quarta-feira, 17 de fevereiro de 2010

Como funcionam os firewalls

Como funcionam os firewalls
por Jeff Tyson - traduzido por HowStuffWorks Brasil

Introdução

Se você usa a Internet há algum tempo, já deve ter ouvido falar em firewall. Tanto a conexão doméstica quanto a conexão em rede de grandes corporações podem ter problemas de segurança. Com um firewall, é possível proteger a rede das páginas ofensivas e dos hackers em potencial.

O termo inglês firewall faz uma alusão comparativa à função que o sistema desempenha a fim de evitar o alastramento de dados nocivos dentro de uma rede de computadores, da mesma forma que uma parede corta-fogo (firewall) evita o alastramento de incêndios pelos cômodos de uma edificação. Conforme você for lendo este artigo, vai aprender como ele funciona e de que tipos de ameaças o firewall protege as redes.

O que ele faz

Um firewall é um programa ou dispositivo de hardware que filtra as informações que entram pela conexão da Internet para a rede de conexão ou o sistema do computador. Se um pacote de informações recebido estiver marcado pelos filtros, não vai receber permissão para passar.

Se você leu o artigo Como funcionam os servidores Web, já sabe como os dados se movem pela Internet e vai entender facilmente como um firewall ajuda a proteger os computadores dentro de uma grande empresa. Digamos que você trabalha em uma empresa com 500 funcionários. A empresa provavelmente terá centenas de computadores com placas de rede conectando-os. Além disso, a empresa também terá uma ou mais conexões de alta velocidade com a Internet. Sem um firewall, todos esses computadores estariam diretamente acessíveis para qualquer um na Internet. Um hacker pode sondar esses computadores, tentar estabelecer conexões FTP com eles, fazer conexões telnet e assim por diante. Ou, se um funcionário cometer um erro e deixar um furo na segurança, os hackers podem chegar nessa máquina e explorar esse furo.

Uma empresa poderá colocar um firewall em cada conexão com a Internet (por exemplo, em cada linha de conexão que entra na empresa). O firewall é capaz de implantar regras de segurança. Por exemplo, umas das regras de segurança dentro da empresa poderia ser: ter 500 computadores dentro dessa empresa, mas somente um deles ter a permissão de receber tráfego público de FTP. O firewall permitiria conexões FTP somente com esse computador e as impediria em todos os outros.

Uma empresa pode definir regras como essa para os servidores FTP, Web, Telnet e outros. Além do mais, a empresa também pode controlar como os funcionários se conectam com páginas da Internet, se os arquivos sairem da empresa pela rede. Um firewall dá à empresa um grande controle sobre a maneira como as pessoas usam a rede.

Para controlar o tráfego pela rede, podem-se usar alguns dos métodos abaixo.

  • Filtros de pacotes - pacotes (pequenos pedaços de dados) são analisados levando um conjunto de filtros em consideração. Os pacotes que atravessam os filtros são enviados ao sistema que o pediu e todos os outros são descartados.
  • Serviço proxy - informações da Internet são captadas pelo firewall e enviadas ao sistema que as pediu e vice-versa.
  • Stateful inspection - método mais novo que não examina os conteúdos de cada pacote, mas compara certas partes especiais com um banco de dados de informações confiáveis. Informações da parte interior do firewall para a parte exterior são monitoradas para verificar características específicas e as informações recebidas são comparadas com essas características. Se a comparação tiver uma igualdade razoável, as informações recebem permissão para entrar. Senão, são descartadas.

Adequando o firewall

Os firewalls podem ser personalizados. E isso significa que é possível adicionar ou remover filtros baseando-se em várias condições. 
  • Endereços IP - cada máquina na Internet recebe um endereço único chamado de endereço IP. Os endereços IP são números de 32 bits que costumam ser expressados como quatro "octetos" em um "número decimal separado por pontos". Um endereço IP tem a seguinte aparência: 216.27.61.137. Por exemplo, se um determinado endereço IP fora da empresa estiver lendo muitos arquivos de um servidor, o firewall pode bloquear todo o tráfego que entra ou sai desse endereço IP.

  • Nomes de domínio - é difícil lembrar a seqüência de números que compõem um endereço IP e como os endereços IP precisam ser alterados de vez em quando, todos os servidores da Internet também têm nomes que podem ser lidos por nós: os nomes de domínio. Por exemplo: para a maioria das pessoas é bem mais fácil lembrar de www.hsw.com.br do que lembrar de 216.27.61.137. Uma empresa pode bloquear todo o acesso a certos nomes de domínio ou permitir acesso somente a domínios específicos.

  • Protocolos - o protocolo é a maneira pré-definida pela qual alguém que deseja usar um serviço se comunica com esse serviço. Esse "alguém" costuma ser um programa, como um navegador web, mas também pode ser uma pessoa. Os protocolos freqüentemente são textos e simplesmente descrevem como o cliente e o servidor irão conversar. O http é um protocolo da Internet. Veja alguns protocolos comuns que você pode incluir nos filtros de firewalls:

    • IP (Protocolo da Internet): principal serviço de entrega de informações na Internet
    • TCP (Protocolo de controle de transmissão): usada para quebrar e reconstruir informações que viajam pela Internet
    • HTTP (Protocolo de transferência de hipertexto): usado para páginas da Internet:
    • FTP (Protocolo de transferência de arquivos): usado para fazer o download e o upload de arquivos
    • UDP (Protocolo de datagrama de usuário): usado para informações que não requerem resposta, como áudio e vídeo streaming
    • ICMP (Protocolo de mensagens de controle da Internet): usado por um roteador para trocar informações com os outros roteadores
    • SMTP (Protocolo de transporte de correio simples): usado para enviar informações de texto (e-mail)
    • SNMP (Protocolo de gerenciamento de rede simples): usado para coletar informações de sistema de um computador remoto
    • Telnet: usado para executar comandos em um computador remoto

    Uma empresa pode configurar apenas 1 ou 2 máquinas para lidar com um protocolo específico e proibir esse protocolo em todas as outras máquinas.

  • Portas - qualquer servidor disponibiliza seus serviços de Internet usando portas enumeradas, uma para cada serviço disponibilizado pelo servidor (consulte Como funcionam os servidores Web para mais detalhes). Por exemplo, se uma máquina está executando um servidor Web e um servidor de FTP, o servidor Web normalmente ficaria disponível na porta 80, ao passo que o servidor de FTP estaria disponível na porta 21. Uma empresa pode bloquear o acesso à porta 21 em todas as máquinas da empresa, exceto uma.

  • Palavras e frases específicas - um firewall irá procurar cada pacote de informações em busca de algo que coincida exatamente com o texto listado no filtro. Por exemplo, seria possível instruir o firewall para que ele bloqueasse qualquer pacote que tenha a palavra "conteúdo adulto". Mas é importante que eles sejam exatamente iguais. O filtro para "conteúdo adulto" não perceberia "conteúdos adultos" (no plural). A solução então é incluir o maior número de palavras, frases e variações que você puder.
Alguns sistemas operacionais vêm com um firewall integrado. Se esse não for o seu caso, um programa firewall pode ser instalado no computador da sua casa que tenha conexão com a Internet. Esse computador é considerado uma porta de comunicação (gateway) porque fornece o único ponto de acesso entre a suarede doméstica e a Internet.

Já com um hardware de firewall, a unidade de firewall costuma ser esse gateway. Um bom exemplo disso é o roteador Cabo/DSL Linksys. Ele possui um cartão Ethernet e hub integrados. Os computadores na sua rede doméstica se conectam com o roteador, que por sua vez está conectado com um modem para conexão decabo de TV ou ADSL. Você configura o roteador através de uma interface semelhante à Internet que é acessada pelo navegador do seu computador. É possível definir quaisquer filtros ou informações adicionais.

Firewalls de hardware são extremamente seguros e não são tão caros. Versões para uso doméstico que incluem um roteador, firewall e hub Ethernet para conexões banda larga podem ser encontrados por bem menos de US$ 100.

Ele oferece proteção contra o quê?

Há muitas maneiras de pessoas inescrupulosas acessarem ou violarem computadores desprotegidos.
  • Login remoto - quando alguém é capaz de se conectar ao seu computador e controlá-lo de alguma forma. Isso pode variar desde a capacidade de visualizar ou acessar seus arquivos até a capacidade de executar programas no seu computador.

  • Backdoors de aplicativos - alguns programas possuem funções especiais que permitem acesso remoto. Outros contêm falhas que abrem backdoors, ou pontos de acesso ocultos, que dão algum nível de controle sobre o programa.

  • Captura de sessão SMTP - o SMTP é o método mais comum para enviar e-mails pela Internet. Ao ganhar acesso a uma lista de endereços de e-mail, uma pessoa pode enviar e-mails não solicitados (spam) para milhares de usuários. Isso é feito com bastante freqüência redirecionando o e-mail através do servidor SMTP de um host inocente, fazendo com que seja difícil rastrear o verdadeiro remetente do spam;

  • Falhas no sistema operacional - da mesma maneira que os aplicativos, alguns sistemas operacionais também têm pontos de acesso ocultos. Outros fornecem acesso remoto com controles de segurança insuficiente ou têm falhas que um hacker experiente pode aproveitar.

  • Denial of service (DoS) - você provavelmente já ouviu essa frase em reportagens sobre ataques em grandes páginas de Internet. Esse tipo de ataque é quase impossível de se impedir. O que acontece é que o hacker envia uma solicitação para o servidor pedindo uma conexão com ele. Quando o servidor responde com um reconhecimento da solicitação e tenta estabelecer uma sessão, não consegue encontrar o sistema que fez a solicitação. E ao inundar um servidor com essas solicitações de sessão impossíveis de se responder, um hacker faz com que o servidor pare ou "caia".

  • Bombas enviadas por e-mail - costuma ser um ataque pessoal. Alguém lhe envia o mesmo e-mail centenas ou milhares de vezes até que o seu sistema de e-mail não consiga aceitar mais nenhuma mensagem.

  • Macros - para simplificar procedimentos complicados, muitos aplicativos permitem que você crie um script de comandos que o aplicativo pode executar. Esse script é conhecido como macro. Os hackers tiram vantagem disso para criar suas próprias macros que, dependendo do aplicativo, podem destruir seus dados ou fazer o seu computador "cair".

  • Vírus - provavelmente, a ameaça mais conhecida. Um vírus de computador é um pequeno programa que pode criar cópias de si mesmo em outros computadores. Dessa maneira, ele pode se espalhar rapidamente de um sistema para o outro. Existem vários tipos de vírus, desde as mensagens que não causam risco nenhum até aqueles que apagam todos os seus dados.

  • Spam - normalmente inofensivos, mas sempre irritantes. O spam é o equivalente eletrônico de correspondência não solicitada. Mas ele pode ser perigoso, pois muitas vezes contém links para páginas da Internet. Cuidado ao clicar nesses links, já que pode acidentalmente aceitar um cookieque abre um ponto de acesso ao seu computador;

  • Bombas redirecionadas - os hackers usam ICMP para alterar (redirecionar) o caminho utilizado pelas informações ao enviá-las para um roteador diferente. Essa é uma das maneiras em que um ataque DoS é organizado.

  • Roteamento pela fonte - na maioria dos casos, o caminho percorrido por um pacote na Internet (ou em qualquer outra rede) é determinado pelos roteadores desse caminho. Mas a fonte que fornece o pacote pode especificar de maneira arbitrária a rota que o pacote deveria percorrer. Às vezes, os hackers se aproveitam disso para fazer a informação parecer que vem de uma fonte confiável ou mesmo de dentro da rede. Por padrão, a maioria dos produtos de firewall desativa roteamento de fontes.
Alguns dos itens na lista acima são difíceis de se filtrar com um firewall. Embora alguns firewalls ofereçam proteção contra vírus, vale a pena investir na instalação de um anti-vírus em cada computador. E embora saibamos que são irritantes, alguns spams vão conseguir passar pelo seu firewall pelo simples fato de você aceitar e-mails.

O nível de segurança que você estabeleu irá determinar quantas dessas ameaças podem ser bloqueadas pelo firewall. O nível mais alto de segurança seria simplesmente bloquear tudo. Mas é óbvio que isso vai contra o propósito principal de se ter uma conexão de Internet. No entanto, uma regra geral é bloquear tudo e, depois, começar a selecionar que tipos de tráfego permitir. Também é possível restringir o tráfego que passa pelo firewall de modo que somente certos tipos de informação, como e-mail, possam passar. Essa é uma boa regra para as empresas que têm um administrador de rede experiente que compreende quais são as necessidades e sabe exatamente qual o tráfego que deve permitir. Para a maioria das pessoas, o melhor é trabalhar com os padrões desenvolvidos pelo criador do programa, a menos que haja razões específicas para mudá-los.

Uma das melhores coisas a respeito de um firewall do ponto de vista da segurança é que ele impede que qualquer visitante externo tente se conectar em um computador da sua rede particular. E embora as ameaças para as grandes empresas sejam maiores e a maioria das redes domésticas provavelmente não sejam tão ameaçadas, ainda assim, instalar um firewall pode proporcionar um pouco mais de segurança.

Servidores proxy e DMZ

Algo que costuma ser combinado com um firewall é um servidor proxy. O servidor proxy é utilizado pelos outros computadores para acessar páginas da Internet. Quando outro computador solicita uma página da Internet, ela é resgatada pelo servidor proxy e enviada ao computador que fez a solicitação. O resultado final dessa ação é que o computador remoto que hospeda a página nunca entra em contato direto com nenhuma parte da sua rede doméstica, a não ser com o servidor proxy.

Servidores proxy também podem fazer com que seu acesso à Internet funcione de maneira mais eficiente. Se acessar uma página da Internet, ela é armazenada no servidor proxy. E isso significa que na próxima vez em que voltar para essa página, ela normalmente não terá que ser carregada da página original novamente. Em vez disso, ela será carregada instantaneamente do servidor proxy.

Há momentos em que você pode querer que usuários remotos acessem itens da sua rede. Alguns exemplos:

  • página da Internet
  • negócios online
  • área de download e upload
Nesses casos, pode ser uma boa idéia criar uma zona desmilitarizada (DMZ). Apesar do nome, não passa de uma área localizada fora do firewall. 

Configurar uma zona desmilitarizada é muito fácil. Se há vários computadores, é possível simplesmente colocar um desses computadores entre a conexão da Internet e o firewall. A maioria dos programas de firewall disponíveis hoje em dia permitem a criação de um diretório de zona desmilitarizada no computador gateway.

Assim que o firewall estiver funcionando, faça uns testes com essa zona desmilitarizada. Uma boa maneira de fazer isso é acessar www.grc.com (em inglês) e experimentar o teste de segurança Shields Up! de graça. Você vai receber um feedback imediato relatando o nível de segurança do seu sistema.

Como funciona a Ethernet

Como funciona a Ethernet
por Nick Pidgeon - traduzido por HowStuffWorks Brasil

Introdução

 

O acesso eficiente e confiável à informação é um aspecto importante do mundo dos negócios. Arquivos e montanhas de papel foram substituídos por computadores, que armazenam e gerenciam, eletronicamente, a informação. Um trabalho pode ser realizado por duas ou mais pessoas que moram em lugares completamente diferentes. Centenas de trabalhadores de uma empresa podem revisar simultaneamente uma informação disponível online.

As tecnologias de rede dos computadores são a cola que une esses elementos. A Internet pública permite que os vendedores de produtos e serviços disponibilizem informação para seus parceiros e consumidores. A rede global de computadores conhecida como Internet permite que as pessoas comprem livros, roupas e até carros. Também é possível colocar esses itens em um leilão, quando não são mais desejados.

Neste artigo, vamos examinar detalhadamente as redes e, em particular, o padrão de rede Ethernet. Você vai entender como todos esses computadores se conectam.

Por que rede?

Uma rede permite a troca de informações (envio e recebimento) entre computadores. Talvez nós nem tenhamos idéia da quantidade de vezes que acessamos informações em redes de computador. A Internetcertamente é o maior exemplo de rede de computadores, com milhões de máquinas conectadas ao redor do mundo, mas as pequenas redes desempenham um papel importante na busca diária de informações. Muitas bibliotecas públicas substituíram os cartões em papel por terminais de computador. Assim, é mais fácil e rápido procurar os livros. Os aeroportos têm inúmeras telas que exibem informações sobre vôos. Muitas lojas têm computadores especializados que controlam transações de pontos-de-venda. Em cada um desses casos, as redes oferecem diferentes dispositivos em diversas localidades que acessam uma informação compartilhada.

Antes de conhecer os detalhes de um padrão de rede como a Ethernet precisamos entender alguns termos básicos e classificações que descrevem e diferenciam as diferentes tecnologias de rede. Vamos começar!

Rede local x rede de longa distância

As tecnologias de rede podem ser divididas em dois grupos básicos:

  • Rede local, na qual as tecnologias LAN (Local Area Network) conectam muitos dispositivos que estão relativamente próximos, geralmente no mesmo prédio. Os terminais de uma livraria que exibem informações sobre um livro estão conectados a uma rede local.
  • Rede de longa distância, na qual as tecnologias WAN (Wide Area Network) conectam um número menor de dispositivos que podem estar separados por muitos quilômetros. Por exemplo, se duas livrarias situadas em bairros diferentes quiserem compartilhar a informação de seu catálogo de livros, elas devem usar uma tecnologia de rede de longa distância. Pode-se usar uma linha dedicada, alugada da companhia telefônica.

Em comparação às WANs, as LANs são mais rápidas e confiáveis. A tecnologia, porém, se desenvolve rapidamente, e as diferenças entre WAN e LAN estão cada vez menores. Os cabos de fibra ótica permitem a conexão de dispositivos LAN separados por quilômetros de distância. Esses cabos também melhoram a velocidade e a confiabilidade das redes WAN.

A Ethernet

Em 1973, os pesquisadores Bob Metcalfe e David Boggs, do Xerox Corporation's Palo Alto Research Center (mais conhecido como PARC), e criaram e testaram a primeira rede Ethernet. Metcalfe tentava conectar o computador "Alto" da Xerox a uma impressora e acabou desenvolvendo um método físico de cabeamento que conectava os dispositivos na Ethernet. Ele também criou os padrões de comunicação em cabos. Desde então, a Ethernet se tornou a tecnologia de redes mais popular do mundo. Muitos dos problemas da Ethernet são parecidos com os problemas das outras tecnologias de rede. Compreender o funcionamento da Ethernet dará a você embasamento para entender as redes em geral.

Com o amadurecimento das redes, o padrão Ethernet cresceu para agregar novas tecnologias. Mas os mecanismos de operação de todas as redes Ethernet atuais se baseiam no sistema original de Metcalfe. O conceito original de Ethernet é: comunicação compartilhada por um único cabo para todos os dispositivos da rede. Uma vez que o dispositivo está conectado a esse cabo, ele tem a capacidade de se comunicar com qualquer outro dispositivo. Isso permite que a rede se expanda para acomodar novos dispositivos sem ter de modificar os dispositivos antigos.

Informações básicas sobre a Ethernet

A Ethernet é uma tecnologia de rede local. Essas redes normalmente operam num mesmo prédio e conectam dispositivos próximos. No início podia haver no máximo algumas centenas de metros de cabos separando dispositivos numa Ethernet, tornando difícil conectar locais muito distantes geograficamente. Avanços recentes da tecnologia conseguiram aumentar essas distâncias, e as redes Ethernet atuais podem cobrir dezenas de quilômetros.

Protocolos
Na área de redes, o termo protocolo se refere a um conjunto de regras que regem as comunicações. Protocolos são a linguagem dos computadores. Seguindo esse raciocínio, dois dispositivos de uma rede precisam entender o mesmo protocolo para poder se comunicar.

Terminologia da Ethernet

Regras simples regem a operação básica da Ethernet. Para compreender essas regras, é importante conhecer a terminologia básica da Ethernet.

  • meio - dispositivos Ethernet se conectam a um meio comum que fornece um caminho para os sinais eletrônicos. Historicamente, esse meio é um cabo coaxial de cobre, mas hoje se utiliza cabeamento de par trançado ou fibra ótica.
  • segmentos - um único meio compartilhado é um segmento Ethernet.
  • - dispositivo que se conecta ao segmento.
  • frame - os nós se comunicam por meio de mensagens curtas chamadas frames, que são blocos de informação de tamanho variável.

Pense em um frame como se fosse uma frase na linguagem humana. Em português, obedecemos a regras para construir as frases. Sabemos que todas as frases devem possuir um sentido completo. O protocolo Ethernet especifica um conjunto de regras para construir os frames. Existe um comprimento mínimo e máximo para os frames e um conjunto necessário de trechos de informação que devem aparecer no frame. Por exemplo, cada frame deve incluir um endereço de destino e um endereço de envio, que identificam respectivamente o destinatário e o remetente da mensagem. O endereço identifica um nó único, da mesma forma que um nome identifica uma pessoa - dois dispositivos Ethernet nunca têm o mesmo endereço.

O meio Ethernet

Como um sinal no meio Ethernet alcança todos os nós conectados, o endereço de destino desempenha um papel fundamental para identificar o destinatário do frame.

Por exemplo, na figura acima, quando o computador B transmite para a impressora C, os computadores A e D ainda vão receber e examinar o frame. Entretanto, quando a primeira estação recebe o frame, ela verifica o endereço de destino para saber se o frame foi endereçado a ela. Se não foi, a estação descarta o frame sem examinar o conteúdo.

Um aspecto interessante do endereçamento Ethernet é a implementação do endereço broadcast. Um frame com endereço de destino igual ao endereço broadcast (também chamado simplesmente de broadcast) é direcionado para cada nó da rede, e cada nó vai receber e processar esse tipo de frame.

CSMA/CD

A sigla CSMA/CD significa, em inglês, carrier-sense multiple access with collision detection (acesso múltiplo com detecção de portadora e detecção de colisão) e descreve como o protocolo de Ethernet regula a comunicação entre os nós de uma rede. A expressão pode intimidar, mas se analisarmos os conceitos de seus componentes, separadamente, vamos ver que ele descreve regras muito similares àquelas que as pessoas utilizam em conversações civilizadas. Para ajudar a ilustrar a operação da Ethernet, vamos usar uma analogia: uma conversação à mesa de jantar.

Nosso segmento Ethernet é a mesa de jantar, e os nós são as pessoas conversando educadamente. A expressão múltiplo acesso (multiple access) fala sobre o que acabamos de discutir. Quando uma estação de Ethernet transmite, todas as estações no meio ouvem a transmissão. Da mesma maneira que quando uma pessoa fala, todo mundo escuta.

Agora vamos imaginar que você esteja à mesa e tenha alguma coisa a dizer. No momento, entretanto, existe uma pessoa falando. Já que essa é uma conversação educada, em vez de imediatamente falar e interromper o outro você espera até que ele termine de falar. Na terminologia da Ethernet, esse processo se chama carrier sense (detecção de portadora). Antes de uma estação começar a transmitir, ela "ouve" o meio para saber se outra estação está transmitindo. Se o meio estiver em silêncio, a estação reconhece que esse é o momento apropriado para transmitir.

Detecção de colisão

O acesso de múltiplos dispositivos de rede é uma boa maneira de começarmos a explorar as limitações da Ethernet, mas existe outro cenário que ainda temos de analisar. Vamos criar uma analogia da mesa de jantar e imaginar que existe um silêncio momentâneo na conversação. Você e eu temos coisas a falar e ambos sentimos o "peso do silêncio". Para resolver isso, começamos a falar quase ao mesmo tempo. Na terminologia da Ethernet, ocorre uma colisão quando os dois tentam falar ao mesmo tempo.

Em nosso caso, podemos resolver a situação de maneira civilizada. Após a percepção de que estávamos falando ao mesmo tempo, um de nós pára de falar para escutar o outro. Os nós da Ethernet também escutam o meio enquanto transmitem, para ter certeza de que são a única estação transmissora naquele momento. Se as estações começam a ouvir sua própria transmissão de forma distorcida ou misturada com a de outra estação sabem que uma colisão aconteceu. Às vezes, um segmento de Ethernet é chamado de domínio de colisão porque duas estações no segmento não podem transmitir ao mesmo tempo sem causar uma colisão. Quando as estações detectam uma colisão, elas interrompem a transmissão, esperam durante um período aleatório e tentam transmitir novamente quando detectam silêncio no meio.

A pausa aleatória e a repetição do envio do sinal representam parte importante do protocolo. Se as duas estações colidem quando estão transmitindo, então ambas terão de transmitir novamente. Na próxima oportunidade de transmissão, as estações envolvidas na colisão anterior terão dados prontos para transmitir. Se elas transmitissem novamente na primeira oportunidade, colidiriam de novo. Por isso existe um tempo de espera aleatório. Assim, dificilmente as duas estações vão continuar colidindo por muito tempo.

As limitações da Ethernet

Um cabo compartilhado é a base para uma rede Ethernet completa, o que discutimos anteriormente. De qualquer forma, há limites práticos para o tamanho de nossa rede Ethernet nesse caso. A primeira preocupação é o comprimento do cabo compartilhado.

Os sinais elétricos se propagam muito rapidamente pelo cabo, mas se tornam mais fracos com a distância, e a interferência de aparelhos elétricos (como lâmpadas fluorescentes) pode prejudicar o sinal. Um cabo de rede deve ser curto o suficiente para que os dispositivos em cada ponta recebam o sinal sem interferências e sem atraso. Esse é o limite da distância máxima que separa dois dispositivos (também conhecido como diâmetro da rede) em uma rede Ethernet. Além disso, como em CSMA/CD um dispositivo único só pode transmitir num determinado momento, existem limites práticos para o número de dispositivos que podem coexistir em uma mesma rede. Se você conectar muitos dispositivos a um mesmo segmento compartilhado, a contenção do meio aumenta. Cada dispositivo terá de esperar um longo tempo antes de conseguir transmitir.

Os engenheiros desenvolveram uma série de dispositivos de rede que aliviam esses problemas. Muitos desses dispositivos não são específicos para a Ethernet, sendo utilizados em outras tecnologias também.

Repetidores

O primeiro meio popular de Ethernet foi um cabo coaxial de cobre conhecido como "thicknet." O comprimento máximo desse cabo era de 500 metros. Em grandes prédios ou campus de universidades, um cabo de 500 metros nem sempre era suficiente. Um repetidor resolve esse problema.

Os repetidores conectam múltiplos segmentos de Ethernet, ouvindo cada segmento e repetindo o sinal ouvido para todos os outros segmentos conectados. O uso desses aparelhos permite aumentar significativamente o diâmetro de uma rede.

Segmentação

Em nossa analogia da mesa, havia poucas pessoas à mesa, situação em que ter só uma pessoa falando de cada vez não chega a provocar problemas de comunicação. Mas o que aconteceria se fosse muita gente reunida e só um pudesse falar?

Na prática, sabemos que essa analogia gera situações como a que veremos a seguir. Em grandes grupos de pessoas, é normal que aconteçam diferentes conversas simultaneamente. Se, em uma sala lotada somente uma pessoa pudesse falar a qualquer momento, muitas pessoas ficariam frustradas esperando um momento para falar. Para os humanos, o problema se corrigiria automaticamente: O alcance da voz humana é limitado e o ouvido consegue focar em uma conversa específica mesmo que esteja em um ambiente barulhento. Por isso, é comum que existam diversas conversas simultâneas em uma mesma sala. Isso não acontece com os cabos de rede, já que eles conseguem carregar sinais rapidamente e de forma eficiente por longas distâncias.

As redes Ethernet enfrentaram problemas de congestionamento ao ficarem maiores. Se há um grande número de estações conectadas a um mesmo segmento e cada uma gera uma quantidade considerável de tráfego, muitas estações tentarão transmitir assim que houver uma oportunidade. Nessas circunstâncias, as colisões se tornariam mais freqüentes e poderiam prejudicar outras transmissões, que levariam mais tempo para ser concluídas. Um jeito de reduzir os congestionamentos seria dividir cada segmento em múltiplos segmentos e assim criar múltiplos domínios de colisão. Essa solução cria um problema diferente, já que esses segmentos separados não conseguem trocar informação uns com os outros.

Pontes

Para aliviar os problemas da segmentação, as redes Ethernet implementaram as pontes. Elas  conectam dois ou mais segmentos de rede, e assim aumentam o diâmetro da rede da mesma forma que os repetidores, mas as pontes também ajudam a regular o tráfego. As pontes podem enviar e receber transmissões do mesmo jeito que qualquer outro nó, mas elas não funcionam da mesma maneira que um nó comum. A ponte não gera nenhum tráfego (como os repetidores), apenas ecoa o que ouve das outras estações. (Essa última afirmação não é 100% precisa: as pontes na verdade criam um frame especial Ethernet que permite que elas se comuniquem com outras pontes, mas esse assunto não é analisado neste artigo).

Uma das características do meio compartilhado de acesso múltiplo da Ethernet é que toda estação conectada recebe qualquer transmissão, mesmo que a transmissão não seja endereçada à estação. As pontes usam esse recurso para distribuir o tráfego entre os segmentos. Na figura acima, a ponte conecta os segmentos 1 e 2. Se as estações A e B transmitirem, a ponte também receberá a transmissão no segmento 1. Como a ponte deveria responder a esse tráfego? Ela poderia transmitir automaticamente o frame para o segmento 2, como um repetidor. Isso não aliviaria o congestionamento, já que a rede estaria se comportando como um longo segmento.

Um dos objetivos da ponte é reduzir o tráfego desnecessário nos 2 segmentos. Ela examina o endereço de destino do frame antes de decidir o que fazer com ele. Se o endereço de destino está relacionado com a estação A ou B, o frame não precisa aparecer no segmento 2. Nesse caso, a ponte não faz nada. Na verdade, a ponte filtra ou descarta o frame. Se o endereço de destino é o da estação C ou D, ou se é um endereço broadcast, a ponte vai transmitir ou encaminhar o frame para o segmento 2. Ao encaminhar os pacotes, a ponte permite que qualquer um dos quatro dispositivos se comunique. Ao filtrar os pacotes, a ponte permite que a estação A transmita para a estação B ao mesmo tempo em que a estação C transmite para a estação D; assim, duas conversas acontecem simultaneamente.

Switches são versões modernas das pontes. Eles funcionam de maneira semelhante, mas oferecem umsegmento dedicado para cada nó da rede (mais informações sobre os switches a seguir).

Roteadores: segmentação lógica

As pontes podem reduzir o congestionamento ao permitir múltiplas conversações simultâneas em segmentos diferentes, mas elas também têm seus limites na segmentação do tráfego.

Uma característica importante das pontes é que elas encaminham endereços broadcast da Ethernet para todos os segmentos conectados. Isso é necessário, já que os endereços broadcast são endereçados para todos os nós da rede. O problema é que as redes em ponte podem se tornar muito grandes. Quando um grande número de estações transmite em broadcast numa rede em ponte, o congestionamento pode ser imenso. Isso criaria uma situação semelhante a um congestionamento em um segmento simples.

Os roteadores são componentes avançados de rede que podem dividir uma rede em duas redes lógicas independentes. Os endereços broadcast da Ethernet cruzam as pontes em busca de cada nó da rede, mas não atravessam os roteadores, porque os roteadores criam uma barreira lógica para a rede.

Os roteadores operam com protocolos independentes da tecnologia específica da rede, como Ethernet ou token ring (vamos falar sobre o token ring mais adiante). Isso permite que os roteadores interconectem várias tecnologias de rede (local ou de longa distância) e foi um dos componentes que facilitaram a conexão de vários dispositivos em várias partes do mundo para formar a Internet.

Consulte Como funcionam os roteadores para obter informações detalhadas sobre essa tecnologia.

Ethernet comutada

As redes Ethernet modernas não se parecem em nada com as versões mais antigas. Em redes Ethernet antigas, as estações eram conectadas por longos cabos coaxiais. Nas redes modernas  se usa cabeamento de par trançado ou fibra ótica para conectar as estações em um padrão radial. Enquanto as redes antigas transmitiam dados a uma velocidade de 10 megabits por segundo (Mbps), as redes modernas podem operar a 100 ou até 1.000 Mbps.

Talvez o maior avanço das redes Ethernet atuais seja o uso da Ethernet comutada. As redes comutadas substituem a mídia compartilhada utilizada pela Ethernet antiga por um segmento dedicado para cada estação. Esses segmentos se conectam a um switch, que funciona de maneira parecida com uma ponte Ethernet, mas pode conectar mais segmentos de estações únicas. Alguns switches podem suportar centenas de segmentos dedicados. Como os únicos dispositivos nos segmentos são o switch e a estação final, os switches recebem todas as transmissões antes de elas chegarem ao nó seguinte. O switch então encaminha o frame para o segmento apropriado, do mesmo jeito que uma ponte o faria. Como cada segmento contém um único nó, o frame só alcança o destinatário desejado. Esse procedimento permite múltiplas conversações numa rede comutada (consulte Como funcionam os switches LAN - rede de comunicação local - para aprender mais sobre a tecnologia de switches).

Ethernet full-duplex

A Ethernet comutada gerou outro avanço: a Ethernet full-duplex. Full-duplex é uma expressão de comunicação de dados que se refere à capacidade de enviar e receber dados ao mesmo tempo.

A Ethernet antiga é half-duplex, ou seja, a informação só pode se mover em uma direção por vez. Numa rede totalmente comutada, os nós só se comunicam com o switch e não diretamente com outro nó. As redes comutadas podem utilizar cabeamento de par trançado ou fibra ótica. Ambos utilizam condutores independentes para enviar e receber dados. Nesse tipo de ambiente, as estações Ethernet podem esquecer o processo de detecção de colisão e transmitir à vontade, já que elas são os únicos dispositivos que podem acessar o meio. Isso permite que as estações finais transmitam para o switch ao mesmo tempo em que o switch transmite para elas. Assim, o ambiente se torna livre de colisões.

Ethernet ou 802.3?

Você já deve ter ouvido o termo 802.3 usado em lugar de ou em conjunto com o termo Ethernet. "Ethernet" se refere originalmente a uma implementação de rede padronizada pela Digital, Intel e Xerox - por esse motivo, ela também é conhecida como padrão DIX.

Em fevereiro de 1980, o Institute of Electrical and Electronics Engineers, ou IEEE (se pronuncia "I três E"), criou um comitê para padronizar as tecnologias de rede. O IEEE batizou esse comitê como grupo de trabalho 802. O nome foi baseado no ano e no mês de formação do grupo. Subcomitês do grupo de trabalho 802 pesquisavam separadamente diferentes aspectos das redes. O IEEE definiu cada subcomitê numerando-o como 802.X, em que X representava um número único para cada subcomitê. O grupo 802.3 padronizou a operação de rede CSMA/CD que tinha função equivalente à Ethernet DIX.

Ethernet e 802.3 são levemente diferentes em sua terminologia e formato de dados de seus frames, mas são idênticos na maioria dos aspectos. Hoje, o termo Ethernet se refere genericamente tanto à implementação DIX Ethernet quanto à padronização IEEE 802.3.

Tecnologias alternativas de redes: token ring

Além da Ethernet, a alternativa mais comum de redes é uma tecnologia desenvolvida pela IBM, chamadatoken ring. A Ethernet depende de espaços aleatórios entre as transmissões para regular o acesso ao meio, ao passo que o token ring implementa um sistema de acesso ordenado e estrito. Uma rede token ring organiza os nós em um anel lógico, como demonstrado a seguir. Os nós encaminham os frames em uma direção em volta do anel e removem o frame quando ele dá uma volta completa no anel.

  1. O anel é iniciado criando um token (ou ficha), que é um tipo especial de frame que dá à estação a permissão para transmitir.
  2. O token circula no anel como qualquer outro frame até encontrar uma estação que queira transmitir dados.
  3. Essa estação "captura" o token e substitui o frame do token por um frame que carrega dados. Esse frame circula na rede.
  4. Quando esse frame de dados retorna à estação transmissora, a estação remove o frame de dados, cria um novo token e encaminha esse token para o próximo nó do anel.
Os nós da rede token ring não buscam um sinal que carrega dados ou colisões. A presença do token assegura que a estação pode transmitir dados sem que outra estação a interrompa. As estações só transmitem um único frame de dados antes de passar o token; por isso, cada estação no anel terá uma chance para transmitir dados de maneira estrita e justa. Geralmente, as redes token ring transmitem dados numa velocidade de 4 ou 16 Mbps.

O padrão FDDI (Fiber-distributed data interface) é outra tecnologia que utiliza tokens e que opera em um par de anéis de fibra ótica. Cada anel passa um token em direções opostas. As redes FDDI ofereciam velocidades de transmissão de 100 Mbps. Inicialmente, esse tipo de padrão se tornou muito popular para as redes de alta velocidade. Com a criação da Ethernet de 100 Mbps, que é mais barata e mais fácil de se administrar, o padrão FDDI se tornou menos popular.

Tecnologia alternativa: modo de transferência assíncrono

Uma última tecnologia de rede que deve ser mencionada é o modo de transferência assíncrono(asynchronous transfer mode ou ATM). O ATM fica no limite entre as redes locais e as redes de longa distância. Esse tipo de rede pode conectar muitos dispositivos diferentes com alta confiabilidade e velocidade e cobre longas distâncias. As redes ATM são indicadas não só para dados, mas também para tráfego de voz e vídeo. Esse tipo de rede é bastante versátil e expansível. Essa tecnologia ainda não ganhou a aceitação esperada, mas é uma tecnologia bastante sólida e confiável.

A popularidade da Ethernet continua aumentando. Com quase 30 anos de aceitação da indústria, o padrão é bastante conhecido e estudado; por isso, a instalação e a resolução de problemas se tornam mais fáceis. Outras tecnologias avançaram, mas a Ethernet se torna cada vez mais rápida e funcional.

Como funciona o NAT (tradução de endereços de rede)

Como funciona o NAT (tradução de endereços de rede)
por Jeff Tyson - traduzido por HowStuffWorks Brasil

Introdução

Se você está lendo este artigo,  provavelmente está conectado à internet. A chance é grande de você estar usando Tradução de Endereços de Rede (NAT, do inglês Network Address Translation) neste exato momento.

A Internet cresceu mais do que qualquer pessoa poderia imaginar. Embora o tamanho exato não seja conhecido, a estimativa é que haja 100 milhões de computadores hospedeiros e mais de 350 milhões de usuários ativos na Internet. Isto é mais do que toda a população dos Estados Unidos. De fato, a taxa de crescimento é tal que o tamanho da Internet tem dobrado a cada ano

Mas o que o tamanho da Internet tem a ver com o NAT? Tudo! Para um computador se comunicar com outros computadores e servidores web na internet, ele deve ter um endereço IP. O endereço IP (IP vem do inglês - Internet Protocol, ou protocolo de internet) é um número exclusivo de 32 bits, que identifica a localização do seu computador em uma rede. Basicamente, funciona como o nome da sua rua - e é um jeito de saber exatamente onde você está e levar informações até você.

Quando o endereçamento IP surgiu, todos pensavam que havia endereços suficientes para cobrir qualquer demanda. Teoricamente, poderiam existir 4.294.967.296 endereços exclusivos (232). O número real de endereços disponíveis é menor (algo entre 3,2 e 3,3 bilhões) por causa da forma como os endereços são separados em categorias, e porque alguns endereços são separados para multicast, testes ou outros fins específicos.

Com a explosão da internet e o aumento do número de redes domésticas e corporativas, o número de endereços IP disponíveis passou a não ser suficiente. A solução óbvia é redesenhar o formato do endereço para permitir que mais endereços sejam criados. Isto já está em desenvolvimento (é chamado IPv6), mas vai levar muitos anos para ser implementado porque requer a modificação de toda a infra-estrutura da internet.


O roteador NAT traduz o tráfego que entra e sai da rede local

É aí que entra o NAT (RFC 1631 - em inglês). O NAT permite que um único dispositivo, como um roteador, funcione como um agente entre a Internet (ou "rede pública") e uma rede local (ou "privativa"). Significa que apenas um endereço IP exclusivo é necessário para representar um grupo inteiro de computadores.

Mas a falta de endereços IP é apenas um dos motivos para usar o NAT. Neste artigo você aprenderá mais sobre como o NAT pode ajudar você. Mas antes vamos dar uma olhada mais de perto no NAT e ver exatamente o que ele pode fazer...

O que o NAT faz?

O NAT é como uma recepcionista de um grande escritório. Digamos que você tenha instruído a recepcionista para não passar nenhuma ligação para você a menos que você peça. Durante o dia, você liga para um cliente e deixa uma mensagem pedindo que ele retorne sua ligação. Você avisa a recepcionista que está esperando este cliente ligar e que esta ligação ela pode transferir.

O cliente liga para o número principal do seu escritório, que é o único que ele tem. Quando o cliente fala para a recepcionista que quer falar com você, a recepcionista procura em uma lista o seu nome com o seu ramal. A recepcionista sabe que você está esperando esta ligação e, portanto, transfere a ligação para o seu ramal.

Desenvolvido pela Cisco, o NAT é usado por um dispositivo (firewall, roteador ou computador) que fica entre uma rede interna e o resto do mundo. O NAT tem muitos formatos e pode trabalhar de várias formas:

  • NAT estático - mapeamento de um endereço IP privativo (da rede interna) para um endereço IP válido (público) em uma base um-para-um. É útil principalmente quando um dispositivo precisa estar acessível de fora da rede.


No NAT estático, o computador com o endereço IP 192.168.32.10 sempre será traduzido para 213.18.123.110

  • NAT dinâmico - mapeia um endereço IP privativo para um endereço IP público dentro de um grupo de endereços IP públicos.


No NAT dinâmico, o computador com endereço IP 192.168.32.10 será traduzido para o primeiro endereço disponível na faixa de 213.18.123.100 até 213.18.123.150

  • Overloading (sobrecarga) - um tipo de NAT dinâmico que mapeia múltiplos endereços IP privativos para um único endereço IP público, usando portas diferentes. Também é conhecido como PAT (tradução de endereço de porta, do inglês Port Address Translation), NAT de endereço único, ou NAT multiplexado por portas.


No overloading, cada computador na rede interna é traduzido para o mesmo endereço IP (213.18.123.100), mas com uma porta diferente

  • Overlapping (sobreposição) - quando os endereços IP usados na sua rede interna são endereços IP usados em outra rede, o roteador deve manter uma tabela destes endereços para que consiga interceptá-los e trocá-los por endereços IP públicos únicos. Vale salientar que o roteador NAT deve traduzir os endereços "privativos" para endereços públicos, assim como traduzir os endereços "públicos" para endereços que sejam únicos dentro da rede. Isto pode ser feito através do NAT estático ou usando DNS com NAT dinâmico.


A faixa de IPs privativos (237.16.32.xx) é a mesma cadastrada em outra rede. Portanto, o roteador traduz os endereços para evitar conflitos com outra rede. Também vai traduzir os endereços IP públicos globais de volta para endereços IP locais quando informações forem enviadas para a rede interna.

A rede interna é geralmente uma LAN (do inglês Local Área Network, ou rede local), também chamada destub domain (ou domínio stub). Um domínio stub é uma LAN que usa endereços IP internamente. A maior parte do tráfego de rede neste tipo de domínio é local, e portanto não sai da rede interna. O stub domain pode ter endereços IP privativos e públicos. É claro que qualquer computador que esteja usando um endereço IP privativo precisará do NAT para se comunicar com o resto do mundo.

O NAT pode ser configurado de várias maneiras. No exemplo abaixo, o roteador NAT está configurado para traduzir endereços IP privativos, da rede interna, para endereços IP públicos. Isto acontece sempre que um dispositivo interno com um endereço privativo precisa se comunicar com a rede pública (externa).

  • Um provedor de internet (ISP) designa uma faixa de endereços IP para a sua empresa. Este bloco contém endereços IP públicos e exclusivos, e são chamados de endereços "globais internos". Endereços IP privativos são divididos em dois grupos. Um deles é um grupo pequeno (endereços "locais externos") que vão ser usados pelos roteadores NAT. O outro, um grupo bem maior, conhecido por endereços "locais interno", será usado na rede interna. Os endereços locais externos local são usados para traduzir os endereços IP exclusivos, conhecidos como endereços "globais externos", de dispositivos na rede pública.


Endereços IP têm diferentes designações, dependendo do local onde estão ( rede privativa ou  rede pública - internet) e se o tráfego for de entrada ou de saída

  • A maioria dos computadores da rede interna comunica-se usando os endereços "locais internos".
  • Alguns computadores da rede interna comunicam-se muito fora da rede. Estes computadores têm endereços "globais internos", o que significa que não precisam de tradução.
  • Quando um computador na rede interna com um endereço "locais internas" quer se comunicar fora da rede, o pacote vai para um dos roteadores NAT.
  • O roteador NAT confere a tabela de roteamento para ver se há uma entrada para o endereço de destino. Se houver, o roteador NAT traduz o pacote e cria uma entrada para ele na tabela de tradução de endereços. Se o endereço de destino não estiver na tabela de roteamento, o pacote é descartado.
  • Usando um endereço "global interno", o roteador envia o pacote para o seu destino.
  • Um computador na rede pública envia um pacote para a rede privativa. O endereço de origem no pacote é um endereço "global externo", enquanto que o endereço de destino é um endereço "global interno".
  • O roteador NAT examina a tabela de tradução de endereços e determina que o endereço de destino esteja ali, mapeado a um computador na rede interna.
  • O roteador NAT traduz o endereço "global interna" do pacote para um endereço "local interno", e o envia para o computador de destino.

O overloading utiliza uma característica da pilha do protocolo TCP/IP, chamada multiplexação, que permite que um computador mantenha várias conexões simultâneas com um computador (ou computadores) remoto, usando portas TCP ou UDP diferentes. O pacote IP tem um cabeçalho que contém as seguintes informações:

  • endereço de origem - o endereço IP do computador de origem, como por exemplo 201.3.83.132
  • porta de origem - o número da porta TCP ou UDP designada pelo computador de origem para o pacote, como porta 1080
  • endereço de destino - o endereço IP do computador que vai receber o pacote, como 145.51.18.223
  • porta de destino - o número da porta TCP ou UDP que o computador de origem pede para o computador de destino abrir, como porta 3021

Os endereços especificam as duas máquinas em cada ponta, enquanto os números de porta garantem que a conexão entre os dois computadores possua um identificador único. A combinação destes quatro números define uma conexão TCP/IP única. Cada número de porta usa 16 bits, o que significa que existem 65.536 (216) valores possíveis. Na verdade, como cada fabricante mapeia as portas de um jeito diferente, existem cerca de 4 mil portas disponíveis.

NAT dinâmico e overloading

O NAT dinâmico funciona assim:
  • uma rede interna foi configurada com endereços IP que não foram especificamente alocados para aquela empresa, pela IANA (Internet Assigned Numbers Authority - em inglês), a autoridade mundial que distribui endereços IP. Estes endereços devem ser considerados não roteáveis, já que não são únicos;

  • a empresa configura um roteador compatível com o NAT. O roteador tem uma faixa de endereços IP exclusivos fornecidos à empresa pela IANA;

  • um computador da rede interna tenta se conectar a um computador da rede externa, como, por exemplo, um servidor de Internet;

  • o roteador recebe o pacote do computador da rede interna;

  • o roteador salva o endereço IP não roteável do computador em uma tabela de tradução de endereços. O roteador substitui o endereço IP não roteável do computador de origem pelo primeiro endereço IP disponível na faixa de endereços IP exclusivos. A tabela de tradução agora tem um mapeamento do endereço IP não roteável do computador, correspondente a um dos endereços IP exclusivos;

  • quando um pacote volta do computador de destino, o roteador confere o endereço de destino no pacote. Ele então busca na tabela de tradução de endereços o computador da rede interna ao qual o pacote pertence. Ele muda o endereço de destino para um dos endereços salvos na tabela de tradução e envia o pacote para aquele computador. Se ele não encontrar um correspondente na tabela, descartará o pacote;

  • o computador recebe o pacote do roteador. O processo se repete enquanto o computador estiver se comunicando com o sistema externo;

O overloading funciona assim:

  • uma rede interna foi configurada com endereços IP não roteáveis que não foram especificamente alocados à empresa pela IANA;

  • a empresa configura um roteador compatível com o NAT. O roteador tem um endereço IP exclusivo fornecido à empresa pela IANA;

  • um computador da rede interna tenta se conectar a um computador da rede externa, como, por exemplo, um servidor de internet;

  • o roteador recebe o pacote do computador da rede interna;

  • o roteador salva o endereço IP não roteável e o número da porta do computador em uma tabela de tradução de endereços. O roteador substitui o endereço IP não roteável do computador de origem pelo endereço IP do roteador. O roteador substitui a porta de origem do computador que enviou o pacote pelo número da porta que o roteador salvou na tabela de tradução de endereços junto com outras informações de endereço do computador de origem. A tabela de tradução agora tem um mapeamento do endereço IP não roteável e da porta do computador, junto com o endereço IP do roteador;

  • quando um pacote volta do computador de destino, o roteador confere a porta. Ele então busca na tabela de tradução de endereços o computador da rede interna ao qual o pacote pertence. Ele muda o endereço e a porta de destino para um dos endereços salvos na tabela de tradução e envia o pacote para aquele computador;

  • o computador recebe o pacote do roteador. O processo se repete enquanto o computador estiver se comunicando com o sistema externo;

  • como o roteador NAT agora tem o endereço e a porta de origem do computador salvos na tabela de tradução de endereços, ele vai continuar usando o mesmo número de porta enquanto durar a conexão. Um relógio é zerado cada vez que o roteador acessar uma entrada da tabela. Se a entrada não for acessada novamente antes de o tempo expirar, ela é removida da tabela.

Veja nesta tabela como os computadores em uma rede interna seriam vistos por uma rede externa.

Computador
de origem
Endereço IP
do computador
de origem
Porta
do computador
de origem
Endereço IP
do roteador NAT
Número da porta
designado para
o roteador NAT
A
192.168.32.10
400
215.37.32.203
1
B
192.168.32.13
50
215.37.32.203
2
C
192.168.32.15
3750
215.37.32.203
3
D
192.168.32.18
206
215.37.32.203
4

Como você pode ver, o roteador NAT armazena o endereço IP e número de porta de cada computador na tabela de tradução de endereço. Ele então substitui o endereço IP pelo seu próprio endereço IP público e o número da porta correspondente ao local, na tabela, da entrada para o computador de origem do pacote. Portanto, qualquer rede externa vê o endereço IP do roteador NAT e o número de porta designado pelo roteador como informações do computador de origem em cada pacote.

Você pode ter ainda alguns computadores na rede interna que usam endereços IP dedicados. Você também pode criar uma lista de acesso de endereços IP que dizem ao roteador quais computadores na rede precisam do NAT. Todos os outros endereços vão passar sem tradução.

O número de traduções simultâneas que o roteador suporta é determinado principalmente pela quantidade de memória DRAM (Dynamic Random Access Memory, ou memória de acesso randômico dinâmico) que ele tem. Mas como uma entrada na tabela de tradução de endereços tem cerca de 160 bytes apenas, um roteador com 4MB de DRAM teoricamente poderia processar 26.214 traduções simultâneas, o que é suficiente para a maioria das aplicações.

A IANA separou faixas de endereços IP não roteáveis para uso em redes internas. Estes endereços são considerados privativos (para mais informações, confira RFC 1918: Alocação de endereços para redes internas - inglês). Nenhuma empresa ou agência pode reclamar a posse de endereços privativos ou usá-los em computadores públicos. Os roteadores descartam (ao invés de encaminharem) endereços privativos. Isto significa que um pacote de um computador com endereço privativo poderia chegar ao computador de destino, mas a resposta seria descartada pelo primeiro roteador ao qual o pacote chegasse.

Há uma faixa para cada uma das três classes de endereços IP usados para redes:

  • Faixa 1: classe A - 10.0.0.0 até 10.255.255.255
  • Faixa 2: classe B - 172.16.0.0 até 172.31.255.255
  • Faixa 3: classe C - 192.168.0.0 até 192.168.255.255
Apesar de cada faixa estar em uma classe diferente, você não precisa usar uma faixa específica para a sua rede interna. Porém, é recomendável usar, porque reduz bastante a chance de conflito de endereços IP.

Segurança e administração

Implementar o NAT dinâmico automaticamente cria um firewall entre a rede interna e as redes externas, ou entre a sua rede interna e a Internet. O NAT só permite conexões que têm origem na rede interna. Ou seja, um computador de uma rede externa não pode se conectar ao seu computador a não ser que o seu tenha iniciado o contato. Você pode navegar na Internet e se conectar a um site, e até mesmo fazer o download de um arquivo; mas alguém de fora não consegue pegar seu endereço IP e usá-lo para se conectar a uma porta no seu computador.

Em casos específicos, o NAT Estático, também chamado de mapeamento de entrada, permite que dispositivos externos iniciem conexões a computadores da rede interna. Por exemplo, se você quisesse ir de um endereço "global interna" para um endereço "local interna" específico, atribuído ao seu servidor web, o NAT estático habilitaria esta conexão.


O NAT estático (mapeamento de entrada) permite que um computador na rede interna mantenha um endereço específico quando se comunicar com dispositivos fora da rede

Alguns roteadores NAT fornecem filtragem extensiva e registro de tráfego. A filtragem permite que sua empresa controle os sites que os funcionários podem visitar na Internet, evitando que eles acessem material indevido. Você pode usar o registro de tráfego para criar um arquivo de registro de quais sites são visitados e gerar vários relatórios a partir dele.

O NAT às vezes é confundido com servidores proxy, mas há diferenças entre eles. O NAT é invisível para os computadores de origem e de destino. Nenhum dos dois percebe que está lidando com um terceiro dispositivo. Mas o servidor proxy não é transparente. O computador de origem sabe que está fazendo um pedido para o servidor proxy e deve ser configurado para fazê-lo. O computador de destino pensa que o servidor proxy é o computador de origem, e conversa com ele diretamente. Além disso, os servidores proxy geralmente trabalham na camada 4 (transporte) do Modelo de Referência OSI (em inglês) ou acima dela, enquanto o NAT é um protocolo de camada 3 (rede). Trabalhar na camada mais alta faz os servidores proxy serem mais lentos do que dispositivos NAT, na maioria dos casos.


O NAT opera na camada de rede (camada 3) do Modelo de Referência OSI - esta é a camada na qual os roteadores trabalham

Um benefício real do NAT fica claro na administração de rede. Por exemplo, você pode mudar seu servidor web ou servidor FTP para outro computador, sem precisar se preocupar com links quebrados. Basta mudar o mapeamento de entrada no roteador para o novo computador. Você também pode fazer mudanças na sua rede interna com maior facilidade, pois o único endereço IP externo pertence ao roteador ou vem de um conjunto de endereços globais.

NAT e DHCP (dynamic host configuration protocol, ou protocolo de configuração de host dinâmico) andam juntos. Você pode escolher uma faixa de endereços IP privativos para sua rede interna e deixar o servidor DHCP distribuí-los conforme necessário. Também facilita bastante na hora de aumentar a rede, conforme suas necessidades. Você não precisa pedir mais endereços IP para a IANA. Ao invés disso, você pode aumentar a faixa de endereços IP disponíveis configurados no DHCP e imediatamente abrir espaço para mais computadores na sua rede.

Multi-homing

Como as empresas usam cada vez mais a Internet, possuir múltiplos pontos de conexão está rapidamente se tornando parte integrante de estratégias de rede. Múltiplas conexões, conhecidas como multi-homing, reduzem a chance de acontecer uma parada catastrófica se uma das conexões falhar.

Além de manter uma conexão confiável, o multi-homing permite que a empresa equilibre a carga, diminuindo o número de computadores que acessam a Internet por qualquer uma das conexões. Distribuir a carga em conexões múltiplas otimiza o desempenho e diminui bastante os tempos de espera.

As redes multi-homing geralmente são conectadas a vários provedores de Internet diferentes. Cada provedor designa um endereço IP (ou uma faixa de endereços IP) para a empresa. Os roteadores usam oBGP (Border Gateway Protocol), que é parte da suíte do protocolo TCP/IP, para rotear entre as redes usando protocolos diferentes. Em uma rede multi-homing, o roteador utiliza o IBGP (Internal Border Gateway Protocol) na rede interna e o EBGP (External Border Gateway Protocol) para se comunicar com outros roteadores.

O multi-homing faz toda a diferença se uma das conexões a um provedor cair. Assim que o roteador conectado a este provedor identifica que a conexão caiu, ele transfere todos os dados para um dos outros roteadores.

O NAT pode ser usado para facilitar o roteamento expansível para multi-homing, de múltiplos provedores. Para maiores informações sobre multi-homing, visite Cisco: Habilitando o Multihoming Corporativo (em inglês).