Mais que um blog, uma página pessoal com conteúdo.

Todo mundo já sabe e tem ouvido falar a um bom tempo sobre o fim dos endereços IPv4 e o inicio da implantação dos novíssimos IPv6.

Essa postagem seria um breve texto que idealizei na tarde da última terça-feira enquanto ensinava alguns tópicos à um funcionário. Como o texto começou à ficar grande, resolvi quebrar em partes para poder garantir uma melhor qualidade nos textos.

Antes de qualquer explicação, o que é IPv4 e o que é IPv6 e quem são os tais IANA, ICANN e LACNIC?

Você que clicou no link encurtado ou simplesmente chegou até aqui pelo Google ou RSS talvez não saiba o fluxo de informações gigantesco que foi desencadeado e a complexidade dos caminhos por onde seus dados passaram.

A Internet que conhecemos hoje, nasceu no final do século passado como resultado da interligação de redes de computadores do governo norte-americano em conjunto com alguns serviços criados pelo CERN (sim, aquele que também fez e mantem o LHC).

Quando a grande rede foi disponibilizada para o mundo, alguns órgãos foram criados para regulamentar a utilização da rede. Atualmente temos uma cadeia de autoridades que regem as regras que seguimos ou tentamos burlar. São eles:

• ICANN – É uma instituição sem fins lucrativos que gere a alocação de endereços IPs, administra os tão famosos servidores DNS dos TLDs (Top Level Domains) e também faz a atribuição dos sufixos DNS e códigos de país.
• IANA – Localizada abaixo do ICANN é quem atua na prática para gerenciar as distribuições dos blocos de endereços IP ao redor do mundo. A IANA não distribui blocos diretamente à um país e sim à uma região que é gerida por um RIR. A IANA tem como obrigação notificar os RIRs e os NICs sobre as novas alocações para que estes possam fazer a correta manutenção de suas redes e roteadores.
• RIRs – Os RIRs são instituições que fazem a distribuição por países, o RIR responsável pelo Brasil é o LACNIC, que gerencia as alocações de endereços para toda a América Latina. Os RIRs tem também a responsabilidade de notificar provedores e usuários avançados sobre alterações nas redes. O LACNIC e os demais RIRs tem também o banco de dados que é utilizado nas consultas do tipo WHOIS.

• Ainda abaixo dos RIRs existem as instituições nacionais, que fazem a distribuição dos domínios para sites e provedores. Dentro do Brasil temos por exemplo o Registro.br que faz a venda de domínios e também o NIC.br que coordena os trabalhos do Registro.br e outros órgãos. O NIC.br é um braço executivo do CGI.br que é o Comitê Gestor da Internet no Brasil.

Agora que você já sabe que existem órgãos que distribuem endereços IP em blocos, vamos entender como funciona o IPv4 apenas gerencialmente.

Os endereços IPv4 são os endereços que conhecemos hoje em dia e tem o característico formato xxx.xxx.xxx.xxx. Esses 4 conjuntos com 3 números é a representação decimal de quatro conjuntos de 8bits, cada conjunto é chamado de octeto, um endereço 200.201.202.203 poderia ser representado em forma binária por 11001000.11001001.11001010.11001011 ou em código Hexadecimal como C8.C9.CA.CB. Com isso temos o limite de cada octeto limitado à 255₁₀ ou 11111111₂ que também é igual à FF₁₆. Esses limites existem pois esgotam todas as combinações possíveis com os binários, o que nos da 256 números diferentes (0 a 255). Se fizermos um cálculo simples para saber qual o total de combinações possíveis com os quatro octetos, teremos “apenas” 4.294.967.296 endereços, ou seja, aproximadamente 4,2×10⁹. Apenas para fins de comparação o IPv6 suporta 3,4×10³⁸ endereços, segundo o ipv6.br isso representa 66.557.079.334.886.694.389 de endereços por cm² na superfície da Terra.

Quando a Internet era uma rede apenas para fins educacionais e tinha cerca de 100 computadores interligados, não havia uma preocupação de tamanha expansão que começou à ocorrer por vota de 1993. Para distribuir os generosos endereços foram criados 3 níveis de redes, aqui já vamos entender o conceito de rede e sub-rede. As redes foram divididas em 3 classes que foram nomeadas de A a C, veja tabela abaixo:

Essas classes eram distribuídas às empresas e universidades de acordo com seu tamanho, a IBM por exemplo, que é uma gigante iria receber uma rede Classe A, empresas médias, redes Classe B e enfim, empresas pequenas, teriam as redes Classe C. Com o número de redes limitados foram criados também grupos de endereço aos quais chamamos de IPs Privados, os IPs listados acima são todos públicos, ou seja, são acessíveis diretamente de qualquer lugar do mundo. Os IPs privados estão limitados à apenas três grupos. Veja tabela abaixo:

Para as redes criadas com IPs privados poderem ter acesso à uma rede de IPs públicos é necessário utilizar-se de um recurso chamado NAT (Network Address Tranlation). O NAT nada mais é do que um redirecionamento baseado em portas/endereços que é gerenciado por um gateway (roteador ou firewall, por exemplo). Vamos tentar exemplificar da seguinte forma:

Eu possuo um roteador Wireless em casa que está configurado para distribuir os endereços da rede 192.168.1.0/24 (ou se vocês preferirem, com máscara 255.255.255.0). Essa é uma rede Classe C e com máscara /24 (que você já está utilizando os 24 bits dos 3 primeiros octetos, o que demonstra o 255.255.255.0 ou em Hexa: FF.FF.FF.00). O Servidor desse blog está dentro da rede do meu provedor que possui um bloco de endereços públicos devidamente alocado pelo LACNIC, o IP atual do meu servidor web é 189.38.80.149.

Meu roteador Wireless é meu gateway nesse instante, ele está com o endereço IP 192.168.1.1 e meu notebook com o endereço IP 192.168.1.101, ao receber solicitações de qualquer pacote que não é da rede 192.168.1.0/24 o roteador encaminha então as informações através do NAT para outra rede, que é a rede do modem do meu NetVirtua e esse modem é um host de uma rede maior, à qual ele tem apenas um endereço IP, que nesse momento é 187.3.90.143. Esse sim conhece redes externas e então repassa a informação para um roteador que repassa pra outro até chegar enfim ao destino. Agora você já sabe melhor o que é o tal tracert ou traceroute.

Clique aqui para saber seu IP público de internet.

Com a existência então dos endereços de rede privados, podemos ter diversas redes 192.168.1.0/24 espalhadas pelo mundo e cada uma delas terá apenas um endereço público de internet. Ai surge uma nova questão, como acessar um dispositivo com o IP 192.168.1.123 de uma rede privada, estando em outra rede privada? Lembra do NAT? Ele funciona aqui também! Dentro de roteadores e firewalls podemos criar regras que encaminham pacotes que chegam através da rede pública, vamos à mais um exemplo:

Dentro da mesma rede que citei acima, tenho um computador que fica com o IP 192.168.1.2, quando quero acessar esse computador e estou fora da minha rede doméstica eu tendo me conectar no meu IP de internet e escolho uma porta específica, quando meu roteador recebe uma conexão na porta X ele sabe que aquilo se refere ao computador 192.168.1.2 e então faz o NAT para que eu chegue até o PC.

Com essa forma de utilização, não foi mais necessário fornecer IPs de internet diretamente aos computadores e com isso o IANA conseguiu adiar o fim do protocolo IPv4 que se fosse utilizado sem NAT teria esgotado todos os endereços a muito tempo.

Atualmente, com cada vez mais dispositivos ligados à internet e com cada vez mais casas e empresas com seus links, é estimado o fim dos endereços IPv4 para 2012.

A criação de encaminhamentos (NAT) pode ser feita de outra forma além da utilização de portas como citei, você pode criar um filtro que verifica o IP de origem da conexão e então faça um redirecionamento para dentro da rede. Vamos à mais um exemplo:

Eu posso configurar em meu roteador que todas as conexões vindas de um determinado IP de internet, por exemplo, 200.201.202.203 seja direcionado para o IP 192.168.1.5 da minha rede interna, com isso qualquer outro IP que tentar se conectar em meu IP público irá para um lugar e apenas quem sair da rede à qual pertence o endereço citado irá passar pelo meu gateway e chegar ao PC.

Uma das táticas utilizadas pra poder fornecer pequenos pedaços de redes para provedores e grandes empresas foi a criação de sub-redes, até então – mesmo com a utilização de NAT – as redes eram divididas nas Classes A, B e C e isso limitava muito a distribuição dos endereços.

Uma sub-rede é um pedacinho de uma rede maior e que utiliza uma máscara diferenciada para aquela classe, mais um exemplo:

Um provedor requisita um bloco de endereços para a entidade responsável em seu país, esse provedor não precisa de muitos endereços, vamos supor aqui que sejam apenas 200 IPs. A entidade de seu país entretanto é detentora de uma rede completa de Classe A que aqui iremos simular como 20.0.0.0/8 ou seja, todos os IPs entre 20.0.0.0 e 20.255.255.255. Para dividir isso o provedor pode ficar com apenas uma sub-rede da entidade local que pode ser 20.0.1.0/24 que abrange todos os IPs entre 20.0.1.0 até 20.0.1.255 e a máscara da sua sub-rede será 255.255.255.0, diferentemente de 255.0.0.0 que é o comum em redes Classe A.

Na próxima postagem irei abordar melhor como funcionam as máscaras de rede e fazer uma introdução ao IPv6.

Esse texto foi totalmente feito por mim e com base em informações retiradas da Wikipédia e dos sites Registro.br e IPv6.br já devidamente linkados no texto.

[]’s

Na era atual o conhecimento está disseminado, a informação está disponível para todos de graça, em qualquer lugar e a qualquer momento. Esta com uma dúvida sobre um trecho de código em Java? Pesquise no Google, as 13:00 de hoje vejam o que consegui:

É isso mesmo. São três milhões, quinhentos e cinquenta mil resultados sobre como fazer um hello world em Java. Agora vamos a absurda pergunta “Como construir uma bomba”, claro que agora surgiram resultados que variam de piadas até documentos técnicos bem interessantes (e assustadores em certo ponto). Pra que alguém procuraria como construir uma bomba? Não precisa de nenhum motivo pragmático do tipo “destruir a civilização judaico-cristã ocidental”, basta a professorinha pedir e lá vai um bando de 30 ou 40 alunos cheios de curiosidade consultar o tio Google. O conhecimento é o mesmo, oferece a esses alunos a oportunidade de construir algo maléfico mas o conhecimento é geral, a índole é que varia.

Estou desenvolvendo um script em Bash para Linux onde alguns arquivos são lidos e seus dados são enviados para um servidor MySQL instalado num super. datacenter, conhecido como meu quarto. Para enviar o texto pensei em diversas maneiras que variaram (e muito) mas a opção mais segura que encontrei é simples e funcional, preencher um formulário HTML com os dados e enviar via POST para o Apache onde um simples script em PHP faz a inserção dos dados no banco, agora surge o problema: Como montar um cabeçalho POST e dispara-lo utilizando o shell do Linux?

Desistir da idéia não é uma opção em tempos googléicos, recorri ao velho novo buscador e encontrei diversos exemplos em PHP, Phyton, Ruby, Perl e nada do bendito Bash, em um resultado ao qual o titulo me chamou a atenção encontrei a solução: Utilizar o NetCat (descrito como “Canivete Suíço do TCP” nesse artigo que é uma boa referência pra quem não sabe o que estou falando).

Agora que já obtive a solução para o meu problema vamos ao titulo do artigo que me abriu a cabeça para essa solução: HTML Form Brute Force. Interessante não é? Um tutorial sobre como utilizar um script em shell para ficar testando senhas aleatórias em um site qualquer que utiliza o método POST em algum formulário de autenticação. O pior, o negócio funciona! Eu montei um laboratório aqui para testar o script, ele consome banda excessiva e um processamento elevado além de ser demorado, mas como disse, funciona! Há ainda dicas de como otimizar seu script para que ele faça até 500 tentativas por segundo.

O que podemos concluir com isso? No mundo atual temos muitos “espertos” que sabem que um dia “a casa cai véi” mas insistem em tentar utilizar tais ferramentas para fins ilegais. Além do NetCat que estou me familiarizando melhor agora, eu gosto bastante do “nmap” que pode ser utilizado para exibir uma lista de portas abertas em um determinado host. Já usei o Nmap para monitorar serviços e verificar se alguns scripts que criei que deveria alterar algumas portas de serviços em determinados horários estava funcionando.

No fim todos tem direito à esse conhecimento, acho que isso deve reduzir a ignorância e talvez nos leve a um mundo mais civilizado mas enquanto as pessoas “espertas” tentarem coisas do tipo roubar senha de MSN/Hotmail ou até hackers de verdade que tentam invadir bancos e empresas vamos apenas garantir o emprego e bom salário dos profissionais de segurança (seja em TI ou nas ruas).

OBS.: Pelo amor do seu Windows, não baixe programas que prometam descobrir senhas do MSN alheio, não coloque seu usuário e sua senha em nenhum formulário ou em e-mail para contas do tipo pass.recovery2009@hotmail.com.

[]’s

Filosofando sozinho vem aquelas idéias geniais! Imaginando aqui se houvesse um apagão na internet, ou se como em São Paulo com os carros, houvesse um rodízio para que as pessoas pudessem acessar a grande rede?

Quem mora em São Paulo sabe como é, antes de sair de casa temos que ver se iremos para o tal “centro expandido” onde há uma restrição para que veículos com placas finais X não circulem nos horários de pico nessa região. Nos fins de semana é livre mas nas segundas os carros com placa final 1 e 2 não podem circular, terça 3 e 4  e assim sucessivamente.

Agora imagine você caro leitor, se todos tivéssemos endereços IP fixos e então por conta do uso excessivo da internet no Brasil estaríamos tendo problemas de lentidão com a grande rede e ai surge a idéia de fazer um rodízio como acontece com os carros. De fins de semana todos podem acessar tudo mas em dias de semana das 6 as 10hrs da manhã e das 17 as 21hrs o acesso seria negado para endereços com finais como falado das placas dos veículos.

Tudo bem, uma solução? Empresas e pessoas que se sentissem lesadas por isso iriam contratar um segundo link de internet com outro número IP (hoje acreditem, tem gente que tem 2 carros apenas por causa do rodízio).

Calma, isso não passa de uma idéia que provavelmente nunca ser tornará realidade, testes com fibra óptica de alta velocidade estão sendo muito elogiados e podemos garantir nossa conexão com o resto do mundo numa boa, o enrosco que temos hoje mesmo é com a Telefônica.

Bom, como todos sabem tivemos um apagão na noite de terça-feira, todos sem energia elétrica e consequentemente muitos sem internet. Ok, agora vamos imaginar um apagão na grande rede?

Vejamos, um conjunto de fibra óptica que liga nosso continente ao resto do mundo se rompe e todos ficamos sem conexão instantaneamente?

Imaginem o nível de prejuízo adquirido pelas empresas, quem seriam os culpados? O que causou o problema? Como nos prevenimos para que isso não ocorra?

Agora vem o fato, embora o rodízio seja brincadeira, todos se lembram desse fato que ocorreu em 2008 fazendo com que o estado de São Paulo praticamente parasse por causa de uma falha na rede da Telefônica. Só não foi pior pois existem outras operadoras de internet que ficaram no ar.

Espero que não tenhamos falhas assim, hoje o Brasil não tem um plano B no caso de falhas assim e quem é prejudicado com isso somos nós que trabalhamos com TI e sabemos a importância do bom funcionamento de nossos links.

[]’s