Você está na página 1de 92

UNIVERSIDADE CATÓLICA DE ANGOLA

FACULDADE DE ENGENHARIA
ENGENHARIA DE TELECOMUNICAÇÕES

RELATÓRIO DO PROJECTO FINAL DE CURSO

IMPLEMENTAÇÃO DE SEGURANÇA NA REDE MULTICAIXAS


(Automated Teller Machine)

VICTOR ALEXANDRE BUTA DEMBY - 10232

2016
Victor Alexandre Buta Demby

IMPLEMENTAÇÃO DE SEGURANÇA NA REDE MULTICAIXAS


(Automated Teller Machine)

Trabalho de conclusão de curso


apresentado à Faculdade de
Engenharia da Universidade Católica
de Angola como requisito parcial para
obtenção do grau de Licenciado em
Engenharia de Telecomunicações.

Orientadores:
Msc. Lunduloca Garcia
Prof. Dr. Alberto Amaral Lopes (em memória)
UNIVERSIDADE CATÓLICA DE ANGOLA

FACULDADE DE ENGENHARIA

DECLARAÇÃO DE AUTENTICIDADE

Eu, Victor Alexandre Buta Demby, matriculado no 5º ano do curso de Engenharia de


Telecomunicações – número de matricula 10232 declaro que o trabalho de conclusão do
curso (monografia) intitulado: SEGURANÇA DE REDES, IMPLEMENTAÇÃO NA REDE
DE MULTICAIXAS (ATM) é de minha autoria e exclusiva responsabilidade e não contém
apropriação indevida, parcial ou total, da obra intelectual de outro autor.

Qualquer material reproduzido nesta monografia foi devidamente reconhecido das


referências bibliográficas. Tenho consciência que a utilização de elementos alheios não
identificados constitui grave falta ética e disciplinar.

Luanda, _______ de ________________ de _______________________

____________________________
Assinatura
DEDICATÓRIA

Dedicar este trabalho em memória dos meus Pais (Salvador Costa André e Lúcia
Gueve Buta) que se ainda estivessem em vida, de certeza que estariam muito orgulhosos de
me ver terminar o curso superior. A minha Mãe, Adélia Sia Buta, por cuidar de mim e aturar
esse tempo todo e aos meus irmãos que muito desejaram essa formação. Esta licenciatura
também é vossa.

I
AGRADECIMENTOS

Começo por agradecer a Deus, pelas graças e por iluminar sempre os meus passos.
Aos meus Pais por me terem dado a vida, a minha Mãe por cuidar de mim incansavelmente.
Aos manos por durante seis anos terem apoiado financeiramente para a minha formação
mesmo tendo os seus familiares por cuidar. Aos meus manos, amigos e agora irmãos de luta
desde o princípio e até os que só apareceram no final, vocês, todos, mudaram a minha vida, e
tenho a certeza me deram muito mais do que receberam. Para aquela amiga que desde que se
tornou amiga, não deixou de acreditar, nunca e até hoje continua a acreditar. Namorada, sei
que agora percebes a ausência. Aos que sempre acreditaram que eu seria capaz, o meu muito
obrigado.
Esse mambo é nosso!

Victor Alexandre Buta Demby

II
Epígrafe

“Uma ideia que não parece perigo, nem deve ser considerada ideia!”
Desconhecido

III
Resumo

A segurança de redes é hoje uma componente fundamental e indispensável de


qualquer projecto de redes. A interligação de máquinas em redes levanta questões associadas
ao acesso autorizado e não autorizado a informação da organização. Cabe ao administrador
de redes gerir o acesso aos recursos da infra-estrutura. Segurança de Computadores
(Computer Security) – nome genérico para a colecção de ferramentas desenhadas para
proteger os dados e “afastar” hackers. Segurança de Redes (Network Security) – medidas
para proteger os dados durante a sua transmissão. Segurança da Internet (Internet Security) –
medidas para proteger os dados durante a transmissão realizada entre redes interligadas
(Interconnected Networks).
Este trabalho tem como objectivo abordar o funcionamento da infra-estrutura de rede
na rede de multicaixas (ATM) no que se foca mais a segurança de redes. Vamos propor ou
apresentar algumas tecnologias como solução de segurança para os problemas encontrados na
rede. Iremos também discutir os custos de implementação e perspectivas futuras para este
tipo de projecto.
Não esquecendo que nesta fase não é vantajoso etre de custos e de soluções raápidas
ter soluções totalmente cabeadas, então, optaremos também por sugerir a tecnologia de 4ª
geração, WiMax.
Nós, diariamente usamos os ATM mas muitos de nós não sabem como é feito esse
trabalho? Qual é o princípio de funcionamento pelo qual ele funciona? Como por satélite e
banco de cooperar de ATM ponto de vista de trabalho? Qual é o custo de fazer um ATM para
o banco?

Palavras chave: ATM, Segurança, CISCO

IV
Abstract

The network security is now a fundamental and indispensable component of any


project networks. The interconnection of machines in networks raises issues associated with
the authorized and unauthorized access to the organization's information. It is for the network
administrator to manage access to infrastructure resources. Computer Security (Computer
Security) - generic name for a collection of tools designed to protect data and "away"
hackers. Network Security - measures to protect data during transmission. Internet Security -
measures to protect data during transmission conducted between interconnected networks.
This work aims to address the functioning of the network infrastructure in the network
multicaixas (ATM) as more focuses on network security. We will propose or present CISCO
technology as a security solution to the problems encountered in the network. We will also
discuss the implementation costs and future prospects for this type of project.
Not forgetting that at this stage it is not advantageous to have costly and fast solutions
to have fully wired solutions, so we will also choose to suggest the 4th generation
technology, WiMax.
We daily use the ATM but many of us do not know how it's done this work? What is
the working principle by which it works? As satellite and bank cooperate ATM view of
work? What is the cost of making an ATM to the bank?

Key words: ATM, Security, CISCO

V
Lista de Figuras
Figura 1: Exemplo de uma LAN ................................................................................................. 11
Figura 2: Modelo OSI .................................................................................................................. 12
Figura 3: O exemplo da carta com o modelo OSI ....................................................................... 13
Figura 4: Modelo OSI e TCP ....................................................................................................... 13
Figura 5: A arquitectura TCP/IP e seus Protocolos ..................................................................... 14
Figura 6: Criptografia .................................................................................................................. 18
Figura 7: Exemplo de acção de uma firewall .............................................................................. 23
Figura 8: Firewall de uma Sede e Filial, conectadas a Internet ................................................... 24
Figura 10: Rede Wimax ............................................................................................................... 28
Figura 11: Estrutura de uma rede WAN ...................................................................................... 30
Figura 12: Estrutura WBS (Iniciação) …………………………………………………………. 31
Figura 13: Estrutura WBS (Planeamento) ……………………………………………………... 32
Figura 14: Estrutura WBS (Construção) ………………………………………………………. 32
Figura 15: Arquitectura do X25 ................................................................................................... 33
Figura 16: Exemplo de linhas dedicadas ..................................................................................... 34
Figura 17: Ligação X25 com linhas dedicadas ........................................................................... 35
Figura 18: Comunicação via WiMax .......................................................................................... 40
Figura 19: Comunicação por Vsat (Uplink) ................................................................................ 41
Figura 20: Link Budget (Downlink) ............................................................................................ 41
Figura 21: Actual estrutura de rede na entidade gestora .............................................................. 39
Figura 22: Core da rede (Actual) .................................................................................................. 42
Figura 23: Core da rede (Solução proposta) ................................................................................. 49
Figura 24: ASA FAILOVER ........................................................................................................ 52
Figura 25: Camada de distribuição (Proposta) .............................................................................. 55
Figura 26: Camada de distribuição (Proposta) .............................................................................. 56
Figura 28: Camada de acesso (actual) ........................................................................................... 59
Figura 29: Proposta para a camada de acesso ................................................................................ 60
Figura 30: Entidade gestora (actual) .............................................................................................. 60
Figura 31: Entidade Gestora (Solução proposta) ........................................................................... 61
Figura 32: Estrutura WBS (Monitoramento e Controle) ………………………………………... 64
Figura 33: Estrutura WBS (Encerramento) ……………………………………………………… 64

VI
Anexo 1: Topologia interna da rede
Anexo 2: Routing table on BR
Anexo 2.1: Por configuration on Firewall
Anexo 3: Configurações no Switch CSW1 (Continua…)
Anexo 3.1: IP Interface brief for VLANs
Anexo 3.2: VTP Status for Core Switch

Lista de tabelas

Tabela 1: UDP vs TCP


Tabela 2: Classe e apresentação dos endereços
Tabela 3: Algoritmos de chave simétrica mais comuns
Tabela 4: Banda dos Satélites
Tabela 5: Banda de Frequência WiMax
Tabela 6: Tabela de endereçamento; Fonte: Elaborada pelo autor
Tabela 7: Regra de lista de acesso estendida para o BR; Fonte: Elaborada pelo autor
Tabela 8: Tabela de regras na Firewall; Fonte: Elaborada pelo autor
Tabela 9: Tabela de regras no servidor proxy; Fonte: Elaborada pelo autor
Tabela 10: Custos dos activos de rede; Fonte: Elaborada pelo autor
Tabela 11: Custo dos recursos humanos; Fonte: Elaborada pelo autor

VII
Lista de abreviaturas e Siglas

 ACL – Listas de acesso ou Acess List


 ASCII - American Standard Code for Information Interchange
 ASK – Amplitude Shift Keying
 ATM – Assincrone Teller Machine
 BR – Border Router
 BTS – Base Transceiver Station
 CAN - Campus Area Network
 CDMA – Code Division Multiple Acess
 DAMA – Demand Assignment Multiple Acess
 DES – Data Encryption Standard
 DMZ – Demilitarized Zone
 FCS – Frame Check Sequence
 FDMA – Frequency Division Multiple Acess
 FEC – Forward Error Correction
 IP – Internet Protocol
 ISP – Internet Service Provider
 IAP – Internet Acess Provider
 IEEE – Institute of Electrical & Electronics Engineer~
 IDU – Indoor Unit
 LAN - Local Area Network
 LNA - Low Noise Amplifier
 MAN - Metropolitan Area Network
 NAT – Network Address Translation
 OSI - Open Systems Interconnection
 PC – Personal Computer
 PN – Pseudo Randómico
 PSK – Phase Shifting Keying
 PPP – Point-To-Point Protocol
 PTP – Peer to Peer
 QAM - Quadrature Amplitude Mode
 SET – Secure Electronic Transaction
 SI – Sistema de Informações
 SMTP - Simple Mail Transfer Protocol
 SNMP - Simple Network Management Protocol
 TCP - Transmission Control Protocol
 TDMA – Time Division Multiple Acess
 UDP – Unit Datagram Protocol
 UTP – Unit Transport Protocol
 VSAT – Very Small Aperture Terminal
 WAN - Wide Area Network
 WiMax – Worldwide Interoperability for Microwave Acess

VIII
Índice
DEDICATÓRIA ................................................................................................................................ I
AGRADECIMENTOS ...................................................................................................................... II
Epígrafe ........................................................................................................................................... III
Resumo ............................................................................................................................................ IV
Abstract............................................................................................................................................. V
Lista de Figuras ................................................................................................................................ VI
Lista de tabelas ................................................................................................................................ VII
Lista de abreviaturas e Siglas .......................................................................................................... VIII
Índice ................................................................................................................................................. I
1. Introdução ................................................................................................................................ 9
1.1. Formulação do problema ................................................................................................. 9
1.2. Hipótese .......................................................................................................................... 10
2. Introdução ao conceito de redes ............................................................................................ 11
2.1. Arquitectura de Comunicação OSI .................................................................................... 11
2.2. Arquitectura TCP/IP ..................................................................................................... 13
2.3. Comparação entre UDP e TCP ...................................................................................... 14
2.4. Dispositivos básicos de Redes ......................................................................................... 14
Hub: é um dispositivo que tem a função de interligar os computadores de uma rede local. Os dados
recebidos por uma porta são duplicados e enviados para todas as outras portas (broadcast). No
momento em que isso ocorre, nenhum outro dispositivo consegue enviar o sinal. Sua liberação
acontece após o sinal anterior ter sido completamente distribuído. Caso o cabo de rede de uma
máquina seja desconectado ou apresente algum defeito, a rede não deixa de funcionar, pois é
o hub que a "sustenta". Também é possível adicionar um outro hub ao já existente. Hubs são
adequados para redes pequenas e/ou domésticas. ......................................................................... 14
Bridge: serve para conectar duas redes distintas, permitindo comunicações entre elas. O bridge
pode ser um dispositivo dedicado ou então um PC com duas placas de rede, configurado para
executar esta função. O Bridge permite unir dois ou mais hubs, transformando-os em uma
única rede, onde os PCs conectados a cada hub tornam-se um segmento de rede distinto. Isso
faz toda a diferença, pois o bridge é capaz de examinar os pacotes e transmitir os pacotes
apenas ao destinatário correto, isso previne a saturação da rede, mesmo que existam muitos
PCs. As limitações são que o bridge pode conectar apenas redes que utilizem a mesma
arquitectura (Ethernet por exemplo) e que utilizem o mesmo protocolo de rede (TCP/IP por
exemplo). ................................................................................................................................ 15
Switch: são equipamentos utilizados basicamente para a conexão e filtragem de informações
entre duas ou mais estações de trabalho em rede de computadores. Também pode corrigir
erros de alguns pacotes de dados e coordenar o tráfego de informações na rede. Impedindo por
exemplo congestionamentos ou colisão de arquivos já que ele separa cada estação conectada
em um diferente segmento de rede (em diferente cabo). Sendo assim o switch pode enviar com
precisão e agilidade as informações desejadas aos locais desejados. ....................................... 15
2.5. Internet ........................................................................................................................... 15
2.6. Internet Protocol Version 4 (IPV4) ................................................................................ 16
2.7. Internet Protocol Version 6 (IPV6) ................................................................................ 16
2.8. Endereços públicos e privados ....................................................................................... 16
2.8.1. Classes de endereços ................................................................................................... 16
2.9. Internet Service Provider (ISP) ..................................................................................... 17
2.10. Segurança de redes ..................................................................................................... 17
Criptografia ........................................................................................................................... 17
Outros pontos ......................................................................................................................... 18
Princípios de segurança ............................................................................................................. 18
DES ............................................................................................................................................ 20
AES ............................................................................................................................................ 21
Chave Simétrica vs Chave pública ............................................................................................ 21
Criptografia de chave Simétrica ............................................................................................ 21
Criptografia de chave Pública ............................................................................................... 21
O “top” dos ataques ................................................................................................................... 22
Distributed Denial-of-Service (DDoS) ....................................................................................... 22
Port Scanning ............................................................................................................................ 22
Cavalos de Tróia, vírus e malwares .......................................................................................... 22
Ataques de Força Bruta............................................................................................................. 22
2.11. Firewall ....................................................................................................................... 22
2.12. Protocolo Secure Eletronic Transaction (SET) ......................................................... 25
Entidades participantes no protocolo SET............................................................................ 25
1. Certificados do consumidor: .......................................................................................... 27
2. Certificados do comerciante: ......................................................................................... 27
3. Certificados do PaymentGateway: ................................................................................ 27
4. Certificados do Banco: ................................................................................................... 27
5. Certificados da Operadora: ........................................................................................... 27
2.13. WiMax ( Worldwide Interoperability for Microwave Access ) ..................................... 28
2.13.1. Redes WAN ................................................................................................................ 30
3. Implementação da rede ......................................................................................................... 32
3.1. Tipo de ligação ............................................................................................................... 34
3.2. Protocolo X25 e Linhas Dedicadas ................................................................................ 35
3.2.1. Protocolo X25 ......................................................................................................... 35
3.2.2. Linhas dedicadas ou alugadas ................................................................................ 36
3.2.3. Linhas dedicadas no X.25 ....................................................................................... 38
3.3. Protocolo TCP/IP e Wimax ............................................................................................ 39
3.4. Comunicação via satélite, VSAT .................................................................................... 41
Link Budget ........................................................................................................................... 43
VPN via Satélite ..................................................................................................................... 44
3.5. Entidade gestora (segurança)......................................................................................... 45
Esquema de endereçamento para a rede interna e Departamentos ..................................... 46
Core da Rede ............................................................................................................................. 48
DMZ (Zona desmilitarizada) ................................................................................................. 54
CAMADA DE DISTRIBUIÇÃO............................................................................................... 54
Virtualização .......................................................................................................................... 56
Servidor Proxy ....................................................................................................................... 58
Camada de Acesso ..................................................................................................................... 59
3.6. Resultados ...................................................................................................................... 60
3.7. Outros.................................................................................................................................. 63
Iteração ...................................................................................................................................... 63
Biometria ................................................................................................................................... 63
4. Custos de Implementação ...................................................................................................... 64
5. Aspectos metodológicos ......................................................................................................... 66
6. Conclusão ............................................................................................................................... 67
7. Referências Bibliográficas ..................................................................................................... 68
Anexos ............................................................................................................................................ 69
1. Introdução
Actualmente possuir um sistema de segurança cada vez mais seguro e actual é de extrema
importância para as organizações, sendo que as informações que circulam dentro dessas
organizações são consideradas um instrumento de trabalho.
Nos nossos dias, é quase impossível as empresas não interligarem seus computadores à
internet, com o objectivo de se obter mais clientes, menos custo de comunicação, oferecer
mais serviços, realizar pagamentos, entre outros.
Por isso é necessário que estas informações tenham agilidade no processo de
comunicação, quer seja em redes sem fios ou em redes cabeadas, o importante é que as
informações estejam a trafegar de forma confiável e úteis para que os usuários as utilizem
sem qualquer intersecção de terceiros.
Os requisitos de Segurança da Informação mudaram nas últimas largas décadas entre elas
apareceu a CISCO, que com a sua tecnologia foram criando medidas para deter, prevenir,
detectar, e corrigir violações de segurança que envolvem a transmissão e o armazenamento de
informação.
Exemplos de violação de segurança:
Conseguir ler um ficheiro com informação confidencial. Conseguir interceptar e
modificar uma mensagem (Por exemplo, a transmissão de um ficheiro com actualizações de
utilizadores). Conseguir criar uma mensagem e enviá-la em nome de outro. Conseguir atrasar
uma mensagem.
1.1. Formulação do problema
Sendo que o tema é implementação de segurança de redes com a tecnologia CISCO na
rede de multicaixas (ATM). O X.25 está a entrar em extinção e ainda são usados nalgumas
máquinas e por algumas topologias. O projecto visa dar respostas aos problemas que
apresentam o uso do protocolo de comunicação X.25 e consequentemente linhas dedicadas
para o TCP/IP usando a tecnologia wireless entre a Entidade Gestora e os ATMs.
Apresentação do problema: o problema está no uso do X.25 e nas linhas dedicadas
como solução para o meio de comunicação da Entidade Gestora com os seus ATMs, sendo
que actualmente é dispendioso usar linhas dedicadas pra se comunicar.

Objectivos
Geral
 Como objectivo geral do trabalho temos a substituição de linhas dedicadas por
WiMax, saindo do protocolo de comunicação de rede X.25 para o TCP/IP e
aplicar redundância de comunicação de equipamentos e serviços na Entidade
Gestora.
Específicos
 Alteração do protocolo de comunicação;
 Falar sobre a importância da segurança dos dados na rede;

9
Implementação de Segurança de Redes na rede multicaixas (ATM)
 Introduzir pontos principais redundantes na rede;
 Analisar as principais soluções para um ambiente mais seguro e estável através de
exemplos práticos e teóricos;

1.2. Hipótese
Apresentar a comunicação sem fios (wireless) como solução, redundância dos seus
serviços e principalmente aumentar o nível de segurança na comunicação da Entidade
Gestora com os seus ATMs, usando na maioria das vezes a tecnologia CISCO como resposta
para solução dos nossos problemas.

Justificativa
O processo de evolução dos Sistemas de Informação - SI caminhou paralelamente com as
tecnologias de informática e telecomunicações. A evolução da tecnologia colaborou para
surgimento das redes de computadores e o melhoramento de sua capacidade de
processamento, com o surgimento de novos sistemas que possibilitam maior integração das
áreas empresariais.
Na senda de evoluções os protocolos de comunicação não pararam de evoluir e como tal,
temos hoje o X.25 em extinção e o TCP/IP como solução.
Com o avanço da nova tecnologia surgiu a tecnologia CISCO que apresenta também
soluções para a segurança de redes, que actualmente é a tecnologia mais usada no mercado.
Essa tecnologia proporciona mobilidade, agilidade e “liberdade” em sua utilização.
Portanto, diante da relevância do tema, as redes devem ser seguras e confiáveis aos
usuários através implementações de criptografias e firewalls deixando ser um alvo fácil para
pessoas más intencionadas como os hackers.

10
Implementação de Segurança na rede multicaixas (ATM)
2. Introdução ao conceito de redes
Existem vários mecanismos e soluções de segurança que apoiam o administrador
nesta tarefa, vamos aqui falar de alguns, ou seja, dos que propriamente serão usados aqui no
projecto, mas, sendo que a segurança a ser tratada aqui é sobre as redes de computadores,
vamos tirar primeiramente um espaço pra falar de alguns elementos de redes de
computadores e sem esquecer de definir redes de comunicação.
Uma rede de comunicação é um conjunto de dois ou mais dispositivos interligados
entre si com fios (comunicação com fios) ou ondas rádio (comunicação sem fios - wireless)
de modo a que se possam comunicar entre si.
Uma rede de comunicação geralmente é caracterizada pela sua dimensão em que
temos a LAN (Local Area Network), CAN (Campus Area Network), MAN (Metropolitan
Area Network) e WAN (Wide Area Network), mas vamos simplesmente falar da LAN e da
WAN, que é que nos interessa.
LAN (Local Area Network) - é uma rede de pequena proporção que incluí
dispositivos numa pequena área geográfica. As LAN são usadas na interligação de
componentes distribuídos por uma sala, um edifício ou até por vários edifícios próximos entre
si.

Figura 1: Exemplo de uma LAN, Fonte: http://www.hill2dot0.com/wiki/index.php?title=LAN

WAN (Wide Area Network) – Todas as outras redes com dimensão superior, usadas
na interligação de equipamentos dispersos pelo país ou pelo mundo, como a rede internet. Em
suma, a WAN é uma rede que permite a comunicação entre LANs que se encontram
geograficamente afastadas. Uma WAN é tipicamente construída por um ISP.
2.1. Arquitectura de Comunicação OSI
O modelo de comunicação OSI foi a primeira tentativa para garantir a interligação e
interoperabilidade entre diferentes dispositivos. Embora se pretendesse desenvolver uma
implementação OSI mais detalhada com protocolos bem definidos nas várias camadas,
apenas se desenvolveram alguns protocolos que nunca tiveram grande divulgação.
Consequentemente, o modelo é hoje usado principalmente como referência para o
desenvolvimento de outros modelos, daí a designação, modelo de referência. 1

1
Mário Véstias, Redes Cisco Para Profissionais, 6 edição, página 4, terceiro parágrafo

11
Implementação de Segurança na rede multicaixas (ATM)
Figura 2: Modelo OSI, Fonte: https://www.youtube.com/watch?v=PojxRG7BktU

As três camadas superiores do modelo (aplicação, apresentação e sessão) estão


direccionadas para a comunicação entre aplicações (camadas de aplicação). As últimas quatro
camadas estão direccionadas para a comunicação de dados entre dois pontos da rede
(camadas de comunicação). E o modelo funciona da seguinte forma:
A aplicação começa por aceder á camada de aplicação indicando que pretende enviar
uma mensagem com determinado tamanho. A camada adiciona ao cabeçalho esta informação
e envia os dados para a camada de apresentação;
Na camada de apresentação, é escolhido em que formato o ficheiro será enviado. Se
por exemplo for escolhido o modelo ASCII, os dados são convertidos de binário para ASCII
e a indicação do tipo de conversão é incluída ao cabeçalho. Em geral, esta informação é
apenas indicada durante a inicialização dos fluxos, em vez de ser enviada juntamente com
cada mensagem. Depois de converter a mensagem ASCII e adicionar o respectivo cabeçalho,
os dados são enviados para a camada de sessão;
Muitas vezes a camada de sessão é omissa, sendo, em geral poucas vezes utilizada;
Na camada de transporte os dados começam por ser segmentados. No caso de incluir
os serviços de detecção de erros, cada segmento é identificado por um número de sequência
que é incluído no seu cabeçalho. Adicionalmente, também pode incluir informação de
controlo de fluxo de dados entre o Entidade Gestorasor e o receptor. Não esquecer que, na
camada de transporte, o controlo de fluxo é feito extremo a extremo entre as entidades
remotas de comunicação;
A camada de rede adiciona o endereço lógico do receptor e o do Entidade Gestorasor,
para que o computador do receptor saiba quem enviou a mensagem. O endereço é usado ao
longo do transporte dos dados, pelos vários dispositivos por onde passa a mensagem, para
determinar o caminho com destino ao receptor;
A comunicação de dados entre dois dispositivos directamente ligados entre si é feita
de acordo com os protocolos da camada de ligação de dados. Os serviços da camada
adicionam um cabeçalho à informação recebida da camada de rede de acordo com o tipo de
meio físico, produzindo tramas. O cabeçalho inclui o endereço de erros (FCS – Frame Check
Sequence) e em alguns protocolos também inclui informação de recuperação de erros e
controlo de fluxo;
Finalmente, as tramas são enviadas para o meio físico tendo em conta o processo de
sincronização, os níveis de tensão, o processo de sinalização, etc.

12
Implementação de Segurança na rede multicaixas (ATM)
Figura 3: O exemplo da carta com o modelo OSI

Fonte: https://pplware.sapo.pt/tutoriais/networking/redes-sabe-o-que-e-o-modelo-osi/

2.2. Arquitectura TCP/IP


A arquitectura de comunicação TCP/IP inclui um conjunto de protocolos de suporte à
transmissão de dados. A simplicidade e o facto de ser uma arquitectura aberta tornaram o
TCP/IP na arquitectura utilizada na maioria das redes de comunicação de dados, incluindo a
rede Internet. O TCP/IP usa conceitos similares ao do modelo OSI, com uma estrutura de
camadas bastante próximas.
A camada de Aplicação do modelo TCP/IP, geralmente é comparada as três camadas
superiores do modelo OSI. Assim, os serviços de compressão, encriptação, de administração
de sessões, entre outros, são todos realizados na camada de aplicação.
As camadas de transporte, de internet, de acesso à rede e física têm serviços idênticos
às camadas de transporte, de rede, de ligação à rede e física do modelo OSI, respectivamente.

Figura 4: Modelo OSI e TCP

Fonte: http://www.diegomacedo.com.br/arquitetura-e-protocolos-tcp-ip/

13
Implementação de Segurança na rede multicaixas (ATM)
Algumas bibliografias juntam a camada de acesso à rede e física, criando um modelo
TCP/IP com quatro camadas. Esta união deve-se ao facto de o modelo considerar que existem
muitas dependências entre as duas camadas e, consequentemente, engloba muitos dos seus
serviços numa só.
Por outro lado, a abordagem com cinco camadas tem a vantagem de que a camada
internet passa a ser identificada como uma camada nível 3, ao mesmo nível da camada de
rede no modelo OSI. Desta forma, quando se diz que um equipamento implementa serviços
do nível 3, não surgem dúvidas de interpretação, pois em ambos os modelos o nível 3 tem as
mesmas funções.
A arquitectura TCP/IP é formada por um vasto conjunto de protocolos que se
distribuem pelas diferentes camadas do modelo.

Figura 5: A arquitectura TCP/IP e seus Protocolos

Fonte: http://www.devmedia.com.br/via-de-mao-dupla-com-websockets/28281

2.3. Comparação entre UDP e TCP

Tabela 1: UDP vs TCP, Fonte: http://slideplayer.com.br/slide/1250266/

2.4. Dispositivos básicos de Redes


Hub: é um dispositivo que tem a função de interligar os computadores de uma rede
local. Os dados recebidos por uma porta são duplicados e enviados para todas as outras portas
(broadcast). No momento em que isso ocorre, nenhum outro dispositivo consegue enviar o
sinal. Sua liberação acontece após o sinal anterior ter sido completamente distribuído. Caso o
14
Implementação de Segurança na rede multicaixas (ATM)
cabo de rede de uma máquina seja desconectado ou apresente algum defeito, a rede não deixa
de funcionar, pois é o hub que a "sustenta". Também é possível adicionar um outro hub ao já
existente. Hubs são adequados para redes pequenas e/ou domésticas.

Bridge: serve para conectar duas redes distintas, permitindo comunicações entre elas.
O bridge pode ser um dispositivo dedicado ou então um PC com duas placas de rede,
configurado para executar esta função. O Bridge permite unir dois ou mais hubs,
transformando-os em uma única rede, onde os PCs conectados a cada hub tornam-se um
segmento de rede distinto. Isso faz toda a diferença, pois o bridge é capaz de examinar os
pacotes e transmitir os pacotes apenas ao destinatário correto, isso previne a saturação da
rede, mesmo que existam muitos PCs. As limitações são que o bridge pode conectar apenas
redes que utilizem a mesma arquitectura (Ethernet por exemplo) e que utilizem o mesmo
protocolo de rede (TCP/IP por exemplo).
Switch: são equipamentos utilizados basicamente para a conexão e filtragem de
informações entre duas ou mais estações de trabalho em rede de computadores. Também
pode corrigir erros de alguns pacotes de dados e coordenar o tráfego de informações na rede.
Impedindo por exemplo congestionamentos ou colisão de arquivos já que ele separa cada
estação conectada em um diferente segmento de rede (em diferente cabo). Sendo assim o
switch pode enviar com precisão e agilidade as informações desejadas aos locais desejados.
Router: é um dispositivo que faz a comunicação entre diferentes redes de
computadores. Tem a capacidade de escolher a melhor rota que um determinado pacote de
dados deve seguir para chegar em seu destino. Os routers são os responsáveis pelo "tráfego"
na Internet. Um pacote de dados é normalmente encaminhado de um router para outro através
das redes que constituem a network até atingir o nó destino. E portanto o router é tipicamente
um dispositivo da camada 3 do Modelo OSI.

2.5. Internet
A internet foi usada pela primeira vez nos Estados Unidos da América como solução
para pesquisas académicas e de segurança, primeiramente surgiu como um instrumento,
conectando dois ou mais computadores a conversarem sem estarem fisicamente ligados.
Esses experimentos deram tão certos que hoje quase ou mesmo nenhuma empresa sobrevive
sem ela. Mas para usar a Internet, precisamos de endereços IP para que os dados
(informação) cheguem a máquinas correctas, ou seja, falar de internet estamos a falar de IP.
O protocolo IP realiza a transferência de pacotes com base no endereço lógico,
também designado endereço IP. Os segmentos recebidos do TCP ou do UDP são
fragmentados, se necessário, para criar pacotes. A cada pacote é adicionado o endereço IP de
origem e de destino, de acordo com a informação recebida no protocolo de transporte. De
seguida, com base no endereço de destino, o pacote é encaminhado através das várias redes
até chegar ao receptor. Aqui, os pacotes são reagrupados e enviados para a camada de
transporte.

15
Implementação de Segurança na rede multicaixas (ATM)
O IP é um protocolo sem ligação, em que os pacotes podem seguir caminhos
diferentes para chegar ao destino. O IP é constituído por duas versões no seu cabeçalho, o
IPv4 e IPv6.
2.6. Internet Protocol Version 4 (IPV4)
O protocolo IPv4 foi introduzido em 1981, ele considera 32 bits de espaço de
endereço que são apresentados em quatro grupos de 8 bits, o que permite gerar até
4.294.967.296 endereços distintos. Os endereços foram divididos em cinco classes: A, B, C,
D e E. Das quais usamos as três primeiras e as outras duas, D e E são usadas para broadcast e
testes.
2.7. Internet Protocol Version 6 (IPV6)
O protocolo IPv6 surge com um conjunto de características de melhoria relativamente
ao protocolo IPv4 e introduz alguns protocolos novos, ao mesmo tempo que garante a
interoperabilidade entre ambos. Os endereços têm 128 bits, que permitem gerar 2128
endereços, aproximadamente 3,4 × 1038. Considerando a população total do planeta, que é de
aproximadamente 6,5 × 109, podemos dizer que cada um de nós tem ao seu dispor cerca de 5
× 1028 endereços (com IPv4 temos um endereço para cada dois habitantes)!
2.8. Endereços públicos e privados
Basicamente as máquinas quando estão ligadas em rede (LAN) possuem um endereço
IP configurado (seja ele IPv4 (na maioria dos casos) ou IPv6), de forma a serem
"enxergados" por outras máquinas ou dispositivos em uma rede.
Relativamente a endereços IP existem os endereços públicos e os endereços privados.
A maioria dos endereços IP é pública, permitindo assim que as nossas redes (ou pelo menos o
nosso router que faz a fronteira entre a nossa rede e a Internet) estejam acessíveis
publicamente através da Internet, a partir de qualquer lado. Quanto a endereços privados,
estes não nos permitem acesso directo à Internet, no entanto esse acesso é possível mas é
necessário recorrer a mecanismos de tradução como o NAT (Network Address Translation)
que traduzem o nosso endereço privado para um endereço público.
Passando novamente para as redes podemos dizer que máquinas em redes diferentes
podem usar os mesmos endereços privados e não existe qualquer entidade reguladora para
controlar a atribuição, isso é definido internamente.
A diferença entre IPs públicos e privados consiste que o IP público é um endereço que
é acessível através da internet. Este endereço é atribuído pela sua Operadora de Serviços de
Internet (ISP) que você adquire junto ao link de internet.
2.8.1. Classes de endereços
Os números de redes e de hosts para as classes A, B e C. Originalmente, o espaço do
endereço IP foi dividido em poucas estruturas de tamanho fixo chamados de "classes de
endereço". As três principais são a classe A, classe B e classe C. Examinando os primeiros
bits de um endereço, o software do IP consegue determinar rapidamente qual a classe, e logo,
a estrutura do endereço.
Classe A: Primeiro bit é 0 (zero);

16
Implementação de Segurança na rede multicaixas (ATM)
Classe B: Primeiros dois bits são 10 (um, zero);
Classe C: Primeiros três bits são 110 (um, um, zero);
Classe D: (endereço multicast): Primeiros quatro bits são: 1110 (um, um, um, zero);
Classe E: (endereço especial reservado): Primeiros cinco bits são 11110 (um, um, um,
um, zero).
A tabela, a seguir, contém o intervalo das classes de endereços IPs:

Tabela 2: Classe e apresentação dos endereços; Fonte: http://slideplayer.com.br/slide/4292864/

2.9. Internet Service Provider (ISP)

Um Fornecedor de acesso à Internet ou Provedor de serviço internet (em


inglês Internet Service Provider, ISP) oferece principalmente serviço de acesso à Internet,
agregando a ele outros serviços relacionados, tais como "email", "hospedagem de
sites" ou blogs, entre outros. Fornecedor de acesso à Internet é a tradução para IAP (Internet
Access Provider). IAP é uma outra maneira pela qual nos referimos ao ISP (Internet Service
Provider) cuja tradução é "Provedor de serviços de Internet". Que não configura ambiguidade
pois os serviços são providos através dele e não por ele. As maiores ISPs possuem as suas
próprias linhas dedicadas de modos que não sejam completamente dependentes aos
provedores de telecomunicações fornecendo assim melhores serviços aos seus clientes.
2.10. Segurança de redes
Falamos anteriormente de alguns conceitos de redes, mas em nenhum dos momentos
falamos de como os segurar, vamos então estudar alguns conceitos de segurança de redes.
Entende-se por segurança de redes o conjunto de medidas de controle e política de
segurança, que objectivam a protecção das informações, quer sejam dos clientes ou empresas,
controlando o risco de revelação ou alteração por pessoas não autorizadas.
CRIPTOGRAFIA

Criptografia é a arte ou ciência que permite escrever de forma a ocultar conteúdos. E tem
como objectivo permitir que um conjunto limitado de entidades, tipicamente duas, possam
trocar informação que é ininteligível para terceiros.

17
Implementação de Segurança na rede multicaixas (ATM)
Figura 6: Criptografia (Fonte: Material de Segurança do Prof Julião)

Criptoanálise é a ciência de violar informação criptografada ou sistemas


criptográficos.
OUTROS PONTOS
As aplicações básicas da criptografia são a confidencialidade e a
autenticação/integridade.
Na prática, juntamente com os algoritmos, utilizam-se chaves, mesmo que os
algoritmos sejam conhecidos é necessária a chave correta.
A criptografia simétrica, também conhecida por criptografia tradicional, utiliza uma
única chave que serve tanto para cifrar como para decifrar. A criptografia de chave pública
(mais recente) utiliza uma chave para cifrar e outra chave para decifrar.
Não existem mecanismos de cifragem/decifragem 100% eficazes. Teoricamente, é
possível dizer que qualquer chave pode ser quebrada pela força bruta. Mas o tempo
necessário para quebrar uma chave pela "força bruta" depende do número de chaves possíveis
(número de bits da chave) e do tempo de execução do algoritmo. O grande problema desta
abordagem é que a capacidade de processamento dos equipamentos tem duplicado de 18 em
18 meses, logo de 18 em 18 meses é necessário aumentar um bit às chaves.
Princípios de segurança

Confidencialidade: só o Entidade Gestorasor e o receptor a que se destina a


informação devem entender o conteúdo da mensagem: O Entidade Gestorasor encripta a
mensagem e o receptor desencripta a mensagem.
Autenticidade: Entidade Gestorasor e receptor querem a confirmação da identidade
de cada um.
Integridade da Mensagem: Entidade Gestorasor e receptor querem assegurar que a
mensagem não é alterada (no trânsito ou na chegada) sem ser detectada.
Acesso e Disponibilidade: o serviço tem de estar acessível e disponível para
utilizadores.
Para avaliar os requisitos de uma organização ao nível da segurança e para
avaliar/caracterizar os diferentes produtos é necessário algum modelo de referência.
18
Implementação de Segurança na rede multicaixas (ATM)
ITU-T (das Nações Unidas) define essa abordagem sistemática através do modelo de
referência X.800. Prolonga o X.200 – Modelo OSI que cobre aspectos de segurança e temos o
X.800 Security Architecture for OSI.
Três aspectos que formam a segurança de informação
Ataque à Segurança
Qualquer acção que compromete a segurança da informação proprietária de uma
organização.
Neste caso a segurança de informação está relacionada com o modo de prevenir
ataques, ou em caso de falha na prevenção, detectar ataques em sistemas de informação.
Pode ser realizado através de vários tipos de ataques, com várias classificações como
por exemplo: ataques passivos e ataques activos.

 Ataques passivos
Acesso ao conteúdo de uma mensagem. Análise de tráfego. Mesmo não tendo
acesso ao conteúdo pode obter informação da identidade e localização das partes que
comunicam, da frequência e tamanho das mensagens. São difíceis de detectar. O seu combate
faz-se baseado na prevenção e não na detecção.
 Ataques activos
Forjar identidade (masquerade). Geralmente em conjunto com outros tipos de ataques
activos;
Reprodução (replay). Captura passiva para posterior retransmissão;
Modificação de mensagens. Mensagem (ou parte) alterada, atrasada, reordenada;
DoS (Denial of Service) – Negação de serviço;
Difíceis de prevenir. O objectivo no combate é detectá-los e recuperar dos seus
efeitos. A detecção tem efeitos dissuasores, contribui para a prevenção.
Serviço de Segurança
Melhorar a segurança dos sistemas de processamento de dados e transferências de
informação de uma organização. Intencionalmente para contar ataques à segurança que
utiliza um ou mais mecanismos de segurança.
Podemos considerar os serviços de segurança de informação como réplicas dos
serviços associados a documentos em papel (actividades comerciais, militares, pessoais, etc.
dependem de documentos em papel): Os documentos em papel vs documentos electrónicos.
Assinaturas, datas, autenticidade? Como?
X.800: “um serviço oferecido por uma camada de protocolo de um sistema aberto de
comunicação, que assegura segurança adequada dos sistemas e transferências de dados”. A
recomendação X.800 divide estes serviços em cinco categorias e catorze serviços específicos.

19
Implementação de Segurança na rede multicaixas (ATM)
RFC 2828: “um serviço de processamento ou comunicação oferecido por um sistema
para dar uma protecção especial aos recursos de sistema”.
Chave Simétrica
Utilização comum (chave pública aparece depois). O Entidade Gestorasor e o receptor
partilham a mesma chave. É utilizada a mesma chave para cifrar e decifrar a mensagem, logo
a chave tem de ser mantida secreta.
Os algoritmos são em média 10 000 (dez mil) vezes mais rápidos do que os de
encriptação assimétrica (mesmos níveis de segurança). Melhores para grande volume de
informação e/ou quando são necessárias altas velocidades de processamento. A distribuição
da chave é uma questão importante...
As cifras tradicionais são orientadas ao caracter. As cifras modernas são orientadas ao
bit. Nem sempre a informação que se quer tratar é texto por isso trabalhar bits dá mais
segurança do que trabalhar caracteres. As cifras modernas utilizam uma combinação de cifras
simples.
DES
DES é tipo de cifra em bloco, ou seja, um algoritmo que toma uma String de tamanho
fixo de um texto plano e a transforma, através de uma série de complicadas operações, em um
texto cifrado de mesmo tamanho. No caso do DES, o tamanho do bloco é 64 bits. DES
também usa uma chave para personalizar a transformação, de modo que a descriptografia
somente seria possível, teoricamente, por aqueles que conhecem a chave particular utilizada
para criptografar. A chave consiste nominalmente de 64 bits, porém somente 56 deles são
realmente utilizados pelo algoritmo. Os oito bits restantes são utilizados para verificar a
paridade e depois são descartados, portanto o tamanho efectivo da chave é de 56 bits, e assim
é citado o tamanho de sua chave.
Quão seguro é o DES?
 Desafio DES: frase encriptada com chave de 56-bits (“Strong cryptography makes
the world a safer place”) desencriptada (por força bruta) em 4 meses;
 Não é conhecida nenhuma aproximação para desencriptação por método não
directo;
 O DES pode ser mais seguro se utilizarmos 3 chaves sequencialmente (3-DES),
em cada dado;
 Se se utilizar uma cadeia de blocos de cifragem.

O 3DES (Triplo DES), sigla para Triple Data Encryption Standard, é um padrão
de criptografia baseado em outro algoritmo de criptografia simétrica, o DES. O 3DES usa 3
chaves de 64 bits, embora apenas 56 bits de cada chave são efectivamente usados, os outros 8
bits são usados para verificar paridade. Sendo assim, o tamanho máximo efectivo da chave é
de 168 bits. Os dados são encriptados com a primeira chave, decriptados com a segunda
chave e finalmente encriptados novamente com uma terceira chave. Isto faz o 3DES ser mais
lento que o DES original, porém em contrapartida oferece maior segurança.

Em vez de 3 chaves podem ser utilizadas apenas 2, sendo a terceira igual a primeira,
tendo assim uma chave de 112 bits efectivos. A variante mais simples do 3DES ópera da

20
Implementação de Segurança na rede multicaixas (ATM)
seguinte forma: , onde M é o bloco de mensagem a
ser criptografado e k1, k2 e k3 são chaves DES.

AES
Novo standard NIST de chave simétrica que substitui o DES e processa dados em
blocos de 128 bits. Chaves de 128, 192, ou 256 bits. Desencriptação por força bruta (a tentar
cada chave) que toma 1 segundo no DES demora 149 triliões de anos em AES.
Regras das propostas para o AES:
1. O algoritmo teria de ser de cifra de bloco simétrica;
2. O esquema completo teria de ser público;
3. Os seguintes comprimentos de chaves teriam de ser suportados: 128, 192 e 256
bits;
4. Ambas as implementações (em hardware e software) eram necessárias;
5. O algoritmo tem de ser público ou licenciado em termos não discriminatórios.
Os algoritmos de chave simétrica mais comuns são:

Tabela 3: Algoritmos de chave simétrica mais comuns, (Fonte : Prof Julião, material)

Chave Simétrica vs Chave pública

CRIPTOGRAFIA DE CHAVE SIMÉTRICA


Necessita que o Entidade Gestorasor e receptor partilhem e conheçam a chave secreta.
E aí surge a questão: Como acordar uma chave logo de início? (especialmente quando o
Entidade Gestorasor e receptor não se conhecem).
CRIPTOGRAFIA DE CHAVE PÚBLICA
Aproximação radicalmente diferente [Diffie-Hellman76, RSA78]. Entidade
Gestorasor e receptor não partilham a chave secreta. A chave de encriptação pública é
conhecida por todos. A chave de desencriptação privada só é conhecida pelo receptor.

21
Implementação de Segurança na rede multicaixas (ATM)
O “top” dos ataques
Existem mais tipos de ataques, muito mais, mas aqui mostramos simplesmente alguns
que são os mais falados e tentados.
Distributed Denial-of-Service (DDoS)
Consiste em várias máquinas coordenadas a fazerem pedidos consecutivos a um
serviço. Este volume de informação acaba por colocar o mesmo em baixo, negando a
disponibilidade do mesmo (DoS).
Port Scanning
Ataque bastante utilizado para encontrar fragilidades numa rede e portas abertas. Pode
constituir uma forma de entrada numa determinada máquina ou servidor, através de softwares
maliciosos. Envia mensagem para uma porta (várias) e espera por uma resposta, que confirma
a abertura da mesma.
Cavalos de Tróia, vírus e malwares
Desenvolvido por hacker’s para afectarem o desempenho da máquina alvo ou retirar,
anonimamente, informação da mesma.
Ataques de Força Bruta
A mais antiga forma de ataque. Não sabe a senha ou código? Tentativas até conseguir
quebrar. O processamento de computadores facilitou imensamente este ataques, obrigando a
subir o nível de encriptação de dados.
2.11. Firewall
Espaço em que é redirigido e filtrado o tráfego para servidores internos concretos, os
quais podem nem ser endereçáveis directamente pelos clientes.
O redireccionamento pode servir para diversos fins: balanceamento de carga entre
diversos servidores equivalentes, tolerância a faltas de servidores, mediação explícita ou
transparente ou ocultação de servidores com NAT.
Uma firewall pode controlar totalmente as operações requeridas no âmbito de diversos
protocolos aplicacionais e pode ainda controlar conteúdos transferidos entre o interior e o
exterior da organização protegida.
Tipicamente:
 Interliga uma rede privada ou organizacional com uma rede pública.
 Em redes privadas de grande dimensão podem ser implementadas várias
firewalls.
 Não é uma máquina, mas sim uma infra-estrutura que reúne vários
equipamentos ou aplicações.
IMPORTANTE: Quanto mais simples e objectiva for a firewall (regras) melhor.
Caso contrário, a existência de várias possibilidades pode constituir uma vulnerabilidade a
explorar para um ataque.
Componentes:

22
Implementação de Segurança na rede multicaixas (ATM)
 Perímetro protegido (IN)
 Zona Desmilitarizada (DMZ): É aqui que se colocam os servidores de uma
rede que respondem a pedidos do exterior e que por isso podem estar
vulneráveis.
 Gateway
 Perímetro inseguro (OUT)
Vale lembrar que:
 Uma firewall não garante a integridade dos dados
 Uma firewall não garante a autenticidade da origem dos dados.
 A maioria das firewalls não garante o sigilo dos dados.
 Uma firewall não garante protecção contra ameaças internas.
 Uma firewall é apenas um ponto de entrada de uma rede.
 A Autorização é uma das funções principais de uma firewall.
 Os filtros de datagramas autorizam ou negam fluxos de dados de acordo com
informação/regras estabelecidas.
 Os filtros de circuitos permitem autorizar ou negar o estabelecimento de
circuitos para o exterior, além da simples confrontação do endereço de IP de
origem com uma lista de endereços autorizados.
 Os filtros aplicacionais autorizam ou negam operações específicas definidas ao
nível dos protocolos aplicacionais.

Figura 7: Exemplo de acção de uma firewall (Fonte: Material de Segurança 2015, prof Julião)

O Firewall é tipicamente conectado ao roteador que se encontra no extremo da rede,


que se encontra conectada a rede pública.

23
Implementação de Segurança na rede multicaixas (ATM)
Figura 8: Firewall de uma Sede e Filial, conectadas a Internet

Fonte: http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf

Os Firewalls podem ser classificados em três categorias básicas que são:


Packet Filter: observa cada pacote que entra e sai na rede com base nas políticas
implementadas pelo administrador, definindo quais os pacotes a serem aceites ou rejeitados.
A filtragem de pacotes é completamente efectiva e transparente aos utilizadores, mais existe
uma determinada complexidade para a sua implementação.
Proxy Server: é uma aplicação que tem como finalidade redireccionar os pedidos dos
clientes, para os serviços actuais baseando-se nas políticas de segurança da entidade em
causa. Toda a comunicação entre o cliente e um servidor ocorre a nível do proxy server,
fazendo o papel de um ponto de verificação onde os pedidos são validados em relação as
aplicações especificas.
Application Gateway: fornece controlo de acesso a nível da camada de aplicação,
actua como se fosse um application layer gateway entre a rede protegida e a rede insegura,
por estar operando na camada de aplicação está habilitada a examinar o tráfego
detalhadamente e é considerado como o melhor tipo de Firewall; realiza também a tradução
de endereços, omitindo assim o endereço IP interno.
Circuit-level Gateway: mecanismos de segurança aplicados a quando da conexão dos
protocolos TCP ou UDP serem estabelecidas, nesse contexto ocorre a prevenção da troca de
informação logo que a conexão é estabelecida sem que todos os critérios necessários serem
cumpridos.
Stateful Packet Filters: é um mecanismo de segurança que não compromete a
performance da rede quando aplicadas as políticas de segurança, isto é verifica o tráfego da
informação na rede mais não o processa ao contrário da application gateway.

Figura 9 – Classificação da Firewall

Fonte: http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf

24
Implementação de Segurança na rede multicaixas (ATM)
2.12. Protocolo Secure Eletronic Transaction (SET)
O protocolo SET é uma especificação de um sistema baseado em técnicas
criptográficas que permite a execução de transacções comerciais seguras na Internet, em
particular pagamentos com cartão de crédito. O SET veio resolver alguns problemas na área
do comércio electrónico ao garantir diversos mecanismos de segurança, não dependendo dos
mecanismos já existentes nas redes de comunicação utilizadas. Nomeadamente, o SET
garante a confidencialidade dos dados trocados entre as entidades envolvidas (de modo a que
o comprador compre apenas o que se propõe comprar), assegurando a privacidade em relação
aos seus dados pessoais e que os dados utilizados na compra não sejam utilizados noutros
pagamentos em seu nome. Por outro lado, o vendedor quer ter a certeza que vai receber o
montante estabelecido na venda.
Entre os mecanismos de segurança implementados no SET, podem-se destacar:
1. Autenticação dos intervenientes na transacção garante que somente quem se encontra
devidamente registado e identificado pode realizar uma transacção utilizando o SET;.
2. A utilização de criptografia nas mensagens trocadas protege as informações
confidenciais, tais como a informação bancária do cliente;
3. A utilização de assinaturas digitais evita a alteração das mensagens trocadas entre as
entidades, garantindo-se a integridade, autenticação e não-repúdio dos dados do pagamento;
4. A utilização de envelopes digitais (combinação de cifragem simétrica/assimétrica)
garante que somente a entidade destinatária é capaz de aceder às mensagens que lhe são
enviadas.
ENTIDADES PARTICIPANTES NO PROTOCOLO SET
A segurança do pagamento é obtida autenticando donos de cartão de crédito,
comerciantes e bancos, garantindo a integridade e confidencialidade dos dados de pagamento
e definindo os algoritmos e protocolos necessários para isso.

A Interoperabilidade é obtida através da criação e suporte de um padrão aberto de


pagamento com cartão de crédito que utiliza tecnologia exportável, construído sobre padrões
existentes, onde possível, e que permita implementações sobre qualquer combinação de
software e hardware.
Para atingir os objectivos a que se propôs, o SET distingue um conjunto de entidades
participantes que estão envolvidas no comércio electrónico e que serão descritas em seguida:
Cardholder - O Cardholder é a entidade cliente/comprador no ambiente de comércio
electrónico. O comprador, através do seu computador pessoal (ou outro mecanismo
computacional), interage com o computador do comerciante, que se encontra em local remoto
utilizando uma rede onde ambos estão ligados, tipicamente a Internet. O Cardholder, durante
a transacção, utiliza um cartão de pagamento bancário que terá sido emitido por um Issuer
(ver a seguir), por exemplo um cartão de crédito VISA. Durante a interacção com o
comerciante, o protocolo SET protege todas as informações relativas ao cartão bancário do
Cardholder.
Issuer - O Issuer (Entidade Gestorasor) é a entidade financeira que estabelece uma
conta bancária para o Cardholder e também emite o respectivo cartão de pagamento utilizado
25
Implementação de Segurança na rede multicaixas (ATM)
durante a transacção com o comerciante. O Issuer garante o pagamento das transacções
autorizadas que usam o cartão de pagamento conforme os regulamentos do cartão, "marca" e
legislação local. Normalmente é um banco ou uma entidade financeira.
Merchant - O Merchant (comerciante) é a entidade que aceita pagamentos com
cartões de crédito do cardholder e que disponibiliza os bens ou serviços. Caberá à Payment
Gateway (ver abaixo), a recepção destes pedidos de transacção e o respectivo processamento
desencadeando o pagamento ao Merchant.
Acquirer - O Acquirer é uma instituição financeira (normalmente um banco), que
estabelece uma conta com o comerciante (Merchant), permitindo ao comerciante receber o
dinheiro relativo aos pagamentos após processamento dos dados relacionados com as
transacções e respectivas autorizações de pagamento.

Payment Gateway - Payment Gateway é um sistema operado pelo Acquirer ou uma


outra entidade por si designada, que recebe e processa as mensagens de pagamento
provenientes do Merchant, contendo as autorizações de pagamento.

Certificate Authority - O SET implementa um mecanismo de certificação para


validar a autenticidade do Cardholder e do Merchant. A Entidade Gestorasão e validação dos
certificados são da responsabilidade de entidades externas de confiança, denominadas por
Certificate.

No protocolo SET, cabe ao Cardholder, que é a entidade cliente/comprador, a


iniciativa de começar a transacção. Para isso, deve ser possuidor de um cartão de pagamento
emitido por uma entidade bancária, Issuer. O Cardholder durante a transacção comunica com
o computador do Merchant, transmitindo-lhe todas as informações necessárias à transacção.
O Merchant por sua vez, obtém deste pedido os bens ou serviços encomendados pelo
Cardholder, ou seja, a ordem de compra e ordem de pagamento cifrada. O Merchant envia ao
Acquirer a autorização de pagamento cifrada por intermédio do Payment Gateway, que é a
entidade responsável pelo seu processamento.

O Payment Gateway é a entidade responsável pelo processamento das ordens de


pagamento, transmitindo informações ao Acquirer para processar a transferência bancária,
sendo o pagamento debitado na entidade bancária do Cardholder. O Acquirer poderá então
executar a transferência bancária do Issuer (entidade Entidade Gestorasora do cartão do
Cardholder) e depois de concluída essa transferência informa o Merchant. O Merchant
procederá, finalmente, ao envio dos bens ou serviços para o Cardholder. Durante todo este
processo as entidades envolvidas vão sendo autenticadas pelas Certificates Authorities, por
forma a detectar "falsas" entidades e evitar possíveis fraudes.
As entidades certificadoras devem assegurar a autenticação das entidades
participantes nas transacções, principalmente os compradores e os vendedores.
Esta mensagem, conhecida como Certificado, é assinada digitalmente pela Autoridade
Certificadora. Ele contém informação de identificação e uma cópia de uma das chaves
públicas (chave de troca ou chave de assinatura) de seu proprietário. Um detalhe essencial é o
facto de que o par de chaves é gerado pelo computador do requerente do certificado e o
mesmo transmite a chave pública para a AC a fim de que a mesma seja incluída no

26
Implementação de Segurança na rede multicaixas (ATM)
certificado. Para conseguir maior vantagem, a chave pública da AC deveria ser conhecida
pelo maior número possível de pessoas.
Como os participantes do SET têm dois pares de chaves, eles também têm dois
certificados, ambos criados e assinados pela mesma Autoridade Certificadora.
Dois pares de chaves - Cada participante SET possuirão dois pares de chaves
assimétricas: um par de ”chave de troca”, que é usado no processo de cifragem e decifragem,
e um par de ”chave de assinatura” para a criação e verificação de assinaturas digitais.
1. Certificados do consumidor:
Funcionam como uma representação electrónica de um cartão de crédito e somente
podem ser gerados por uma instituição financeira e devem ser assinados digitalmente pela
mesma. Certificados de consumidor não contém o número da conta nem a data de expiração.
Em lugar disso, a informação sobre a conta e um valor secreto conhecido apenas pelo
software do consumidor são codificados usando um algoritmo de hash. Se o número da conta,
a data de expiração e o valor secreto são conhecidos, a ligação ao certificado pode ser
provada, mas a informação não pode ser obtida através do certificado.
Uma vez recebido um pedido e nele o certificado do consumidor, o comerciante pode
estar certo, no mínimo, de que o número da conta do consumidor foi validado por uma
instituição financeira operadora de cartão de crédito.
2. Certificados do comerciante:
Representam que o comerciante tem uma relação com uma instituição financeira que
o permite aceitar pagamento com aquela marca de cartão de crédito. Estes certificados são
aprovados pelo banco e asseguram que o comerciante tem um acordo válido com o banco.
Para participar de um ambiente SET, um comerciante deve ter, então, dois certificados (um
de assinatura e um de troca) para cada marca de cartão de crédito que aceitar.
3. Certificados do PaymentGateway:
São obtidos por Bancos para sistemas que processam mensagens de autorização e de
captura. A chave de encriptação do Gateway, que o consumidor obtém pelo certificado, é
usada para proteger informações sobre a conta do consumidor.
4. Certificados do Banco:
Um Banco precisa possuir certificados para operar como Autoridade Certificadora que
pode aceitar e processar pedidos de certificados directamente do comerciante sobre redes
públicas e privadas. Aqueles Bancos que escolhem que a marca de cartão de crédito processe
pedido de certificado em seu nome não requerem certificados porque eles não processam
mensagens SET. Bancos recebem seus certificados da marca de cartão de crédito.
5. Certificados da Operadora:
Uma Operadora precisa ter certificados para operar como Autoridade Certificadora
que pode aceitar e processar pedidos de certificados directamente do consumidor sobre redes
públicas e privadas. Aquelas Operadoras que escolhem que a marca de cartão de crédito
processe pedido de certificado em seu nome não requerem certificados porque elas não

27
Implementação de Segurança na rede multicaixas (ATM)
processam mensagens SET. Operadoras recebem seus certificados da marca de cartão de
crédito.
Hierarquia de confiança – os certificados SET são verificados através de uma
hierarquia de confiança. Cada certificado é unido ao certificado de assinatura da entidade que
o assinou digitalmente. Seguindo a árvore de confiança até uma parte conhecida confiada,
pode-se assegurar que o certificado é válido.
Temos ainda outros conceitos por apresentar para o SET, tais como:
Envelope digital – dados da mensagem são cifrados usando criptografia por chave
simétrica gerada aleatoriamente. Esta chave é cifrada usando a chave pública do destinatário.
Isto constitui o “envelope digital” da mensagem e será enviado juntamente com a mensagem
em si. Usa-se cifragem simétrica seguida de cifragem assimétrica porque a primeira é muito
mais rápida.
Resumo da mensagem (ou Hash da Mensagem) – é um valor gerado para uma
mensagem que representa deforma única aquela mensagem. É gerado passando a mensagem
por uma função criptográfica tal que não pode ser revertida, ou seja, a partir do número
gerado não é possível obter a mensagem que o originou. O resumo de uma mensagem é
usado para garantir a integridade da mesma.
Assinatura dupla – o objectivo da assinatura dupla é unir duas mensagens destinadas
a destinatários diferentes. A mensagem é gerada criando o Resumo de ambas mensagens,
concatenando estes dois resumos, calculando o resumo do resultado e cifrando-o com a chave
privada de assinatura do remetente.
O SET utiliza Assinatura Dupla para ligar o pedido ao pagamento, que são enviados a
destinatários diferentes mas precisam manter sua relação.
2.13. WiMax ( Worldwide Interoperability for Microwave Access )
Trata-se de um padrão de rede sem fios metropolitano criado pelas empresas Intel e
Alvarion em 2002 e rectificado pelo IEEE (Institute of Electrical and Electronics Engineer)
sob o nome IEEE-802.16. Mais exactamente, WiMax é o rótulo comercial dado pelo WiMax
Fórum aos equipamentos conformes à norma IEEE 802.16, a fim de garantir um elevado
nível de interoperabilidade entre estes diferentes equipamentos.

28
Implementação de Segurança na rede multicaixas (ATM)
Figura 10: Rede Wimax, Fonte: www.lait.fe.uni-lj.si/Seminarji/s_omerovic.pdf

O objectivo do WiMax é fornecer uma conexão à Internet de elevado débito numa


zona de cobertura de vários quilómetros. Assim, na teoria, o WiMax permite obter débitos
ascendentes e descendentes de 70 Mbit/s com um alcance de 50 quilómetros. O padrão
WiMax possui a vantagem de permitir uma conexão sem fios entre uma estação básica (em
inglês Base Transceiver Station, notada BTS) e milhares de assinantes sem necessitar de
linha visual directa (em inglês Line Of Sight, às vezes abreviados LOS, ou NLOS, para Non
Line Of Sight). Na realidade, o WiMax permite atravessar apenas pequenos obstáculos como
árvores ou uma casa, mas não pode em nenhum caso atravessar as colinas ou os edifícios. O
débito real aquando da presença de obstáculos poderá assim ser inferior a 20 Mbit/s.
O núcleo da tecnologia WiMax é a estação básica, ou seja, a antena central
encarregada de comunicar com as antenas de assinantes (subscribers antenas). Fala-se assim
de ligação ponto-multipontos para designar o modo de comunicação do WiMax. As revisões
do padrão IEEE 802.16 declinam-se em duas categorias:

 WiMax fixo, igualmente chamado IEEE 802.16-2004, concebido para um uso fixo
com uma antena montada num tecto, como uma antena de televisão. O WiMax fixo
opera nas bandas de frequência 2.5 GHz e 3.5 GHz, para as quais uma licença de
exploração é necessária, bem como a banda livre dos 5.8 GHz
 WiMax móvel (em inglês WiMax portátil), igualmente baptizado IEEE 802.16e,
prevê a possibilidade de ligar clientes móveis à rede Internet. O WiMax móvel abre
assim a via à telefonia móvel sobre IP ou serviços móveis de elevado débito.

Padrão Banda de Frequência Débito Alcance


WiMax fixo (802.16-2004) 2-11 GHz (3,5 GHz na Europa) 100 Mbps 10 Km
Wimax mobile (802.16e) 2-6 GHz 50 Mbps 3,5 Km
Tabela 4: Banda de Frequência Wimax,
Fonte: http://www.ebah.com.br/content/ABAAAgon0AH/sistemas-wireless?part=4

29
Implementação de Segurança na rede multicaixas (ATM)
2.13.1. Redes WAN
WAN é uma rede de comunicação de dados que funciona além do escopo geográfico
de uma rede local. As WANs são diferentes das redes locais em vários aspectos. Enquanto
uma rede local conecta computadores, periféricos e outros dispositivos em um único prédio
ou outra área geográfica menor, uma WAN permite a transmissão dos dados em distâncias
geográficas maiores. Além disso, uma empresa deve contratar um provedor de serviço WAN
para utilizar os serviços de rede dessa operadora. As redes locais costumam ser da companhia
ou organização que as utilizam.
As WANs utilizam instalações fornecidas por um provedor de serviços ou operadora,
como uma companhia telefónica ou empresa de cabeamento, para conectar os locais de uma
organização aos locais de outras organizações, a serviços externos e a usuários remotos. As
WANs normalmente transportam vários tipos de tráfego, como voz, dados e vídeo. Em
seguida apresentamos as três características principais das WANs:

 As WANs conectam dispositivos separados por uma área geográfica maior do que a
que pode ser atendida por uma rede local.
 As WANs utilizam os serviços das operadoras, como companhias telefónicas,
empresas de TV a cabo, sistemas de satélites e provedores de rede.
 As WANs utilizam conexões seriais de vários tipos para fornecer acesso à largura de
banda em grandes áreas geográficas.

Porquê são necessárias as WANs?


As tecnologias de rede local fornecem velocidade e economia na transmissão de dados
em organizações em áreas geográficas relativamente pequenas. No entanto, há outras
necessidades de negócios que precisam de comunicação entre locais remotos, inclusive as
seguintes:
As pessoas no escritório regional ou nas filiais de uma organização precisam ser
capazes de se comunicar e compartilhar dados com o local central.
As organizações normalmente desejam compartilhar informações com outras
organizações em grandes distâncias.
Os funcionários que viajam a negócios sempre precisam acessar informações
presentes em suas redes corporativas. Além disso, os usuários de computadores domésticos
precisam enviar e receber dados em distâncias cada vez maiores.

30
Implementação de Segurança na rede multicaixas (ATM)
Figura 11: Estrutura de uma rede WAN,
Fonte: Fonte: http://kingofnetworking.weebly.com/different -types-of-computer-networks.html

31
Implementação de Segurança na rede multicaixas (ATM)
3. Implementação da rede
Temos de ter em conta que por mais pequeno (dimensão) que um projecto seja, tem de
ser devidamente estudado e planeado. Não importa a sua dimensão, um projecto não
planeado é um projecto mal feito que, pode não acabar muito bem. E, como tal, temos várias
ferramentas que servem para apresentar os passos para a fase de um projetco, que
aproveitando as fases podemos muito bem citá-las:
 Iniciação: nesta fase é aonde acontece a parte crucial de qualquer projecto, a escolha
de um tema, o estudo de viabilidade do tema e a aprovação dos participantes.
 Planeamento: depois de aprovados pela equipa do projecto, o projecto deve ser
planeado, todas as fases possíveis e seguintes, é o que fazemos nesta fase.
 Construção: depois de planeado podemos começar a prática do nosso projecto.
 Monitoramento: esta fase pode acontecer desde o princípio ou em simultâneo com
muitas outras, dependendo da forma de como a instituição queira apresentar e
dependendo do tipo de projecto.
 Encerramento: está é a fase final, a fase em que nos encontramos satisfeitos ou que o
prazo dado ao projecto tenha terminado, então, damos como encerrado o nosso
projecto e apresentá-mo-lo as outras instâncias, conforme planeado.
Usamos a WBS e o MS Project, duas ferramentas disponíveis também para o Sistema
Operativo Windows, está última pertencente ao pacote do office, para apresentar o guia do
nosso projecto.

Figura 12: Estrutura WBS (Iniciação); Fonte: Elaborada pelo Autor

Na fase de iniciação do projecto é aonde temos a tomada de decisão do tema, a


discussão do tema com o professor, a aprovação ou a não aprovação. E, em seguida, depois
do tema aprovado, vamos ao estudo de viabilidade onde vamos ao mercado estudar quais
empresas seriam viáveis para ajudar na implementação do tema em questão e conseguinte
enviar uma carta de estágio para obtenção de dados concretos.

32
Implementação de Segurança na rede multicaixas (ATM)
Em seguida, na fase de planeamento é onde decidimos os requisitos, onde planeamos
as pesquisas, o tipo de pesquisa.

Figura 13: Estrutura WBS (Planeamento); Fonte: Elaborada pelo Autor

Na fase de construção, que é a fase que apresentamos a seguir, temos a


implementação prática do projecto, basicamente a parte mais importante deste projecto, onde
apresentamos os problemas ao mesmo tempo que propomos cada solução, não esquecendo de
apresentar a estrutura actual e a proposta por nós, vantagens e desvantagens.

Figura 14: Estrutura WBS (Construção); Fonte: Elaborada pelo Autor

Como qualquer projecto de rede bem estruturado, quer seja para uma instituição de
grande, médio ou pequeno porte, primeiramente temos de saber que protocolo de redes usar,
a tecnologia de comunicação e a hierarquia básica da estrutura interna que todo um homem
de planeamento pode usar e, neste projecto não fugimos a regra.
As instituições por sua vez, devem ter as camadas de redes bem divididas seguindo o
tipo de hierarquia de ligação padrão. Temos a camada do CORE ou Núcleo, a camada de
Distribuição e a camada de Acesso. Isso, falando em redes de grande porte porque em redes
menores, é muitas vezes comum implementar um modelo de núcleo recolhido, no qual a
camada de distribuição e o núcleo estão integradas em uma só camada.

33
Implementação de Segurança na rede multicaixas (ATM)
A camada do CORE geralmente é a primeira camada ou última camada, ou seja,
primeira quando tem o primeiro contacto com a informação vinda do exterior, como a
Internet ou última quando enviados para o exterior.
A camada de distribuição é a camada intermediária onde encontramos os dados
recebidos pelos switches da camada de acesso para o núcleo e seu exterior e os dados
recebidos da camada do CORE para o interior.
A camada de acesso contém os dispositivos finais, como PCs, telefones IP,
impressoras ou também podemos encontrar os pontos de acesso Wireless (AP). O seu
principal propósito é fornecer um meio de os restantes dispositivos conectarem a rede e quais
têm permissão pra tal.
3.1. Tipo de ligação
O tipo de ligação utilizado entre a rede dos multicaixas e a entidade gestora, é o tipo
de ligação peer-to-peer, em português, ponto a ponto.
A ligação ponto a ponto é um formato de redes de computadores onde cada um dos
pontos da rede funciona tanto como cliente quanto como servidor, permitindo
compartilhamentos de serviços e dados.

De modo geral, as ligações ponto a ponto são utilizadas para ligar dois sistemas numa
rede alargada (WAN). É possível utilizar uma ligação ponto a ponto para deslocar dados do
sistema local para um sistema remoto ou para deslocar dados de uma rede local para uma
rede remota.

Não se deve confundir ligações ponto a ponto com o Point-to-Point Protocol. O Point-
to-Point Protocol (PPP) é um tipo de ligação ponto a ponto, geralmente utilizado para ligar
um computador à Internet.
É possível utilizar ligações ponto a ponto em linhas de acesso telefónico, linhas
dedicadas e outros tipos de redes, tais como retransmissão de estruturas. Existem duas formas
de configurar os endereços de IP para uma ligação ponto a ponto: uma ligação numerada e
uma ligação não numerada.
À primeira vista, parece que a forma mais simples de configurar uma ligação ponto a
ponto é através da utilização de uma ligação numerada. Uma ligação numerada é uma
definição ponto a ponto que possui um endereço de IP exclusivo definido em cada um dos
extremos da ligação. Seguem-se alguns dos pontos a ter em conta para a utilização de uma
ligação ponto a ponto numerada:

 Cada um dos extremos da ligação possui um endereço de IP exclusivo.


 Devem ser adicionadas instruções de encaminhamento ao sistema, para fazer fluir o
tráfego para o sistema remoto.
 Os endereços da ligação ponto a ponto devem ser geridos pelo administrador da rede.
 Os endereços são apenas utilizados para ligar dois sistemas.

34
Implementação de Segurança na rede multicaixas (ATM)
3.2. Protocolo X25 e Linhas Dedicadas
Até aos dias actuais a topologia de redes de caixas multibancos em Angola, ainda usa
a topologia X25 acompanhada de linhas dedicadas como solução a transmissão de dados
entre a Entidade Gestora e os seus ATMs.
3.2.1. Protocolo X25
O x.25 é um protocolo de rede de dados e comutação de pacotes definidos e
recomendados internacionalmente para o intercâmbio de dados, bem como informações de
controlo entre dois sistemas finais. Foi projectado para operar sistemas de rede de dados. É
tipicamente usado em redes de comutação de pacotes (PSNs) de provedores de serviços de
telecomunicações e é adequado para tráfego terminal com sessões interactivas mas também
podemos dizer que o X.25 é um conjunto de protocolos que operam no modo síncrono full-
duplex, ponto-a-ponto.
Os seus dispositivos de rede se enquadram em três categorias gerais: equipamento
terminal dados (DTE – data terminal equipment), equipamento de conexão de circuito de
dados (DCE – data circuit-terminating equipment), e a rede de comutação de pacotes (PSE).
Os dispositivos do equipamento terminal de dados são sistemas fim a fim que se
comunicam pela rede de X.25. Eles normalmente são terminais, computadores pessoais ou
servidores que ficam no local e sob a responsabilidade do assinante do serviço. Os DCEs são
dispositivos de comunicações, como modens ou routers que provêem a interface entre os
dispositivos de DTE e o PSE e ficam, geralmente, nas instalações do provedor do serviço. Os
PSEs são os comutadores de pacotes que compõem a infra-estrutura básica do provedor do
serviço. Eles transferem dados de um dispositivo de DTE para outro pelo X.25 PSN.
O X.25 funciona em baixas três camadas de OSI que são o nível do protocolo Packet,
que é semelhante à camada de enlace do modelo OSI. Nível de Link (procedimento de acesso
para fazer a ligação equilibrada), semelhante à camada física do modelo OSI e o nível físico,
funcionamento semelhante à camada física do modelo OSI.
As redes X.25 fornecem serviços de circuito virtual connection-oriented com
correcção de erros e retransmissão. A correcção de erros garante a entrega de dados correcta,
mas também reduz a velocidade, que normalmente varia entre 9.6 Kbps e 64 Kbps, antes da
detecção de erros.
O esquema de endereçamento usado pelas redes X.25 é dado por uma norma padrão
conhecida como X.121. Cada um dos endereços físicos X.121 consiste de um número de 14
dígitos, com 10 dígitos atribuídos pelo fornecedor do serviço X.25. Similar aos números de
telefone, uma atribuição de um provedor popular inclui um código de área baseado na
localização geográfica. O esquema de endereçamento não é surpreendente, pois vêm de uma
organização que determina normas de telefone internacionais.
O X.25 também suporta permuta de circuitos virtuais, que oferecem maior
flexibilidade nas conexões do que as linhas dedicadas.

35
Implementação de Segurança na rede multicaixas (ATM)
Figura 15: Arquitectura do X25
Fonte:Redes%20X.25%20_%20efagundes.com.html

O PAD é um dispositivo comumente encontrado nas redes de pacotes X.25. Os PADs


são usados quando um dispositivo DTE opera apenas no modo caractere, o que não o
permitiria se conectar em uma rede X.25 que somente opera com pacotes. O PAD fica
situado entre um dispositivo de DTE e um dispositivo de DCE, e executa três funções
básicas: buffering (armazenando os dados até que o pacote estiver pronto para ser
transmitido), montagem e desmontagem de pacotes. Os dados armazenados no buffer são
enviados ou recebidos pelo DTE. Também monta os dados de transmissão em pacotes e os
remete ao dispositivo DCE, incluindo a adição do cabeçalho de X.25. Finalmente, o PAD
desmonta os pacotes recebidos antes de remeter os dados ao DTE, removendo o cabeçalho de
X.25.
3.2.2. Linhas dedicadas ou alugadas
A linha dedicada é um canal de comunicação dedicado e permanente e que geralmente
são utilizadas por empresas para construir redes privadas que interliga dois ou mais sites.
Geralmente é feito um contrato de serviço entre um cliente e um provedor. Ela actua como
um túnel dedicado de um ponto a outro. Elas são geralmente utilizadas para Internet, dados e
até mesmo serviços de telefonia.
Por definição, as linhas alugadas são dedicadas. Isto significa que, ao longo de toda a
rota de sua linha alugada, a largura de banda que você precisa foi reservada exclusivamente
para seu uso, ou seja, são Symmetric e significa que eles podem fazer upload de dados na
mesma velocidade rápida na qual eles podem baixar dados. Ao contrário de conexões de
Internet de consumo, a largura de banda disponível não se enquadra em horários de pico,
quando os outros clientes do mesmo ISP tentam usar suas conexões ao mesmo tempo que
você.

36
Implementação de Segurança na rede multicaixas (ATM)
Figura 16: Exemplo de linhas dedicadas
Fonte: http://www.thenetworkencyclopedia.com/entry/leased-line/

A linha alugada não é realmente uma conexão física dedicado, mas um circuito
reservados entre dois pontos designados que está aberto em todos os momentos. Isso é
diferente de serviços de telefonia tradicionais, que reutilizam o mesmo circuito através de
comutação. Eles são normalmente alugados por grandes empresas para conectar dois ou mais
locais que necessitam de conexão rápida constante. Estas linhas são alugadas por grandes
empresas de telecomunicações e são geralmente muito caras. A alternativa para isso é usar as
redes públicas comutadas ao usar protocolos de segurança, ou para instalar e manter suas
próprias linhas privadas, que podem custar mais caro.
Em comparação com a tecnologia de acesso ADSL, uma conexão dedicada tem suas
vantagens e desvantagens.

Vantagens:
 Maiores velocidades de download são geralmente disponíveis;
 Velocidades de upload mais rápidas;
 Conexões que não abrandam em horários de pico;
 Maior confiabilidade;
 Melhor suporte;

Desvantagens:
 Custo - as linhas alugadas ainda são muito mais caras do que as conexões ADSL;
 Tempo de instalação - circuitos alugados pode demorar cerca de três meses para
instalar em vez de duas semanas;
 Instalação Física - Instalação de linhas alugadas também são mais complexas do que a
instalação de ADSL, como ADSL podem ser fornecidas através de um circuito pré-
existente (sua linha de telefone). A linha alugada vai exigir um novo circuito, e é
provável que exigem algum trabalho de construção para ligar o edifício à rede do
provedor de linha alugada.

37
Implementação de Segurança na rede multicaixas (ATM)
3.2.3. Linhas dedicadas no X.25

Figura 17: Ligação X25 com linhas dedicadas; Fonte: Elaborada pelo Autor

Como resumo digo que o DTE trata-se de um dispositivo de comunicação responsável


pela codificação/decodificação dos bits (dados) em pulsos eléctricos e o DCE,
conceitualmente, trata-se do equipamento que provê a origem dos dados a serem transmitidos
em uma extremidade e os PSEs são os comutadores de pacotes que compõem a infra-
estrutura básica do provedor do serviço. Eles transferem dados de um dispositivo de DTE
para outro pelo X.25 PSN.
Existe uma grande variedade de escolhas para as várias necessidades nas linhas
dedicadas. As velocidades das linhas dedicadas vão desde 9.6 Kbps até 45 Mbps.
Existem também linhas dedicadas analógicas que requerem o uso de um modem para
converter os sinais analógicos da bridge ou do router em sinais digitais.
As linhas dedicadas fornecem um serviço excelente em termos de controle. O detentor
da linha possui toda a capacidade da linha, e está sempre disponível.
E nas linhas dedicadas estão a ser usados os cabos coaxiais que consiste em um fio
rígido de cobre ou alumínio envolto em espaçadores para seu isolamento e protecção. O
isolamento minimiza a interferência e a distorção dos sinais que o cabo conduz.
• Pode ser instalado sob o chão e estendido nos leitos de lagos e oceanos.
• Permite a transmissão de dados em alta velocidade e é utilizado em áreas
metropolitanas com grande volume de serviço, para sistemas de TV a cabo e para conexão de
curta distância.

38
Implementação de Segurança na rede multicaixas (ATM)
• Utilizado em prédios comerciais e outros estabelecimentos de trabalho para redes
locais.
3.3. Protocolo TCP/IP e Wimax
E como já foi dito antes, a arquitectura de comunicação TCP/IP inclui um conjunto de
protocolos de suporte à transmissão de dados. A simplicidade e o facto de ser uma
arquitectura aberta tornaram o TCP/IP na arquitectura utilizada na maioria das redes de
comunicação de dados, incluindo a rede Internet. O TCP/IP usa conceitos similares ao do
modelo OSI, com uma estrutura de camadas bastante próximas.
O Wimax é uma tecnologia de rede da 4ª geração, sem fio que permite a comunicação
fixa entre um ou mais pontos, comunicação portátil e inclusive comunicação móvel sem fio
sem a necessidade de linha directa com a estação base, com foco em atender as WMANs. Ou
seja, o WiMax permite um uso mais eficiente de banda, prevenção de interferência e maiores
taxas de transferência em longas distâncias. É uma solução completa para voz, dados e vídeos
(streaming) com QoS (Quality of Service) e segurança. O protocolo pode transportar tanto
IPv4 quanto IPv6, utilizando QoS ou não e com capacidade para trafegarem dados a uma
velocidade de até 70 Mbps.
A tecnologia Wimax apresenta diversas vantagens em relação às demais tecnologias
de acesso à internet, pois possui maior velocidade de conexão em comparação com as
conexões via linha discada, cabo, xDSL e satélite, não apresenta delay, muito comum na
conexão via satélite e pode ser implantada em qualquer região, pois não depende de
infraestrutura local (cabeamento, linhas telefônicas entre outras), pois a recepção do sinal e
transmissão do mesmo são feitos através de rádio e seu alcance depende do tipo de antena e
rádio a ser utilizada. A arquitetura de rede especificada pelo IEEE 802.16 A esta composta
pelos itens abaixo:
 BS (Estação Base) permite a interação entre a rede sem fio e a rede-núcleo
(Core Network);
 IP (Protocolo de internet) é único meio em que as máquinas e dispositivos
moveis usam para se comunicarem na Internet;
 ATM (Modo de transferência Assíncrono) é uma tecnologia de rede baseada na
transferência de pacotes relativamente pequenos, com isso suas células já são
pré-definidas conhecida como células de tamanho definido. Devido seu
tamanho reduzido é possível a transmissão de áudio, vídeo e dados pela mesma
rede.
 A Estação de assinantes (SS) permite ao usuário acessar a rede, por intermédio
de ligações entre dispositivos à ligação entre dispositivos de comunicação em
dois ou mais locais, que possibilita transmitir e receber informações.
A tecnologia Wimax possui ainda mais dois tipos de arquitectura possíveis que são:
• Arquitectura ponto-a-ponto: permite apenas a comunicação entre a estação base e as
estações assinantes, ou seja, toda comunicação de uma estação de assinante passa sempre
pela estação base.
• Arquitetura ponto-multiponto: Nesta arquitetura, a comunicação pode ser passada
através das estações assinantes, sem passar pela estação base.

39
Implementação de Segurança na rede multicaixas (ATM)
O Wimax apresenta três modos de operação, que são: Single Carrier, OFDMA e
OFDM, sendo o último o modo mais comumente utilizado.
O modo Single Carrier consiste em enviar os símbolos de maneira serial, ou seja, um
de cada vez enquanto o modo OFDM consiste na transmissão paralela de dados, os símbolos
são enviados em sequência e o espectro ocupa toda a faixa de frequências disponível.
O OFDM é um método de codificação de dados digitais em várias frequências
portadoras. Tendo também uma técnica de modulação multiportadora que tem por sua vez o
conceito de divisão de fluxos de dados de entrada de altas taxas de bits. Esta técnica vem
desde então sendo particularmente considerada para ser empregada em radiodifusão, em
transmissão digital sobre linhas de telefone e em redes locais sem fio.
A técnica traz como vantagem trabalhar-se com uma segunda dimensão, que no caso
seria o domínio da frequência, no qual permite obter ganhos adicionais na utilização de
técnicas de melhoria do sinal entrelaçamento e códigos corretores de erro, relativamente aos
obtidos pela utilização destas técnicas no domínio do tempo.
Que por sua vez, o ICI (Inter Carrier Interference) é reduzida e a largura de banda
disponível é utilizada de forma mais eficiente.
O Wimax utiliza antenas mais potentes, com maior alcance, porém o alcance depende
de vários factores, como o tipo de antena, a topografia do terreno, bem como a presença de
árvores, rios e prédios.
O grande atractivo do Wimax é que dispensa a instalação de cabos ligando o prestador
aos assinantes. Torna-se economicamente viável oferecer banda larga em regiões onde outros
tipos de conexão não compensam, devido ao alto custo de instalação das outras tecnologias. É
possível oferecer banda larga de custo aceitável em bairros afastados e em regiões rurais, a
cerca de 10 a 20 kms do centro da cidade ou em locais onde não é oferecido outras
tecnologias.
Suas principais características são:
• Estabelece uma rede integrada, compartilhando os recursos e diminuindo os custos
da rede;
• Altas taxas de transmissão de dados;
• Redução nos custos com infra-estrutura de banda larga para conexão com o usuário
final, principalmente no que diz respeito a custos com cabeamento;
• Apresenta um recurso de qualidade de serviço (QOS) devido à baixa latência para
serviços sensíveis ao retardo, como por exemplo, a voz sobre IP (Voip);
A comunicação Wimax funciona da seguinte forma: Um rádio digital de alto
desempenho ligado a uma antena transmissora conectada preferencialmente por fibras ópticas
em uma rede IP de alta velocidade, transmite os dados para os assinantes por ondas de rádio,
cada assinante recebe os dados através de um receptor. Nas ligações ponto-a-ponto são
utilizadas antenas unidirecionais e o alcance chega a 50 km, enquanto nas ligações ponto-a-
multiponto são utilizadas antenas omnidirecionais, que têm alcance menor, porém irradiam
em todas as direções. Os assinantes acessam a rede Wimax através desse tipo de ligação.

40
Implementação de Segurança na rede multicaixas (ATM)
As torres transmissoras são conectadas ao ISP que possuem uma ligação ao backbone
da Internet. O Backhaul é usado para zonas que não existe a possibilidade de se estabelecer
uma ligação por intermédio de um ‘High Speed Data Link’ até ao ISP. A figura que se segue
apresenta o diagrama de como funciona o WIMAX na nossa rede.

Figura 18: Comunicação via WiMax; Fonte: Elaborado pelo Autor

3.4. Comunicação via satélite, VSAT


Um satélite é definido como um objecto que gira em torno de um planeta, gira de
forma circular ou elíptica. A lua é o satélite natural e original da Terra, mas existem outros
(artificiais) geralmente próximos à Terra. A trajectória que um satélite segue é uma órbita.
Os satélites de comunicações são satélites que retransmitem sinais entre pontos
distantes da Terra. Estes satélites servem para retransmitir dados, sinais de televisão, rádio ou
mesmo telefone. Por funções, podemos classificar os satélites em:
• Armas anti-satélites;
• Satélites astronómicos;
• Satélites de comunicação;
• Satélites de Sistema Global de Navegação;
• Satélites de reconhecimento;
• Satélites de observação da Terra;
• Satélites meteorológicos;
As comunicações por Vsat têm como principal objectivo, integrar unidades separadas
por longas distâncias. Esta comunicação provê comunicações interactivas, ou recepção
apenas, sempre passando pelo satélite, uma transmissão terrestre até o receptor. Tais redes
são compostas de três componentes básicos: estações remotas (terminais VSAT), uma estação
master opcional (HUB) e obviamente o satélite de retransmissão. Como será visto mais

41
Implementação de Segurança na rede multicaixas (ATM)
adiante, o HUB gerência a rede num determinado tipo topologia e tem a finalidade de
controlar o acesso pelo provedor do serviço.

Várias topologias de redes, protocolos e interfaces estão disponíveis para serem


implementados em aplicações de comunicação VSAT. Como exemplo podemos citar alguns
protocolos como ATM, Frame Relay, IP, X25 e o próprio ISDN. Redes VSAT são
geralmente do tipo estrela onde existe uma central (HUB) que atua como os contemporâneos
hub’s de redes locais (par trançado). Nesta topologia um primeiro terminal VSAT que deseja
transmitir para um segundo executa os seguintes passos tal como mostra a figura abaixo:

• Transmissão VSAT1 para satélite;

• Transmissão satélite para HUB;

• Transmissão HUB para satélite;

• Transmissão satélite VSAT2;

No nosso caso, a comunicação é feita da caixa multibanco (que tem na saída do seu
modem uma configuração ponto a ponto) até a entrada da estação central (que seria a entrada
da comunicação na Entidade Gestora). A comunicação Vsat entre a central e suas caixas
ATM será feita por intermédio do satélite Intelsat 17 (IS-17), utilizando a tecnologia iDirect.
O Intelsat 17 é equipado com 25 transponders em banda Ku e 24 em banda C para prestar
serviços aos clientes na Europa, África do Norte e da Índia, bem como no Oriente Médio. Ele
está localizado na posição orbital de 66 graus de longitude leste e é de propriedade da
Intelsat.

Figura 19: Comunicação por Vsat; Fonte: Elaborado pelo Autor

42
Implementação de Segurança na rede multicaixas (ATM)
A Banda Ku é uma faixa de frequência utilizada nas comunicações via satélites, que
tem as seguintes características:
Espectro de frequência segundo o IEEE: 15.35 GHz até 17.25 GHz.
Espectro de frequência comercial utilizado - 10.7 GHz até 18 GHz.
Longitude do satélite: 66º E;
Frequência de Uplink: 14 GHz e Frequência de Downlink: 12 GHz;
Densidade de Fluxo de Saturação do Transponder: -93 dBW/m2;
EIRP de Saturação do Satélite: 49.3 dBW;
Figura de Mérito do Satélite no Uplink: 3 dB/K;
Backoff de Entrada com céu Limpo: 5 dB e Backoff de Saída com céu Limpo: 3 dB.
O iDirect é uma tecnologia nova de origem americana, baseada totalmente em IP,
virada na parte de comunicações via satélite, é muito compacta e com uma constituição muito
simples além de muitas inovações, dentre elas a mais importante é o ACM (Adaptive Code
Modulation).
LINK BUDGET
Segundo a posição das nossas caixas e da entidade gestora vamos traçar o nosso link
budget.
Caixas: Latitude = 8º53´ 46.79.79´´S; Longitude = 13º 12´01,98´´E; Elevação: 66 m
Entidade Gestora: Latitude = 8º49´ 08.98.98´´S; Longitude = 13º 15´11,16´´E;
Elevação: 75 m
Portanto a nossa ligação fica:

Figura 20: Link Budget (Uplink); Fonte: Elaborado pelo Autor

43
Implementação de Segurança na rede multicaixas (ATM)
Figura 21: Link Budget (Downlink); Fonte: Elaborado pelo Autor

A entidade gestora encontra no S. Paulo em Luanda onde temos a nossa frequência de


Uplink para o satélite e em seguida para todos os seus clientes, para nós temos uma
localização exacta aonde é o nosso espaço de Downlink.
VPN VIA SATÉLITE
Foi abordado o ‘round-trip’ nas comunicações via satélite e a implementação das
VPNs nas comunicações via satélite carece de alguma atenção, para que não se transmita a
informação com atrasos de grande escala. Contudo, é necessário ter em conta o protocolo a
ser usado na implementação de uma VPN. Com a implementação certa, tem-se um baixo
custo e a ligação será eficiente. Descrevo algumas ideias espelhadas por alguns peritos:
 Use uma SSL-VPN ou CITRIX. Essas VPNs não criptografar ou ocultar os
cabeçalhos TCP, apenas os dados, de modo TCP Aceleração ainda funciona. Isso
significa que a aceleração TCP incorporada no modem sozinho pode acelerar a VPN.
Se o seu aplicativo corporativo pode ser satisfeito com um SSL-VPN ou CITRIX, esta
é uma solução simples, porque não requer nenhum aparelho externo;

 Se você estiver usando um tipo de VPN diferente de SSL ou CITRIX, uma solução
para acelerar a transmissão de dados é colocar um dispositivo VPN no teletransporte,
em vez de no local remoto, para o link VPN de volta à sede. Nesse cenário, o NOC
(centro de operações de rede) simplesmente faz uma conexão VLAN (rede de área
local virtual) desse site para o dispositivo VPN, para fins de comunicação da sede. O
tráfego é criptografado do teletransporte para o centro de dados, mas é executado "em
claro" (não criptografado) do site remoto para o teletransporte através do link de
satélite. É muito difícil interceptar ou alterar dados sobre este link devido ao design da
solução. Para transmissão sobre a porção menos segura do link, que é a conexão
através da Internet pública, a transmissão de dados é criptografada. Este arranjo
garante uma operação VPN mais rápida e que todas as ligações por satélite activadas
são pelo menos tão seguras como linhas alugadas normais e circuitos Frame Relay.

44
Implementação de Segurança na rede multicaixas (ATM)
Tenha em mente, no entanto, que ele envolve a despesa adicional de comprar um
dispositivo VPN e alugar espaço no estande no teletransporte;
 Você pode pré-acelerar as sessões TCP. Se você precisa ter uma criptografia de ponta
a ponta para o site remoto e quiser desempenho completo, tem um appliance que fica
entre a LAN (rede de área local) e o dispositivo VPN e pré-acelera a VPN e fornece
QoS (qualidade de serviço). Os provedores de satélite podem fornecer informações
sobre custos e detalhes de serviços para este dispositivo, que devem estar localizados
no site remoto e na sede;
 Vivo com velocidade de operação VPN lenta de cerca de 70-90 Kbps por sessão.
Dependendo do tipo de dados que este é (como e-mail ou transferências de arquivos),
pode não importar. Mas, se for aplicativos habilitados para web, o serviço será lento.
Nota:
 Se a VPN que estamos discutindo aqui é um software baseado em PC / Laptop que é
executado no próprio computador, em vez de usar um dispositivo VPN para todo o
site, então realmente não há nada que possa ser feito para pré-acelerar o tráfego. Não
há nenhuma solução que fará a pré-aceleração internamente no próprio PC. A VPN
funcionará, mas o desempenho será limitado a aproximadamente 100 Kbps ou menos
por sessão. É possível usar todo um circuito maior com múltiplas sessões TCP, cada
uma fazendo cerca de 100 Kbps. No entanto, mesmo se a largura de banda adicional
estiver momentaneamente disponível, um dispositivo não acelerado não será capaz de
tirar vantagem. A largura de banda extra é essencialmente desperdiçada nesse
momento no tempo se nenhum outro dispositivo não-VPN estiver utilizando-o.
Considerações importantes sobre VPN
• Se algum tráfego pesado for antecipado sobre sua VPN via satélite, então você
precisaria de mais largura de banda dedicada ou mais BIR (taxa de informação burstable)
- largura de banda compartilhada para suportar esta rede. Uma VPN é basicamente um
túnel para qualquer tráfego. O termo VPN em si fornece pouca informação sobre que tipo
de tráfego vai ser no túnel VPN. Às vezes é apenas alguns aplicativos corporativos
baseados na web que podem ser classificados como navegação na web, mas pode muito
bem ser uma grande sincronização de banco de dados. Se este for o caso, então você deve
considerar velocidades de largura de banda mais rápidas. Se você não tiver certeza de
quanto velocidade de largura de banda você precisará, não se esqueça de informar seu
provedor de satélite quanto tráfego você antecipar será na VPN, entrada e saída, a cada
dia útil. Eles podem ajudá-lo a determinar a quantidade de largura de banda que seria
apropriada.
Fonte: http://www.satelliteinsight.com/vpn-via-satellite.html
3.5. Entidade gestora (segurança)

Actualmente a parte interna da entidade gestora das caixas multibancos apresenta na


sua central a seguinte estrutura de rede.

45
Implementação de Segurança na rede multicaixas (ATM)
Após obter a estrutura actual da rede e de vários dias seguidos de análise, cheguei a
conclusão que devia trazer algumas alterações como proposta de mudança na rede que têm
mais a ver com a vertente de segurança da rede.
Para efeito de testes em softwares de simulação tínhamos que primeiramente elaborar
um plano de endereçamento que vai servir-nos de ajuda para o nosso teste.
ESQUEMA DE ENDEREÇAMENTO PARA A REDE INTERNA E
DEPARTAMENTOS

Vamos em seguida fazer o cálculo do nosso endereçamento em torno das nossas


necessidades para teste:
Dados = 100 hosts;
Voz = 300 hosts;
CCTV = 300 hosts;
Convidados = 100 hosts;
Directores = 30 hosts;
Rede_Privativa = 15 hosts;
WebService = 10 hosts;
Proxy = 4 hosts;
IT_Técnicos = 50 hosts;
Servidores = 4 hosts;
Management = 60 hosts;

∑ 100 + 300 + 300 + 100 + 30 + 15 + 10 + 4 + 50 + 4 + 60 = 937 ℎ𝑜𝑠𝑡𝑠

Sendo que os endereços privados de classe B vão de 0 à 65534 então usaremos


endereços privados de classe B.
172.16.0.0
Primeiramente lembrar que o endereçamento deve ser feito da LAN com mais hosts.
Rede Global: 937 hosts
2𝑛 − 2 = 937
n = 10
IPv4: 32 – 10 = 22, portanto o nosso endereço geral fica: 172.16.0.0/22

Voz: 300 hosts


46
Implementação de Segurança na rede multicaixas (ATM)
2𝑛 − 2 = 300
n=9
IPv4: 32 – 9 = 23, portanto o nosso endereço geral fica: 172.16.0.0/23
Próximo endereço disponível: 172.16.2.0/23
CCTV: 300 hosts
Sendo que temos também 300 hosts o endereço seguinte é o próximo: 172.16.2.0/23
Próximo endereço disponível: 172.16.4.0/23
Dados: 100 hosts
2𝑛 − 2 = 100
n=7
IPv4: 32 – 7 = 25, portanto o nosso endereço geral fica: 172.16.4.0/25
Próximo endereço disponível: 172.16.5.0/25
Management: 60 hosts
2𝑛 − 2 = 60
n=6
IPv4: 32 – 6 = 26, portanto o nosso endereço geral fica: 172.16.5.0/26
Próximo endereço disponível: 172.16.5.64/26
IT_Técnicos: 50 hosts
172.16.5.64/26
Próximo endereço disponível: 172.16.5.128/26
Directores: 30 hosts
2𝑛 − 2 = 30
n=5
IPv4: 32 – 6 = 27, portanto o nosso endereço geral fica: 172.16.5.128/27
Próximo endereço disponível: 172.16.5.160/27
Rede Privativa:15 hosts
172.16.5.160/27
Próximo endereço disponível: 172.16.5.192/27
Web Service: 10 hosts
2𝑛 − 2 = 10

47
Implementação de Segurança na rede multicaixas (ATM)
n=4
IPv4: 32 – 4 = 28, portanto o nosso endereço geral fica: 172.16.5.208/28
Próximo endereço disponível: 172.16.5.208/28
Proxy: 4 hosts
2𝑛 − 2 = 4
n=3
IPv4: 32 – 3 = 29, portanto o nosso endereço geral fica: 172.16.5.208/29
Próximo endereço disponível: 172.16.5.216/29
Servidores: 4 hosts
172.16.5.216/29
Segundo as necessidades da nossa rede composta por lans e estas divididas em vários
departamentos, chegamos aos seguintes resultados.

Entidades Endereço Máscara Hosts VLAN


Rede geral 172.16.0.0 /22 937
Dados 172.16.4.0 /25 100 Dados
Voz 172.16.0.0 /23 300 Voz
CCTV 172.16.2.0 /23 300 CCTV
Convidados 172.16.4.128 /25 100 Convidados
Directores 172.16.5.128 /25 30 Directores
Servidores 172.16.5.216 /29 4 Servidores
Rede_Privativa 172.16.5.160 /27 15 Rede_Privativa
WebServer 172.16.5.192 /28 10 WebServer
Proxy 172.16.5.208 /29 4 Proxy
IT_Tecnicos 172.16.5.64 /26 50 IT_Tecnicos
Management 172.16.5.160 /26 60 Management
Tabela 5: Tabela de endereçamento; Fonte: Elaborada pelo autor

Em modo académico e para melhor esclarecimento vamos logo em seguida apresentar


os passos até termos obtido tais resultados.
Core da Rede
Decidimos que as alterações a nível de segurança começarão a ser feitas a partir da
camada do core ou núcleo, conforme algumas bibliografias. O core da rede é aquela parte

48
Implementação de Segurança na rede multicaixas (ATM)
onde temos todos os nossos serviços ligados, ou seja, a informação de entrada e de saída têm
de necessariamente passar por aqui, por isso o nome núcleo.
Actualmente a tecnologia MPLS (Multi-Protocol Label Switching) é comumente
utilizada pelas operadoras de telecomunicações (ISP) como solução de conectividade de
longa distância. Primeiramente devemos observar que a configuração dessa tecnologia no
ambiente corporativo (enterprise) é totalmente diferente da configuração na nuvem da
operadora (ISP). Aliás, quem possui um link MPLS na empresa sabe bem que ela é
transparente, já que você simplesmente recebe a conectividade da operadora e pronto - é
como se houvesse um link privado entra as unidades remotamente conectadas.
Os routeres instalados na empresa cliente normalmente sequer têm noção do que é
MPLS e por isso toda a complexidade da infraestrutura está na nuvem da operadora.
Diferente de outras tecnologias de Camada 2 (HDLC, ATM e Frame-Relay) que eram
tradicionalmente utilizadas na longa distância (e ainda são), o MPLS surgiu como uma
tecnologia de Camada 2¹/² que traz uma abordagem de operação totalmente nova: o chamado
roteamento baseado em rótulos.
Essa tecnologia não utiliza mais o cabeçalho do datagrama IP na decisão de
roteamento, fazendo o reencapsulamento do datagrama com um novo cabeçalho de 4 bytes
que possui um rótulo de 20 bits. Toda a decisão de encaminhamento dos pacotes é
determinada com base nesse rótulo, o que agiliza o processo de roteamento e permite a
implementação de técnicas de engenharia de tráfego, entre outras coisas.
O Custormer Edge (CE) é o equipamento instalado nas unidades remotas da empresa
que irão receber a solução de conectividade provida pela operadora. E o Provider Edge (PE)
que se trata do router da operadora directamente conectado a um (ou mais) routers do(s)
cliente(s), ou seja, PEs são conectados a CEs. Por fim, o elemento P (Provider)são os demais
routers distribuídos pela nuvem MPLS que representa a infraestrutura do ISP.
Outro conceito fundamental é a tecnologia VRF (Virtual Routing and Forwarding)
que traz consigo outros dois elementos igualmente importantes: o RD (Route Distinguisher) e
o RT (Route Target). Através do VRF é possível criar múltiplas instâncias da tabela de
roteamento, sendo que cada uma dessas tabelas virtuais é totalmente independente das
demais. No contexto do MPLS é comum que cada cliente tenha sua própria VRF porque essa
prática traz mais segurança e flexibilidade.
Sem as VRFs individuais o tráfego entre as sub-redes de todos os clientes da
operadora iriam compor uma única tabela de roteamento, o que seria péssimo do ponto de
vista de segurança. Outro benefício comum é que se torna possível que os clientes utilizem
endereços de redes iguais, já que as instâncias VRF são independentes. E é muito comum que
as empresas utilizem endereços privados da RFC1918 (192.168 /16, 172.16 /12 e 10 /8).

No entanto, em algum momento é necessário que as rotas entre o roteador da empresa


(CE) e o roteador da operadora (PE) sejam redistribuídas para um processo BGP no PE. Isso
porque deve existir um pareamento iBGP entre um PE e outro PE remoto para viabilizar na
prática a chamada VPN MPLS, um túnel abstrato que só existe nas bordas da rede MPLS, já
que os routers P sequer conhecem as várias VPNs.

49
Implementação de Segurança na rede multicaixas (ATM)
Eis que surge um problema: Fica claro que é possível ter endereços repetidos através
das VRFs porque elas representam tabelas de roteamento distintas, mas como fica a
redistribuição das rotas iguais para o processo BGP!? Isso só é possível através da adição de
um identificador nas rotas para torná-las únicas que é denominado RD (Route Distinguisher).
Também existe o RT (Route Target), uma community BGP que indica o membro de uma
VPN, permitindo que rotas sejam importadas e exportadas das VRFs no processo de
redistribuição.
Há alguns formatos para o RD/RT, sendo que sua forma mais comum consiste em:
ASN de 16 Bits + Número de 32 Bits ; Ex.: 65000:100.
Como o processo de configuração consiste em várias linhas de comando, estarei
dividindo o processo de configuração nas seguintes etapas:

Figura 22: Core da rede (Actual); Fonte: Elaborado pelo Autor

Os BR ou CE (Customer Edge) são os dispositivos físicos que fazem a ligação entre o


provedor e o cliente, portanto, e por motivos de segurança podemos não querer que
determinados pacotes que podem ser maliciosos ou não cheguem ao interior da nossa rede. O
IOS da Cisco incluiu uma funcionalidade, Listas de Acesso, que é um conjunto de regras de
classificação de pacotes que indicam se o pacote deve ser permitido ou rejeitado. Elas podem
ser usadas no controlo de acesso à Internet, podem ser aplicadas ao tráfego de entrada e/ou
tráfego de saída de cada interface.
Nos routers Cisco, definem-se dois tipos de listas de acesso. A lista de acesso padrão
que apenas classifica os pacotes de acordo com o endereço lógico origem e a lista de acesso
estendida que classifica os pacotes de acordo com os endereços lógicos de origem e destino e
não se esquecendo o mais importante, devem ser colocadas o mais próximo a origem. Sendo

50
Implementação de Segurança na rede multicaixas (ATM)
assim, vamos configurar a nossa lista de acesso estendida, a escolha foi feita porque achei
que principalmente permite uma classificação com granulosidade mais fina.
E, lembrar que, as listas de acesso apenas se aplicam ao tráfego que atravessa o router.
Todo o tráfego gerado pelo router não é filtrado por qualquer lista de acesso. Eis em seguida
a nossa tabela:

Origem Destino Protocolo Serviço Porta Acção

1 192.168.1.14/30 Any Any Any ------ Deny

2 192.168.1.14/30 192.168.1.13/30(ATM) IP ------- ------- Allow


3 192.168.1.14/30 192.168.1.13/30(ATM) Icmp echo ------- Allow
4 192.168.1.14/30 192.168.1.13/30(ATM) TCP Telnet 23 Deny

5 192.168.1.14/30 192.168.1.33/30 (F1) TCP Telnet 23 Deny


6 192.168.1.14/30 192.168.1.33/30 (F1) TCP Http; 80; Deny
HTTPs 8080
7 192.168.1.14/30 192.168.1.13/30(ATM) TCP Http; 80; Allow
HTTPs 8080
Tabela 6: Regra de lista de acesso estendida para o BR; Fonte: Elaborada pelo Autor

Ainda sobre o router de borda temos a implementação da criptografia end to end.

Criptografia é a arte ou ciência que permite escrever de forma a ocultar conteúdos. E


tem como objectivo permitir que um conjunto limitado de entidades, tipicamente duas,
possam trocar informação que é ininteligível para terceiros.

A comunicação entre os ATMs é feita por uma ligação ponto a ponto, ou para melhor
empregar o sub tema, podemos dizer, end to end. Criptografia end-to-end é usada
preferencialmente quando apenas os pontos da conexão devem ter acesso ao conteúdo, e que
os dados estejam encriptados por onde passam.

Ao contrário do princípio de networking, end-to-end encryption tem pouco a ver com


a conclusão do processo mais rápido. Em vez disso, a criptografia end-to-end refere-se a
quem pode ver seus dados.Vamos colocar desta forma: Quando você envia informações
criptografadas, o seu computador já envia os dados não criptografados em algum lugar a ser
encriptada. Entre os dois pontos, alguém pode bisbilhotar e ver o que você está enviando.
Este é frequentemente o caso em conexões Wi-Fi, onde o dispositivo difunde tudo o que
envia um sinal de rádio em aberto. Esta criptografia é praticamente inútil em um mundo tão
conectado e Wi-Fi-suficientes.

Com a criptografia end-to-end, o computador criptografa os dados antes de enviá-lo


sempre em qualquer lugar. O momento em que deixa qualquer dispositivo que você está
usando, já é um monte de rabiscos que ninguém pode ler! Não é até que os dados chegam ao
seu destino final, que ele é descriptografado e lido. Este tipo de criptografia garante que nada
deixa o computador sem primeiro ser transformado em rabiscos ilegíveis completo que
hackers não seram capazes de decifrar.
51
Implementação de Segurança na rede multicaixas (ATM)
Mas será este tipo de criptografia inquebrável?

Segundo especialistas em segurança garantem que quebrar uma criptografia End-to-


end é possível, mas dentro de condições bem específicas: “O atacante, por exemplo, precisa
estar na mesma rede que uma das pontas usuárias. Ou ele precisa ter o controle de um dos
elos.” Ou seja, a ação precisa ser muito cirúrgica para conseguir interceptar os dados dentro
do End-to-End.

E malwares podem afectar o End-to-End?

Especialistas afirmam que até mesmo malwares têm um acesso limitado na hora de
quebrar a criptografia do End-to-End. Segundo eles, o que pode ser violado é o tipo de
criptografia usada para proteger a comunicação. “Ataques como utilizando técnicas como o
FREAK e o BEAST, têm demonstrado a possibilidade de quebra da criptografia entre dois
pontos de uma comunicação, com base em diferentes vulnerabilidades”. “No entanto, se o
algoritmo usado para criptografia é forte o suficiente, não haverá nenhuma maneira de
quebrá-lo e saber o conteúdo da mensagem que está sendo trocada entre duas entidades.

Figura 23: Core da rede (Solução proposta); Fonte: Elaborado pelo Autor

O mais importante a perceber na figura é que o núcleo da nossa rede encaminha uma
grande quantidade de dados e que tem de o fazer com rapidez e eficiência, a primeira acção
foi desalocar o grupo servidores desta camada em modo assim manter a camada fluída e com
maior eficiência.
Na figura que representa a solução proposta vimos que além da zona desmilitarizada
já não temos os servidores alocados nesta camada, sendo que assim garantimos fluidez e
rapidez dos pacotes.
Depois de os dados filtrados pela ACL no router BR, temos no core os dispositivos
que servem para a protecção por isolamento de máquinas ligadas à rede e controlo de

52
Implementação de Segurança na rede multicaixas (ATM)
interacções entre máquinas, ou seja, firewall. O funcionamento de uma Firewall ou as
decisões tomadas por ela são todas controladas por um conjunto de regras e aplicações que as
interpretam e reagem em função do tráfego que chega á Firewall.
As firewalls CISCO ASA podem ser configuradas a duplicar os dados de uma ligação
para outra, o que permite que haja redundância e segurança na informação a ser recebida e
enviada. Para tal precisamos de dois dispositivos ASA com IOS idênticos e que a ligação seja
feita tal como mostra a figura a seguir, para que possamos utilizar os modos failover
activo/activo e activo/Standby.
No modo activo/activo o tráfego poderá passar pelos dois firewalls ao mesmo tempo,
mas, já no modo activo/failover, o tráfego passará apenas pelo firewall primário e o
secundário (failover) entrará em acção quando por algum motivo o firewall primário reiniciar
ou perder conexões.
Iremos demonstrar de forma simples e rápida como configurar um firewall ASA no
modo activo/failover.

Figura 24: ASA FAILOVER; Fonte: Elaborado pelo Autor

Conceitos básicos sobre a configuração:


(a) No firewall Primário deixaremos o IP de standby configurado
(Obrigatório apenas para interface de gerência);
(b) No firewall Secundário deixaremos configurado apenas a interface
failover (rede separada);
(c) No firewall Secundário colocaremos o IP de gerência diferente do que vai
ser usado em produção;
(d) No final Primário configuraremos os comandos failover (Conexão
perdida);
(e) No firewall Secundário acessar pelo IP de gerência (IP provisório),
colocar os comandos de failover e IP na interface failover;
Após configurar o failover activo/failover, ainda nos firewall não devíamos deixar de
definir as políticas do tráfego de entrada e de saída, como apresentamos no quadro abaixo.

Origem Destino Serviço Porta Acção

1 Any Any Any ------ Deny

2 Any Any DNS ------ Allow

53
Implementação de Segurança na rede multicaixas (ATM)
2 Any Any Icmp ------ Allow

3 Adimin-Rede Any Any ------ Allow


4 Outside Any Telnet 23 Deny
5 Any Inside Telnet 23 Deny

6 Any Inside SSH 22 Allow


7 Admin-Sistema SRVs Any ----- Allow

8 Users APP-RH HTTPs 80 Allow


Tabela 7: Tabela de regras na Firewall; Fonte: Elaborada pelo Autor

DMZ (ZONA DESMILITARIZADA)


A DMZ é ou são as áreas de ligação entre a rede interna e externa onde os servidores
que recebem tráfego externo estão instalados de maneira separada da rede interna de uma
instituição. A sua função é manter os serviços que possuem acesso externo separados da rede
local, evitando ao máximo um potencial dano causado por algum invasor, tanto interno como
externo.
Permite também o acesso de usuários externos aos servidores específicos localizados
na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna e a
sua função principal é servir de protectora entre as redes interna e externa.
Os equipamentos situados na DMZ têm como função fornecer serviços aos usuários
externos, de tal modo que estes não necessitem acessar a rede interna, criando um certo grau
de isolamento da rede interna (confiável) em relação ao tráfego que vêm da rede externa (não
confiável).
Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar
com o mínimo de recursos possíveis ao oferecer um determinado serviço. Além disso, o
comprometimento de um equipamento qualquer situado na DMZ não deve servir para o
comprometimento de equipamentos e/ou serviços da rede interna, ou seja, qualquer tentativa
de ataque deve ficar confinada aos equipamentos situados na DMZ.
CAMADA DE DISTRIBUIÇÃO
Como indica o nome, a camada de distribuição, serve pra distribuir os serviços do
interior para o exterior e vice-versa. É basicamente aonde temos a ligação entre o core da
rede e a camada de acesso. Ela agrega os dados recebidos dos switches da camada de Acesso
antes de serem transmitidos para a camada do Core roteando até seu destino final. A camada
de distribuição controla o fluxo do tráfego da rede usando políticas e determina domínios de
broadcast, realizando funções de roteamento entre VLANs garantindo a resiliência e a
redundância parcial através dos nossos equipamentos.

54
Implementação de Segurança na rede multicaixas (ATM)
Figura 25: Camada de Distribuição Actual; Fonte: Elaborado pelo Autor

Temos na figura anterior a representação da actual camada de distribuição da nossa


rede, onde temos simplesmente dois switches L3 que além de comutar dados também
garantem o roteamento entre as VLANs.
Como proposta de solução, decidiu-se agregar os servidores que na estrutura actual
encontram-se no CORE da rede para a camada de distribuição. Outra proposta de solução
surge com a separação da zona financeira da instituição para uma zona mais restrita. Devido à
importância das informações mantidas neste sector, a sua rede conta com a protecção
adicional de um firewall interno, cujo objectivo principal é evitar que usuários com acesso à
rede interna da organização (mas não à rede do sector financeiro) possam comprometer a
integridade e/ou o sigilo dessas informações. Algumas regras aplicadas mostradas na tabela a
seguir.

Origem Destino Serviço Porta Acção

1 Any Any Any ------ Deny

2 Any Any DNS ------ Allow

3 Any Any Icmp ------ Allow

4 Adimin-Rede Any Any ------ Allow


Tabela 8: Tabela de regras na Firewall; Fonte: Elaborada pelo Autor

55
Implementação de Segurança na rede multicaixas (ATM)
Figura 26: Camada de distribuição (Proposta); Fonte: Elaborado pelo Autor

VIRTUALIZAÇÃO
A virtualização de servidores já é uma realidade que bate à porta das empresas,
trazendo inúmeras vantagens a todos que buscam a economia de recursos e uma gestão de TI
mais eficaz. Para dar uma visão mais ampla, vamos aqui apresentar algumas vantagens e
desvantagens, que podem ser compensadas pela utilização de um provedor cloud com
reconhecida atuação no mercado.

Vantagens
1. Instalações simplificadas e economia de espaço físico e melhor aproveitamento do
espaço físico, quanto menos dispositivos físicos instalados, maior o espaço disponível em
racks.
2. Maior disponibilidade e mais, fácil recuperação em caso de desastres e facilidade
para a execução de backups e ainda tem o gerenciamento centralizado e compatibilidade total
com as aplicações.
3. Suporte e manutenção simplificados e Independência de hardware.
4. Acesso controlado a dados sensíveis e à propriedade intelectual mantendo-os
seguros dentro do data center da empresa.
5. A disponibilização de novos servidores fica reduzida a alguns minutos e migração
de servidores para novo hardware de forma transparente.
6. Economia de energia elétrica utilizada em refrigeração e na alimentação dos
servidores e a redução de custos também é possível utilizando pequenos servidores virtuais
em um único servidor mais poderoso e com isso a redução de custos de pessoal.

56
Implementação de Segurança na rede multicaixas (ATM)
7. Segurança – usando máquinas virtuais (VM), pode-se definir qual é o melhor
ambiente para executar cada serviço, com diferentes requerimentos de segurança, diversas
ferramentas e o sistema operacional mais adequado para cada serviço. As máquinas virtuais
podem ficar isoladas e independentes umas das outras, inclusive da máquina hospedeira.
Usando uma máquina virtual para cada serviço, a vulnerabilidade de um serviço não
prejudica os demais.
8. Confiança e disponibilidade – a falha de um software não prejudica os demais
serviços.
9. Adaptação às diferentes cargas de trabalho, que podem ser tratadas de forma
simples. Normalmente, os softwares de virtualização realocam os recursos de hardware
dinamicamente entre uma máquina virtual e outra.
10. Balanceamento de carga: toda a máquina virtual está encapsulada. Assim, torna-se
fácil trocar a máquina virtual de plataforma e aumentar o seu desempenho.
11. Suporte a aplicações legadas: quando uma empresa decide migrar para um novo
sistema operacional, é possível manter o sistema operacional antigo sendo executado em uma
máquina virtual, o que reduz os custos com a migração. Vale ainda lembrar que a
virtualização pode ser útil para aplicações que são executadas em hardware legado, que está
sujeito a falhas e tem altos custos de manutenção. Com a virtualização desse hardware, é
possível executar essas aplicações em hardwares mais novos, com custo de manutenção mais
baixo e de maior confiabilidade.

Desvantagens
1. Gerenciamento – os ambientes virtuais necessitam ser instanciados (criar instâncias
nas máquinas virtuais), monitorados, configurados e salvos. Existem produtos que fornecem
essas soluções, mas esse é o campo no qual estão os maiores investimentos na área de
virtualização.
2. Dificuldade no acesso direto a hardware, por exemplo, placas específicas ou
dispositivos de USB.
3. Desempenho – atualmente, não existem métodos consolidados para medir o
desempenho de ambientes virtualizados. Para compensar, introduz-se uma camada extra de
software entre o sistema operacional e o hardware, o VMM ou hypervisor, que gera um custo
de processamento superior ao que se teria sem a virtualização. Outro ponto importante de
ressaltar é que não se sabe exatamente quantas máquinas virtuais podem ser executadas por
processador, sem que haja o prejuízo da qualidade de serviço.
4. Grande consumo de memória RAM dado que cada máquina virtual vai ocupar uma
área separada da mesma.
5. Grande uso de espaço em disco, já que é preciso de todos os arquivos para cada
sistema operacional instalado em cada máquina virtual.
Vê-se que a virtualização tem mais vantagens do que desvantagens, pois, facilita e
resolve muita coisa. Porém é necessário avaliar todos os aspectos envolvidos na virtualização
para evitar crises. Por exemplo, a vulnerabilidade ou queima de um host físico deixará todas
as máquinas virtuais vulneráveis ou indisponíveis, o que requer planos de recuperação de

57
Implementação de Segurança na rede multicaixas (ATM)
desastres. Deve-se analisar também se as máquinas virtuais terão o desempenho necessário
para as operações críticas.
Podemos ter os servidores de: Aplicações de gestão de contas, DNS, Proxy (que serve
para garantir que todas ligações na rede sejam seguras), o AD ou Active directory (que serve
para tratar das contas dos utilizadores). No servidor principal, teremos serviços como, Web
Service, HTTPs, http, entre outros. O router CCME para garantir serviços de voz sobre IP,
VOIP.
SERVIDOR PROXY
Um Proxy é um servidor que é um sistema de computador ou uma aplicação que age
como um intermediário para requisições de um usuário solicitando recursos de outros
servidores. Um servidor conecta-se ao servidor proxy, solicitando algum serviço, como um
arquivo, conexão, página web ou outros recursos disponíveis de um servidor diferente e,
como os endereços locais do computador não são válidos para acessos externos, cabe ao
proxy enviar a solicitação do endereço local para o servidor, traduzindo e repassando-a para o
seu computador.
Todas as requisições feitas ao servidor (o site que você quer acessar) passarão pelo
seu proxy. Ao chegar ao site, o IP (Internet Protocol / Protocolo de Internet) do proxy fica
registrado no cache do seu destino e não o seu. É pelo IP que os hackers conseguem invadir
computadores, portanto deve-se manter o nível de segurança do seu gateway (porta de ligação
com o proxy) seguro. Os riscos são vários, no entanto, dois deles podem ser enumerados
como os mais fortes: ter seu computador invadido ou ter alguém navegando com o seu IP.
Proxies de interceptação são normalmente usados em empresas para impor a política
de uso aceitável e para aliviar as sobrecargas administrativas, uma vez que nenhuma
configuração do navegador do cliente é necessária. Esta segunda razão entretanto é mitigada
por recursos como política de grupo do Active Directory ou detecção de proxy automática ou
via DHCP.
Como os riscos são vários, não fugimos a regra e adicionamos algumas regras ao
nosso servidor proxy, como mostradas a seguir.

Origem Destino Horário Site Porta Acção

1 Any Any Any Any ----- Deny

2 Users Facebook 8h-12h; www.facebook.com 80; 8080 Deny


14h-18h
3 Users Youtube 8h-12h; www.youtube.com 80; 8080; Deny
14h-18h 443
4 Admin- Any Any Any Any Allow
Rede
Tabela 9: Tabela de regras no servidor proxy; Fonte: Elaborada pelo Autor

58
Implementação de Segurança na rede multicaixas (ATM)
Camada de Acesso
A camada de acesso contém os dispositivos finais, como PCs, telefones IP,
impressoras ou também podemos encontrar os pontos de acesso Wireless (AP). O seu
principal propósito é fornecer um meio de os restantes dispositivos conectarem a rede e quais
têm permissão pra tal.

Figura 27: Camada de acesso (actual); Fonte: Elaborado pelo Autor

Para a camada de acesso a única alteração foi o tipo de ligação lógica dos cabos.
Agora as nossas ligações são Stack ao contrário das ligações Trunk que tínhamos
anteriormente, onde as ligações Stack servem principalmente para redundância parcial, eles
levam toda a informação de um Switch para o outro e as ligações trunk carregam informação,
mas carregam informação limitada, no trunk só carregamos informação de cada VLAN.

Figura 28: Proposta para a camada de acesso; Fonte: Elaborado pelo Autor

Podemos dizer que com Stack temos conexão de largura da Banda Total. Como
exemplo temos uma Stack de Catalyst 3750 Switches que proporciona largura de banda total

59
Implementação de Segurança na rede multicaixas (ATM)
e conexões de cabo StackWise redundantes. E, quando um cabo falhar em um único local, a
Stack funcionará com a conexão de meia largura de banda.
3.6. Resultados
Como resultado começamos pelas vantagens e desvantagens dos serviços de Tx em
linha dedicada e em WiMax.

Taxa de Vantagens Desvantagens Melhores


Transmissão Utilizações
(antes da
compressão)
- Grande flexibilidade- Largura de banda - Aplicações
limitada para
-Disponível em quase
terminais
todo o mundo - Baixo tempo de
resposta
- Bom para procura de
X.25 Até 64 Kbps
dados em Servidores - Tráfico apenas de
dados
- O fornecedor mantém
a WAN
- Grande largura de - cara - Ligações
banda entre LANs
- Dificuldade em
- Transporta dados, fazer backups em
Linhas 9.6 Kbps até
voz e vídeo caso de falha
Dedicadas 45 Mbps
Digitais - Desenhado para - Inflexibilidade
suportar a computação
- Grande
disponibilidade

WiMax - Mobilidade - Atenuação do - Ligações


sinal em caso de entre WANs
-Proporciona maior
Chuva
alcance em linha de
vista ou não e maior - Velocidade de
velocidade de conexão Download diferente
da velocidade de
- Transporta dados,
Upload
voz e vídeo
- Baixo custo de
implementação e
manutenção
Tabela 10: Resultados comparativos; Fonte: Elaborada pelo Autor

Após a representação do quadro comparativo, apresentamos em seguida as figuras


referentes a entidade gestora, o agora e o proposto.
60
Implementação de Segurança na rede multicaixas (ATM)
Figura 29: Entidade gestora (actual); Fonte: Elaborado pelo Autor

61
Implementação de Segurança na rede multicaixas (ATM)
Figura 30: Entidade Gestora (Solução proposta); Fonte: Elaborado pelo autor

62
Implementação de Segurança na rede multicaixas (ATM)
3.7. Outros
Iteração
Sendo que a ideia das caixas multibancos é facilitar principalmente os levantamentos,
transferências e alguns pagamentos, já estaria mais do que na hora de as caixas multibancos
seguiram a evolução do mundo tecnológico, transformando-as mais iterativas, ou seja, termos
caixas multibancos com ecrãs touch, assim facilitaria muita gente, sendo que a iteração seria
mais fácil e mais explícita.
Biometria
1. Existiria um sistema biométrico nas caixas prá quem quisesse usar o seu cartão
pessoalmente, sem necessidade de passar a outras pessoas, ou seja, no contracto
com o banco eu teria opção pra escolha ou não desta opção, conforme eu quisesse
gerir o meu cartão.
2. Ainda sobre a biometria, eu também podia fazer a escolha de usar ou não um
cartão, mas, implicaria somente eu a usar esta conta. Teria um contracto em que
usaria os meus olhos pra reconhecer e conectar a minha conta, podia ser também
com os dedos, isso seria consoante o tipo de caixa a usar pelas entidades
bancárias.
As fases seguintes são as de Monitoramento e Controle que pode ser feita durante o
projecto todo ou só no final segundo o planeamento de cada gestor e a fase de encerramento,
onde fizemos a apresentação ao Professor e a FEUCAN e pra finalizar temos a apresentação
geral em formato power point e a defesa e temos como terminado o projecto.

Figura 31: Estrutura WBS (Monitoramento e Controle); Fonte: Elaborada pelo Autor

Figura 32: Estrutura WBS (Encerramento); Fonte: Elaborada pelo Autor

63
Implementação de Segurança na rede multicaixas (ATM)
4. Custos de Implementação
Ao realizar-se um projecto por mais pequeno que este seja, devemos sempre ter em
conta o custo de implementação do projecto, neste projecto em particular e por já existir uma
infra-estrutura robusta e com equipamentos de última geração, portanto, não teremos um
custo exacto por se tratar de uma infra-estrutura robusta. A ENTIDADE GESTORA é
responsável pelas comunicações de todas as caixas multibancos a nível nacional (excepto as
caixas Expresso 24 do banco BNI). Neste projecto, apresentamos como exemplo os custos de
implementação dos activos de rede da ENTIDADE GESTORA que espelha exactamente os
custos locais em cada data center.
Item Quantidade Descrição Preço unitário (AKZ)

Switch N C3750E – Stack 1 e 2 2.500.000

Switch N C3560 200.000

Router N C2900 250.000

Router N CCME - C3900 1.300.000

IP Phone N C7970 60.000

Ponto de Acesso N AIR-LAP1142N-E-K9 90.000

Servidor N HP – 500 Gb 150.000

Servidor N DELL – 1Tb 200.000

Servidor N DVR 100.000

Servidor N Biométrico 120.000

Firewall N ASA 120.000

Total de custos com activos de Redes 33.770.000,00


Tabela 11: Custos dos activos de rede; Fonte: Elaborada pelo autor

Aproveitando todo este arsenal, para a implementação prática das soluções acima
apresentadas temos o seguinte custo com Recursos Humanos:

64
Implementação de Segurança na rede multicaixas (ATM)
Técnicos Quantidade Especialidade Pagamento
unitário (AKZ) /
hora
Coordenador do 1 Gestão de Projectos, 2000
Projecto administração de redes.
Técnico Sénior 1 Virtualização 1700
Técnico Sénior 1 Redes de Computadores 1500
Técnico Sénior 1 Administração de Sistemas 1500
Técnico Júnior 2 Cabeamento estruturado 1000
Técnico Júnior 2 Helpdesk 1000
Técnico Júnior 1 Infraestrutura 1000
Tabela 12: Custo dos recursos humanos; Fonte: Elaborada pelo autor

Obs.: Trata-se de valores aproximados, por causa do tipo de negócio, a ENTIDADE


GESTORA não aceita divulgar o valor de suas receitas.

65
Implementação de Segurança na rede multicaixas (ATM)
5. Aspectos metodológicos
Neste projecto, de difícil elaboração, por termos um tema que deve ser tratado com
bastante sigilo, então, a recolha de informação foi muito dura. Mas como fonte, foram usados
documentos, bibliografias em Português, Inglês e Espanhol, pessoas operadoras e colegas de
escola e amigos, Eng. Nilton de Matos (Coordenador da equipa técnica de telecomunicações,
redes e segurança no Ministério da Justiça), Eng. Ndombele Daniel, Eng. Wilson Vicente,
Eng. Álvaro Bravo, Amarildo da Silva.
Os dados foram colectados de Setembro de 2015 ao Julho de 2016. Foram colectados
verbalmente e também documentalmente. Espera-se que com este projecto se analisem os
dados apresentados como solução com finalidade de serem implementados.

66
Implementação de Segurança na rede multicaixas (ATM)
6. Conclusão
Geralmente essas são as partes mais difíceis de cada projecto, por mais pequeno que
seja, mas aqui, concluímos que, independentemente de tudo, temos uma estrutura de redes
dos multicaixas totalmente segura, com algumas falhas mínimas que aqui citamos e
sugerimos melhorias pra tal. Desde o princípio que o tema mostrou ser desafiador, mas,
mesmo assim correu-se atrás e não se deu a cara a luta. Mas acima de tudo, deu para aplicar
na generalidade “todos” os conhecimentos ou maior parte do que aprendemos cá na UCAN,
os Professores capacitados nos fizeram ter uma formação capacitada.

Lembrar que é dispendioso e temos dificuldade de implementação do uso de linhas


dedicadas com o protocolo X25 para comunicação entre a Entidade Gestora dos ATMs e das
suas caixas, além de com o X25 termos uma largura de banda limitada. Propor a tecnologia
de 4ª geração, WiMax no possibilita aceder a zonas remotas onde as ligações a cbao têm
dificuldade em aceder e temos mobilidade na comunicação de até 70 Mbps, menos
dispendiosa e com fácil implementação sem esquecer a manutenção que também torna-se
mais facilitada.

67
Implementação de Segurança na rede multicaixas (ATM)
7. Referências Bibliográficas

1. Mário Véstias, Redes Cisco Para Profissionais, 6 edição


2. Cisco ASA Configuration, Richard A. Deal
3. CCNA Security, Keith Barker (CCIE NO. 6783), Scott Morris (CCIE No. 4713)
4. CCNP Routing e Switching, David Hucaby (CCIE No. 4594)
5. www.intelsat.com
6. http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html
7. http://www.diegomacedo.com.br/
8. http://www.interhack.net/
9. http://www.satelliteinsight.com/vpn-via-satellite.html
10. http://www.telecomabc.com/

68
Implementação de Segurança na rede multicaixas (ATM)
Anexos

Anexo 1: Topologia interna da rede

69
Implementação de Segurança na rede multicaixas (ATM)
Configurações no router BR1

Anexo 2: Routing table on BR

Anexo 2.1: Por configuration on Firewall

Configurações no Switch de Camada 3 (CSW1)


70
Implementação de Segurança na rede multicaixas (ATM)
Anexo 3: Configurações no Switch CSW1 (Continua…)

Anexo 3.1: IP Interface brief for VLANs

Anexo 3.2: VTP Status for Core Switch

71
Implementação de Segurança na rede multicaixas (ATM)
Anexo 4: Estrutura Completa da WBS

72
Implementação de Segurança na rede multicaixas (ATM)
Cálculos da ligação no Matlab
% DECLARAÇÃO DE CONSTANTES
clc;
%################ Constantes Fisicas #################

RaioT = 6378.173; % Raio da terra em Km


Rorbita = 42158; % Raio da Orbita Terrestre em Km
pi = 3.14; % Pi em radianos
c = (3*10^8); % Velocidade da luz em m/s
n = 0.6; % Factor de rendimento
e = 2.7; % Euler
k =(1.38*10^-23); % Constante Bolztman
Latu = 1.5; % Perdas de tracking na atmosfera/desvio das antenas Uplink em
db
Latd = 1.2; % Perdas de tracking na atmosfera/desvio das antenas Downlink
em db
%--------------------------------------------------------------------------
%############ Constante de Atenuação ###########################

Paup = 0.08; % Perda ou Atenuação Atmosférica é tabelado, calculado através


da frequência do uplink (Fu)
Padw = 0.05; % Perda ou Atenuação Atmosférica é tabelado, calculado através
da frequência do Downlink (Fd)
hr = 5; % Altitude da Chuva em Km
hs =1.3 ; % Altitude da Estação Terrena em relação ao nível do mar, Para
Angola varia de 1.2 Km à 1.5 Km
Aespu = 3.3; % Atenuação Específica Calculado através da frequência Fu
Roo1= 65; % Taxa de precipitação ou Queda de chuva
Aespd = 2.5; % Atenuação Específica Calculado através da frequência Fd
Opt=0.1; % Erro Máximo de Apontamento em Graus

%############# Valores de Temperatura #############################


Tsky = 8.5; % Temperatura do céu Porque o AngElev = 29.0º Segundo a Tabela
K
Tsky1 = 13; % Porque o AngElev = 33.1º Segundo a Tabela K
TG = 10; % Temperatura do Ruido do Solo Porque 10º < AngElev < 90º
Tf = 290; % Temperatura Termodinâmica da Conexão
Tr = 150; % Temperatura do ruido Equivalente na entrada do receptor
Tm = 275; % Temperatura Termodinâmica de Precipitação entre 260k e 280k
%--------------------------------------------------------------------------
Serv = 64; % Serviço para transmissão de dados em Kbps
Nc = 32; % Número de Canais
Lb = 60; % Largura de Banda

%########### Constantes de Comunicação Digital


Rb = 60; % Taxa de Bit Uplink Mbps
Rb1 = 36; % Taxa de Bit Downlink Mbps
%--------------------------------------------------------------------------
Lfrx = 1; % Perda No Receptor em db
Lftx = 0.5; %Perda no Transmissor em db

%############### Percentagem de Chuva


pu=0.01; % Percentagem Duração máxima chuva no Ascendente, percentagem ano
pd=0.01; % Percentagem Duração máxima chuva no descendente, percentagem ano

fprintf('#### Projeto: Calculo de uma Ligação por de Satélite\n');


s = input('Deseja Visualizar os Resultados Armazenados no Disco
(s/n)','s');
if s == 's'

73
Implementação de Segurança na rede multicaixas (ATM)
fileSatelite = fopen('FileSatelite.m','r');
File = fscanf(fileSatelite,'%6f');

LatitE1 = File(1);
LongitE1 = File(2);
LatitE2 = File(3);
LongitE2 = File(4);

LongSat = File(5);
DensFluxoSatSat = File(6);
EIRPSatSat = File(7);
figMerSatUplink = File(8);
backOffin = File(9);
backOffout = File(10);

LarBanda = File(11);
CIcsau = File(12);
CIcsad = File(13);
CIcau = File(14);
CIcad = File(15);
BER = File(16);

distE1Sat = File(17);
distE2Sat = File(18);
angElevE1 = File(19);
angElevE2 = File(20);
azimuteE1 = File(21);
azimuteE2 = File(22);

Lu1 = File(23);
Lu2 = File(24);
Lu = File(25);
Ldc = File(26);

Ta = File(27);
Tarain = File(28);
T1 = File(29);
T2 = File(30);
T3 = File(31);
Taxa = File(32);

EIRP_TE = File(33);
EIRP_TR = File(34);
CNoupE1 = File(35);
CNoupE1c = File(36);
CNodE2 = File(37);
CNodE2c = File(38);

EbNoupE1 = File(39);
EbNoupE1c = File(40);
EbNodE2 = File(41);
EbNodE2c = File(42);
GTrec = File(43);
CNupE1 = File(44);

CNupE1c = File(45);
CNdwE2 = File(46);
CNdwE2c = File(47);
Ge = File(48);

74
Implementação de Segurança na rede multicaixas (ATM)
Gr = File(49);
Dem = File(50);

Drec = File(51);
Pem = File(52);
Pemw = File(53);
INDISP = File(54);

status = fclose(fileSatelite);
diary on;
%---###### APRESENTAÇÃO DOS VALORES ARMAZENADOS NO DISCO ##########

fprintf('\n\n ------ APRESENTAÇÃO DOS VALORES ARMAZENADOS NO DISCO


---------\n\n');
fprintf('\n\n-- Parametros da Primeira Estação Terrena --\n\n');
fprintf('\n Latitude da Primeira Estação Terrena :%.1f º',LatitE1);
fprintf('\n Longitude da Primeira Estação Terrena :%.1f
º',LongitE1);
fprintf('\n\n-- Parametros da Segunda Estação Terrena -----\n\n')
fprintf('\n Latitude da Segunda Estação Terrena :%.1f º',LatitE2);
fprintf('\n Longitude da Segunda Estação Terrena :%.1f
º',LongitE2);
fprintf('\n\n ##--- Parametros de Satélite a Utilizado --##\n\n');
fprintf('\n Longitude do Satélite:%.1f º',LongSat);
fprintf('\n Densidade de Fluxo p/ Saturação do Transponder:%.1f
dBW/m2',DensFluxoSatSat);
fprintf('\n EIRP de Saturação do Satélite:%.1f dBW',EIRPSatSat);
fprintf('\n Figura de Mérito do Satélite no UPLINK :%.1f
dBW/ºK',figMerSatUplink);
fprintf('\n Backoff de Entrada com céu Limpo :%.1f dB',backOffin);
fprintf('\n Backoff de Saída com céu Limpo :%.1f dB',backOffout);

fprintf('\n\n ##--- Os Parametros da Ligação ---##\n\n');


fprintf(' Largura de Banda do Canal :%.1f MHZ',LarBanda);
fprintf('\n Interferencia Portadora/Satelite Adjacente no Uplink
:%.1f dB',CIcsau);
fprintf('\n Interferencia Portadora/Satelite Adjacente no Downlink
:%.1f dB',CIcsad);
fprintf('\n Interferencia Portadora/Canal Adjacente no Uplink :%.1f
dB',CIcau);
fprintf('\n Interferencia Portadora/Canal Adjacente no Downlink
:%.1f dB',CIcad);
fprintf('\n Taxa de Erro de Bit (BER) :%.1f ',BER);

fprintf ('\n\n ####--- APRESENTAÇÃO DOS RESULTADOS -----####\n\n');


fprintf ('\n #- Distancias das Estações Terrena ao Satelite -
#\n\n');
fprintf (' A distância entre a Estação 1 e o Satélite é:
%.1fKm\n',distE1Sat);
fprintf (' A distância entre a Estação 2 e o Satélite é:
%.1fKm\n',distE2Sat);

fprintf ('\n #- Angulo de Elevação das Estações Terrena -#\n\n');


fprintf ('O angulo de Elavação na Estação 1 é: %.1fº\n',
angElevE1);
fprintf ('O angulo de Elavação na Estação 2 é: %.1fº\n',
angElevE2);

fprintf ('\n #- Azimute das Estações Terrena -#\n\n');


fprintf ('O Azimute na Estação 1 e:%.1fº\n\n',azimuteE1);

75
Implementação de Segurança na rede multicaixas (ATM)
fprintf ('O Azimute na Estação 2 é:%.1fº\n\n',azimuteE2);

fprintf ('#- Resultado das Perdas ou Atenuações no Percurso da


Ligação -#\n');
fprintf('Perda ou Atenuação no percurso de Uplink sem Chuva Estação
1 é:%.1f dB\n\n',Lu1);
fprintf('Perda ou Atenuação no percurso de Downlink sem Chuva
Estação 2 é:%.1f dB\n\n',Lu2);
fprintf('Perda ou Atenuação no percurso de Uplink com Chuva na
Estação 1 é:%.1f dB\n\n',Lu);
fprintf('Perda ou Atenuação no percurso de Downlink com Chuva na
Estação 2 é:%.1f dB\n\n',Ldc);
fprintf ('#- Resultado da Temperatura do ruido da antena downlink -
#\n');
fprintf('Temperatura do ruido da antena downlink sem chuva estação
2 é:%.1f (K)\n\n',Ta );
fprintf('Temperatura do ruido da antena downlink com chuva na
estação 2 é:%.1f (K)\n\n',Tarain );
fprintf ('#- Resultado da Temperatura de Ruido do Receptor -
#\n\n');
fprintf ('Temperatura de Ruido do Receptor na saida da Antena sem
chuva Estação 2 é:%.1f (K)\n\n',T1 );
fprintf ('Temperatura de Ruido do Receptor na saida da Antena com
chuva Estação 2 é:%.1f (K)\n\n',T2);
fprintf ('Temperatura de Ruído na entrada do Receptor com chuva
Estação 2 é:%.1f (K)\n\n',T3);
fprintf ('Cálculo da Taxa de TRansmissão é:%.1f bps\n\n',Taxa);
fprintf ('EIRP na Estação Entidade Gestorasora 1 é:%.1f
dBW\n\n',EIRP_TE);
fprintf ('EIRP na Estação Receptora 2 é:%.1f dBW\n\n',EIRP_TR);
fprintf('----- Resultado da relação Portadora/Densidade Espectral
de Ruido(C/No) Uplink ------ \n\n');
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) sem
chuva Uplink é:%.1f dBHZ\n\n',CNoupE1);
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) com
chuva Uplink é:%.1f dBHZ\n\n',CNoupE1c);
fprintf('---Resultado da Relação Portadora/Densidade Espectral de
ruido(C/No) Downlink--------\n\n');
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) sem
chuva Downlink é:%.1f dBHZ\n\n',CNodE2);
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) com
chuva Downlink :%.1f dBHZ\n\n',CNodE2c);
fprintf ('------------ Resultado da Relação Energia de
Bit/ruido(Eb/No) Uplink -------------\n\n');
fprintf ('Relação Energia de Bit/ruido(Eb/No) sem chuva Uplink
é:%.1f HZ\n\n',EbNoupE1);
fprintf ('Relação Energia de Bit/ruido(Eb/No) com chuva Uplink é:
%.1f HZ\n\n',EbNoupE1c);
fprintf ('----------- Resultado da Relação Energia de
Bit/ruido(Eb/No) Downlink -------------\n\n');
fprintf ('Relação Energia de Bit/ruido(Eb/No) sem chuva Downlink
é: %.1f HZ\n\n',EbNodE2);
fprintf ('Relação Energia de Bit/ruido(Eb/No) com chuva Downlink
é: %.1f HZ\n\n',EbNodE2c);
fprintf ('Figura de Merito da Antena Recetora G/T é:%.1f
db/k\n\n',GTrec);
fprintf('----------------- Resultado da Relação
Portadora/Ruido(C/N) Uplink ------------------\n\n');
fprintf ('Relação Portadora/Ruido (C/N) sem chuva Uplink é: %.1f
dB\n\n',CNupE1);

76
Implementação de Segurança na rede multicaixas (ATM)
fprintf ('Relação Portadora/Ruido (C/N) com chuva Uplink é: %.1f
dB\n\n',CNupE1c);
fprintf('--------------- Resultado da Relação Portadora/Ruido(C/N)
Downlink ------------------\n\n');
fprintf ('Relação Portadora/Ruido (C/N) sem chuva Downlink : %.1f
dB\n\n',CNdwE2);
fprintf ('Relação Portadora/Ruido (C/N) com chuva Downlink : %.1f
dB\n\n',CNdwE2c);
fprintf('- Resultado dos Parametros das Antenas -\n\n');
fprintf ('Ganho da antena Entidade Gestorasora é:%.1f
dBi\n\n',Ge);
fprintf ('Ganho da antena Recetora é:%.1f dBi\n\n',Gr);
fprintf ('Diametro da antena Entidade Gestorasora é:%.1f
m\n\n',Dem);
fprintf ('Diametro da antena Receptora é:%.1f m\n\n',Drec
fprintf('--# Resultado de Potencia de Entidade Gestorasão ---------
---##\n\n');
fprintf('Potencia de Entidade Gestorasão em dBW é:%.1f
dBW\n\n',Pem);
fprintf('Potencia de Entidade Gestorasão em W é:%.1f W\n\n',Pemw);
fprintf('A Indisponibilidade do Sistema é de:%.1f (horas) por ano
\n\n',INDISP);
end

s = input('Deseja Realizar Novos Calculos (s/n)','s');


if s == 's'
fileSatelite = fopen('FileSatelite.m','w');
status = fclose (fileSatelite);

%### INTRODUÇÃO DOS PARAMETROS DAS ESTAÇÕES TERRENAS MENOGUE E BENGUELA


%----------------------------------------------------------------------

fprintf('\n\n Inserir os Parametros da Primeira Estação Terrena


\n\n');
s = input(' Latitude da Primeira Estação Terrena em graus >>:
','s');
LatitE1 = sscanf(s,'%f');
if LatitE1 == 1
LatitE1 = -8;
end
s = input(' Longitude da Primeira Estação Terrena em graus >>:
','s');
LongitE1 = sscanf(s,'%f');
if LongitE1 == 1
LongitE1 = 13;
end
fprintf('\n\n Inseriri os Segunda Parametros da Estação Terrena
\n\n');
s = input(' Latitude da Segunda Estação Terrena em graus >>:
','s');
LatitE2 = sscanf(s,'%f');
if LatitE2 == 1
LatitE2 = -8;
end
s = input(' Longitude da Segunda Estação Terrena em graus >>:
','s');
LongitE2 = sscanf(s,'%f');
if LongitE2 == 1
LongitE2 = 13;
end

77
Implementação de Segurança na rede multicaixas (ATM)
%######## INTRODUÇÃO DOS PARAMETROS DO SATELITE A UTLIZAR
fprintf('\n\n #-Inserir os Parametros de Satélite a Utilizar -
#\n\n');
s = input(' Longitude do Satélite na Orbita Geoestacionaro º >>:
','s');
LongSat = sscanf(s,'%f');
if LongSat == 1
LongSat = 66;
end
s = input(' Densidade de Fluxo p/ Saturação do Transponder(dBW/m2)
>>: ','s');
DensFluxoSatSat = sscanf(s,'%f');
if DensFluxoSatSat == 1
DensFluxoSatSat = -93;
end

s = input(' EIRP de Saturação do Satélite(dBW) >>: ','s');


EIRPSatSat = sscanf(s,'%f');
if EIRPSatSat == 1
EIRPSatSat = 49.3;
end

s = input(' Figura de Mérito do Satélite no UPLINK(dBW/ºK) >>:


','s');
figMerSatUplink = sscanf(s,'%f');
if figMerSatUplink == 1
figMerSatUplink = 3;
end

s = input(' Backoff de Entrada céu Limpo(dB) >>: ','s');


backOffin = sscanf(s,'%f');
if backOffin == 1
backOffin = 5;
end

s = input(' Backoff de Saída céu Limpo(dB) >>: ','s');


backOffout = sscanf(s,'%f');
if backOffout == 1
backOffout = 3;
end
%######## INTRODUÇÃO DOS PARAMETROS DA LIGAÇÃO
fprintf('\n\n ####--- Inserir os Parametros da Ligação ---
####\n\n');
s = input(' Frequencia de Uplink GHz >>: ','s');
FreqUplink = sscanf(s,'%f');
if FreqUplink == 1
FreqUplink = 14;
end

s = input(' Frequencia de Donwlink GHz >>: ','s');


FreqDonwlink = sscanf(s,'%f');
if FreqDonwlink == 1
FreqDonwlink = 12;
end

s = input(' Largura de Banda do Canal MHz >>: ','s');


LarBanda = sscanf(s,'%f');
if LarBanda == 1
LarBanda = 36;

78
Implementação de Segurança na rede multicaixas (ATM)
end

s = input(' Interferencia Portadora/Satelite Adjacente no Uplink dB


>>: ','s');
CIcsau = sscanf(s,'%f');
if CIcsau == 1
CIcsau = 32;
end

s = input(' Interferencia Portadora/Satelite Adjacente no Downlink


dB >>: ','s');
CIcsad = sscanf(s,'%f');
if CIcsad == 1
CIcsad = 32;
end

s = input(' Interferencia Portadora/Canal Adjacente no Uplink dB


>>: ','s');
CIcau = sscanf(s,'%f');
if CIcau == 1
CIcau = 29;
end

s = input(' Interferencia Portadora/Canal Adjacente no Downlink dB


>>: ','s');
CIcad = sscanf(s,'%f');
if CIcad == 1
CIcad = 29;
end

s = input(' Taxa de Erro de Bit (BER) >> :','s');


BER = sscanf(s,'%f');
if BER == 1
BER = (10^-7);
end

%--------------- CALCULO DA LIGAÇÃO -------------------------------------


%CALCULO da Distancia da Estação terrena 1 ao Satélite

distE1Sat = sqrt(((RaioT^2)+Rorbita^2)-
2*Rorbita*RaioT*cosd(LatitE1)*cosd(LongitE1-LongSat));
angElevE1 = 90- acosd((((Rorbita/RaioT)*cosd(LatitE1)*cosd(LongitE1-
LongSat))-1)/(sqrt((1+((Rorbita/RaioT)^2))-
(2*(Rorbita/RaioT)*cosd(LatitE1)*cosd(LongitE1-LongSat)))));

azimuteE1= 180 + acosd(-


tand(LatitE1)/tand(acosd(cosd(LatitE1)*cosd(LongitE1-LongSat))));

%CALCULO da Distancia da Estação terrena 2 ao Satelite

distE2Sat = sqrt(((RaioT^2)+Rorbita^2)-
2*Rorbita*RaioT*cosd(LatitE2)*cosd(LongitE2-LongSat));

angElevE2 = 90- acosd((((Rorbita/RaioT)*cosd(LatitE2)*cosd(LongitE2-


LongSat))-1)/(sqrt((1+((Rorbita/RaioT)^2))-
(2*(Rorbita/RaioT)*cosd(LatitE2)*cosd(LongitE2-LongSat)))));

azimuteE2 = 180 + acosd(-


tand(LatitE2)/tand(acosd(cosd(LatitE2)*cosd(LongitE2-LongSat))));

79
Implementação de Segurança na rede multicaixas (ATM)
%################## Atenuação no Percurso da Ligação
%#### Cálculo da Atenuação no percurso de Uplink sem Chuva #########

Lfs = ((4*pi*distE1Sat*1000)/(c/(FreqUplink*10^9)))^2; % Atenuação no


espaço livre
Lfs1 = 10*log10(Lfs); % Atenuação no espaço livre em db
Lu1 = Lfs1 + Paup;

%#### Cálculo da Atenuação no percurso de Downlink sem Chuva ########

Lfs2= ((4*pi*distE2Sat*1000)/(c/(FreqDonwlink*10^9)))^2; % Atenuação no


espaço livre
Lfs3 =10*log10(Lfs2); % Atenuação no espaço livre em db
Lu2 = Lfs3 + Padw;

%#### Cálculo da Atenuação no percurso de Uplink com Chuva na Estação 1

LS =((hr-hs)*1000)/sind(angElevE1); %Inclinação do percurso com chuva


LS1 = 10*log10(LS); %Inclinação do percurso com chuva em db
U = (-0.015*Roo1);
Lo = (35*exp(U));
roo1 = (1/(1+((LS/Lo)*cosd(angElevE1))));
LE = LS * roo1;
Arain = Aespu * LE; % Atenuação da chuva
Arain1 = 10*log10(Arain); % Atenuação da chuva em db
Lu = LS1 + Arain1 + Lu1; % Atenuação com chuva

%#### Cálculo da Atenuação no percurso de Downlink com Chuva na Estação 2


LS2 =((hr-hs)*1000)/sind(angElevE2);
LS3 = 10*log10(LS2);
Lo = (35*exp(U));
roo12 = (1/(1+((LS2/Lo)*cosd(angElevE2))));
LE1 = LS2 * roo12;
Arain2 = Aespd * LE1;
Arain3 = 10*log10(Arain2); %Atenuação da chuva em db
Ldc = LS3 + Arain3 + Lu2; %%Atenuação com chuva

%Temperatura do ruido da antena downlink sem chuva Estação 2


Ta = TG + Tsky1;
%Temperatura do ruido da antena downlink com chuva na Estação 2
Tarain = (Tsky/Arain2)+Tm*(1-1/Arain2)+TG ;
%Calculo da Temperatura de Ruído do Receptor
Gfrx = 1/Lfrx;
%Temperatura de Ruido do Receptor na saida da Antena sem chuva Estacao 2
T1 = Ta + (Lfrx-1)*Tf + Tr/Gfrx;
%Temperatura de Ruido do Receptor na saida da Antena com chuva Estação 2
T2 = Tarain + (Lfrx-1)*Tf + Tr/Gfrx;
%Temperatura de Ruído do receptor na entrada do Receptor com chuva Estação
2
T3 = (Tarain/Lfrx) + Tf*(1-(1/Lfrx)) + Tr;
%Cálculo da Taxa de TRansmissão
Taxa = (Serv*Nc);
%Cálculo do sinal/Ruido
%Cálculo de EIRP na Entidade Gestorasao Estação 1
EIRP_TE = DensFluxoSatSat + 10*log10(4*pi*(distE1Sat*1000)^2) + Latu +
backOffin;

%Cálculo de EIRP na Recepção Estação 2

80
Implementação de Segurança na rede multicaixas (ATM)
EIRP_TR = DensFluxoSatSat + 10*log10(4*pi*(distE2Sat*1000)^2) + Latd +
backOffout;
%##### Calculo da relação Portadora/Densidade Espectral de ruido(C/No)
UPLINK
Rbu =10*log10(Rb); %Taxa de Bit em db
%#### Calculo da relação Portadora/Densidade Espectral de ruido(C/No)
Estação 1 sem chuva uplink
CNoupE1 = abs(EIRP_TE - Lu1 + abs(figMerSatUplink) - 10*log10(k));
%#### Calculo da relação Portadora/Densidade Espectral de ruido(C/No)
Estação 1 com chuva uplink
CNoupE1c = abs(EIRP_TE - Lu + abs(figMerSatUplink) - 10*log10(k));
%######## Calculo da Relação Portadora/Ruido C/N uplink #######
%#### Calculo da relação Portadora/Ruido(C/N) Estação 1 sem chuva UPLINK
CNupE1 = abs(CNoupE1) - 10*log10(LarBanda*10^6);
%#### Calculo da relação Portadora/Ruido(C/N) Estação 1 com chuva UPLINK
CNupE1c = abs(CNoupE1c - 10*log10(LarBanda*10^6));
%Calculo da relação Energia de Bit/ruido(Eb/No) UPLINK
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 1 sem chuva UPLINK
EbNoupE1 = abs(CNoupE1- Rbu);
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 1 com chuva
UPLINK
EbNoupE1c = CNoupE1c- Rbu;
%Calculo da relação sinal/ruido(C/No) Downlink
Rbd = 10*log10(Rb1); %Taxa de Bit em db
%Calculo da relação sinal/ruido(C/No) Estação 2 sem chuva Downlink
CNodE2 = abs(EIRP_TR - Lu2 + abs(figMerSatUplink) - 10*log10(k));
%Calculo da relação sinal/ruido(C/No) Estação 2 com chuva Downlink
CNodE2c = abs(EIRP_TR - Ldc + abs(figMerSatUplink) - 10*log10(k));
%Calculo da relação Energia de Bit/ruido(Eb/No) Downlink
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 2 sem chuva
Downlink
EbNodE2 = abs(CNodE2- Rbd);
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 2 com chuva
Downlink
EbNodE2c = CNodE2c - Rbd;
%Calculo da relação sinal ruido global(C/Noglobal)
CNupg = (((CNoupE1c)^-1)+((CIcau)^-1))^-1;
CNdg = abs(1/(((CNodE2c)^-1)+((CIcad)^-1)));
CNgl = CNupg + CNdg;
%Figura de Merito (G/T)rec da Estação 2 Receptora
%GTrec = abs( CNgl - EIRPSatSat - 1/Ldc + 10*log10(k) - 1/Latd);
%GTrec = abs( CNodE2c - EIRPSatSat - Ldc - 10*log10(k) - Latd);
GTrec = abs( CNgl - EIRPSatSat + Ldc + 10*log10(k)+ Latd);
%######## Calculo da Relação Portadora/Ruido C/N Downlink #######
%#### Calculo da relação Portadora/Ruido(C/N) Estação 1 com chuva Downlink
CN_odE2c = abs(EIRPSatSat - Ldc + GTrec - 10*log10(k));
CN_odE2 = abs(EIRPSatSat - Lu2 + GTrec - 10*log10(k));
CNdwE2 = CN_odE2 - 10*log10(LarBanda*10^6);
CNdwE2c = abs(CN_odE2c - 10*log10(LarBanda*10^6));
Ts = Tarain/Lfrx + (Tf*(1-1/Lfrx)) + Tr;
%Ts = Tarain + T3;
%Ganho na Recepção
Gr = GTrec + 10*log10(Ts);
%Cálculo do Ganho na Transmissão
Ge = 20*log10(FreqUplink*10^9) - 20*log10(FreqDonwlink*10^9) + Gr;
%Cálculo do Diametro Entidade Gestorasão Estação 1
Dem = ((3*10^8)/(pi*FreqUplink*10^9))*sqrt(abs((10^(Ge/10))/0.65));
%Cálculo do Diametro na Recepção Estação 2
Drec = ((3*10^8)/(pi*FreqDonwlink*10^9))*sqrt(abs((10^(Gr/10))/0.65));
%Cálculo de Potencia de Entidade Gestorasão
Pem = EIRP_TE - Ge; %dBW

81
Implementação de Segurança na rede multicaixas (ATM)
Pemw = (10^(Pem/10)); %W
%Cálculo da disponiblidade da Ligação
% Disponibilidade Do Link
P = pu + pd;
PaL = 1 - (P/100);
% Sabe-se que a Disponibilidade do Satelite (Ps) é de:0.9999
Ps = 0.9999;
Pae = 0.99999; %onde Pr = Pae
Par = Pae;
% Disponibilidade do Sistema
DISP = Pae * Par * Ps * PaL;
% Indisponibilidade do Sistema (Hora)
INDISP = ((1 - DISP) * (365 * 24));
end

% APRESENTAÇÃO DOS RESULTADOS DO SISTEMA

s=input('Deseja Listar os Resultados dos Calculos (S/N)','s');


if s == 's'
fprintf ('\n #---- APRESENTAÇÃO DOS RESULTADOS ----#####\n\n');
fprintf ('\n #- Distancias das Estações Terrena ao Satelite -
#\n\n');
fprintf (' A distância entre a Estação 1 e o Satélite é: %.1fKm\n
',distE1Sat);
fprintf (' A distância entre a Estação 2 e o Satélite é:
%.1fKm\n',distE2Sat);
fprintf ('\n #- Angulo de Elevação das Estações Terrena -#\n\n');
fprintf ('O angulo de Elavação na Estação 1 é: %.1fº\n',
angElevE1);
fprintf ('O angulo de Elavação na Estação 2 é: %.1fº\n',
angElevE2);
fprintf ('\n #- Azimute das Estações Terrena -#\n\n');
fprintf ('O Azimute na Estação 1 e:%.1fº\n\n',azimuteE1);
fprintf ('O Azimute na Estação 2 é:%.1fº\n\n',azimuteE2);
fprintf ('#- Resultado das Perdas ou Atenuações no Percurso da
Ligação -#\n');
fprintf('Perda ou Atenuação no percurso de Uplink sem Chuva Estação
1 é:%.1f dB\n\n',Lu1);
fprintf('Perda ou Atenuação no percurso de Downlink sem Chuva
Estação 2 é:%.1f dB\n\n',Lu2);
fprintf('Perda ou Atenuação no percurso de Uplink com Chuva na
Estação 1 é:%.1f dB\n\n',Lu);
fprintf('Perda ou Atenuação no percurso de Downlink com Chuva na
Estação 2 é:%.1f dB\n\n',Ldc);
fprintf ('#- Resultado da Temperatura do ruido da antena downlink -
#\n');
fprintf('Temperatura do ruido da antena downlink sem chuva estação
2 é:%.1f (K)\n\n',Ta );
fprintf('Temperatura do ruido da antena downlink com chuva na
estação 2 é:%.1f (K)\n\n',Tarain );
fprintf ('#- Resultado da Temperatura de Ruido do Receptor -
#\n\n');
fprintf ('Temperatura de Ruido do Receptor na saida da Antena sem
chuva Estação 2 é:%.1f (K)\n\n',T1 );
fprintf ('Temperatura de Ruido do Receptor na saida da Antena com
chuva Estação 2 é:%.1f (K)\n\n',T2);
fprintf ('Temperatura de Ruído na entrada do Receptor com chuva
Estação 2 é:%.1f (K)\n\n',T3);
fprintf ('Cálculo da Taxa de TRansmissão é:%.1f bps\n\n',Taxa);
fprintf ('EIRP na Estação Entidade Gestorasora 1 é:%.1f
dBW\n\n',EIRP_TE);

82
Implementação de Segurança na rede multicaixas (ATM)
fprintf ('EIRP na Estação Receptora 2 é:%.1f dBW\n\n',EIRP_TR);
fprintf('----- Resultado da relação Portadora/Densidade Espectral
de Ruido(C/No) Uplink ------ \n\n');
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) sem
chuva Uplink é:%.1f dBHZ\n\n',CNoupE1);
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) com
chuva Uplink é:%.1f dBHZ\n\n',CNoupE1c);
fprintf('---Resultado da Relação Portadora/Densidade Espectral de
ruido(C/No) Downlink--------\n\n');
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) sem
chuva Downlink é:%.1f dBHZ\n\n',CNodE2);
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) com
chuva Downlink :%.1f dBHZ\n\n',CNodE2c);
fprintf ('------------ Resultado da Relação Energia de
Bit/ruido(Eb/No) Uplink -------------\n\n');
fprintf ('Relação Energia de Bit/ruido(Eb/No) sem chuva Uplink
é:%.1f HZ\n\n',EbNoupE1);
fprintf ('Relação Energia de Bit/ruido(Eb/No) com chuva Uplink é:
%.1f HZ\n\n',EbNoupE1c);
fprintf ('----------- Resultado da Relação Energia de
Bit/ruido(Eb/No) Downlink -------------\n\n');
fprintf ('Relação Energia de Bit/ruido(Eb/No) sem chuva Downlink
é: %.1f HZ\n\n',EbNodE2);
fprintf ('Relação Energia de Bit/ruido(Eb/No) com chuva Downlink
é: %.1f HZ\n\n',EbNodE2c);
fprintf ('Figura de Merito da Antena Recetora G/T é:%.1f
db/k\n\n',GTrec);
fprintf('-Resultado da Relação Portadora/Ruido(C/N) Uplink -\n\n');
fprintf ('Relação Portadora/Ruido (C/N) sem chuva Uplink é: %.1f
dB\n\n',CNupE1);
fprintf ('Relação Portadora/Ruido (C/N) com chuva Uplink é: %.1f
dB\n\n',CNupE1c);
fprintf('-Resultado da Relação Portadora/Ruido(C/N) Downlink n\n');
fprintf ('Relação Portadora/Ruido (C/N) sem chuva Downlink : %.1f
dB\n\n',CNdwE2);
fprintf ('Relação Portadora/Ruido (C/N) com chuva Downlink : %.1f
dB\n\n',CNdwE2c);
fprintf('--- Resultado dos Parametros das Antenas ----------\n\n');
fprintf ('Ganho da antena Entidade Gestorasora é:%.1f
dBi\n\n',Ge);
fprintf ('Ganho da antena Recetora é:%.1f dBi\n\n',Gr);
fprintf ('Diametro da antena Entidade Gestorasora é:%.1f
m\n\n',Dem);
fprintf ('Diametro da antena Receptora é:%.1f m\n\n',Drec);
fprintf('-# Resultado de Potencia de Entidade Gestorasão -#\n\n');
fprintf('Potencia de Entidade Gestorasão em dBW é:%.1f
dBW\n\n',Pem);
fprintf('Potencia de Entidade Gestorasão em W é:%.1f W\n\n',Pemw);
fprintf('A Indisponibilidade do Sistema é de:%.1f (horas) por ano
\n\n',INDISP);
end
s = input('Deseja Guardar os Resultados no Disco(s/n)','s');
if s == 's'
fileSatelite = fopen ('FileSatelite.m','w');

fprintf(fileSatelite,'%7.0f%7.0f%7.0f%7.0f',LatitE1,LongitE1,LatitE2,Longit
E2);
fprintf(fileSatelite,'%7.0f%7.0f%7.0f%7.0f%7.1f%7.1f',LongSat,DensFluxoSatS
at,EIRPSatSat,figMerSatUplink,backOffin,backOffout);
fprintf(fileSatelite,'%7.0f%7.0f%7.0f%7.0f%7.1f%7.1f',LarBanda,CIcsau,CIcsa
d,CIcau,CIcad,BER);

83
Implementação de Segurança na rede multicaixas (ATM)
fprintf(fileSatelite,'%7.0f%7.0f%7.1f%7.1f%7.1f%7.1f',distE1Sat,distE2Sat,a
ngElevE1,angElevE2,azimuteE1,azimuteE2);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f',Lu1,Lu2,Lu,Ldc);

fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',Ta,Tarain,T1,T2,T3,Ta
xa);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',EIRP_TE,EIRP_TR,CNoup
E1,CNoupE1c,CNodE2,CNodE2c);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',EbNoupE1,EbNoupE1c,Eb
NodE2,EbNodE2c,GTrec,CNupE1);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',CNupE1c,CNdwE2,CNdwE2
c,Ge,Gr,Dem);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',Drec,Pem,Pemw,INDISP)
;
status = fclose(fileSatelite);
fprintf('******* Dados Guardados com Sucesso ******');
end

diary off;
diary 'FileSatelite.m';

fprintf ('\n\n ############### Fim do Programa ######');


pause;
############---- APRESENTAÇÃO DOS RESULTADOS -----###########
#########---- Distancias das Estações Terrena ao Satélite ----########
A distância entre a Estação 1 e o Satélite é: 38697.3Km
A distância entre a Estação 2 e o Satélite é: 38697.3Km
#########------ Angulo de Elevação das Estações Terrena ------########
O angulo de Elevação na Estação 1 é: 29.0º
O angulo de Elevação na Estação 2 é: 29.0º
#########------- Azimute das Estações Terrena --------########
O Azimute na Estação 1 e:264.0º
O Azimute na Estação 2 é:264.0º
#######--- Resultado das Perdas ou Atenuações no Percurso da Ligação -----#######
Perda ou Atenuação no percurso de Uplink sem Chuva Estação 1 é:207.2 dB
Perda ou Atenuação no percurso de Downlink sem Chuva Estação 2 é:205.8 dB
Perda ou Atenuação no percurso de Uplink com Chuva na Estação 1 é:263.0 dB
Perda ou Atenuação no percurso de Downlink com Chuva na Estação 2 é:260.4 dB
########---- Resultado da Temperatura do ruido da antena downlink ---###########
Temperatura do ruido da antena downlink sem chuva estação 2 é:23.0 (K)
Temperatura do ruido da antena downlink com chuva na estação 2 é:277.9 (K)
############---- Resultado da Temperatura de Ruido do Receptor ---##############

84
Implementação de Segurança na rede multicaixas (ATM)
Temperatura de Ruido do Receptor na saída da Antena sem chuva Estação 2 é:173.0 (K) Temperatura
de Ruido do Receptor na saída da Antena com chuva Estação 2 é:427.9 (K) Temperatura de Ruído na
entrada do Receptor com chuva Estação 2 é:427.9 (K)
Cálculo da Taxa de TRansmissão é:2048.0 bps
EIRP na Estação Entidade Gestorasora 1 é:76.2 dBW
EIRP na Estação Receptora 2 é:73.9 dBW
----- Resultado da relação Portadora/Densidade Espectral de Ruido(C/No) Uplink ------
Relação Portadora/Densidade Espectral de Ruido(C/No) sem chuva Uplink é:100.7 dBHZ
Relação Portadora/Densidade Espectral de Ruido(C/No) com chuva Uplink é:44.9 dBHZ
---Resultado da Relação Portadora/Densidade Espectral de ruido(C/No) Downlink--------
Relação Portadora/Densidade Espectral de Ruido(C/No) sem chuva Downlink é:99.7 dBHZ
Relação Portadora/Densidade Espectral de Ruido(C/No) com chuva Downlink :45.1 dBHZ
------------ Resultado da Relação Energia de Bit/ruido(Eb/No) Uplink -------------
Relação Energia de Bit/ruido(Eb/No) sem chuva Uplink é:82.9 HZ
Relação Energia de Bit/ruido(Eb/No) com chuva Uplink é: 27.1 HZ
----------- Resultado da Relação Energia de Bit/ruido(Eb/No) Downlink -------------
Relação Energia de Bit/ruido(Eb/No) sem chuva Downlink é: 84.2 HZ
Relação Energia de Bit/ruido(Eb/No) com chuva Downlink é: 29.6 HZ
Figura de Merito da Antena Recetora G/T é:19.0 db/k
----------------- Resultado da Relação Portadora/Ruido(C/N) Uplink ------------------
Relação Portadora/Ruido (C/N) sem chuva Uplink é: 25.1 dB
Relação Portadora/Ruido (C/N) com chuva Uplink é: 30.7 dB
--------------- Resultado da Relação Portadora/Ruido(C/N) Downlink ------------------
Relação Portadora/Ruido (C/N) sem chuva Downlink : 15.5 dB
Relação Portadora/Ruido (C/N) com chuva Downlink : 39.1 dB
--------------- Resultado dos Parametros das Antenas ----------------------------------
Ganho da antena Entidade Gestorasora é:46.6 dBi
Ganho da antena Recetora é:45.3 dBi
Diametro da antena Entidade Gestorasora é:1.8 m
Diametro da antena Receptora é:1.8 m
----------### Resultado de Potencia de Entidade Gestorasão ------------------------------------#####
Potencia de Entidade Gestorasão em dBW é:29.6 dBW
Potencia de Entidade Gestorasão em W é:914.4 W

85
Implementação de Segurança na rede multicaixas (ATM)
A Indisponibilidade do Sistema é de:2.8 (horas) por ano

86
Implementação de Segurança na rede multicaixas (ATM)