalização e controle será necessário para o gerenciamento da banda.

Dois novos tipos de serviços especiais surgiram juntamente com o modelo de serviços diferenciados: serviços assegurados e os serviços premium. Serviços assegurados são os serviços para clientes que precisam de segurança para seus provedores serviços no momento que haja um congestionamento. E os serviços premium são para aplicações que necessitam de baixo atraso e baixo jitter.

Com DiffServ, os próprios clientes podem marcar seus DS Fields e enviar para o receptor. No entanto, dessa forma, não há como saber se há recursos disponíveis para a comunicação, fazendo com que, por exemplo, o pacote chegando em um roteador que não provê QoS com o DS Field marcado, seja remarcado e passe a ser um pacote de um serviço de melhor esforço.

Existem tipos de serviços que não podem conviver com essa incerteza. Por isso, um componente mediador foi inserido nesse modelo para gerenciar e recursos no domínio QoS. Este componente foi denominado Bandwidth Broker (BB). O BB trabalha como um gerente de recursos do domínio que tem com função básica controlar a largura de banda, as políticas e prioridades dentro e entre as organizações. Quando há uma solicitação de um fluxo, o BB é o componente que verifica a disponibilidade de recursos e a autorização do cliente para conexão dentro do domínio QoS. Ele também encarrega-se de fazer as alocações necessárias para a comunicação dentro do seu domínio e solicita ao BB do domínio adjacente, caso o pedido de conexão seja para fora do domínio, para fazer o mesmo. O processo de solicitação de alocação de recursos é continuado entre BBs adjacentes até que se chegue ao BB do domínio do receptor. O protocolo de sinalização para alocação de recursos entre os BBs pode ser o RSVP.

Serviços diferenciados tem sido o modelo mais utilizado para implementação de QoS. Ele exige menos dos roteadores, necessitando pouca atualização de software para prover bons métodos de classificação, policiamento, montagem e remarcação de pacotes.