eudesdanilo@gmail.

com
 EMENTA

REDES DE COMPUTADORES, ARQUITETURA TCP/IP, SEGURANÇA

DE REDES, PLATAFORMAS DE GERÊNCIA DE REDES. GERÊNCIA DE
REDES MIB, SNMP, RMON.

2
CAPÍTULOS
1 – O QUE É REDES
2 – CAMADA OSI
3 – IPV4
4 – SEGURANÇA
5 – GERENCIAMENTO

3
 CAPÍTULO 1:
VIVENDO EM UM MUNDO
CENTRADO NA REDE
REDES MANTÊM A MANEIRA COMO
VIVEMOS

• A importância das redes;

• Como eram as redes antes;
• As redes atuais;
• A comunidade global.

5
 RECURSOS DISPONÍVEIS NA INTERNET AJUDAM A:
• Decidir o que vestir por meio das previsões do tempo on-line.
• Encontrar o caminho menos congestionado até o seu destino, mostrando vídeos sobre o clima e o trânsito.
• Olhar seu saldo bancário e pagar contas eletronicamente.
• Receber e enviar e-mail, ou fazer uma ligação pela Internet em um cyber café na hora do almoço.
• Obter informações sobre saúde e nutrição de especialistas ao redor do mundo e trocar informações em um
fórum sobre saúde ou tratamentos
• Baixar novas receitas e técnicas de culinária para criar um jantar espetacular.
• Compartilhar suas fotos, vídeos e experiências com amigos ou com o mundo.

6
 FERRAMENTAS DE COLABORAÇÃO

• Novas formas de
comunicação, após a ampla
adoção da Internet
• Wikis;
• IMs;
• Blogs;
• Whatsapp;
• Podcasting.

7
REDES APOIANDO A FORMA COMO APRENDEMOS

• Disponibilidade de cursos e-learning

• Recursos de ensino on-line
• Vantagens dos cursos on-line;
• Cursos mistos;
• Uso de ferramentas on-line.

8
REDES APOIANDO A FORMA COMO APRENDEMOS
• Benefícios às empresas:
• Materiais de treinamento atuais e precisos;
• Disponibilização de treinamento a um amplo público;
• Qualidade de ensino;
• Redução de custos.

9
COMUNICAÇÃO POR MEIO DE REDES

10
11
12
 REDES MÚLTIPLAS
• Cada dispositivo possui suas próprias versões dos elementos
básicos de rede;
• Antes, cada serviço necessitava de uma tecnologia diferente para
transmitir o seu sinal particular de comunicação;
• E cada serviço possuía seu conjunto de regras e padrões, para
prover comunicação com sucesso.

13
REDES CONVERGIDAS

• Possibilidade de consolidar
redes diferentes na mesma
plataforma
• Um tipo de rede que pode trafegar voz,
vídeo e dados sobre a mesma rede;
• Muitos pontos de contato e dispositivos
especializados.

14
15
ARQUITETURA DA REDE
• Características que são endereçadas pelo projeto da
arquitetura de rede:
• Tolerância a falha;
• Escalabilidade;
• Qualidade de Serviço;
• Segurança.

16
 QUALIDADE DE SERVIÇO

• Explicar os fatores necessários para a qualidade de serviço e os

mecanismos necessários para assegurá-la

17
COMUNICANDO-SE PELA REDE
Estrutura da Rede
Definir os elementos de comunicação
Três elementos comuns de comunicação
Origem da mensagem (Remetente) -> Origem (final)
O canal (Meio Físico) -> intermediário (até L3)
Destino da mensagem (Receptor) -> Destino (final)

Definir a rede
Dados ou redes de informação capazes de trafegar diferentes tipos de 19
comunicação
 ESTRUTURA DA REDE
• Segmentação e Multiplexação

20
 ESTRUTURA DA REDE
Dispositivos finais (host) e suas regras na rede
Dispositivos finais formam interface entre a rede humana e a rede de comunicações. (Gerar
Dados)
Tipos de dispositivos finais:
Cliente
Servidor
Ambos

21
 ESTRUTURA DA REDE
Cliente
Computadores (estações de trabalho, laptops, servidores de arquivo,
servidores Web)
Impressoras de rede
Telefones VoIP
Câmeras de segurança
Dispositivos móveis (tais como scanners de códigos de barras sem fio, PDAs)

22
ESTRUTURA DA REDE
• Servidor

23
 ESTRUTURA DA REDE
Papel de um dispositivo intermediário:
Prover conectividade entre dispositivos finais assegurando o fluxo de dados
pela rede.
Determinar caminhos para os dados;
Retemporizar e retransmitir os sinais de dados;
Gerenciar fluxos de dados

24
• Dispositivos Intermediários
• Dispositivos de Acesso a Rede (Hubs, switches e pontos de acesso sem
fio (access points)
• Dispositivos de Redes Interconectadas (roteadores)
• Servidores e Modems de Comunicação
• Dispositivos de Segurança (firewalls)

25
ESTRUTURA DA REDE
• Quais os critérios para a escolha dos meios de
rede?
• Meios de Rede

26
 TIPOS DE REDE

• Definir LAN (Local Area Network)

• Uma rede que serve residências, prédios ou campus é considerada uma rede local (LAN)

27
 TIPOS DE REDE

• Definir WAN (Wide Area Network)

• LANs separadas por amplas distâncias são conectadas por uma rede conhecida como Rede
de Longa Distância (WAN)

28
 TIPOS DE REDE

• Definir a Internet
• É uma malha global de redes interconectadas

29
PROTOCOLOS DE REDE
• Um padrão é um processo ou protocolo que foi endossado pela
indústria de rede e ratificado por uma organização de
padronização (Institute of Electrical and Electronics Engineers (IEEE)
ou o Internet Engineering Task Force (IETF).

30
PROTOCOLO DE REDE

protocolo comum que rege a

maneira como um servidor e um
cliente web interagem

protocolo de transporte que gerencia as conversas

individuais entre servidores e clientes web. O TCP
divide as mensagens HTTP em pedaços menores,
chamados de segmentos

responsável por retirar os segmentos formatados do

TCP, encapsulando-os em pacotes, atribuindo os
endereços adequados e selecionando o melhor
caminho para o host de destino.

protocolos de acesso a rede descrevem duas funções

básicas, gerenciamento de enlace de dados e a 31
transmissão física de dados no meio físico.
 PROTOCOLO DE REDE
• Tecnologia independente de protocolos
• Diversos tipos de dispositivos podem comunicar usando o mesmo conjunto de protocolos.
• Isto porque os protocolos especificam a funcionalidade da rede e não a tecnologia que os
deriva para suportar tal funcionalidade

32
 CAMADAS COM TCP/IP E OSI
• Benefícios em usar o modelo em camadas
• Ajuda no projeto de protocolos
• Estimula a competição
• Mudanças em uma camada não afeta outras
• Provê uma linguagem comum

33
 CAMADAS COM TCP/IP E OSI

• Protocolos e modelos de
referência
• Um modelo de protocolo provê um
modelo que aproxima a estrutura
de um conjunto de protocolos
particular
• Um modelo de referência provê
uma referência comum para manter
a consistência dentro de tipos de
protocolos de redes e serviços
34
 CAMADAS COM TCP/IP E OSI
• Descrever o Modelo TCP/IP
• Modelo aberto constituído de RFCs.

35
 CAMADAS COM TCP/IP E OSI

Unidade de Dados Protocolo (PDU - encapsulamento específico de camada)

Dados – O termo geral para a PDU

usada na camada de Aplicação
Segmento – PDU de Camada de Transporte
Pacote – PDU de Camada de Rede
Quadro – PDU de Camada de Enlace
Bits - Uma PDU usada ao se transmitir dados
fisicamente através do meio físico

36
 CAMADAS COM TCP/IP E OSI
• Definir o modelo OSI
Fornece os meios para a conectividade ponto-a-ponto entre indivíduos na rede
humana usando rede de dados.

Apresentação comum de dados transferidos entre serviços da camada de Aplicação

Fornece serviços à camada de Apresentação para organizar seus diálogo para

gerenciar a troca de dados

Define os serviços para segmentar, transferir e reunir os dados para

comunicações individuais entre dispositivos finais

Troca pedaços individuais de dados através da rede entre dispositivos finais

identificados.

Descrevem métodos para tocar quadros de dados entre dispositivos através de

Um meio físico comum.

37
Descreve meio exigir encapsulamentos dependentes da camadas mecânicos,
elétricos e funcionais e procedimentais para avaliar manter e desativar
conexões físicas para transmissão de bits para e/ou a partir de um dispositivo
CAMADAS COM TCP/IP E OSI
• Comparar os modelos OSI e TCP/IP

38
ESQUEMAS DE ENDEREÇAMENTO

• Osrótulos nos cabeçalhos de encapsulamento são

usados para gerenciar a comunicação em redes de
dados

39
 ESQUEMAS DE ENDEREÇAMENTO
• Controle de acesso ao meio (MAC)

40
ESQUEMAS DE ENDEREÇAMENTO
• O endereçamento hierárquico da camada 3.

41
 ESQUEMAS DE ENDEREÇAMENTO E NOMES
• Endereçamento da camada de transporte.

42
VÍDEO: GUERREIROS DA NET

43
CAPÍTULO 2:
CAMADA OSI
 FUNCIONALIDADE E
PROTOCOLOS DA CAMADA DE
APLICAÇÃO
APLICAÇÃO / SERVIÇO

46
 Aplicações – Interfaces entre Redes

• Camada de Apresentação
• Codificação e conversão dos dados
• Compressão dos dados
• Criptografia dos dados

• Camada de Sessão
– Criar e manter diálogos entre as aplicações na origem e no destino
47
– Manter ativos e reiniciar sessões interrompidas ou ociosas por um longo
período
APLICAÇÕES – INTERFACES ENTRE REDES
• Aplicações mais conhecidos da camada de aplicação
do TCP/IP

48
49
50
Aplicações – Interfaces entre Redes

51
 REDES PONTO A PONTO.
• atua como cliente e servidor dentro da mesma comunicação
• o modo híbrido inclui um diretório de arquivos centralizado
• A segurança é difícil de ser aplicada.
• recursos descentralizados
• compartilhamento de recurso sem um servidor dedicado
• Pode ser usada em uma rede cliente x servidor

52
 MODELO CLIENTE/SERVIDOR
Repositorio de dados
Administração e Segurança centralizada

53

Usa Daemon para escutar a Sempre faz/inicia ação

solicitação do cliente
SERVIDORES

• Servidores e seus processos (daemon)

DNS - Porta UDP 53

HTTP - Porta TCP 80
SMTP - Porta TCP 25
POP - Porta UDP 110
Telnet - Porta TCP 23
DHCP - Porta UDP 67
FTP - Portas TCP 20 e 21

54
SERVIÇOS E PROTOCOLOS DNS

55

• Usar o Comando nslookup

SERVIÇOS E PROTOCOLOS DNS

56
SERVIÇO WWW E HTTP

57
CAMADA DE TRANSPORTE DO
MODELO OSI
59
 PROPÓSITO DA CAMADA DE TRANSPORTE
• Rastrear a comunicação individual entre as aplicações nos hosts de origem e destino.
• Segmentar dados e gerenciar cada segmento
• Reagrupar os segmentos em fluxos de dados de aplicação
• Identificar as diferentes aplicações
• Separação em Múltiplas Comunicações

60
FUNÇÕES DA CAMADA DE TRANSPORTE

61
FUNÇÕES DA CAMADA DE TRANSPORTE

62

Impede congestionamento no receptor

Relembre que a função principal da camada de Transporte é gerenciar os dados da
aplicação para as conversações entre os hosts.
 três operações básicas de confiabilidade são
rastreamento de dados transmitidos
confirmação de dados recebidos
retransmissão de quaisquer dados não confirmados
cria um dilema entre o valor de confiabilidade e a carga que ela coloca sobre a rede

63
FUNÇÕES DA CAMADA DE TRANSPORTE
Comando: Netstat

64
 FUNÇÕES DA CAMADA DE TRANSPORTE

• Como o número de portas é representado;

• Como as regras do número de portas são
descritas nos protocolos TCP e UDP.

65
FUNÇÕES DA CAMADA DE TRANSPORTE

• Segmentação e Reagrupamento no TCP e UDP.

66
 PROTOCOLO TCP
• Regras do número de portas ao estabelecer sessões TCP e
direcionar os segmentos para o servidor processar

67
 PROTOCOLO TCP
• Passos do handshake no estabelecimento de sessões do TCP

68
 PROTOCOLO TCP
• Passos do handshake no término das sessões do TCP

69
PROTOCOLO TCP
• Analisando WireShark (syn)

70
PROTOCOLO TCP
• Analisando WireShark (syn, ack)

71
PROTOCOLO TCP
• Analisando WireShark (ack)

72
 GERENCIAMENTO DE SESSÕES TCP
Número de sequências do TCP são usados para reconstruir o fluxo dos dados com
segmentos ordenados.
Essecontrole de fluxo a medida que os seguimentos viajam da origem ao destino
chama-se janelamento

73
GERENCIAMENTO DE SESSÕES TCP
• Janelamento e congestionamento.

74
PROTOCOLO UDP

Características do UDP;
Tipos de comunicação que o UDP suporta.
Baixo Overhead

75
PROTOCOLO UDP
• Processoespecificado pelo UDP para reagrupar
PDUs no destinatário.

76
 PROTOCOLO UDP
• Passos
para utilização do número de portas pelo
UDP em comunicação Cliente/Servidor

77
CAMADA DE REDE DO
MODELO OSI
79
 PROTOCOLOS DA CAMADA DE REDE –
INTERNET PROTOCOL (IP)

• Endereçamento
• Encapsulamento
• Roteamento
• Decapsulamento

80
PROTOCOLOS DA CAMADA DE REDE –
INTERNET PROTOCOL (IP)

81
IPV4

82
IPV4

83
IPV4

84
DIVISÃO DE HOSTS EM GRUPOS
• Razões para agrupar dispositivos em sub-redes.
• Termos usados para identificar sub-redes.

85
DIVISÃO DE HOSTS EM GRUPOS
• Formas de dividir uma grande rede pode
aumentar a performance da rede

86
DIVISÃO DE HOSTS EM GRUPOS
• Problemas de comunicação, relacionados a
endeçamento, quando um número grande de
dispositivos são instalados numa rede.

87
DIVISÃO DE HOSTS EM GRUPOS

Endereçamento hierárquico soluciona problemas de

comunicação de dispositivos através da rede de redes

88
DIVISÃO DE HOSTS EM GRUPOS
• Propostade adicionar subdivisão de redes dentro
de redes menores

89
 ROTEAMENTO
• Regrade um dispositivo intermediário como gateway para permitir
que dispositivos se comuniquem através de redes subdivididas

90
ROTEAMENTO
• Passos de como um pacote IP atravessa a rede.

91
PROCESSOS DE ROTEAMENTO
• Tabela de Roteamento

92
PROCESSOS DE ROTEAMENTO
• Uso da rede de destino numa rota.
• Rede de destino
• Próximo salto
• Métrica

93
PROCESSOS DE ROTEAMENTO
Protocolos de Roteamento;
Rotas Estáticas;
Rotas Dinâmicas.

94
CAMADA DE ENLACE DE
DADOS DO MODELO OSI
 RECAPITULANDO:
A camada de Aplicação fornece a interface para o usuário.
A camada de transporte é responsável pela divisão e gerenciamento das
comunicações entre os processos que são executados nos dois sistemas finais.

Os protocolos da camada de rede organizam os dados de comunicação de

modo que eles possam viajar através da conexão de rede a partir do host de
origem até o host de destino.

96
 CAMADA DE ENLACE DE DADOS – ACESSO AO MEIO
• Termos da Camada de Enlace:
• Permite às camadas superiores acessarem o meio usando técnicas como enquadramento
• Controla como o dado é colocado sobre o meio e é recebido do meio usando técnicas como o
controle de acesso ao meio e detecção de erros.

Facilitar a entrada e Saída

do Meio Físico

97
CAMADA DE ENLACE DE DADOS – ACESSO AO MEIO
Por que os protocolos da camada de Enlace são
requeridos para controlar o acesso ao meio?

98
Camada de Enlace de Dados – Acesso ao Meio
• Criação de um Quadro
• Quais nós estão em comunicação.
• Quando a comunicação entre nós individuais começa e quando ela
termina.
• Quais erros ocorreram enquanto os nós se comunicavam.
• Quais os próximos nós que se comunicarão.

• Dados - O pacote da camada de Rede

• Cabeçalho - Contém a informação de controle, como endereçamento, e é
localizado no início da PDU.
• Trailer - Contém a informação de controle adicionada ao final da PDU 99
Camada de Enlace de Dados – Acesso ao Meio
• Regrada camada de Enlace de Dados na ligação das
camadas de software e hardware.

100
Camada de Enlace de Dados – Acesso ao Meio

Conexões Virtuais

Não ultrapassa
a LAN

101
Camada de Enlace de Dados – Acesso ao Meio
Fontes dos padrões e protocolos usados pela
camada de Enlace de Dados (Definidas por RFCs)

102
 TÉCNICAS DE CONTROLE DE ACESSO AO MEIO

• A necessidade de controlar o acesso ao meio (Topologia Lógica )

• Deterministico
• Sem Colisão
• Alto Overhead

103
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO

104
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO

105
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
• Full Duplex;
• Half Duplex;
• Controle de Acesso ao Meio em meios não compartilhados.

106
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
• Topologia Lógica e Física

107
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
• Características da topologia de Multi-Acesso;
• CSMA/CD e CSMA/CA

108
VELOCIDADE X COMPLEXIDADE

109
ENDEREÇAMENTO E ENQUADRAMENTO DE
DADOS – CONTROLE DE ACESSO AO MEIO

Fatores que devem ser levado em

consideração para Camada 2:
- Escopo Geográfico da Rede
- Implementação da Camada Física
Quadro Quadro HDLC - Número de Hosts
Wireless
802.11
Quadro PPP

Quadro FRAME RELAY 802.5

Quadro ETHERNET 802.3

110
CAMADA FÍSICA DO
MODELO OSI
 PROTOCOLOS E SERVIÇOS DA CAMADA FÍSICA
Proposta da camada Física na rede;
Elementos básicos que habilitam esta camada para preencher suas funções.

112
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA

• Regra de bits na representação do quadro;

• Como o quadro é transportado pelo meio local.

113
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA

• Regra de sinalização no meio físico

114
 SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA

• Diferenças entre quem estabelece e mantém padrões para a camada

Física, comparada às outras camadas.

115
 SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA

• Tecnologias de Camada Física.

• Propriedades físicas e elétricas do meio físico

• Propriedades mecânicas (materiais, dimensões, pinouts) dos conectores
• Representação de bit por sinais (codificação)
• Definição dos sinais de informações de controle

116
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA

• Componentes Físicos, Codificação e Sinalização.

117
 SINALIZAÇÃO E CODIFICAÇÃO DA CAMADA FÍSICA
• Largura de Banda (Mede a quantidade de informação que pode fluir de um lugar a outro
durante um determinado tempo);

• Throughput (é a medida de transferência de bits através do meio físico durante um

determinado período);

• Goodput (Medida de dados úteis transferido durante um determinado período)

118
 CARACTERÍSTICAS E USO – MEIO DE REDE

• Impacto da interferência no throughput;

• Regras de cabeamento apropriado para reduzir a interferência.

119
CARACTERÍSTICAS E USO – MEIO DE REDE
• Características básicas do cabo UTP
• Evitar Diafonia (linha cruzada)

120
CARACTERÍSTICAS E USO – MEIO DE REDE

IEEE 802.11

IEEE 802.15

IEEE 802.16

121
VERIFICAÇÃO DE CONECTIVIDADE

Cabos Equipamentos
UTP e STP Testador de Cabo
Coaxial Multitmetro
Fibra OTDR

122
CONECTORES

123
CAPÍTULO 3:
IPV4
ENDEREÇAMENTO DE REDE
- IPV4
ESTRUTURA DE ENDEREÇAMENTO IP
Estrutura decimal pontuada de um endereço IP binário

126
ESTRUTURA DE ENDEREÇAMENTO IP
Regra geral de 8 bits no endereçamento da rede;
Conversão binário para decimal

127
CONVERSÃO BINÁRIO - DECIMAL

128
CONVERSÃO DECIMAL - BINÁRIO

129
CLASSIFICAÇÃO DE ENDEREÇOS IPV4

130
IP TIPO INTERVALO

Privado de 10.0.0.0 a 10.255.255.255 (10.0.0.0 /8)

de 172.16.0.0 a 172.31.255.255 (172.16.0.0 /12)
de 192.168.0.0 a 192.168.255.255 (192.168.0.0 /16)

Multicast de 224.0.0.0 à 239.255.255.255

Público De 0.0.0.0 à 223.255.255.255

Experimental 240.0.0.0 á 240.255.255.254

131
 Normal Calculo Renderizado Qtd de host
255.128.0.0 /9 8.388.606
255.192.0.0 /10 4.194.302
255.224.0.0 /11 2.097.150
255.240.0.0 /12 1.048.574

M
255.248.0.0 /13 524.286
255.252.0.0 /14 262.142

A 255.254.0.0 /15 131.070

S
255.255.0.0 /16 65.534
255.255.128.0 255 – (64 + 32 + 16 + 8 + 4 + 2 + /17 (128 x 256) – 2 =

C
1) 32.766
255.255.192.0 255 – (32 + 16 + 8 + 4 + 2 + 1 ) /18 (64 x 256) – 2 = 16.382

A 255.255.224.0 255 – ( 16 + 8 + 4 + 2 + 1 ) /19 (32 x 256) -2 = 8.190

R
255.255.240.0 255 - ( 8 + 4 + 2 + 1 ) /20 (16 x 256) -2 = 4.094
255.255.248.0 255 - ( 4 + 2 + 1 ) /21 (8 x 256) - 2 = 2.046

A 255.255.252.0
255.255.254.0
255 ( 2 + 1 )
255 - (1 )
/22
/23
(4 x 256) – 2 = 1.022
(2 x 256) -2 = 510
255.255.255.0 0 /24 256 -2 = 254
255.255.255.128 (128) /25 (256 – 128) – 2 = 126
255.255.255.192 (128 + 64) /26 (256 – 192) -2 = 62
255.255.255.224 (128 + 64 + 32) /27 (256 – 224) -2 = 30
255.255.255.240 ( 128 + 64 + 32 + 16) /28 (256 – 240) -2 = 14
255.255.255.248 (128 + 64 + 32+ 16 + 8) /29 (256 – 248) – 2 = 6
132
255.255.255.252 (128 + 64 + 32 + 16 + 8 + 4) /30 (256 – 252) -2 = 2
FAZER ATIVIDADE 6.2.2.2

133
FAZER ATIVIDADE 6.2.2.2

134
FAZER ATIVIDADE 6.2.2.2

135
CLASSIFICAÇÃO DE ENDEREÇOS IPV4

136
CLASSIFICAÇÃO DE ENDEREÇOS IPV4

137
CLASSIFICAÇÃO DE ENDEREÇOS IPV4

138

*Broadcast Direcionado
CLASSIFICAÇÃO DE ENDEREÇOS IPV4

139
CLASSIFICAÇÃO DE ENDEREÇOS IPV4

140
 CLASSIFICAÇÃO DE ENDEREÇOS IPV4

• Endereços públicos e endereços privados

• 10.0.0.0 /8
• 172.16.0.0 à 172.31.255.255 /12
• 192.168.0.0./16

141
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
• Endereços especiais.

• Endereços de Rede e Broadcast.

• Rota Padrão 0.0.0.0/8
• Loopback (127.0.0.0/8)
• Endereços Locais de Link (169.254.0.0/16)
• Endereços TEST-NET (192.0.2.0 /24)

142
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
• Classless X Classfull

143
 ATRIBUIÇÃO DE ENDEREÇOS

• O processo de requisição de endereços públicos IPv4;

144
 ATRIBUIÇÃO DE ENDEREÇOS
• Diferentes tipos de ISPs e suas regras para prover conectividade
na Internet

145
 ATRIBUIÇÃO DE ENDEREÇOS

• Alterações feitas ao protocolo IP em IPv6

• Motivação de migração de IPv4 para IPv6
• Maior espaço de endereços
• Tipos de dados e Classes de serviço
• Autenticação e Criptografia

146
 MÁSCARA DE SUB-REDE DE TAMANHO VARIÁVEL (VLSM)
(HTTP://WWW.4SHARED.COM/OFFICE/UE8R8LVO/TABELA
_DE_IP_VLSM.HTML)

147
COMO ATRIBUIR IP’S PARA REDE ABAIXO?

SÃO PAULO CURITIBA

... ...

230 computadores 200 computadores

148
 SÃO PAULO CURITIBA

... ...

1000 computadores 2000 computadores

...
RIO DE JANEIRO 500 computadores

149
REDES COM POUCOS MICROS

• Apenas uma classe de rede 192.168.1.0 /24

• Matriz com 100 computadores;
• Filial 1 com 56 computadores;
• Filial 2 com 28 computadores;
• Filial 3 com 10 computadores;
• Todas elas as matriz possuem link PPP com a matriz;

150
CÁLCULO DE ENDEREÇOS
• Mecânica da Divisão em Sub-redes.

151
CÁLCULO DE ENDEREÇOS

152
CÁLCULO DE ENDEREÇOS

153
TESTE DA CAMADA DE REDE
Comandos ping, trace;
Operação destes comandos na rede
Uso do ping para determinar se o protocolo IP é
operacional no host local

154
CAPÍTULO 4:
SEGURANÇA
SEGURANÇA
O sistema informático mais seguro não é utilizável

O sistema informático mais utilizável é inseguro

Só existe um computador 100% seguro, o desligado.

157
 INTRODUÇÃO
• A segurança no universo computacional divide-se em:
• Segurança Física
• Segurança Lógica

• A Segurança da Informação pode ser definida como a

proteção de dados contra a revelação acidental ou
intencional a pessoas não autorizadas, e contra alterações
não permitidas.

158
O QUE VOCÊ ESTÁ TENTANDO
PROTEGER?

• Suas informações
Integridade
Privacidade
Disponibilidade
• Seus recursos
• Sua reputação

159
 CONTRA O QUE VOCÊ ESTÁ TENTANDO
SE PROTEGER?

• Roubo de senhas
• Engenharia Social
• BUG & Backdoors
• Falha de autenticação
• Falha de protocolo
• Obtendo Informações
• Negando serviços (DoS)
160
PRINCIPIOS DA SEGURANÇA DA INFORMAÇÃO
• 100% de segurança é um valor que não pode ser atingido
• Riscos devem ser calculados e balanceados
• Segurança tem quer ser calculada em relação a disponibilidade
 EM QUE ABORDAGEM VOCÊ CONFIA ?

Segurança como uma opção Segurança como parte do sistema

Segurança como um aditivo Segurança Embutida na Rede
Integração extremamente complicada Colaboração inteligente entre os elementos
Não é economicamente viável Visão de sistemas
Não pode focar na principal prioridade Foco direto na principal prioridade
RESUMO DA ORIGEM DOS RISCOS

• Pessoas
- Displicência/negligência na execução de atividades;
- Desconhecimento/falta de treinamento para a execução de atividades;
- Manipulação para cometer fraudes;

• Processos
- Processo mal definido;
- Falta de controles;
- Falta de segregação de funções;

• Infra-Estrutura
- Falha em sistema (hardware ou software);
- Falha na infra-estrutura de serviços básicos (telecomunicações, energia,
água, gás, etc.);

163
Objetivos da Segurança
Quem?
O que?
Quando?
Como?
Onde?
Porque?
OS OBJETIVOS DA SEGURANÇA DA
INFORMAÇÃO SÃO:
• Preservação do patrimônio da empresa (os dados e as
informações fazem parte do patrimônio).
• Deve-se preservá-lo protegendo-o contra revelações acidentais, erros
operacionais e contra as infiltrações que podem ser de dois tipos:
• Ataques passivos (interceptação)
• Ataques ativos (interrupção, modificação e Fabricação)

165
O QUE É ATAQUE?
Ataque é toda ação realizada com intuito ou não de causar danos.

166
UM ATAQUE TÍPICO

167
ANATOMIA DE UM ATAQUE

Varredura Reconhecimento

Enumeração

Escalando Acesso à
Invasão
privilégios informação

Instalação de Ocultação
back doors de rastros
Negação de
Serviços
O QUE UM CRACKER ATACA ?

Aplicações

Banco de dados

Sistemas operacional

Serviços de rede
 CASO REAL

Atualmente 85% das quebras de segurança

corporativas são geradas internamente.
 Caso Real

Perfil do Fraudador*:
• 68% estão na Média e Alta Gerências
• 80% tem curso superior completo
• Predominantemente do Sexo Masculino
• Idade média entre 31 e 40 anos
*Pesquisa sobre crimes econômicos - PWC 05
EX: EMAIL PARA ROUBO DE INFORMAÇÕES

172
EX: EMAIL PARA ROUBO DE INFORMAÇÕES

173
EX: EMAIL PARA ROUBO DE INFORMAÇÕES

174
EX: EMAIL PARA ROUBO DE INFORMAÇÕES

175
EX: EMAIL PARA ROUBO DE INFORMAÇÕES

176
EX: EMAIL PARA ROUBO DE INFORMAÇÕES

177
EX2: CLONAGEM DE CARTÃO DE BANCO

Bocal preparado

178
EX2: CLONAGEM DE CARTÃO DE BANCO

Imperceptível para
o cliente

179
EX2: CLONAGEM DE CARTÃO DE BANCO

Micro câmera
disfarçada de porta
panfleto
EX2: CLONAGEM DE CARTÃO DE BANCO

Visão completa da
tela e teclas
digitadas

181
EX2: CLONAGEM DE CARTÃO DE BANCO

Visão completa da
tela e teclas
digitadas

182
EX2: CLONAGEM DE CARTÃO DE BANCO

Micro câmera

Bateria

Antena
transmissora

183
EX3: EMAIL DE PROMOÇÃO (ROUBO INFORMAÇÃO)

184
EX3: EMAIL DE PROMOÇÃO (ROUBO INFORMAÇÃO)

185
EX4: ANTIVIRUS GRATIS

186
EX5: ENGENHARIA SOCIAL

• Ao atender um telefonema, o interlocutor se identifica como

vice-diretor da empresa. Você já o viu pelos corredores, mas
nunca falou com ele por telefone. Ele informa que se encontra
na filial da empresa, em reunião, e está com problemas para
acessar o sistema. Assim sendo, solicita a senha para que
possa ter acesso. Informa, ainda, que está acompanhado de 10
pessoas que possuem outros compromissos e que não podem
esperar por muito tempo.

187
EX6: EMAIL RECEITA FEDERAL

188
Cópia de identidade visual de órgãos públicos

Pedido de download
de arquivos / erros
de português
 Cópia de identidade visual de entidades
populares

História estranha
e mal contada

Necessidade
urgente de
download
Serviço inexistente

Pedido de download de arquivos

Ameaças
 Distrbuição muito
Uso de marca popular
vantajosa de prêmios

Pedido de download
de arquivo
 Uso de marca popular

Erro de português

Dívida inexistente

Falta de menção a endereço por extenso

Erro de português
FALHA NO SITE DO BRADESCO PERMITIU ATAQUE XSS
(HTTP://LINHADEFENSIVA.UOL.COM.BR/2008/07/BRADESCO-PESQUISA-INST-XSS/)

Criminosos brasileiros conseguiram descobrir um problema em uma página do Bradesco

que permitia que a mesma fosse “alterada” por meio de links, possibilitando o uso do
domínio do banco para todo tipo de atividade maliciosa.
Para tal, crackers enviaram e-mail em massa contendo um link que explorava uma falha de
XSS (Cross Site Scripting) existente em uma página localizada em
institucional.bradesco.com.br. Se clicado, o link enviava informações à página que
causavam um comportamento indesejável, fazendo com que argumentos da query string
— como é chamada a parte do link depois do ponto de interrogação (”asp?…”) — fossem
inseridas como código, permitindo o ataque.
Dias antes da publicação desta matéria, a Linha Defensiva notificou o Bradesco. O banco
removeu a página vulnerável dentro de aproximadamente 48 horas, inutilizando o ataque.
A mensagem contendo o link que explorava a brecha solicitava o recadastramento das
“chaves de segurança” usadas nas transações através da Internet, convidando o usuário a
fazê-lo por meio do link.
195
FALHA NO SITE DO BRADESCO PERMITIU ATAQUE XSS
(HTTP://LINHADEFENSIVA.UOL.COM.BR/2008/07/BRADES
CO-PESQUISA-INST-XSS/)

Como é demonstrado na imagem, a maioria dos navegadores e os programas de e-mails não

exibem o endereço completo de uma URL, se esta for muito extensa, não permitindo que a
existência do golpe seja percebida.

Embora o e-mail tenha usado uma técnica refinada que facilmente poderia enganar até mesmo
usuários com certa experiência, devido ao link camuflado, erros de ortografia característicos de
golpes e fraudes se faziam presentes. Aparentemente, o sistema de e-mail em massa usado
196
pelos criminosos não era compatível com caracteres especiais, como acentos.
FALHA NO SITE DO BRADESCO PERMITIU ATAQUE XSS
(HTTP://LINHADEFENSIVA.UOL.COM.BR/2008/07/BRADESCO-PESQUISA-INST-XSS/)

XSS
Cross Site Scripting, ou XSS, é um tipo de vulnerabilidade onde determinada página de internet não filtra suficientemente as
informações enviadas pelo navegador web, sendo possível fazê-la exibir conteúdos de outros sites, ou conteúdos especificados
no próprio link ou outra informação.
Um exemplo clássico é a página de busca. Em geral, páginas de buscas exibem na tela a informação que está sendo procurada
(por exemplo, “Você está procurando por: [termo de pesquisa]“). Se a exibição desta informação não for filtrada corretamente, a
informação, em vez de exibida, será interpretada como código HTML pelo navegador, possibilitando o ataque.
Fóruns, livros de visitas e blogs (este último, devido à função de comentários) podem ser vítimas do XSS permanente, onde um
post malicioso, por exemplo, fica permanentemente no ar e afetará qualquer usuário que o ver. Este é o ataque de XSS
persistente, ou tipo 2.
O Bradesco foi alvo do XSS impermanente ou não-persistente, também chamado de XSS tipo 1.
O objetivo de ataques XSS é geralmente roubar informações importantes da vítima, tais como os cookies de autenticação. Porém,
XSS também pode ser usado para alterar os sites e usar da confiança depositada pelo internauta na página para persuadi-lo a
enviar informações sigilosas, ou para rodar código malicioso nos PCs de visitantes.
A Linha Defensiva já noticiou a respeito de brechas semelhantes no YouTube e no Orkut.
Para se prevenir de ataques XSS impermanentes, recomenda-se que links recebidos em mensagens de e-mail e similares não
sejam clicados, a não ser quando estava-se esperando absolutamente o e-mail em questão (como, por exemplo, depois de
registrar-se em um site para validar sua conta). Sempre que possível, deve-se digitar o endereço do site na barra de endereços do
navegador e procurar manualmente o que foi indicado no e-mail.
Brechas de XSS tipo 2 são difíceis de serem evitadas pelo usuário, sendo a responsabilidade do site nesses casos ainda maior,
embora, em última instância, a responsabilidade sempre seja do site.
197
FALHA NO SITE DO BRADESCO PERMITIU ATAQUE XSS
(HTTP://LINHADEFENSIVA.UOL.COM.BR/2008/07/BRADES
CO-PESQUISA-INST-XSS/)

Ao acessar o link, o internauta era direcionado para uma página do Bradesco

(Index_Pesquisa.asp) que, vulnerável a XSS, carregava outra página, hospedada em um domínio
brasileiro (cujo nome não foi divulgado por se tratar de um domínio legítimo comprometido).

Em ataques XSS, páginas legítimas são usadas de forma maliciosa e um código (no caso acima,
198
um FRAMESET1) é inserido na página legítima. O conteúdo da página será, portanto, diferente do
esperado.
NOVOS ATAQUES

199
TÉCNICAS PARA ALCANÇAR OS
OBJETIVOS DA SEGURANÇA
• Deve-se perguntar:
• Proteger O QUÊ?
• Proteger DE QUEM?
• Proteger A QUE CUSTOS?
• Proteger COM QUE RISCOS?
• O axioma da segurança é bastante conhecido de todos, mas é
verdadeiro:
• "Uma corrente não é mais forte do que o seu elo mais fraco"

200
GERÊNCIA DE RISCO
CUSTO DE SEGURANÇA:

202
CUSTO VISIVEIS X INVISIVEIS:

203
 Atualização do ambiente
Quando as ameaças ocorrem?

A maioria dos
ataques acontece
aqui

Produto Vulnerabilidade Fix disponível Fix instalado pelo

Lançado descoberta cliente
Atualização do ambiente
Tempo para a invasão diminuindo
Invasão

331
O tempo (em dias) entre a disponibilização da
correção e a invasão tem diminuído, portanto
a aplicação de “patches” não pode ser a única
180 defesa em grandes empresas
151
Produto Vulnerabilidade Fix Fix instalado pelo
Lançado descoberta disponível cliente
25
14

Nimda SQL Welchia/ Blaster Sasser

Slammer Nachi
 ATUALIZAÇÃO DO AMBIENTE
WORM ZOTOB

• 09/08 - A Microsoft publica a

correção

• 11/08 - A Microsoft informa que

um ataque está na eminencia de
acontecer sobre essa
vulnerabilidade

• 17/08 - CNN e ABC são atacadas

PRINCIPAIS PROBLEMAS ENCONTRADOS
Orçamento limitado
70 Pouco tempo

60 Poucas pessoas

Pouco treinamento
50
Falta de suporte

40 Infra-estrutura de TI complexa

Equipe de TI desqualificada
30
Falta de cooperação entre equipes
20 Políticas de segurança pouco definidas

10 Baixa maturidade de ferramentas de TI

Infra-estrutura de TI mal desenhada

0
Falta de colaboração entre equipes de
Problemas TI e Segurança

Computerworld nº 398 de 19 de novembro 20039 – Pesquisa realizada pela revista americana CIO e
Pricewaterhouse Coopers
ATITUDE DE SEGURANÇA
• Reativa
• Resposta a incidentes;
• Investigações;
• Aplicação de sanções.

 Preventiva
 Planejamento;
 Normalização;
 Infra-estrutura segura;
 Educação e Treinamento;
 Auditoria.
MEDIDAS DE SEGURANÇA
• Política de Segurança;
• Política de utilização da Internet e Correio Eletrônico;
• Política de instalação e utilização de softwares;
• Plano de Classificação das Informações;
• Auditoria;
• Análise de Riscos;
• Análise de Vulnerabilidades;
• Análise da Política de Backup;
• Plano de Ação Operacional;
• Plano de Contingência;
• Capacitação Técnica;
• Processo de Conscientização dos Usuários.
MEDIDAS DE SEGURANÇA
• Backups;
• Antivírus;
• Firewall;
• Detecção de Intruso (IDS);
• Servidor Proxy;
• Filtros de Conteúdo;
• Sistema de Backup;
• Monitoração;
• Sistema de Controle de Acesso;
• Criptografia Forte;
• Certificação Digital;
• Teste de Invasão;
• Segurança do acesso físico aos locais críticos.
MUDANÇA DE PARADIGMAS

• Antigamente Hackers • Hoje

eram motivados por: -Cybercrime
- Fama -$$$
- Vencer desafios -Em geral tentam passar
desapercebidos
- Provar conceitos
-Faziam questão de aparecer

212
POSSÍVEIS DANOS

• Perda de desempenho do micro;

• Exclusão de arquivos;
• Alteração de dados;
• Acesso a informações confidenciais por
pessoas não autorizadas;
• Perda de desempenho da rede (local e
Internet);
• Monitoramento de utilização (espiões);
• Desconfiguração do Sistema Operacional.
• Inutilizarão de determinadas peças.
214
JOINER

• Programas Joiners são softwares que unem arquivos e dá a

possibilidade de executar apenas um dos arquivos em modo
normal e pode executar outros em modo oculto
O USO PARA O MAL

• Os Joiners são muito usados por hackers, crackers, scriptkidies

e etc.

• Com o joiner o hacker pode facilmente esconder um vírus,

trojan ou backdoor dentro de fotos, musicas e até mesmo
atualizações de antivírus falsas.
REDBINDER
• RedBinder é um Joiner desenvolvido por hackers
da Espanha e com ele podemos camuflar arquivos,
trocar ícones, executar em modo oculto
EXEMPLO
CYBERCRIMES

231
Perícia Computacional
Ramo da criminalística que compreende a aquisição, prevenção, restauração e análise de evidências
computacionais, sejam os componentes físicos ou dados processados eletronicamente e armazenados
em mídias computacionais.
A forense computacional lida com dados físicos, reais, mas numa realidade metafísica digital, onde os
dados físicos são informações elétricas, eletrônicas, magnéticas, eletromagnética e em outras formas
mais ou menos voláteis.
Obtenção de Evidências
Obtenção e coleta de dados; Identificação; Preservação; Análise, Apresentação

Investigação Forense
Ramo da criminalística utiliza métodos científicos na preservação, coleta, restauração, identificação,
análise, interpretação, documentação e apresentação de evidências digitais, sejam elas componentes
físicos ou dados que foram processados eletronicamente e armazenados em mídias computacionais.
Metodologia empregada
 Obtenção e coleta de dados
 Identificação .
 Preservação
 Análise
 Apresentação

Extração de informações e evidências digitais

Software de análise forense que auxilia recuperação de arquivos deletados, padroniza laudos periciais,
organiza um banco de dados com as evidências, faz o encryption (fornece senhas) e o decryption (quebra
as senhas) dos arquivos, analisa hardwares, analisa logs, analisa formatos e tipos de e-mails e fornece
uma opção de se manusear a evidência sem danificá-la, além de outras características mais avançadas.

A validade técnica das metodologias para recuperar dados de computadores envolvidos em incidentes de
segurança tem se tornado fundamental. Os procedimentos têm que ser tecnologicamente capazes de
garantir que toda a informação obtida como prova não seja alterada, adicionada ou excluída.
Crimes com evidências digitais

 Aliciamento
 Calúnia e difamação
 Ciberbullying
 Divulgação de imagens não autorizadas
 Fraude bancária ou financeira por meio eletrônico
 Invasões.
 Pedofilia
 Racismo
 Sexting
 Roubo de dados
 Sequestro de informações
 Vazamento de informações
 Xenofobia
A MAIORIA DOS CRIMES COMETIDOS POR MEIO DA INTERNET SÃO OS QUE

ATENTAM CONTRA A HONRA E A IMAGEM DAS PESSOAS QUE É

PROTEGIDA PELO ARTIGO 5º, INCISO X DA CONSTITUIÇÃO FEDERAL.

OU SEJA: CALÚNIA, DIFAMAÇÃO E INJÚRIA

(PREVISTOS NOS ARTIGOS 138, 139 E 140 DO CÓDIGO PENAL, COM PENAS

QUE VARIAM DE DETENÇÃO DE UM MÊS ATÉ DOIS ANOS).

Mundo virtual, crime real
É cada vez maior o número de casos judiciais onde
documentos, fotos, e-mails e outras evidências digitais
ajudam a esclarecer um processo.
A tendência mostra que em apenas alguns anos, as resoluções
de quaisquer questões judiciais estarão ligadas direta ou
indiretamente a provas obtidas no meio virtual.
Atualmente, cerca de 99% dos documentos criados são
provenientes do mundo virtual, estão disponíveis na internet
ou estão arquivados nos HDs.
Em casos de crimes e investigações que envolvem a
necessidade de analisar esse tipo de material, a importância de
preservar as evidências para que sirvam de provas cabíveis
nos processos legais depende exclusivamente da
Investigação Forense Digital.
.

Duplicação e preservação dos dados

É possível duplicar um disco rígido por meio de software ou hardware.
É a forma de se confirmar que o disco duplicado é idêntico ao original e de que seus dados não foram
contaminados. Isso é feito através de algoritmos de validação de hash.
Recuperação de arquivos

Correlação cronológica

Evidências digitais como argumento

Cenário
dos

golpes
eletrônicos
(verídicos)
 A imagem v inculada não pode ser exibida. Talv ez o arquiv o tenha sido mov ido, renomeado ou excluído. Verifique se o v ínculo aponta para o arquiv o e o local corretos.

ROSE LEONEL CONTRATOU O

PERITO EM ANÁLISE

FORESENSE WANDERSON

CASTILHO.

SEGUNDO CASTILHO,

EM 15 DIAS FOI POSSÍVEL

OBTER AS PROVAS DE QUE

FOI O EX-NAMORADO DELA

QUEM COLOCOU AS FOTOS NA

INTERNET.

FOI ELIMINADO 80% DO

MATERIAL DIVULGADO

INDEVIDAMENTE NA

INTERNET.

Fonte: Sou + Eu
Edição 106 - 27 de novembro de 2006
7. Casos verídicos (5/)
Vídeo Dafra
Sou vítima. E agora?

1. PRESERVE TODAS AS PROVAS

Imprima e salve o conteúdo das páginas ou "o diálogo" do(s) suspeito(s) em salas de bate-papo,
mensagens de correio eletrônico (e-mail) ofensivas. É necessário guardar também os cabeçalhos das
mensagens;

Preserve as provas em algum tipo de mídia protegida contra alteração, como um CD-R ou DVD-R;

Todas essas provas ajudam como fonte de informação para a investigação da polícia;

No entanto, essas provas não valem em juízo, pois carece de fé pública. Uma alternativa é ir a um
cartório e fazer uma declaração de fé pública de que o crime em questão existiu, ou lavrar uma Ata
Notarial do conteúdo ilegal/ofensivo.

Esses procedimentos são necessários porque, como a Internet é dinâmica, as informações podem
ser tiradas do ar ou removidas para outro endereço a qualquer momento.

Não esqueça: A preservação das provas é fundamental. Já houve casos de a Justiça brasileira ter
responsabilizado internautas que não guardaram registros do crime on-line do qual foram vítimas.
Sou vítima. E agora?

2. PROCURE A DELEGACIA DE POLÍCIA

De posse das provas, procure a Delegacia de Polícia Civil mais próxima do local de residência da
vítima e registre a ocorrência. Você também pode ir a uma delegacia especializada em crimes
cibernéticos.

3. SOLICITE A REMOÇÃO DO CONTEÚDO ILEGAL E/OU INOFENSIVO

Para fazer esta solicitação, envie uma Carta Registrada para o prestador do serviço de conteúdo
na Internet, que deve preservar todas as provas da materialidade e os indícios de autoria do(s)
crime(s).
CRIPTOGRAFIA

• Possui emprego nas mais diferentes áreas de atuação, mas em

todas, tem o mesmo significado: proteger informações
consideradas ‘especiais’ ou de qualidade sensível.

248
• Os procedimentos de criptografar e decriptografar são obtidos
através de um algoritmo e uma chave.

249
O Papel da Criptografia

Com criptografia
O Papel da Criptografia
Como criptografar (cifrar)?

Chave

d*2B%?
Dado (dado
cifrado)

Algoritmo
 O Papel da Criptografia
Como decifrar?

Chave

d*2B%?
Dado (dado
cifrado)

Algoritmo
(geralmente executa passos reversos)
VANTAGENS E DESVANTAGENS DA
CRIPTOGRAFIA
• Vantagens da Criptografia:
• Proteger a informação armazenada em trânsito;
• Deter alterações de dados;
• Identificar pessoas.

• Desvantagens da Criptografia:
• Não há forma de impedir que um intruso apague todos os seus
dados, estando eles criptografados ou não;
• Um intruso pode modificar o programa para modificar a chave.
• Desse modo, o receptor não conseguirá descriptografar com a
sua chave.
253
CRIPTOGRAFIA ASSIMÉTRICA OU DE CHAVE
PÚBLICA

254
CRIPTOGRAFIA ASSIMÉTRICA OU DE CHAVE
PÚBLICA
Passo 1: Alice envia sua
chave pública para Bob

Passo 2: Bob cifra a

mensagem com a chave
pública de Alice e envia para
Alice, que recebe e decifra o
texto utilizando sua chave
privada 255
CRIPTOGRAFIA ASSIMÉTRICA OU DE CHAVE
PÚBLICA

256
ESTEGANOGRAFIA X CRIPTOGRAFIA

Esteganografia x Criptografia

Criptografia Esteganografia
257
COMO FUNCIONA COM IMAGENS
• Identificação de bits redundantes (menos significativos)
• Inserção da informação nesses bits
• Exemplo: codificação de dígitos binários em uma imagem
colorida utilizando o bit menos significativo de cada
componente da cor dos pixels
ESTEGANOGRAFIA - FUNDAMENTOS
• Exemplo: Cédula de R$10,00, vista contra a luz mostra a Bandeira do
Brasil

259
ESTEGANOGRAFIA - FORMAS DE UTILIZAÇÃO

• Esteganografia pode ser utilizada em textos, imagens, áudio e mais

recentemente em pacotes TCP/IP.

 A imagem da esquerda possui (8.0Kb) e não contém dados escondidos.

 A imagem da direita possui (13.0Kb) e contém 5Kb de textos escondidos.
260
Esteganografia - Formas de utilização
• Imagens parecem as mesmas
• Imagem à direita contém os textos de 5 peças de Shakespeare
– criptografados, inseridos nos bits menos significativos de cada valor de cor

Zebras Hamlet, Macbeth, Julius Caesar

Mercador de Veneza, Rei Lear
261
 ESTEGANOGRAFIA EM TEXTOS
Exemplo (mensagem escondida em um texto):
Senhor Evandro quer usar este salão temporariamente.
Relembre o fato ocorrido, isto poderia estragar relíquias,
florais e imagens talhadas. Obrigado.

O Senhor Evandro quer usar este salão temporariamente. Relembre o fato ocorrido, isto
poderia estragar relíquias, florais e imagens talhadas. Obrigado.

O sequestro foi perfeito 264

ESTEGANOGRAFIA EM TEXTOS
Apparently neutral's protest is thoroughly
discounted and ignored. Isman hard hit.
Blockade issue affects pretext for embargo
on by-products, ejecting suets and vegetable oils.
Apparently neutral's protest is thoroughly
discounted and ignored. Isman hard hit.
Blockade issue affects pretext for embargo
on by-products, ejecting suets and vegetable oils.

Pershing sails from NY June 1

ESTEGANOGRAFIA EM ÁUDIO

• Técnicas:
• Bit menos significativo
• 1 Kb por segundo por KiloHertz
• 44 Kbps em um áudio de 44 KHz

• Esconder dados no eco do áudio

• Variar 3 parâmetros: amplitude, depressão, delay.

266
267
Na segunda guerra foi utilizado o microponto, imagine que no fim de uma carta simples e inofensiva havia
um ponto final, que na realidade era um texto fotograficamente reduzido a menos de um milímetro de
diametro.
Os agentes alemães operavam aqui na America Latina !! E esses micropontos foram descobertos pelo FBI
em 1941.

Mensagem em um Microponto.

Criptografia e Esteganografia são ciencias independentes, mas que podem ser empregadas juntas.
A criptografia pode ser dividida em Transposição e Substituição.
A transposição é o arranjo das letras e a substituição como o nome já diz é troca por simbolos ou outras
letras.
268
INSEGURANÇA DA BIOMETRIA.

269
Saber Possuir Ser

270
271
272
273
274
• Fisiológicos
• Análise características físicas
• Possui menos variações em relação aos traços
comportamentais
• Mais utilizado comercialmente

• Impressão Digital
• Analise através características físicas do dedo do
usuário
• Imagem gerada transformada em vetor matemático
• Comparado valor pré armazenado
275
276
APLICAÇÃO

277
VULNERABILIDADES
• Sistema de impressão digital
• Podem ocorre em três fases do processo

• Impressões digitais artificiais

• Ataques a base de dados – comparação
• Ataques de Interface

278
279
280
281
 PROCESSO DE AUTENTICAÇÃO BIOMÉTRICO
Interface Processamento Base Dados
Garantir a integridade Garantir o transporte Garantir a integridade
do elemento seguro (SSL, VPN, da Base
Unicidade TLS...) Vulnerabilidades
Uso de criptografia Existentes (MS-SQL
Fator Adicional (Hash) Server)

282
CERTIFICAÇÃO DIGITAL.

283
QUAL O VERDADEIRO?

284
QUAL O VERDADEIRO?

285
 CERTIFICAÇÃO DIGITAL

• Sub-área da disciplina de Criptografia

• Várias aplicações práticas
• Historicamente, sigilo militar e diplomático
• Sigilo de comunicações em geral
• Detecção de adulterações
• Reforça a “força de prova” de um documento eletrônico
• Identificação de usuários
• Substitui nome+senha
 Veja estas situações…
“...Com a greve da Receita
Federal não consigo obter Alguém entrou no
a certidão para solicitar o meu computador e
empréstimo da mandou e-mails
empresa..... com bobagens em
meu nome...Me
desculpem!

...Pra fechar o
contrato tenho que Deixei a Declaração
ir ao Cartório,
autenticar as
Elas são familiares do IR pra última
hora e ainda vou
cópias do meu
contrato social, para você ? entregar em
disquete...Serei o
cartão de CNPJ e último a receber a
identidade...É Restituição...
longe ...sempre
cheio...vou perder
o dia todo !!! Descobri, depois de meses,
que estou na malha fina...sei
lá, uma inconsistência na
Invadiram meu minha Declaração....Agora,
Computador! Levaram
tenho que ir na Receita pra
toda minha Carteira de
Clientes e minhas senhas descobrir e corrigir o erro
em todas as Seguradoras. e....tentar receber a
E agora? restituição o mais rápido...
 Na Internet,
ninguém sabe que você é um
...

CERT.BR

Grupo de resposta a incidentes de

segurança para a Internet brasileira.
Já foram reportados 130 mil incidente
em 2007 em 2006 esse número foi de
198 mil.

CERTIFICAÇÃO DIGITAL

•Identificação Forte.
•Alto padrão de Segurança.

The new Yorker, 1993

 Certificação Digital no Brasil

BANCO CENTRAL
DO BRASIL

2002 2003 2004 2005 2006

 Processo de Emissão de Certificados Digitais

Apresentação de
Um Segundo Agente confere a
Documentos à um Agente
documentação física com a
de Registro (Presencial)
eletrônica. (Informações)

Cliente Utiliza
Seu Certificado Digital
Cliente recebe
Seu Certificado Digital
CERTIFICADO DIGITAL
 GERAÇÃO E VALIDAÇÃO DAS
ASSINATURAS
TRANSMISSOR RECEPTOR
xxxx
xxxx yyyy DIGEST
yyyy zzzz
zzzz

Algoritmo
de
Algoritmo Hashing
de Rede
COMPARAÇÃO
Hashing

Assinatura Assinatura
DIGEST DIGEST
Digital Digital

1B2A37...
Criptografia com Decriptografia com
chave privada chave pública
Assinatura Digital – Representação Gráfica

João cria um “RESUMO”

documento seqüência única
para cada
FUNÇÃO HASH arquivo
é aplicada

É gerado o
arquivo
eletrônico que RESUMO
representa
Chave privada de É obtido o
digitalmente a
João:usada para RESUMO
assinatura de
codificar uma João Documento
mensagem eletrônico
assinado
Assinatura Digital – Representação Gráfica

Antonio recebe
um documento RESUMO I
assinado
FUNÇÃO HASH É obtido o
é aplicada RESUMO I
RESUMO

Se forem iguais, o
documento vem o
mesmo de João
RESUMO

Chave pública de
João:usada para
decodificação
RESUMO
I
 O que é uma Assinatura Digital

Assinatura Digital
Assinatura Digital

Assinatura Digital
acontece através da
geração de arquivo
produzido a partir do
original, cifrado (hash)
pelo do par de chaves
através da chave
privada do emissor.

No destino o arquivo
cifrado retorna ao
original através da
chave pública.
Garantido-se
Autenticidade e
Integridade.
FUNÇÕES “HASH”
• São funções que, para um string digital de
tamanho qualquer, calculam um identificador
digital confiável, de tamanho fixo, usualmente de
16 ou 20 bytes
• A primeira propriedade básica de uma função
“hash” é a de que qualquer alteração do string
original, por menor que seja ( 1 bit, por ex. )
gera uma alteração significativa no valor do
“hash” correspondente
• A segunda propriedade é a de que deve ser
impossível gerar intencionalmente um string
digital diferente do original, e que resulte no
mesmo valor de “hash”
FUNÇÕES HASH
RESUMO

............................ 5A6D452F
......... compre a 211089C3
propriedade por HASH
R$1.000.000,00. B730956A
C3B5D67

RESUMO

............................ 89837AC4
......... compre a 87BDC485
HASH
propriedade por
R$1.500.000,00. 76DDA598
E4756FF
 CHAVES PRIVADAS
• A toda chave pública está associada uma (e somente
uma) chave privada
Chave Pública Chave Privada

e=65537,n=14223936785841697577 d=455130737264022744971121873
67099738654500739643170479675 75821996218728416949314546946
37963581498770739727353522092 14044858778948103863909601600


08923034348773158786975299494
19316967438262954152524442271
03015424408026248310161052096
48107582826471955212814734330
71919104336564947827515327547
37317882243505044499826239887
39104889886353702761094027599
9724385631333089769833207271
27491877618917638036708084138
39912801228572529665774876532
96263537913163056722091731362
26557927435951598580164810267
85861643971550766288990167133
657888343401183947460265117578
35001950039889837206493980062
2637320099687830497

 As duas nascem juntas,

a partir de certos ingredientes matemáticos,...
 Uma vez descartados esses ingredientes, não é viável
calcular uma a partir da outra!
 CHAVES PRIVADAS Chave Privada

• Como na prática as 45513073726402

27449711218737582199

chaves são muito

62187284169493145469461404
4858778948103 8639096016002
749187761891 763803670808
longas, decorá-las é 41383991280
657748765329
12285725296
626353791316

inviável
3056722091731 36226557927435
95159858016481026785861643
97155076628899016713

• O usuário não lida com

36578883434011
83947
460265
elas diretamente – as 11757835
001950

operações com elas são

03988
983720
649
feitas por programas 39800
622637

criptográficos em nome
32009968
78304
97
do usuário
• Ficam armazenadas em
disco rígido, memória,
smart cards, token, etc.
 ASSINATURA DIGITAL: GERAÇÃO
45513073726402
27449711218737582199
62187284169493145469461404
1. A geração da assinatura digital é
Declaro para
Declaro para os
devidos fins
devidos
os
fins que
que a
4858778948103 8639096016002
749187761891
41383991280
763803670808
12285725296
um cálculo (na prática, feito por
Empresa
Fulano
Com.
A.
de XYZ
Tal dos
Ltdaestá
Pereira
Ind. E
estárigo-
rigo-
657748765329 626353791316
3056722091731 36226557927435
95159858016481026785861643
um programa de computador)
que usa dois ingredientes:
rosamente em em dia
dia 97155076628899016713
rosamente 36578883434011
com todas
com todas suas
suas obri-
obri- 83947
gações junto
gações junto àà Or-
Or- 460265
11757835
dem dos
dem dos Advogados
do Brasil.
do Brasil.
Advogados 001950
03988
983720
a. O documento a ser assinado;
Fulano de
Fulano de Tal,
Tal, 649

b. A chave privada do signatário;

39800
Secretário.
Secretário. 622637
32009968
78304
97

2. O resultado é um número, cha-

mado de assinatura digital.
814541843798 3. Essa assinatura é salva em um
478120951923912873
1294299672425116704939 arquivo de computador, podendo
379782806261398363322476
91938406256616968505551753
ser usada em separado…
4267117705433844765720549710
Tw+1
4+ajkwLx
6181756836089324584054538487
kOEjYlzQ
4. ... ou pode ser anexada ao do-
9718083509370315958244857253
e//qZi
9462183005843996155364051919
cumento original, o que, na prá-
34571045163287364997789829 tica, é muito comum.
246974656206298609167179
3861231705542771753043
061760561432648197
395710299238
 CONFERÊNCIA DA ASSINATURA
1. A conferência é um cálculo
(também feito por um com-
Declaro para os putador)
devidos fins que a
Fulano de Tal dos 2. que usa a chave pública
A. Pereira está rigo-
rosamente em dia do signatário (contida no
com todas suas obri-
gações junto Or- certificado) e a assinatura
dem dos Advogados
do Brasil.
Fulano de Tal,
= 3. que diz se o documento
sendo conferido é ou não
Secretário.
idêntico ao documento de
6. E que, portanto, podemos confiar no teor onde assinatura foi gerada.
deste documento como sendo legítima 4. Se a conferência bater,
5. O expressão
que permite dapresumir
vontade/anuência dopelo
que foi feita sabe-se também que a as-
signatário.
detentor da chave privada, cujo titular legal sinatura só pode ter sido
é aquele identificado pelo nome civil gerada pela chave privada
contido no certificado digital. correspondente.
CONFERÊNCIA DA ASSINATURA
Declaro para os
1. Se, ao invés, a conferência
devidos fins que a
Fulano de Tal dos
falhar,…
B. Pereira está rigo-
rosamente em dia
com todas suas obri-
2. …tratamos o documento

 como sendo digitalmente

gações junto Or-
dem dos Advogados
do Brasil.
rasurado
Fulano de Tal,
Secretário.
3. e o descartamos
 REPOSITÓRIO DA CHAVE PRIVADA
• No computador principal (“em software”)
• Pode ser copiada
• intencionalmente, sob o comando do usuário
• ou sorrateiramente, por um vírus ou cavalo de tróia
• Em um computador secundário
• “Smartcards” ou “tokens”
• São computadores completos
em miniatura
• com processador, memória e
sistema operacional
• mas sem teclado nem tela
• O próprio smartcard realiza a geração do par de chaves e
a geração de assinaturas digitais
• chave privada nasce neles e deles jamais sai
 ICP BRASIL MP 2.200-2
MP 2.200-2 24 de agosto de 2001, Institui a ICP Brasil e estabeleceu
critérios para o seu funcionamento.

Validade jurídica de documentos em forma

eletrônica, das aplicações de suporte e das
aplicações habilitadas que utilizem
certificados digitais, bem como a realização
de transações eletrônicas seguras
Dezoito resoluções da ICP Brasil
http://www.icpbrasil.gov.br
 ICP BRASIL MP 2.200-2

•AGP – Autoridade de
Gerência de Política,
decreto 3.587 de 5 de
AGP ITI – AC-Raiz
setembro de 2000;
•ITI – Responsável pelo
AC AC + AR
AC Raiz da ICP Brasil.
•AC e AR – Qualquer
AR
Certificado
entidade pública ou
Digital
privada que atenda aos
requisitos da ICP Brasil.
 ICP BRASIL
Situação Atual
 OBTENDO UM CERTIFICADO DIGITAL

Autoridade de Autoridade
Registro (AR) Certificadora
3. AR comprova (AC)
dados cadastrais
e solicita emissão
cadastrais

do certificado
2. Dados

e chave
pública

4. AC emite o certificado,
assinando com sua própria
chave

1. As chaves Diretório
são geradas 5. Certificado é instalado no
cliente e publicado no Diretório
308
ÚLTIMAS INOVAÇÕES
e-CPF

e-CNPJ
HIERARQUIA DE CERTIFICAÇÃO
DIGITAL DO GOVERNO SP
Comitê AC RAIZ
Gestor ICP-BRASIL

AC
AC SRF
Certisign

Certisign SPB Certisign Múltipla Certisign SRF Serpro SRF

SPB A1–A4, S1–S4 A1, A3, A4 A1, A3

e-cpf, e-cnpj
AC IMPRENSA
A1-4, S1-4

NOSSA CAIXA
(AR)
 JUDICIÁRIO
1 pedido de habeas corpus
ADVOGADO

Encaminhamento do habeas corpus 2

TRIBUNAL DE
FORUM
(1a. Instância) 3 Requisição de informações adicionais JUSTIÇA

“pasta” contendo informações requisitadas 4

Processo
Cópia do alvará de soltura

7 acórdão 6 voto para

CÂMARA DE JULGAMENTO 5 votação

relator>revisor>vogal

8 alvará de soltura

confirmação da soltura
EXECUTIVO

10

9 Publicação da decisão
FLUXO
11 HABEAS CORPUS
CONCEDIDO

IIRGD PENITENCIÁRIA
SMART ID HONG KONG

• Cartão de identidade pública

• Iniciativa governamental
• Tornar os cartões o meio de acesso privilegiado aos serviços
da administração pública

• Plataforma fechada
• Apenas aplicações do governo
• Certificado digital opcional 313

• Para autenticação e assinatura digital em transacções de

comércio electrónico
OCTOPUS HONG KONG

• Pequenos pagamentos
• Inicialmente apenas cartão de transportes
• Aplicação de grande volume
• Utilização massificada, com milhões de utilizadores
• Interoperabilidade pouco interessante
• Solução proprietária
314
 SISTEMA DE
TRANSPORTES DE
LISBOA
• Transportes com vários tipos e operadores
• Metropolitano, Autocarro, Comboio, Barco
• Norma Calypso
• Interacções entre cartões e terminais
• Interoperabilidade na ligação dos sistemas embarcados e
nos sistemas de back-office
• Representação comum dos títulos de transporte
• Equipamentos terminais (validadores, pontos de venda) 315

independentes das aplicações e do modelo de dados

 IPQ-D IPQ-E dados

Rede Não Protegida Rede Interna

IP quente IP frio
servidor ROUTER

IPF-D
3

IPQ-E
Internet 2
IPF-C
IPQ-D IPF-B

IP quente IPF-A

IPF-A IPF-C dados

 Firewall UTM

UTM Signatures
ATTACK-RESPONSES 14BACKDOOR
INSPECT
INSPECT
58BAD-TRAFFIC 15DDOS 33DNS
19DOS 18EXPLOIT >35FINGER

UDP Source Version |Service

13FTP 50ICMP |
Total Length
115Instant
Messenger 25IMAP 16INFO
Length UDP Port ID | |
Flags Fragment
7Miscellaneous44MS-SQL 24MS-
SQL/SMB 19MULTIMEDIA 6MYSQL
TTL |
2NETBIOS Protocol | IP Checksum
25NNTP 2ORACLE
25P2P 51POLICY 21POP2 4POP3
Destination Source IP Address
18RPC 124RSERVICES 13SCAN
UDP 25SMTP 23SNMP 17TELNET
Checksum UDP Port Destination IP Address
14TFTP 9VIRUS 3WEB-ATTACKS
47WEB-CGI 312WEB-CLIENT
IP Options

UTM Inspection inspects all traffic

UTMFirewall
moving through a device – 98%
Stateful
Security Prod. Reliable
more inspection
Packet
Inspection Dynamic
Management / Reporting

Firewall Traffic Path

318
318
PORQUE/ONDE USAR O FIREWALL

Malicious
email
Cracker

Viruses,
Firewall worms

Internet Intrusions

Inappropriate
Use

www.sex.com
www.free.com
319
www.game.com
Aspectos de Segurança de Redes

Só há uma rede imune a ataques externos:

a que não tem conexão com o mundo
exterior.

Hoje em dia, com a rápida propagação das

informações pela Internet, pessoas, podem
burlar a segurança de sistemas
operacionais, através de ferramentas feitas
por pessoas competentes, e geralmente
sem boas intenções.

320
320
FLUXOGRAMA DOS FIREWALLS
Recebe pacote

Seleciona Primeira Regra

S
Encaminhar
OK para Passar? Pacote

N
Seleciona
S Bloquear
Proxima OK para Bloquear
Regra Pacote

N Última s Regra Default

Regra? (Bloquear Tudo)
DISTRIBUIÇÃO DAS PORTAS
0  Portas Bem conhecidas (well
….
known ports):
1023  Geralmente usada pelos
servidores de serviços
PORTAS
padronizados.
1024

TCP ou ….
UDP  Portas Registradas
49151
 Geralmente usada por
49152
servidores proprietários.
….
 Portas Dinâmicas ou Privadas:
65535
 Usadas pelos clientes e
pelos serviços não
padronizados.
 FIREWALLS
• REGRAS:
• BLOQUEAR ENTRADA DE PACOTES SE DESTINO DIFERENTE
DE IPB e PORTA DIFERENTE DE 80
• BLOQUEAR SAIDA DE PACOTES SE PORTA DE DESTINO
DIFERENTE DE 80
80
>1024 IP
IP C
A

80 >1024
IP IP
Regra B
Acao Senti. Prot. IP D
IP Port. Port
orig. dest. Orig Dest.
1 Permit Out TCP IP A IP C > 1023 80
2 Permit in TCP IP D IP B > 1023 80
3 negar * * * * * *
DIREÇÃO
 EXEMPLO
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
permitir OUT tcp interno * > 1023 23
permitir IN tcp * interno > 1023 23
permitir IN tcp * interno > 1023 80
permitir OUT tcp interno * > 1023 80
negar * * * * * *

• Interpretação:
1 – Host Internos (OUT – dentro para fora) usando o procotolo TCP
podem acessar (permitir) qualquer servidor (*) Telnet (23).
2 – Host Externos (IN – fora para dentro) usando o procolo TCP podem
acessar (permitir) qualquer servidor interno (*) do serviço Telnet (23).
3 - Host Externos (IN) usando o procolo TCP podem acessar (permitir) o
servidor interno Web (80)
4 – Host Internos (OUT) usando o procotolo TCP podem acessar
(permitir) qualquer servidor (*) Web (80).
5 – Proibir (negar) tudo (*).
EXERCICIO 01:

Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

– Hosts Internos podem acessar servidores de telnet externos.

– Host Externos podem acessar servidores telnet Internos

Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

permitir OUT tcp interno * > 1023 23
permitir
IN tcp * interno > 1023 23
negar
* * * * * *

TUDO QUE NÃO É PERMITIDO É PROIBIDO

326
EXERCÍCIO 02
- Hosts Internos podem acessar servidores de telnet externos e
hosts externos acessar meu servidor interno 10.10.10.10.
– Hosts externos podem acessar meu servidor 200.145.22.33 de
News

Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

Permit out Tcp Interno * >1023 23
Permit In TCP * 10.10.10.10 >1023 23
Permiti in Tcp * 200.145.22.33 > 1023 119
negar * * * * * *

327
EXERCÍCIO 03
- Hosts Internos podem acessar servidores de telnet internos
(10.10.10.10) e hosts externos podem acessar meu servidor de
telnet (10.10.10.10).
– Hosts externos podem acessar servidores de web internos
(10.10.10.9) e os hosts internos podem acessar servidores
externos.

Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino

Permitir in Tcp * 10.10.10.10 >1023 23
permitir in tcp * 10.10.10.9 > 1023 80
permitir out tcp interno * > 1023 80
negar * * * * * *

328
 EXERCÍCIO 04: CRIAR REGRA REDE INTERNA E
SERVIDOR TELNET

>1023 >1023 1 23
2
INTERNET
200.17.98.? 200.234.56.7
Rede Interna
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
OUT tcp 200.17.98.0/24 23
permitir > 1023
* * *
* *
negar *

Servidor
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
permitir IN tcp 200.17.98.0/24 23
* > 1023 329
negar * * * *
*
EXERCÍCIO 05 REDE INT 10.20.2.0/24
- O servidor de ssh (10.20.2.4) só poderá ser acessado pelos clientes
internos da rede;
- Devido a um problema de vírus a toda a classe B da rede que tem o host
200.242.4.5 será proibida de fazer qualquer solicitação.
- O Cliente 10.20.2.70 pode acessar o serviços de banco de dados postgres
(TCP - 5432) da maquina 10.20.2.9 e oracle (TCP 1521) do host 10.20.2.8.
– Hosts externos podem acessar servidores de web cujo IP é 200.3.4.6 e o
servidor de email que responde pelo endereço 200.3.4.5 (externamente) e
10.20.2.1 (internamente) e os hosts internos podem acessar servidores
web externos.
– Apenas a máquina 10.20.2.50 não pode acessar nenhum serviço da
internet.
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
Negar in * 200.242.0.0/16 * >1023 *
negar out * 10.10.2.50 * >1023 *
permitir In tcp * 200.3.4.6 > 1023 80
permitir in tcp * 200.3.4.5 > 1023 25/110
permitir out tcp 10.20.2.0/24 * >1023 80 330

negar * * * * * *
EXERCÍCIO06: PROVEDOR INTERNET
BACKBONES PROVEDOR
Servidor
Web, FTP e
Email Firewall Firewall
01 02

200.1.2.3 200.7.8.9

Servidor
Firewall
Postgres
03
5432
Servidor Oracle PROVEDOR
1521
200.4.5.6
Sabendo que cada rede possui uma classe C, faça as seguintes regras:
1 – Os serviços de Web e FTP da matriz poderão ser acessado por qualquer máquina
na internet, entretanto o serviço de Email só poderá ser acessado pelas duas filiais;
2 – Os bancos de dados ficam restrito só para acesso interno da empresa, ou seja, sua
respectiva rede interna, matriz e filias;
3 – As 3 redes podem acessar quaisquer servicos páginas Web e SSH externos.
NETWORK ADDRESS TRANSLATION (NAT)

• IP => 32 bits! Maximo 4 bilhões de números.

• IP privado  IP publico
 A função Network Address Translation (NAT)

333
1
 CAPÍTULO 5:
GERÊNCIA DE REDES
 GERENCIAMENTO DE REDES

É o controle de qualquer objeto

passível de ser monitorado numa
estrutura de recursos de rede físicos
ou lógicos distribuídos em diversos
ambientes geograficamente
próximos ou não.
Fonte: pt.wikipedia.org
 O QUE É GERENCIAMENTO DE REDES ?
“Gerenciamento de rede inclui a disponibilização, a integração e a coordenação de elementos de
hardware, software e humanos, para monitorar, testar, consultar, configurar, analisar, avaliar e
controlar os recursos da rede, e de elementos, para satisfazer às exigências operacionais, de
desempenho e de qualidade de serviço em tempo real a um custo razoável”
Kurose

“O gerenciamento de rede pode ser visto como um conjunto de mecanismos operacionais e

administrativos necessários para controlar os recursos da rede, manter os recursos da rede
operacionais, facilitar o aumento da rede, gerenciar os recursos e controlar o acesso à rede”

Edmundo Madeira, Junior Toshiharu Saito

SBRC 2001
• Motivo técnico: gerentes humanos são muito “lentos” para perceberem
certos eventos de rede
 POR QUE GERENCIAR ?

 Devido a importância das redes de computadores em

relação aos negócios das instituições;
 Devido ao porte e a complexidade das mesmas;
 Identificar e resolver problemas o mais breve possível
 Riscos de constantes indisponibilidades
 Planejar o crescimento da rede
 Detectar, diagnosticar e prevenir a ocorrência de
falhas
• Gerenciamento de Redes em Ciência da Computação: estudo de
formas que auxiliem o gerente da rede em manter a mesma
sempre ativa
• Envolve:
• Protocolos
• Equipamentos
• Software de gerenciamento
 ÁREAS FUNCIONAIS DE GERÊNCIA

• O modelo OSI define 5 áreas de gerenciamento (modelo funcional

denominado FCAPS)
• Gerenciamento de falhas (Fault)
• Gerenciamento de configuração (Configuration)
• Gerenciamento de contabilização (Accounting)
• Gerencimento de desempenho (Performance)
• Gerenciamento de segurança (Security)
• FCAPS – Modelo proposto para auxiliar no modelo do Sistema de
Gerenciamento de Redes.
 GERENCIAMENTO DE FALHAS (FAULT)
• Responsável pela detecção, isolamento, notificação e correção de
falhas na rede.
• Em caso de Falhas:
Determinar com precisão onde a falha ocorreu;
Isolar a falha do resto da rede, de tal forma que ela continue a
funcionar sem interferências;
Reconfigurar ou modificar a rede para minimizar o impacto da
operação sem o componente que falhou;
Reparar ou trocar o componente com problemas para restaurar a
rede ao seu estado anterior.
• Ex.: Como avisar ao gerente que o enlace da corporação caiu?
 GERENCIAMENTO DE CONFIGURAÇÃO
(CONFIGURATION)
• Responsável pelo registro e manutenção dos parâmetros de
configuração dos serviços de rede. Tais como informações sobre
versões de hardware e de software.
• Funções básicas:
Coletar informações da topologia de rede;
Controlar inventário;
Inicialização e Shutdown dos elementos gerenciados;
Atualização
Gerar relatórios de configuração
Exemplo: Identificar os equipamentos que devem ser atualizados, dar shutdown
em um serviço, etc.
 GERENCIAMENTO DE CONTABILIZAÇÃO
(ACCOUNTING)
• Responsável pelo registro do uso da rede por parte de seus usuários
com objetivo de cobrança ou regulamentação de uso.
• Funções básicas:
Evitar o abuso de privilégios por parte dos usuários;
Conhecer as atividades dos usuários com detalhes suficientes
para planejar o crescimento da rede
Evitar que usuários façam uso indevido da rede;
Exemplo: horários de maior demanda por determinados serviços
• Ex.: Que usuário utiliza mais a impressora?
• Ex.: Quem mais utiliza HTTP às 15 horas?
 GERENCIAMENTO DE DESEMPENHO
(PERFORMANCE)
• Responsável pela medição e disponibilização das informações
sobre aspectos de desempenho dos serviços da rede.
• Questões relativas:
Qual a capacidade atual de utilização ?
Há tráfego em excesso ?
 O tempo de resposta está considerável ou deve ser melhor ?
O Throughput está diminuindo ?
Exemplo: Taxa de utilização de determinados dispositivos.
Ex.: Por que a conexão de 2Mbps com a Internet só está
funcionando a 1Mbps?
 GERENCIAMENTO DE SEGURANÇA
(SECURITY)
• Responsável por restringir o acesso à rede e impedir o uso
incorreto por parte de seus usuários, de forma intencional ou não.
• Questões relativas:
Geração, distribuição e armazenamento de chaves
criptografada;
Monitoramento e controle de acesso;
Manutenção de logs
Exemplo: Listagem de acessos/horários
Ex.: Quem acessou os arquivos restritos às 5 horas da manhã?
 O QUE DEVE SER GERENCIADO?

• Tipicamente o gerenciamento se preocupa com elementos internos ao

domínio administrativo
• Redes de uma corporação
• Universidade e seus setores
• Com o advento da Internet, o gerenciamento deve se preocupar
também com elementos externos
• Por que o roteador do provedor de acesso não está repassando os pacotes
corretamente?
O QUE DEVE SER GERENCIADO?

Portáteis

Internet
Roteadores
Hubs

Estação de
Impressoras
Switches Gerenciamento

Hosts
O QUE PODE SER GERENCIADO ?
 ETAPAS DO GERENCIAMENTO
• Criação e implantação da rede
• Projeto físico - determinação de quais os equipamentos que serão
utilizados
• Configuração - determinação de quais os endereços IP atribuídos aos
equipamentos
• Manutenção
• Instalação das estruturas (software) de gerenciamento
• Monitoração e configuração
 COMPONENTES DOS SISTEMAS DE
GERÊNCIA DE REDE
• Estação de Gerenciamento;
• Agente de Gerenciamento;
• Base de Informação do Gerenciamento (MIB);
• Protocolo de Gerenciamento de Redes (SNMP);
 ESTAÇÃO DE GERENCIAMENTO

• Um computador conectado a rede que executa o software

de protocolo de gerenciamento que solicita informações
dos agentes.
• Serve como interface para o administrador num sistema
de gerenciamento.
 AGENTE DE GERENCIAMENTO

• Um processo (software) que roda em um recurso, elemento ou sistema

gerenciado, que exporta uma base de dados de gerenciamento (MIB)
para Estações de Gerenciamento possam ter acesso aos mesmos.
 BASE DE INFORMAÇÃO DO
GERENCIAMENTO - MIB

• É uma tabela onde são armazenados os dados de

gerenciamento coletados que serão enviados a Estação de
Gerenciamento.
 PROTOCOLO DE GERENCIAMENTO DE
REDE - SNMP

• Fornece os mecanismos de comunicação entre a Estação de

Gerenciamento e o agente.
• Comunicação entre a estação e o agente, é definido pelo protocolo
de gerenciamento rede SNMP.
MODELO DE GERENCIAMENTO
• O modelo de gerenciamento define as estruturas
necessárias para se ter o gerenciamento de redes

Solicitações
Processo Gerente Processo Agente
Respostas
Base de Notificações Base de
dados dados

Rede
MODELO DE GERENCIAMENTO

• Para cada funcionalidade/dispositivo existem programas

específicos que capturam as informações de interesse
• Inevitavelmente, com um grande número de equipamentos
necessitaremos de um grande número de programas para
gerenciar a rede
• Equipamentos com mesmas funcionalidades, mas de
fabricantes diferentes, são gerenciados por programas
diferentes
• Não existiria uma forma padrão de aquisição de informações
em uma rede de computadores?
GERENCIAMENTO INTERNET
• SNMP - Simple Network Management Protocol

• Criado no final dos anos 80 como alternativa ao modelo de

gerenciamento OSI (CMIP / CMOT)
• O nome já fazia uma alusão a uma alternativa simples que
pudesse resolver as questões de gerenciamento sem a
grande complexidade envolvida em outros padrões, até
estes serem consolidados e viabilizados de maneira clara.
• Com o sucesso da Internet (TCP/IP) acabou tornando-se um
padrão de fato.
• Principal ferramenta de gerenciamento de rede utilizada
largamente até hoje.
 SNMP - VERSÕES
• SNMPv1 (RFC 1155, 1157, 1213) - 1990
Padrão completo, que define não só o Protocolo, mas também toda a
estrutura de informações de gerenciamento. É padrão utilizados até hoje.
Deficiência => suporte a transferência de grande quantidade de dados,
estratégia de gerenciamento centralizada e segurança.
• SNMPv2 (RFC 1441) - 1993
Trouxe novas funcionalidades e maior eficiência...porem não resolveu de
maneira adequada problemas de segurança. Acabou tornando-se obsoleto
• SNMPv3 (RFC 2570 ) - 1999
Padrão proposto traz novas medidas de segurança a serem adicionadas a
versão 1 e 2.
Inovação => autenticação e controle de acesso
 SNMP – ARQUITETURA DE GERENCIAMENTO

• Estação de Gerenciamento (Gerente)

• Faz a interface de gerenciamento, fazendo requisições de informações de monitoramento e
controle aos elementos de rede, e traduzindo essas informações de maneira clara aos
operadores.

• Agente de Gerenciamento (Agente)

• É um processo associado ao elemento de rede gerenciável. Possui duas funções básicas :
responder a requisições do gerente e notifica-lo sobre ocorrências pré-definidas.

• Base de Informações de Gerenciamento (MIB)

• É uma base de dados com estrutura em arvore composta de objetos classificados logicamente.
Estes objetos representam o estado dos recursos gerenciáveis dos elementos da rede. O
Gerenciamento ocorre através da leitura e escrita desses objetos.

• Protocolos de Gerenciamento (SNMP)

• UDP, portas 161 (escuta) e 162 (transmite)
SNMP – ARQUITETURA DE GERENCIAMENTO
 INFORMAÇÕES DE GERENCIAMENTO

• ASN.1 - Abstract Sintax Notation One

• É uma linguagem formal de especificações definida pela ISO.
• Usado em uma serie de protocolos Internet, principalmente na área de gerenciamento
• Objetivos ASN.1:
• Linguagem de descrição de dados, independente de maquina, sistema operacional.
• Diferentes computadores armazenam e apresentam dados de modo diferente (little-endian/big-
endian).
• Regras que estabelecem a maneira como cada um desses tipos de dados deve ser transmitido
pela rede
• Serviço de apresentação (OSI)
• Definição formal de estruturas de dados:
• Módulos, Tipos, Valores, Macros...
• Convenções Léxicas
• BER – Basic Encoding Rules
ESTRUTURA DAS INFORMAÇÕES DE GERENCIAMENTO
 OBJETOS E INSTÂNCIAS

• Identificação de um objeto
• iso.org.dod.internet.mgmt.mib-2.system.sysDescr
• 1.3.6.1.2.1.1.1

• Identificação de uma variável simples

• iso.org.dod.internet.mgmt.mib-2.system.sysDescr.0
• 1.3.6.1.2.1.1.1.0

• Linhas de tabelas são identificadas unicamente através de uma (ou mais)

colunas com conteúdo único (índice)
OPERAÇÕES DO SNMP V1
BER – BASIC ENCONDING RULES

#snmpget –v 1 -c seguranca <ip_agente> 1.3.6.1.2.1.6.5.0 - (tcpActiveOpens)

30 T - 00110000 – Classe Universal / Tipo composto / Seqüência

3A L - Tamanho = 58 bytes

02 T - 00000010 - Classe Universal / Tipo primitivo / inteiro

01 L - Tamanho = 1 byte

00 V - Valor = 0 / version = snmpv1

...
SNMP V1 - SEGURANÇA

• Segurança exercida através do campo “Comunidade”

• Gerente tem que informar palavra correta ao Agente para ser autenticado

• Texto trafega trafega em claro, portanto, susceptível a captura.

• Informações importantes de trafego da rede trafegam sem segurança

• SNMP v1 não adequado para efetuar alterações(set-request) em dados de

agentes.
SNMP V2

• Novas Operações
• GetBulk-resquest
• Permite ao gerente solicitar transferência de grandes quantidades de dados de forma
mais eficiente. Transferência de Tabelas
• Inform
• Permite que uma estação de gerenciamento envie uma mensagem assíncrona para
outra estação de gerenciamento
• SMIv2
• Permite uma melhor documentação e especificação mais elaborada de objetos. Novos
tipos de dados. Eliminou ambigüidades nas definições dos objetos encontrados nas
especificações anteriores
• SNMPv2-MIB
• Novos objetos de tráfego relacionado às novas operações alem de novas informações
relacionadas a configurações de gerentes e agentes
SNMP V2

• Gerenciamento Hierárquico
• RMON – Remote Network Monitoring

• Segurança
• Conceito de visão de MIB
• Conceito de Contexto
• Não acrescentou novos mecanismos de segurança
SNMP V3

• Arquitetura Integrada de funcionalidades:

• SNMPv1
• SNMPv2
• Novidades v3

• Principais novidades na área de administração e segurança

• Problemas de segurança era um fator limitador da de operações de controle
(SetRequest)
SNMPV3 - SEGURANÇA

• Criptografia
• As PDUs SNMP podem ser criptografadas com DES
• Chave deve ser compartilhada
• Autenticação
• Combina uso de uma função de hash(MD5) com um valor de chave secreta
• HMAC (Hashed Message Authentication Codes
• Proteção contra ataques de reprodução
• Utiliza “nounce”. Receptor exige que o remetente inclua em cada mensagem um valor
baseado em um contador do receptor. Esse contador é baseado na ultima reinicialização
do software de gerenciamento do receptor
• Controle de acesso
• Controle de acesso baseado em visões
• Determina quais informações de gerenciamento podem ser consultados ou definidas por
quais usuários
SISTEMA DE GERÊNCIA DE REDES
“Se você não pode proteger o que tem, você não tem nada.”
Anônimo
FIM DA EMENTA.
Dúvidas

Reflexão:
“Os computadores são incrivelmente rápidos, precisos e burros; os homens são
incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os
limites da Imaginação” – Albert Einstein

373