Aula 01
Para estudarmos as redes privadas virtuais o primeiro passo é
compreender o que elas significam ou como são formadas. Para
que você tenha uma rede privada é necessário que você tenha
dois ou mais computadores interligados, formando assim uma rede
(network). Ao instalar uma rede local, provavelmente dados serão
trocados ou compartilhados entre as partes, assim sendo você
passa a ter uma rede privada, pois apenas os micros que compõe
esta rede é que passam a ter acesso aos dados compartilhados.
Esta ligação entre os computadores que compõe a rede pode ser feita através de uma conexão
ponto a ponto, Hubs ou Switches (mais detalhes neste sentido no curso gratuito de redes e
Windows 2000 Server).
Assim sendo, ao utilizar uma rede pública como a Internet ao invés de linhas privativas para
implementar redes corporativas é denominada de Virtual Private Network (VPN) ou Rede
Privada Virtual.
Uma VPN é uma reunião te tecnologias que formam canais de criptografia através de pontos
autorizados, criados através da Internet ou outras redes públicas e/ou privadas para
transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos.
Assim sendo, este modelo de redes prima pela segurança pois os dados privados serão
transmitidos pela Internet, que por sua vez é um meio de comunicação onde não é um fato
isolado a invasão de privacidade, desta forma os dados por ela transmitidos devem ser
protegidos de forma a não permitir que sejam modificados ou interceptados.
Este serviço foi criado visando atender a necessidade de conexão entre corporações (Extranets)
através da Internet, além de possibilitar conexões dial-up criptografadas que podem ser muito
úteis para usuários móveis ou remotos, bem como filiais distantes de uma empresa. Este tipo
de conexão antes do surgimento das VPNs tinha um custo altíssimo, ao contrário do que ocorre
com as VPNs. Esta redução de custos ocorre devido a eliminação de links dedicados de longa
distância e performance, passando estes a serem substituidos pela conexão Internet, comum e
muito acessível nos tempos atuais. Outro ponto interessante e que diminui os custos para este
tipo de serviço está no fato de que a operação da WAN é que a conexão LAN-Internet-LAN fica
parcialmente a cargo dos provedores de acesso.
Diversas são as aplicações visadas pelas empresas que optam pelas VPNs, dentre as quais
destacamos:
• Acesso remoto via Internet;
• Conexão de LANs via Internet;
• Conexão de computadores através ed uma Intranet;
   
1  2
Aula 02
Vamos neste módulo de aula estudar sobre os riscos que não
corremos ao trabalhar com VPNs. Quanto vale um e-mail comercial de
sua empresa, enviado do diretor para o gerente de um departamento,
falando sobre o lançamento de um novo produto/serviço? E se este e-
mail "sem querer" cair nas mãos de um concorrente? E os dados de
sua conta bancária (senhas de acesso, etc...) se caem nas mãos de
um Hacker? É necessário dar a devida proteção aos dados que são importantes e confidências
e que em determinadas situações representam milhões. Para que qualquer procimento de
segurança que envolva a troca de informações importantes, são necessários alguns cuidados e
regras a serem adotadas, dentre as quais destacamos:
1. A sua empresa é um conjunto de setores e departamentos, envolvendo profissionais e
interessados/responsáveis no cumprimento e adotação de metas;
2. Assim sendo, podemos separar este conjunto em subconjuntos;
3. Cada Subconjunto será formado por um grupo de profissionais que tem interesse em
um determinado tiop de informação;
4. Agora que temos definidos os subconjuntos citados no item três, deveremos criar um
esquema de suporte, para que cada setor tenha acesso aquilo que realmente lhe
interessa e nenhuma outra informação desnecessária que gere fluxo de informações
sem objetivo e que possam ser interpretados de forma errada;
Imagine os casos em que várias empresas de venda de venda de equipamentos de informática
tenham em comum apenas o fornecedor. Cada uma dessas empresas irão ter os vendedores
que tem como campo de trabalho a rua, ou seja, a visita dos representantes diretamente em
seus clientes (pessoas físicas e jurídicas). O fornecedor central precisa saber o que está sendo
vendido para que possa montar as máquinas, manter o estoque e realizar a entrega em tempo
hábil e prometido ao cliente final. Esses dados devem ser tratados de forma segura, para que
uma empresa representante "A" não tenha acesso aos dados de venda de uma empresa
representante "B", já que possuem administrações e propriedades diferenciadas e
independentes.
Imagine que de forma criminosa, um dos representantes (representante A), faça o logon como
representante B e realize um pedido de 500 máquinas, sem que o mesmo tivesse realmente
realizado esta venda, como este prejuizo seria tradado e quem seria responsabilizado?
Toda esta comunicação será realizada pela Internet, para que o fornecedor tenha um
substâncial ganho de tempo, assim sendo esta troca de informações de compra e venda deverá
ser segura e ao mesmo tempo privativa, ou seja, dados da empresa representante "A" não
poderão ser visualizados pelo representante "B" e assim sucessivamente. Com esta nova
afirmação, aplicamos o conceito de privacidade.
Esta troca de informações entre fornecedor e representantes deverá ser exata e precisa, ou
seja, não poderão ocorrer problemas de comunicação entre as partes, para que uma venda de
100 unidades não seja tratada na outra ponta como 10 unidades ou 1000 unidades, ou seja,
deveremos aplicar um procedimento de integridade da informação. A integridade implica na
não alteração do conteúdo enviado de uma parte a outra, sem o seu
conhecimento/consentimento. A integridade dos dados em uma troca de informações é
realizada através de funções de Hash.
 
    Aula 03

Vamos neste módulo de aula falar sobre autenticidade. Conforme

citamos no módulo de aula anterior, o fornecedor deverá ter certeza
absoluta de que as mensagens de um representante "A" foram
enviadas por ele mesmo, sem a possibilidade de fraudes para evitar
grandes transtornos e/ou prejuizos. Para que esta certeza se torne
possível e a comunicação eletrônica confiável se torna necessário o
uso de assinaturas digitais, baseadas no processo de hash, citado no módulo de aula anterior.
Mas como isso ocorre?

1. O sistema efetua um cálculo que tem como base o hash da mensagem que origina o
processo e a chave de acesso do autor da mensagem;

2. O cálculo acima tem como resultado a assinatura digital;

3. A mensagem original tem a assinatura digital adicionada ao final da mensagem, fechando a

mesma;

4. O destinatário ao receber a mensagem irá empregar a chave de acesso do remetente para

verificar se a assinatura digital é verdadeira, em um processo inverso de cálculo, obtendo desta
forma o hash original;

5. Neste ponto o destinatário sabe se a mensagem foi originada pelo verdadeiro remetente ou
não.

Com este processo, o destinatário tem certeza de que a mensagem foi efetivamente enviada
por quem assina a mesma e, quem enviou não tem como negar a autoria, gerando assim um
processo seguro e confiável.

   

3  4 
   
 Aula 04
Quando geramos uma VPN, nenhum dos usuários da mesma, ou até
mesmo seus equipamentos, podem ter acesso à Internet, sem que o
administrador do sistema saiba e conceda este acesso, neste ponto
estaremos atingindo a meta da privacidade. Para que esta meta possa
ser alcançada, deveremos seguir um dos caminhos abaixo:
• Contratar uma empresa que preste serviços e desenvolva sistemas seguros quanto a
privacidade do sistema;
• Solicitar a equipe de profissionais um sistema próprio de criptografia, impedindo
assim que terceiros possam ter acesso as informações da VPN.
Quando você contrata o serviço de um provedor de acesso à Web ou ainda empresas que
ofereçam o serviço de Backbone, possuem tecnologia e pessoal competente para oferecer a
sua empresa os serviços de VPN, garantindo o isolamento total do tráfego entre as partes
interessadas/autorizadas, com o emprego da tecnologia de criação de tabelas de rótulos,
empregadas no roteamento de cada uma das VPNs. Neste sentido, temos três tecnologias
distintas, oferecidas por estas empresas:
• Frame Relay;
• IPSec;
• MPLS.
Dependendo dos recursos pretendidos, deverá ser adotada uma ou outra tecnologia, como por
exemplo: a criptografia de dados, é possível apenas com o emprego da tecnologia IPSec, já a
conexão internacional não é possível através da tecnologia MPLs. Em breve iremos estudar
mais sobre estas tecnologias.
Em esquemas mais complexos, é possível o uso de mais de uma tecnologia, aumentando assim
a flexibilidade do sistema.
5  6
Aula 05
As técnicas de criptografia a serem empregadas em uma VPN são
fundamentais para que a troca de informações seja realizada de forma
segura, oferecendo assim a privacidade necessária aos seus
usuários/participantes. A palavra criptografia tem como origem a
lingua grega, sendo formada pela união de duas palavras neste
sentido:
• Kryptos - o mesmo que oculto;
• graphen - o mesmo que escrever.
Ou seja, é a técnica utilizada para escrever um conteúdo de forma oculta, onde caracteres
serão substituídos por códigos. Neste procedimento é empregada a técnica de sistemas
numéricos. Um dos primeiros povos a empregar técnicas de criptografia foram os Romanos,
através de seu imperador Júlio Cezar, sendo que na época, uma letra era trocada por outra, ou
seja, se fossem utilizar a letra "G", na verdade teríamos no documento "J" e assim
sucessivamente e, com o passar dos anos as técnicas de criptografia foram evoluindo,
tentando-se evitar que alguém não desejado, conseguisse ter acesso a uma mensagem e
compreender o seu objetivo/conteúdo.
O principal ponto de um sistema de criptografia é chamado de "chave de criptografia" e, estas
estão divididas em dois grandes grupos:
• Chaves de criptografia simétricas;
• Chaves de criptografia secretas;
As chaves simétricas operam com a lógica de compartilhamento de informações, ou seja, o
destinatário da mensagem tem total conhecimento da chave de criptografia, para poder
"traduzir" os códigos empregados e responder a mensagem com a mesma chave. Desta forma,
neste processo é necessário que apenas o remetente e o destinatário da mensagem conheçam
a chave secreta e nenhum outro. Este tipo de criptografia surgiu no ano de 1972 e foi sendo
aprimorada e publicada oficialmente através do sistema ANSI X9 e, atualmente recebe o nome
de Data Encryption Standard. Estas chaves tem comprimento de 64 bits divididos em dois
grupos:
• Grupo de 56 Bits - utiilzado como chave do esquema;
• Grupo de 8 Bits - empregado para o sistema de paridade.
Existem ainda outras técnicas e algoritmos para serem empregados em chaves simétricas,
dentre os quais destacamos:
• BlowFish;
• CAST-64;
• CAST-128, entre outros.
 
    Aula 06

A criptografia vem sendo desenvolvida dia a dia e, no ano de 1997 o

NIST (National Institute of Standard and Technology), promoveu um
programa e, no mesmo convocou os principais especialistas no
assunto. Este programa recebeu o nome de AES (Advanced Encryption
Standard). Neste programa, os profissionais envolvidos iriam enviar
os seus projetos de novos algoritmos de criptografia e, o algoritmo vencedor iria substituir o
"bom e velho" DES. A primeira fase desta "competição" durou em média 4 anos e, os
participantes foram submetidos a três estágios de análise de seu projeto:

• A primeira etapa selecionou os quinze melhores projetos na visão dos organizadores;

• A segunda etapa selecionou os cinco melhores dentre os quinze que já haviam
passado da primeira etapa;
• Na terceira etapa foi anunaciado o algoritmo vencedor, apelidado de Rijndael.

O algoritmo em questão foi elaborado pelos belgas Joan Daemen e Vicente Rijmen. Este novo
sistema de criptografia reuniu os seguintes beneficios:

1. Combinação de segurança;
2. Desempenho;
3. Facilidade de implementação;
4. Flexibilidade quanto as diversas plataformas de software;
5. Flexibilidade quanto as diversas plataformas de hardware.

   

7  8 
   
 Aula 07
As chaves assimétricas também são conhecidas como chaves públicas.
Este tiop de chave, possui a sua estrutura fundamental dividida em
dois grupos:uma parte privada e outra pública. Vamos explicar
melhor: a primeira parte (privada) é única para o usuário e não
poderá ser compartilhada, garantindo assim a sua segurança e, a
outra parte desta estrutra é pública, desta forma outros usuários
poderão enviar dados criptografados a este usuário.
Desta forma, quando você desejar enviar um conteúdo criptografado a um usuário qualquer
que utilize desta tecnologia, a parte pública da chave do destinatário será utilizada por você,
desta forma será possível criptografar as informações e enviá-las de forma segura. Por outro
lado, o destinatário do pacote irá utiilzar dos recursos do ambiente seguro e privado, para
descriptografar o conteúdo e transformá-lo em texto comum ou qualquer outra forma de
informação (números, etc).
Dois algorítmos são aplicados para este processo, a saber:
• Diffie-Hellman;
• RSA.
9  10
Aula 08
Apesar de um nome não muito comum, o algoritmo Diffie-Hellman é
na verdade uma referência aos profissionais que criaram o mesmo. O
fundamento deste algoritmo se dá na troca de dados entre as partes
que se comunicam no processo, ou seja, as chaves públicas e privadas
de ambos os lados. Um usuário para completar um processo de
comunicação poderá necessitar do emprego das chaves públicas e
privadas de sua propriedade e, estas informações deverão ser trocadas com o usuário que está
se comunicando. Através de um cálculo específico, um usuário da rede ao gerar sua chave para
o processo de comunicação, irá gerar a forma para criptografar os dados a serem enviados e
com o mesmo processo, o usuário que recebeu o pacote irá interpretar de forma correta os
dados enviados e vice e versa. O ponto vulnerável deste processo é que, o usuário "Paulo" gera
uma chave comopsta de sua própria chave privada e da chave pública do usuário "João", com o
qual quer se comunicar que por sua fez, gera outra chave composta da sua chave primária com
a chave pública do usuário "Paulo" se encontra no momento em que o usuário "Paulo" recebe
informações da chave pública do usuário "João", pois o processo não é realizado sobre um
ambiente seguro, desta forma um usuário "Manoel" poderá se fazer passar pelo usuário "João",
e receber os dados que não são de seu interesse. Desta forma podemos concluir que alguns
algoritmos de criptografia tem sua essência pura e simplesmente na criptografia dos dados e
não na autenticação do usuário que estará se comunicando. No próximo módulo de aula iremos
estudar sobre o algoritmo RSA de chaves assimétricas.
 
 Aula 09
O algoritmo RSA de chaves assimétricas é bastante empregado em
diversos aplicativos, entre eles em determinadas versões do Internet
Explorer. Este mecanismo tem como principal caracteristica o fato de
não gerar chaves criptografadas, apenas de utilizar chaves já criadas
através de tecnologia de chaves públicas. Vamos imaginar a situação
na qual dois usuários trocam informações pela Internet (usuário 1 e
2). O aplicativo do usuário 1 tem por objetivo enviar uma informação ao usuário 2, desta forma
este aplicativo solicita ao usuário 2 a sua chave pública, realiza o processo de criptografia dos
dados e faz o envio dos mesmos. Ao receber a informação, o aplicativo do usuário 2 irá utilizar
a sua chave privada, descriptografar e ler a informação. A administração das chaves públicas
na grande rede são de responsabilidade de dois grandes grupos:
• Orgãos certificadores;
• Servidores LDAP.
11  12
Aula 09
O algoritmo RSA de chaves assimétricas é bastante empregado em
diversos aplicativos, entre eles em determinadas versões do Internet
Explorer. Este mecanismo tem como principal caracteristica o fato de
não gerar chaves criptografadas, apenas de utilizar chaves já criadas
através de tecnologia de chaves públicas. Vamos imaginar a situação
na qual dois usuários trocam informações pela Internet (usuário 1 e
2). O aplicativo do usuário 1 tem por objetivo enviar uma informação ao usuário 2, desta forma
este aplicativo solicita ao usuário 2 a sua chave pública, realiza o processo de criptografia dos
dados e faz o envio dos mesmos. Ao receber a informação, o aplicativo do usuário 2 irá utilizar
a sua chave privada, descriptografar e ler a informação. A administração das chaves públicas
na grande rede são de responsabilidade de dois grandes grupos:
• Orgãos certificadores;
• Servidores LDAP.
 
 Aula 10

Quando tratamos de uma grande rede (a Internet por exemplo),

temos conectados a esta diversos grupos, cada grupo com seus
interesses e formas de trabalho, com suas necessidades e aplicações,
ou seja, temos uma grande gama de objetivos, procedimentos e
necessidades. Para que possamos ter uma comunicação confiável,
mesmo nas condições citadas acima, se torna necessário definir um
conjunto mínimo e essencial de regras e sintaxes para a programação dos aplicativos que
serão empregados nesta rede. Vamos a um exemplo muito simples: cada pessoa tem as suas
características e maneiras de viver, porém todas são identificadas pela receita federal da
mesma forma, ou seja através de seu CPF. Vamos a outro exemplo para que fique claro a
necessidade de regras de padronização: ao comprar um sapato em uma loja na cidade de São
Paulo, você irá citar como referência o número do seu pé correto? Em outra loja, de outro
proprietário e que vende calçados de outra marca, estabelecida na cidade de Barra do Garças
em MT, a medida de referência, apesar de todas as diferenças citadas será a mesma, o número
do pé. Imagine se uma loja vende-se o calçado pelo número, outra pelo tamanho do pé em
centimetros e outra pelo tamanho do pé em polegadas!

Assim sendo, apesar de que as diversas redes existentes no mundo terem objetivos diferentes,
programas diferentes e finalidades totalmente diferentes, existem alguns padrões para que, se
necessário for, estas resdes possam se comunicar pela Internet por exemplo. Desta forma foi
criado um protocolo de comunicação padrão para todas as redes VPN, conhecido por TCP/IP. O
TCP/IP será empregado mesmo que a rede interna não trabalhe com o mesmo, porém para se
comunicar com uma rede externa, este protocolo será necessário.

Você saberia definir o que é um protocolo? Segundo o dicionário da lingua Portuguesa,

protocolo é o mesmo que "convenção entre duas nações". Ou seja, uma forma padrão de
comunicação. O protocolo especifica as regras que devem ser seguidas para a construção de
um sistema de comunicação em rede. O uso de outros protocolos para uma VPN implicará no
futuro na não possibilidade de comunicação com redes externas, ou seja, ele impõe a
padronização do sistema de comunicação e troca de dados.

Para controlar este mundo de informações e regras, com o rápido crescimento da Internet e
das VPNs, diversas organizações foram criadas, tendo as mesmas objetivos definidos para
traçar os planos de trabalho sobre as diversas áreas que formam uma grande rede, entre os
quais destacamos:

=> Word Wide Web Consortium - tem a responsabilidade de definir os padrões adotados na
Web, como por exemplo as definições sobre o HTML, XML, etc.

=> Internet Engineering Task Force - tem a responsabilidade de definir os padrões da Internet
quando as conexões, sistemas de criptografia, autenticação de usuários, etc.

=> Internet Computer Security Association (ICSA) - avalia e fornece o selo de

interoperabilidade entre as empresas que oferecem soluções VPN, ou seja, é um orgão
fiscalizador das empresas que oferecem produtos e serviços para VPNs.

=> American National Standards Institute - responsável por estabelecer os requerimentos

minímos para as linguagens de programação.

13  14 
   
 Aula 11
Você saberia definir o que é um Firewall? O firewall é um programa
que tem a função de barrar tráfego não autorizado de entrada e saída
de rede. Ele ajuda a manter seus dados seguros de acessos de rede
externos não autorizados. Para que este procedimento seja possível,
estes aplicativos são associados a um conjunto de regras e cada regra
é associada a uma determinada ação. As ações mais comuns a serem
executadas são de bloqueio e permissão de conteúdo. Todos os procedimentos adotados pelo
Firewall são registrados em um banco de dados do próprio aplicativo, possibilitando assim que
o administrador da rede possa analisar o tráfego que está "correndo" por sua rede.
Os Firewalls podem ser baseados no software da rede ou ainda no hardware na mesma. É claro
que o Firewaal não é a solução definitiva de segurança da sua VPN, porém é uma peça
importante para que se consiga um bom nível de garantia.
Os Firewalls mais modernos trabalham com um processo conhecido por áreadesmilitarizada, ou
seja, uma área que é utilizada para a configuração de servidores de dominio público (como um
servidor Web), sem que isso signifique a perda de segurança ao mesmo, pois o Firewall irá
operar com tráfego de um determinado protocolo e nenhum outro. No caso do servidor Web
teríamos o protocolo de comunicação HTTP.
15  16
Aula 12
Citamos no módulo de aula anterior sobre os Packet Filters, tipo de
Firewall que trabalha como filtro de pacotes, desta forma os pacotes
que trafegam pela rede só terão permissão de tráfego caso tenham
como endereço de destino um servidor da rede interna e, o endereço
de origem é validado através de um banco de dados de validação,
onde estes endereços são previamente cadastrados. Os Packets Filters
tem como característica principal a performance no que diz respeito a velocidade de
transmissão dos dados, pois o sistema se preocupa apenas na validação de endereços de
origem e destino porém, por não analisarem o conteúdo do pacote, podem representar um
grande risco. Observe no gráfico abaixo um exemplo gráfico de como este tipo de firewall
opera:
conforme podemos observar no gráfico acima, neste tipo de firewall os pacotes serão
analisados na cama de rede, desta forma podemos concluir que este tipo de aplicativo não atua
no alto nível de aplicação, não compreendendo assim nada sobre os protocolos de aplicação.
 
 Aula 13 Aula 14

O Firewall do tipo Application Gateways opera analisando o conteúdo e O Firewall do tipo Stateful Inspection tem como característica o fato
o tipo do serviço do pacote que irá trafegar pela rede e distribuindo de controlar a sessão por completo entre as partes que realizam a
este para o respectivo servidor de acordo com o resultado desta comunicação, através de um mecanismo que promove o controle do
análise. Esta análise é realizada na camada de aplicação e tem como status das conexões que estão abertas entre pontos da rede, fazendo
principal virtude o fato de oferecer um nível considerado alto de com que o controle sobre o tráfego seja maior e mais seguro. Este
segurança, porém diminui a performance do sistema como um todo. fato se deve principalmente pelo fato deste tipo de firewall analisaros
pacotes nas camadas acima da de rede, incluindo o método de analise da informação de
estado. A tomada de decisões por este realizadas levam em conta a análise de três pontos:
Este tipo de Firewall opera como uma ponte, pois o cliente deverá se comunicar com o Firewall
que após a análise, irá se comunicar com o servidor capaz de atender ao pedido e vice e versa,
fator este que também contribuir para a queda de performance do sistema, pois a comunicação • Tentativa de comunicação;
é realiza por etapas entre as partes e o aplicativo de Firewall.
• Estado da comunicação;
• Estado da aplicação.
Outro fator que é determinante para o não emprego com frequência deste tipo de Firewall se
dá pelo fato do mesmo não possuir sistemas de análises compatíveis com todos os serviços
disponíveis para uma Internet ou VPN.

17  18 
   
 Aula 15
O ideal quando se tem o projeto de VPN é encontrar uma solução
robusta no que diz respeito a segurança e que preferêncialmente se
resuma em uma tecnologia única. Com base neste conceito surgiram
os "Appliance" que é um casamento de hardware e software e que se
resumem em um roteador com filtro de pacotes, somado a um
poderoso firewall com um ótimo antívirus, entre outros componentes.
Muitas destas funções são apresentadas sobre a forma de chips dedicados, configuráveis e de
fácil administração. Outro fator neste conceito é que, por estar diretamente ligado a questão
"segurança", este equipamento não poderá compartilhar serviços para os quais o "appliance"
não foi desenvolvido.
19  20
Aula 15
Não podemos pensar que exista um sistema 100% seguro e, assim
sendo as VPNs possuem pontos vulneráveis e, estes estarão
diretamente ligados ao orçamento disponível para que se monte a
VPN, pois quanto maior o nível de segurança maiores serão os gastos.
Infelizmente o fator segurança está diretamente ligado ao fator custo.
Muitas empresas por exemplo, para reduzir custos implementam um
servidor de e-mails em uma VPN e, desta forma estão abrindo uma porta para invasões com
códigos maliciosos enviados por e-mail. Esta empresa pensando em economizar na verdade
está criando um ponto de vulnerabilidade.
Implementar uma politica rigorosa de segurança quanto a liberdade dos funcionários de utilizar
o equipamento para fins pessoais é fundamental. Imagine um funcionário trazendo em um
disquete um executável qualquer, que a principio pode ser engraçado, porém possui outro
objetivo fora "divertir" aqueles que o executam.
A Internet também é uma porta aberta para a invasão, através de e-mails, aplicativos de
mensagens instantâneas, etc. É fundamental conhecer os programas e a sua relação com o
risco de invasão que os mesmos carregam. Existe um grupo conhecido por CERT Coordination
Center que tem como uma das suas principais funções a publicação periódica sobre a questão
vulnerabilidade. São milhares de falhas publicadas anualmente e, você deverá estar atento as
mesmas.
Além dos fatos citados acima, você irá enfrentar problemas relacionados ao que chamamos de
ataques de infra-estrutura e, estes afetam diretamente os componentes da Internet. Estes
serão objetos de estudo do próximo módulo de aula.
 
 Aula 17
Ataques de infra-estrutura são aqueles que de forma direta ou indireta
comprometem os componentes da Internet e, os principais neste
sentido podem ser observados na listagem abaixo:
• DOS (Denial Of Service) - também conhecido como negação
de serviço. O atacante tem por principal objetivo deixar o servidor do
sistema inativo e, isto é conseguido aumentando significativamente o volume de
requisições na rede, quando este dispara um número considerável (milhares) de
pedidos de forma simultânea para um mesmo servidor (que pode ser um site da
Web), pedidos estes sem nenhum objetivo concreto. Neste momento o servidor irá se
sobrecarregar, tentando atender a todos os pedidos e, com certeza pelo número
enviado não obterá êxito, até chegar ao ponto de ficar inoperante para aqueles que
buscam o acesso de forma correta, pois o servidor estará "ocupado" tentando
responder as falsas solicitações do ataque.
• DDOS (Distributed Denial Of Service) - também conhecido como negação de serviço
distribuido. Aqui temos o mesmo principio aplicado no ataque do tipo DOS, porém as
falsas requisições partem de diversos pontos e não de um único, como ocorre com o
mesmo.
• Ataques a roteadoers - Ocorre quando são endereçados milhares de pacotes a um
mesmo roteador e diretamente a ele (sem o redirecionamento para outros
servidores) e, certamente ocorrerá uma sobrecarga ao sistema, deixando inoperante
para novas consultas (muitas delas corretas).
Listamos acima os mais conhecidos ataques de infra-estrutura (existem outros diversos, porém
com menor poder de ação).
21  22
Aula 18
Para identificar uma pessoa dentro de uma sociedade, esta passa a ter
um número de documentação, facilitando assim o acesso aos dados
gerais da mesma. Em uma cidade cada cidadão possui as suas
características, funções, etc. O mesmo ocorre na Internet, cada
computador ligado a rede possui uma determinada característica e
função e, assim como os moradores de uma cidade, este computador
deverá receber uma espécie de documento que o identifique, que ao contrário de uma pessoa
que possui o seu RG, passa a ser identificado através de um número específico, conhecido por
endereço IP (Internet Protocol). Mas ao contrário de uma carteira de identidade, que é única
para cada pessoa, o endereço IP não determina um equipamento específico, porém uma
conexão à rede e ainda podem ser impregados para referenciar um host ou uma estação
específica.
Você poderá acompanhar o curso de TCP/IP que é oferecido gratuitamente pelo site
aprendaemcasa.com.br, e aqui iremos estudar algumas generalidades que são importantes
para o curso de VPN. Um endereço IPv4 é formado por um conjunto de números de 32 bits,
divididos em quatro octetos, conforme podemos observar em destaque no exemplo abaixo:
204.16.0.21
Estas quatro partes identificam:
• A primeira parte do endereço identifica uma determinada rede.
• A segunda parte do endereço identifica um host.
 
 Aula 19 Aula 20

As três classes distintas de endereços do IPv4 tem como ponto de Você saberia definir o que é um Datagrama IP? O datagrama IP é a
classificação o tamanho da rede, que podem ser de uma rede local a unidade básica de dados no nível IP. O datagrama é dividido em duas
uma rede com Internet onde existe a interligação de milhares de áreas, a saber:
hosts. Estas classes são: A, B e C.

• Área de cabeçalho;
Classe A - empregada em redes de grande porte, onde cada rede
poderá endereçar 2^24 hosts (o que indica um total de 16.777.216 hosts) sendo limitada a um
• Área de dados.
total de 128 redes.Devido a este fator limitador, esta classe não é mais empregada
atualmente. Nesta composição o bit mais significativo é o "0" e os demais 7 bits que formam o O cabeçalho contém informações que visam identificado o datagrama e, na área de dados
primeiro octeto identificam a rede, desta forma os demais 24 bits do endereço definem o temos encapsulado o pacote do nível superior, ou seja um pacote TCP ou UDP. O formato do
endereço local. datagrama IP é o seguinte:

Classe B - emprega dois octetos para o número de redes e dois octetos para o endereço de
host. Seus endereços de rede variam de 128.1 até 191.255. No primeiro octeto o número 127
é utilizado para função especial, assim como os números 0 e 255 do segundo octeto.

Classe C - Aqui temos a classe empregada na Internet, onde os três primeiros octetos
identificam a rede e o último octeto identifica o Host. Os endereços de rede vão de 192.1.1 até
223.254.254.

Campos do Datagrama e seus objetivos

VERS: versão do protocolo IP que foi usada para criar o datagrama (4bits)

HLEN: comprimento do cabeçalho, medido em palavras de 32 bits (4 bits)

TOTAL-LENGTH: este campo proporciona o comprimento do datagrama medido em bytes,

incluindo cabeçalho e dados.

SERVICE-TYPE: este campo especifica como o datagrama poderia ser manejado e dividido em
cinco subcomandos.
23  24 
   
IDENTIFICATION, FLAGS e FRAGMENTS: estes três campos controlam a fragmentação e a
união dos datagramas. O campo de identificação contém um único inteiro que identifica o
datagrama, é um campo muito importante porque quando um gateway fragmenta um
datagrama, ele copia a maioria dos campos do cabeçalho do datagrama em cada fragmento,
então a identificação também deve ser copiada, com o propósito de que o destino saiba quais
fragmentos pertencem a quais datagramas. Cada fragmento tem o mesmo formato que um
datagrama completo.
FRAGMENT OFFSET: especifica o início do datagrama original dos dados que estão sendo
transportados no fragmento. É medido em unidades de 8 bytes.
FLAG: controla a fragmentação.
TTL(Time To Live): especifica o tempo em segundos que o datagrama está permitido a
permanecer no sistema Internet. Gateways e hosts que processam o datagrama devem
decrementar o campo TTL cada vez que um datagrama passa por eles e devem removê-lo
quando seu tempo expirar.
PROTOCOL: especifica qual protocolo de alto nível foi usado para criar a mensagem que está
sendo transportada na área de dados do datagrama.
HEADER-CHECKSUM: assegura integridade dos valores do cabeçalho.
SOURCE AND DESTINATION IP ADDRESS: especifica o endereço IP de 32 bits do
remetente e receptor.
OPTIONS: é um campo opcional. Este campo varia em comprimento dependendo de quais
opções estão sendo usadas. Algumas opções são de um byte, e neste caso este campo é
chamado de Option Code , e está dividido em três campos.
25  26
Aula 21
O endereçamento é um ponto crucial em uma VPN. Alguns conflitos
geram a quebra de comunicação, entre os quais destacamos:
• Um único equipamento sendo reconhecido por dois endereços;
• Um equipamento não tem um endereço associado.
Agora imagine um provedor de acesso a Internet, que distribui um endereço IP para cada
usuário que se conecta ao mesmo.
Quando se torna necessário distribuir endereços IPs de forma dinâmica, empregamos os
servidores DHCP (Dynamic Host Control Protocol). Se você tem em seu escritório uma pequena
rede de 3 pontos apenas, não terá muito trabalho para atribuir um endereço IP para cada
máquina, mas a empresa cresceu e passou a ter um total de 200 computadores! O trabalho já
passa a ser complexo e, o risco de erros ao atribuir um endereço IP para cada uma das
máquinas passa a ser grande. O protocolo DHCP passa a ser necessário nestas condições, pois
este servidor irá distribuir endereços IP na medida em que as máquinas solicitam conexão à
rede. Quando um computador desconecta, seu IP fica livre para uso de outra máquina. Este
procedimento é garantido através de uma checagem da rede em intervalos pré-definidos por
parte do sistema.
Porém nem só de endereços IPs vive uma rede e, outras informações são fundamentais para
que um cliente (computador/host) possa operar de forma satisfatória e, o DHCP também toma
conta deste processo, ou seja máscara de rede, endereços de servidores DNS (Domain Name
Server), nome que o computador deverá assumir na rede (aprendaemcasa1, aprendaemcasa2,
etc), rotas, entre outras.
Sem este tipo de servidor, dificilmente você estaria conectado a Internet neste momento.
 
 Aula 22

Nosso próximo passo é iniciar os estudos sobre o encapsulamento e

protocolos para a VPN. Vamos exemplificar o encapsulamento com um
exemplo do mundo real. Você escreve uma carta para um familiar ou
um amigo, porém para que esta carta chegue ao destinatário é
necessário que a mesma esteja dentro de um envelope. O envelope
irá encapsular a sua carta (que é na verdade um pedaço de papel com
um conteúdo escrito) para que a mesma possa ser encaminhada pelo serviço dos correios.

O envelope para que possa conduzir corretamente a sua carta deve obedecer um padrão
(protocolo), ou seja, na frente do envelope deverá estar especificado o endereço do
destinatário, no verso o endereço do remetente, o CEP em ambos os casos deverá estar no
formato 12345-789 e outros procedimentos. Podemos então afirmar que o protocolo é a
padronização que a empresa de correios e telegrafos criou para que seus usuários possam
utilizar o serviço corretamente e, ao obedecer este padrão (protocolo), a ECT poderá garantir a
entrega da correspondência. O padrão de protocolo neste caso seria o da empresa ECT. Mas
porque esta afirmação do padrão de protocolo? Porque em outros paises existem empresas que
executam o mesmo papel da ECT no Brasil, porém cada empresa poderá criar o seu próprio
padrão de protocolo, de acordo com o local onde atua, a realidade deste local, etc.

O mesmo ocorre nas redes de computadores, pois existem diversos tipos de protocolos, que
foram desenvolvidos por várias empresas visando alcançar um determinado objetivo de forma
mais eficiente e rápida. Ocorre que, com o uso em grande escala da Internet por empresas e
pessoas físicas, um dos protocolos mais utilizados atualmente é o TCP/IP, protocolo oficial de
comunicação que ligam os computadores na Internet.

Mas poderia uma rede que não emprega o protocolo TCP/IP trafegar na Internet? A resposta é
sim e neste caso teremos que encapsular o pacote original em um segundo pacote, que seria o
pacote TCP/IP e a partir deste ponto a comunicação seria efetuada.

Basicamente o pacote IP é composto por:

• Cabeçalho;
• Dados.

O cabeçalho é conhecido como header e os dados são conhecidos como payload. No próximo
módulo de aula iremos estudar alguns detalhes sobre o cabeçalho e dados do pacote IP.

27