SENAI - Segurança de Redes

Série tecnologia da informação - hardwARE
Segurança
de Redes
SEGURANÇA
DE REDES
CONFEDERAÇÃO NACIONAL DA INDÚSTRIA – CNI
Robson Braga de Andrade

Presidente
DIRETORIA DE EDUCAÇÃO E TECNOLOGIA
Rafael Esmeraldo Lucchesi Ramacciotti

Diretor de Educação e Tecnologia
SERVIÇO NACIONAL DE APRENDIZAGEM INDUSTRIAL – SENAI
Conselho Nacional
Robson Braga de Andrade

Presidente
SENAI – Departamento Nacional
Rafael Esmeraldo Lucchesi Ramacciotti

Diretor-Geral
Gustavo Leal Sales Filho

Diretor de Operações
SEGURANÇA DE
REDES
© 2012. SENAI – Departamento Nacional
© 2012. SENAI – Departamento Regional de Santa Catarina
A reprodução total ou parcial desta publicação por quaisquer meios, seja eletrônico, mecâ-
nico, fotocópia, de gravação ou outros, somente será permitida com prévia autorização, por
escrito, do SENAI.
Esta publicação foi elaborada pela equipe do Núcleo de Educação a Distância do SENAI de
Santa Catarina, com a coordenação do SENAI Departamento Nacional, para ser utilizada por
todos os Departamentos Regionais do SENAI nos cursos presenciais e a distância.
SENAI Departamento Nacional

Unidade de Educação Profissional e Tecnológica – UNIEP
SENAI Departamento Regional de Santa Catarina

Núcleo de Educação – NED
FICHA CATALOGRÁFICA
_________________________________________________________________________
S491s
Serviço Nacional de Aprendizagem Industrial. Departamento Nacional.
Segurança de redes / Serviço Nacional de Aprendizagem
Industrial. Departamento Nacional, Serviço Nacional de Aprendizagem
Industrial. Departamento Regional de Santa Catarina. Brasília :
SENAI/DN, 2012.
181 p. il. (Série Tecnologia da informação - Hardware).
ISBN
1. Redes de computação – Medidas de Segurança. 2. Criptografia

de dados (Computação). 3. Extranets (Redes de computação). I.
Serviço Nacional de Aprendizagem Industrial. Departamento Regional
de Santa Catarina. II. Título. III. Série.
CDU: 004.7.056.55
SENAI Sede
_____________________________________________________________________________
Serviço Nacional de Setor Bancário Norte • Quadra 1 • Bloco C • Edifício Roberto

Aprendizagem Industrial Simonsen • 70040-903 • Brasília – DF • Tel.: (0xx61) 3317-
Departamento Nacional 9001 Fax: (0xx61) 3317-9190 • http://www.senai.br
Lista de ilustrações
Figura 1 - Ativos da Informação . ................................................................................................................................19
Figura 2 - Propriedades Básicas de Segurança . ....................................................................................................20
Figura 3 - Confidencialidade da informação...........................................................................................................21
Figura 4 - Integridade da informação........................................................................................................................22
Figura 5 - Disponibilidade da informação ..............................................................................................................23
Figura 6 - Posicionamento do firewall.....................................................................................................................54
Figura 7 - Arquitetura Dual-homed host.................................................................................................................56
Figura 8 - Arquitetura Screened host........................................................................................................................56
Figura 9 - Arquitetura Sreened subnet.....................................................................................................................57
Figura 10 - Arquitetura composta de duas Screenedsubnet..............................................................................58
Figura 11 - Firewall de filtro de pacotes.....................................................................................................................59
Figura 12 - Funcionamento do Proxy......................................................................................................................62
Figura 13 - Firewall separando a rede cabeada da rede sem fio.....................................................................63
Figura 14 - Funções do IDS ...........................................................................................................................................66
Figura 15 - Localização do IDS/IPS..............................................................................................................................68
Figura 16 - Visão dos componentes do processo de criptografia...................................................................72
Figura 17 - Criptografia simétrica................................................................................................................................74
Figura 18 - Criptografia assimétrica [FRE 08]..........................................................................................................77
Figura 19 - Uso de função hash.................................................................................................................................81
Figura 20 - Funcionamento da assinatura digital..................................................................................................82
Figura 21 - Protocolo SSL...............................................................................................................................................85
Figura 22 - VPN entre usuário e gateway..................................................................................................................91
Figura 23 - VPN entre gateways...................................................................................................................................92
Figura 24 - Pacote IPv4 convencional e outro com o tratamento IPSec.......................................................95
Figura 25 - Pacote IP dentro de pacote IP ...............................................................................................................96
Figura 26 - Intranet VPN..................................................................................................................................................97
Figura 27 - VPN para acesso remoto..........................................................................................................................98
Figura 28 - Extranet VPN.................................................................................................................................................99
Figura 29 - Funcionamento do Kerberos............................................................................................................... 106
Figura 30 - Elementos do Sistema de Gerenciamento de Redes . ............................................................... 111
Figura 31 - Áreas Funcionais da Gerência de Redes.......................................................................................... 113
Figura 32 - (logo do ITIL).............................................................................................................................................. 126
Figura 33 - (logo COBIT)............................................................................................................................................... 128
Figura 34 - (logo ABNT)................................................................................................................................................ 129
Figura 35 - Ciclo PDCA.................................................................................................................................................. 143
Figura 36 - Datacenter da Organização.................................................................................................................. 165
Figura 37 - Datacenter da empresa com dois recoveries sites....................................................................... 166
Figura 38 - Evolução da Preocupação com Disponibilidade e Recuperação de Desastres . .............. 167
Figura 39 - Aspectos abordados pelo PCN de uma empresa......................................................................... 169
Figura 40 - Planos que compõem o Plano de Continuidade de Negócios .............................................. 170
Quadro 1 - Matriz curricular............................................................................................................................................14
Quadro 2 - Exemplo valor K igual a 10........................................................................................................................73
Quadro 3 - Frase a ser cifrada.........................................................................................................................................73
Quadro 4 - Frase cifrada em ordem alfabética.........................................................................................................73
Quadro 5 - Pilha de Protocolos e o SSL.......................................................................................................................86
Tabela 1 - Tipos de Violação x Propriedade de Segurança Violada...................................................................24

Tabela 2 - Matriz de Risco ............................................................................................................................................ 172
Sumário
1 Introdução.........................................................................................................................................................................13
2 Conceitos Básicos de Segurança da Informação em Redes de Computadores.......................................17

2.1 Conceitos básicos de segurança da informação em redes de computadores.......................18
2.2 CID (Confidencialidade, Integridade e Disponibilidade)...............................................................20
2.3 Ameaças, riscos e vulnerabilidades.......................................................................................................24
3 Os Riscos que Rondam as Redes de Computadores..........................................................................................31

3.1 Quem são os invasores?.............................................................................................................................32
3.1.1 Hacker............................................................................................................................................32
3.1.2 Cracker...........................................................................................................................................32
3.1.3 Coder..............................................................................................................................................32
3.1.4 Phreaker........................................................................................................................................33
3.1.5 Lammer.........................................................................................................................................33
3.1.6 Newbie...........................................................................................................................................33
3.1.7 Insiders...........................................................................................................................................33
3.1.8 White hat.......................................................................................................................................34
3.1.9 Black hat........................................................................................................................................34
3.1.10 Gray hat.......................................................................................................................................34
3.2 Tipos de ataques e defesa.........................................................................................................................35
3.2.1 Ataque físico ...............................................................................................................................36
3.2.2 Engenharia social.......................................................................................................................36
3.2.3 Dumpsterdiving ou trashing.................................................................................................37
3.2.4 Mapeamento da rede e busca de vulnerabilidades .....................................................38
3.2.5 Spoofing........................................................................................................................................38
3.2.6 Negação de serviço...................................................................................................................39
3.2.7 Ataques no nível de aplicação..............................................................................................41
3.2.8 Quebra de senhas . ...................................................................................................................41
3.2.9 Port scanning..............................................................................................................................41
3.3 As ameaças.....................................................................................................................................................43
3.3.1 Vírus................................................................................................................................................44
3.3.2 Cavalos de tróia..........................................................................................................................44
3.3.3 Adware e spyware.....................................................................................................................45
3.3.4 Backdoors.....................................................................................................................................46
3.3.5 Keyloggers e screenloggers...................................................................................................46
3.3.6 Worms............................................................................................................................................46
3.3.7 Botnets...........................................................................................................................................47
3.3.8 Rootkits..........................................................................................................................................47
3.3.9 Sniffer.............................................................................................................................................48
3.3.10 Spam............................................................................................................................................48
4 Mecanismos de Segurança em Redes de Computadores................................................................................51
4.1 Antivírus...........................................................................................................................................................52
4.2 Firewall/Proxy................................................................................................................................................53
4.2.1 Arquiteturas de firewall...........................................................................................................55
4.2.2 Tipos de Firewall.........................................................................................................................59
4.2.3 Projetando um Firewall............................................................................................................65
4.3 IDS/IPS..............................................................................................................................................................66
5 O Uso da Criptografia....................................................................................................................................................71
5.1 A técnica da criptografia . .........................................................................................................................72
5.2 Chave privada................................................................................................................................................74
5.2.1 Data Encryption Standard (DES)...........................................................................................75
5.2.2 Triple (DES)...................................................................................................................................75
5.2.3 International Data Encryption Algorithm (IDEA)............................................................75
5.2.4 Rivest Cipher 4 (RC4).................................................................................................................75
5.2.5 RC5 e RC6......................................................................................................................................76
5.3 Chave Pública................................................................................................................................................76
5.3.1 Diffie-Hellman.............................................................................................................................78
5.3.2 RSA..................................................................................................................................................79
5.3.3 Envelope digital..........................................................................................................................80
5.4 Assinatura digital..........................................................................................................................................80
5.5 PKI – Public Key Infrastructure.................................................................................................................82
5.5.1 Certificado Digital......................................................................................................................83
5.6 Secure Sockets Layer - SSL........................................................................................................................84
5.6.1 Estrutura........................................................................................................................................84
6 VIRTUAL PRIVATE NETWORK.......................................................................................................................................89

6.1 O que é uma VPN?........................................................................................................................................90
6.1.1 Funcionamento da VPN...........................................................................................................91
6.2 Tipos de VPN...................................................................................................................................................96
6.2.1 VPN ponto a ponto....................................................................................................................96
6.2.2 VPN para Acesso Remoto........................................................................................................97
6.2.3 VPN para Extranet......................................................................................................................98
7 Autenticação................................................................................................................................................................. 101
7.1 A Identificação e a autorização............................................................................................................ 102
7.2 Controle de Acesso................................................................................................................................... 103
7.2.1 Registro de usuário................................................................................................................ 103
7.3 Single Sign-On............................................................................................................................................ 105
8 Serviços de Monitoramento de Rede................................................................................................................... 109

8.1 Gerenciamento e monitoramento...................................................................................................... 110
8.2 SNMP (Simple Network Management Protocol)............................................................................ 110
8.3 Áreas funcionais da gerência de redes.............................................................................................. 113
8.3.1 Gerência de falhas.................................................................................................................. 114
8.3.2 Gerência de configuração.................................................................................................... 115
8.3.3 Gerência de contabilização................................................................................................. 116
8.3.4 Gerência de desempenho................................................................................................... 117
8.3.5 Gerência de segurança......................................................................................................... 118
8.4 AAA (Autenticação, Autorização e Auditoria)................................................................................. 119
9 Normas de Segurança de Informação ISO/IEC.................................................................................................. 123

9.1 Conceitos...................................................................................................................................................... 124
9.2 ITIL................................................................................................................................................................... 126
9.3 COBIT............................................................................................................................................................. 128
9.4 NBR ISO/IEC................................................................................................................................................. 129
9.4.1 Política de segurança da informação............................................................................... 130
9.4.2 Estruturando a segurança da informação...................................................................... 131
9.4.3 Gerenciamento dos ativos da informação . .................................................................. 132
9.4.4 Gestão da segurança nos recursos humanos............................................................... 132
9.4.5 Segurança física e do ambiente ....................................................................................... 134
9.4.6 Gerenciamento das operações de TI .............................................................................. 135
9.4.7 Controle de Acesso................................................................................................................. 137
9.4.8 Aquisição, desenvolvimento e manutenção de sistemas........................................ 138
9.4.9 Gestão de incidentes de segurança................................................................................. 140
9.4.10 Gestão de continuidade do negócio............................................................................. 140
9.4.11 Conformidade legal............................................................................................................. 141
9.5 Ciclo PDCA................................................................................................................................................... 143
10 Política de Segurança de Redes........................................................................................................................... 147

10.1 Conceitos................................................................................................................................................... 148
10.2 Desenvolvimento de uma política de segurança da informação.......................................... 152
10.2.1 Levantamento de informações....................................................................................... 153
10.2.2 Elaboração e registro da documentação..................................................................... 153
10.2.3 Elaboração dos procedimentos de segurança da informação............................. 155
10.2.4 Revisão, aprovação e implantação das políticas....................................................... 156
10.3 Conscientização e capacitação contínuas..................................................................................... 157
11 Disaster Recovery...................................................................................................................................................... 163

11.1 Plano de recuperação de desastres.................................................................................................. 164
11.2 Plano de continuidade de negócios................................................................................................ 168
11.3 Análise de risco........................................................................................................................................ 171
11.4 CSIRT............................................................................................................................................................ 173
Referências......................................................................................................................................................................... 177
Minicurrículo dos Autores............................................................................................................................................ 179
Índice................................................................................................................................................................................... 181
Introdução
Olá! Você está iniciando mais uma unidade curricular do módulo específico do Curso Téc-
nico de Redes de Computadores, a unidade Segurança de Redes.
Nesta unidade curricular você conhecerá conceitos e aplicações importantes relacionados
à segurança de redes.
Fica difícil imaginar uma rede de computadores que não esteja conectada à Internet, ou
seja, o contato com o mundo externo é uma realidade. Você, como técnico responsável por
uma rede, vai precisar garantir a segurança deste ambiente que muitas vezes pode ser com-
plexo e complicado.
Desta forma, você será apresentado aos conceitos básicos de segurança da informação e
estudará os tipos de ameaças, os riscos e as vulnerabilidades a que esta rede está sujeita. Serão
conhecidos também os tipos de invasores e suas técnicas de invasão.
Todo esse conteúdo é fundamental para que você possa aplicar os mecanismos de segu-
rança e proteger a sua rede de computadores.
As técnicas de criptografias mais usadas e sua importância na segurança da informação
(juntamente como uso de VPNs, para criar uma rede privada dentro de uma rede pública) serão
apresentados à você.
Por fim, você vai aprender conceitos de autenticação e autorização, como controlar o aces-
so às informações e como usar o mesmo par de login e senhas para vários tipos de serviços e
recursos de rede.
Segue a matriz curricular, com as respectivas cargas horárias:
Técnico em Redes de Computadores

Carga
Unidades Carga
Módulos Denominação horária do
curriculares horária
módulo
• Eletroeletrônica 60h
Aplicada
• Montagem e Manutenção 160h
Básico Básico 340h
de Computadores
• Ferramentas para Docu- 120h
mentação Técnica
segurança de redes
14
• Cabeamento Estruturado 108h
• Arquitetura de Redes 80h
Específico I Ativos de Rede • Comutação de Rede Local 120h 464h
• Interconexão de Redes PR 96h
• Gerenciamento e Monito-
60h
ramento de Rede
• Servidores de Rede 120h
• Serviços de Rede 120h

Específico II Servidores de Rede 396h
• Serviços de Convergência 60h
• Segurança de Redes 96h
Quadro 1 - Matriz curricular

Fonte: SENAI DN
Agora você é convidado a trilhar os caminhos do conhecimento. Faça deste

processo um momento de construção de novos saberes, onde teoria e prática
devem estar alinhadas para o seu desenvolvimento profissional. Bons estudos!
1 Introdução
15
Anotações:
Conceitos Básicos de Segurança da
Informação em Redes de Computadores
Nesta etapa da aprendizagem você será apresentado ao universo da Segurança da Infor-

mação – SI, bem como aos conceitos básicos e introdutórios sobre este assunto de profunda
importância no mundo da Tecnologia da Informação – TI.
E então, curioso para saber mais?
Será um estudo muito interessante e, ao final do capítulo, você terá subsídios para:
a) conhecer os conceitos básicos da segurança da informação em redes de computadores.
Bem, está na hora de você entrar no mundo dos estudos e começar a trilhar os caminhos do
conhecimento. Preparado? Então, siga-me!
Procure levar teoria e prática alinhadas, construindo, etapa por etapa, o seu aprendizado.
segurança de redes
18
2.1 Conceitos básicos de segurança da informação em redes

de computadores
Para você entender os diversos assuntos que envolvem a segurança em redes

de computadores, você precisa saber diferenciar os seguintes termos:
a) dados;
b) informação;
c) conhecimento.
Você sabe que este três conceitos estarão presentes durante todo o seu estu-
do? Sim, por isto vamos a eles!
Bem, você pode considerar os dados como a matéria-prima da informação,
ou seja, com a união de diversos dados você pode ter alguma informação e, pos-
teriormente a isso, ter o conhecimento.
Os dados são elementos que sozinhos não possuem muito significado, como
por exemplo, uma imagem, um registro ou um símbolo, se inseridos sem um con-
texto, não teriam tanta importância. O contexto atribuído a estes dados é o que
você chama de informação, ou seja, informação é a organização dos dados de
forma que produzam um sentido para a união destes dados.
O conhecimento é uma situação vivida por alguém, ou um sentido atribuído a
determinadas informações.
Observe o exemplo a seguir:
O modelo é rede que de equipamento de camada do roteador de opera
um OSI de rede na referência. Você conseguiu ler esta mensagem? Difícil, não
é mesmo?
Estas palavras são dados que foram encontrados num registro qualquer em
um computador. Quando você realiza a leitura destas palavras não consegue dar
um sentido para elas, ou seja, não constitui uma informação. Agora se este con-
junto de dados for assim organizado:
O roteador é um equipamento de rede que opera na camada de rede do
modelo de referência OSI. Agora sim foi possível a leitura!
Portanto, se você possui um conhecimento sobre redes de computadores,
sabe que um roteador é um equipamento de rede e também sabe o que é o mo-
delo OSI, então estes dados encontrados no registro de um computador passa-
ram a ter sentido. Interessante, não é mesmo?
Uma informação é composta de dados, mas um dado ou conjunto de dados
não necessariamente gera uma informação para quem está recebendo, e um
conjunto de informações não necessariamente irá produzir um conhecimento.
(FREUND; REITER, 2008).
2 Conceitos Básicos de Segurança da Informação em Redes de Computadores
19
VOCÊ Os ativos podem ter enfoques diferentes quando fala-

SABIA? mos em redes de computadores e segurança.
Ao longo do curso você deve ter observado que o termo “ativo” foi usado di-
versas vezes referindo-se aos dispositivos de redes que atuam na mesma dinâmi-
ca, interagindo com a rede e fazendo com que a informação trafegue sobre esta
rede.
Na área de segurança, o conceito de “ativo” é um pouco diferente. Ativo é tudo
o que manipula ou manuseia a informação, inclusive ela própria.
Podem ser classificados em:
a) tecnologia da Informação (TI) – dispositivos de rede (micros, servidores, apli-
cações, Internet, etc.)
b) não TI – máquinas de calcular, catracas de acesso, ar condicionado, energia,
etc;
c) recursos Humanos – pessoas, funcionários, etc;
d) infraestrutura interna – ambiente físico, mobiliário, forro, portas, etc.
e) infraestrutura externa – ambientes da empresa (ou não), que façam parte
dos processos internos (comunicação com representantes de venda remo-
tos, etc.);
f) provedores e parceiros – prestadores de serviços;
g) insumos – elementos necessários à cadeia produtiva da empresa.
Luiz Meneghel (2011)
Figura 1 - Ativos da Informação

Fonte: Freund e Reiter (2008, p. 34)
segurança de redes
20
Você sabe por que está estudando sobre os termos dados, informação, co-
nhecimento e ativo? Para entender o que você deverá proteger. Viu só como é
importante a assimilação destes conceitos iniciais?
Claro que você deve proteger a parte física da sua rede, mas é muito importan-
te que os dados e informações presentes nos servidores e estações de trabalho da
rede sejam protegidos.
Para que isso ocorra, você precisa entender os princípios básicos de segurança.
Você compreendeu os conceitos básicos mais importantes para o entendimento
do conteúdo deste curso.
A seguir, você estudará os elementos CID. Quer saber o que significam?
Então vamos em frente! Continue atento!
2.2 CID (Confidencialidade, Integridade e Disponibilidade)
Segundo Nakamura (2003), a informática é um instrumento cada vez mais uti-

lizado pelo homem, o qual busca realizar seus trabalhos de modo mais fácil, mais
rápido, mais eficiente e mais competitivo, produzindo, assim, melhores resulta-
dos. A rede é uma das principais tecnologias, permitindo conexões entre todos os
seus dispositivos, que vão desde roteadores até servidores que hospedam servi-
ços aos usuários da empresa, podendo ainda, disponibilizar meios para automa-
ção dos seus processos.
Atualmente, a informática acaba se tornando um processo de grande impor-
tância para qualquer empresa ou, no mínimo, representa a maioria dos processos
necessários para o correto funcionamento do ambiente de trabalho. Para que es-
tas empresas continuem suas atividades sem comprometer os seus negócios, a
rede precisa ser protegida. Um sistema seguro precisa manter três propriedades
básicas de segurança: confidencialidade, integridade e disponibilidade.
Figura 2 - Propriedades Básicas de Segurança

Fonte: Nakamura (2003).
21
A seguir, você conhecerá uma situação envolvendo os conceitos abordados

sobre CID.
CASOS E RELATOS
Problemas de segurança
Lucas é o administrador de redes de uma empresa que vem enfrentan-
do diversos problemas de segurança da informação, como por exemplo,
acesso indevido a equipamentos de rede e infecções por meio de vírus
e vazamento de informações. Lucas decide, então, propor à direção da
empresa que sejam aplicados os três princípios básicos da segurança da
informação. Com a aprovação da direção, Lucas começa a trabalhar com
os conceitos de confidencialidade, integridade e disponibilidade.
Então, o que você achou do caso apresentado? Tenho certeza que foi útil para
o fortalecimento dos conceitos estudados e será bastante produtivo para conso-
lidar sua aprendizagem.
Vamos continuar? Temos mais assuntos interessantes ao longo do estudo!
A confidencialidade consiste em garantir que apenas pessoas autorizadas te-
nham acesso às informações.
Veja a figura a seguir. Nela, o conceito de confidencialidade é representado
pelo envio de informações do usuário João para o usuário Maria.
Neste caso, somente Maria, através do uso de um usuário e senha, pode aces-
sar as informações enviadas por João.
Figura 3 - Confidencialidade da informação

segurança de redes
22
Para que o princípio da confidencialidade seja garantido

em uma empresa ou em uma rede de computadores, você
FIQUE deve tomar muito cuidado com a forma de armazenamen-
ALERTA to das informações e, principalmente, na conscientização
das pessoas que armazenam e manipulam estas informa-
ções.
A integridade é o princípio que garante que a informação não sofra qualquer

tipo de modificação enquanto trafega pela rede, ou seja, garante que a informa-
ção recebida é a mesma que foi enviada ou armazenada originalmente. Isso não
quer dizer que as informações não poderão ser modificadas, pois em algumas si-
tuações, estas modificações poderão ser necessárias. Porém, é muito importante
que estas modificações só sejam realizadas por pessoas autorizadas e proprietá-
rias da informação que sofreu a alteração.
Veja a figura abaixo e observe a presença de um suposto hacker entre a comu-
nicação. Este hacker intercepta a informação e realiza alterações de forma que o
destinatário não perceba as modificações.
Você sabe como é chamado este ataque? É chamado de man-in-the-middle,
infringindo o princípio da integridade justamente por modificar a informação ori-
ginal.
Figura 4 - Integridade da informação

Imagine uma situação em que um hacker altera a tela inicial de um site de

venda de produtos pela Internet e insere uma imagem erótica. Qual cliente teria
segurança em realizar compras através do site desta empresa? Visto que a pró-
pria empresa não consegue garantir a segurança de suas próprias informações!
Percebeu como é importante o princípio da integridade das informações? Vamos
verificar outro princípio, o da disponibilidade.
A disponibilidade, por sua vez, é o ato de garantir que as informações esta-
rão disponíveis aos usuários quando solicitadas. Este princípio está diretamente
ligado a confiabilidade da rede, ou seja, a infraestrutura da rede deve ser robus-
ta o suficiente e, para isso, recursos de contingência e redundância para que os
serviços da rede continuem disponíveis no caso falhas e incidentes devem ser
considerados.
23
A mesma impressão negativa causada no caso anterior da alteração da página

inicial de um site de vendas seria repetido no caso em que um cliente acessasse
um site para realizar uma compra pela Internet e verificasse que este site está fora
do ar.

Figura 5 - Disponibilidade da informação
Você saberia dizer o que é a irretratabilidade das informações ou não-repú-

dio? Boa pergunta não é mesmo? Pois bem, trata-se do quarto princípio citado
em muitas literaturas e que deve ser considerado além dos três princípios de se-
gurança. Este princípio assegura a autoria de uma informação ou a participação
em uma transação. Ele consiste em não permitir que o autor de uma informação
negue a sua autoria ou negue a emissão de uma informação enviada por ele mes-
mo, ou seja, garante que o emissor é quem diz ser.
Observe o exemplo para ajudá-lo a entender este princípio.
A quebra do não-repúdio seria um hacker que configura uma conta de e-mail
de outra pessoa e se faz passar por ela para obter alguma vantagem disso. Para
garantir o não-repúdio devem-se utilizar os certificados digitais. Esses certificados
permitem que o emissor assine a mensagem e, desta forma, comprove sua auto-
ria e/ou emissão de alguma mensagem.
Para garantir que todas as propriedades básicas de segurança sejam atendidas,
tornando o sistema seguro, mecanismos de segurança deverão ser implantados
em toda a rede. Estes mecanismos são os responsáveis em garantir o correto fun-
cionamento das propriedades básicas de segurança. Criptografia, autenticação,
autorização e auditoria, além dos certificados digitais são os principais mecanis-
mos de segurança. Verificou como são fundamentais todas essas questões em se
tratando de segurança? Você verá estas e outras formas de garantir a segurança
nas próximas etapas de estudo.
FIQUE Para garantir a segurança em uma rede de computadores

devemos atender os princípios básicos da segurança da
ALERTA informação.
segurança de redes
24
Nesta etapa foram abordados princípios valiosos no quesito segurança das in-
formações!
Lembre-se: em caso de dúvidas, retome a leitura!
A seguir, você encontrará mais informações importantes para o seu dia a dia
nesta área.
2.3 Ameaças, riscos e vulnerabilidades
Uma concepção popular de segurança de informação é que ela tem somente

como meta o sigilo (confidencialidade). Porém, apesar do sigilo ser um fator mui-
to importante, ele não é o único (não devem ser esquecidos os aspectos como
integridade e disponibilidade).
Em alguns sistemas ou aplicações, um aspecto de segurança pode ser mais
importante que outro. O dono do sistema tem condições de saber qual o tipo
de segurança é necessário. É ele quem determinará as técnicas de segurança e
os produtos que serão utilizados. As violações de segurança em sistemas com-
putacionais correspondem a burlar de alguma forma a segurança de um sistema
computacional.
Acompanhe a tabela a seguir com os tipos de violação e as propriedades de
segurança violadas.
Tabela 1 - Tipos de Violação x Propriedade de Segurança Violada
Tipo de Violação Propriedade de Segurança Violada
1 Revelaçao Não Autorizada Confidencialidade
2 Modificação Não Autorizada Integridade
3 Negação de Serviço Disponibilidade
Fonte: Adaptado de Lento (2006)
FIQUE As violações de segurança são decorrências de ameaças,

ALERTA riscos e vulnerabilidades em sistemas computacionais.
25
Ameaças
São possíveis riscos ao sistema, isto é, a caracterização de um possível conjun-

to de ações que explore as vulnerabilidades e o conhecimento sobre um sistema
que possa pôr em risco as propriedades de segurança.
Esse risco pode ser:
a) pessoa (hacker);
b) algo (um dispositivo defeituoso);
c) evento (incêndio, terremoto, etc).
Isso ocorre em todos os casos que explorem a vulnerabilidade do sistema.
Vários tipos de ameaças rondam as organizações atualmente, como por exem-
plo: engenharia social, sniffers de rede, vírus, ataques DDOS, etc.
FIQUE As principais ameaças às quais um ambiente de rede está

ALERTA sujeito serão estudadas mais adiante neste curso.
As ameaças podem ser apresentadas da seguinte forma:

Naturais e físicas – estas ameaças colocam em perigo a estrutura física e parte
dos equipamentos.
Esses tipos de ameaças são:
a) incêndio;
b) enchente;
c) falhas de energia;
d) entre outros.
Não se pode sempre prevenir esses tipos de acidentes, mas pode-se ter conhe-
cimento do acidente de forma rápida, evitando danos ainda maiores (ex: alarmes
contra incêndio).
Dentro da política de segurança pode existir um plano para desastres (replica-
ção da planta fisicamente posicionada remotamente).
Não intencionais – são as ameaças provenientes por ignorância de operacio-
nalidade do sistema (ex: um administrador de sistema não bem treinado pode
executar uma operação que afete a disponibilidade de um recurso de rede).
segurança de redes
26
Intencionais – são as ameaças provenientes de atos programados por

pessoas (intrusos) ou produtos utilizados.
Esses intrusos podem ser classificados em:
a) agentes inimigos;
b) terroristas;
c) hackers;
d) criminosos;
e) corporações criminosas.
Riscos
São definidos como a probabilidade de que ameaças explorem vulnerabilida-

des e provoquem perdas, ou seja, infrinjam os princípios da segurança da infor-
mação.
Pode-se dizer que, quanto maior for o risco, maior será a chance de ocorrer
uma invasão envolvendo vulnerabilidades e ameaças.
Você sabia que uma rede de computador nunca estará 100% protegida? Sim,
é verdade, ela sempre estará exposta a algum tipo de ameaça. O que se pode
fazer para diminuir a possibilidade de ataques? Essa é uma pergunta muito inte-
ressante e importante! Você deverá realizar o que chamamos de gerenciamento
de riscos, ou seja, deverá verificar a relação entre impacto X risco. Impacto é a
abrangência em que os danos causados por um incidente de segurança afetam a
rede em questão.
Vulnerabilidade
É o ponto em que o sistema é suscetível ao ataque, isto é, fraquezas ou imper-

feições em procedimentos, serviços ou sistemas, oriundas de falhas de concep-
ção, implementação ou de configuração. Em outras palavras, as vulnerabilidades
são fragilidades que podem comprometer a segurança de uma rede.
Você sabia que um exemplo de vulnerabilidade seria a adoção de senhas fra-
cas ou padronizadas? Isto mesmo! Essa falha na adoção de senhas fracas em uma
rede é considerada uma vulnerabilidade que, se explorada por alguma das amea-
ças que você verá mais adiante, colocará em risco a segurança desta rede.
Todo sistema computacional é vulnerável a ataques. No entanto, as políticas e
os produtos de segurança podem reduzir a probabilidade que um ataque seja ca-
27
paz de penetrar nas defesas do seu sistema, ou podem gastar o tempo de intrusos
que tentam investir contra o seu sistema.
Os seguintes pontos de vulnerabilidades podem ser citados:
a) físicas - acessos indevidos a compartimentos que guardam computadores
com informações sensíveis do seu sistema;
b) naturais - computares são vulneráveis a desastres naturais (fogo, enchen-
tes, etc);
c) hardware e software - certos tipos de hardware falham e podem comprome-
ter a segurança de um sistema computacional por inteiro (alguns sistemas
oferecem segurança via estrutura da memória - acesso privilegiado ou não
- se esta proteção falha, o sistema é comprometido). Falhas de desenvol-
vimento de sistemas, deixando portas de entrada abertas, podem afetar a
segurança do sistema como um todo;
d) emanação - equipamentos eletrônicos podem emitir radiação elétrica e
eletromagnética, interceptando os sinais provenientes de enlaces existentes
em redes de computadores;
e) comunicações - se o computador está fisicamente conectado a uma rede,
ou conectado a uma rede telefônica, existe grande probabilidade de ele so-
frer um ataque;
f) humana - as pessoas que administram ou usam o seu sistema, consistem
numa grande vulnerabilidade. A segurança do seu sistema está quase sem-
pre nas mãos do seu administrador.
Para enriquecer seu estudo, acesse o conjunto de links a

seguir. Desta forma, você complementará as informações
SAIBA sobre os assuntos abordados nesta etapa da aprendizagem:
MAIS <www.icpbrasil.gov.br>;
<www.certisign.com.br>;
<www.serpro.gov.br>.
Ataques e contramedidas
Você terá um ataque em uma rede sempre que uma ameaça é concretizada.
Para que este problema seja resolvido ou amenizado, você terá que aplicar técni-
cas de contramedidas para proteger o seu sistema.
segurança de redes
28
FIQUE Medidas preventivas são mais fáceis de serem tomadas do

que medidas corretivas, ou seja, você deve antecipar-se ao
ALERTA ataque. Ambas serão vistas ao longo do estudo.
Nesta etapa foram analisados conceitos fundamentais para o fortalecimento

do seu conhecimento! Reúna disciplina e autonomia para seguir aprendendo!
Recapitulando
Você aprendeu os conceitos básicos da segurança da informação, estes

conceitos irão ajudá-lo no processo de aprendizagem para os estudos se-
guintes. Você iniciou conhecendo o significado de dados, informações e
conhecimento, e posteriormente, observou os diferentes enfoques da-
dos a um ativo de rede. Analisou também os conceitos de confidencia-
lidade, integridade e disponibilidade e a importância destes princípios
na segurança da informação em uma rede de computadores. Por último,
compreendeu os conceitos de ameaças, riscos e vulnerabilidades.
No próximo capítulo, você aprenderá sobre os riscos que rondam as re-
des de computadores.
29
Anotações:
Os Riscos que Rondam as Redes de
Computadores
Nesta etapa de estudo, você vai aprender quem poderá estar por trás de uma invasão em
seu computador ou na rede de computadores que você administra ou quem é responsável
pelo suporte. Você estudará também as principais técnicas de invasão usadas por hackers a um
sistema computacional. Por último, você vai identificar as principais ameaças a que uma rede
de computador está sujeita, como por exemplo, os tipos de vírus, spywares, spams, etc.
Viu que interessante será este momento de aprendizagem? E ao final, você terá subsídio
para:
a) conhecer os riscos a que uma rede de computadores pode estar sujeita.
Reúna motivação e disciplina para continuar nesta caminha de estudos!
segurança de redes
32
3.1 Quem são os invasores?
Para que seja possível proteger a rede de computadores que você administra
é importante conhecer os potenciais invasores que poderão iniciar algum ataque
à sua rede. Então, quem são estas pessoas que tentam quebrar a segurança de
sistemas, sem identificar-se, com o objetivo de ganhar o controle e realizar várias
tarefas que possam prejudicar o seu ambiente de rede?
Que pergunta interessante! Você arrisca uma resposta? Bem, de qualquer for-
ma vamos analisar esses indivíduos no detalhe. Acompanhe!
3.1.1 Hacker
São aqueles que têm conhecimentos reais de programação e de sistemas ope-

racionais, principalmente o Unix e o Linux, que são mais usados pelos firewalls.
Conhece muitas falhas de segurança dos sistemas e procura achar outras, mui-
tas vezes ele compartilha com a comunidade o descobrimento de novas falhas e
como fazer para resolvê-las.
Desenvolve suas próprias técnicas e programas de invasão e despreza as recei-
tas de bolo. Eles compartilham conhecimento e nunca, jamais, corrompem dados
intencionalmente.
iStockphoto ([20--?])
3.1.2 Cracker
Os crackers são aqueles indivíduos que possuem tanto conhecimento quanto

os hackers. A grande diferença é que um cracker não se contenta em apenas
invadir um determinado site pelo simples prazer de quebrar barreiras, como no
caso do hacker.
3 Os Riscos que Rondam as Redes de Computadores
33
O cracker invade um sistema para roubar informações que tragam algum be-
nefício para ele, muitas vezes causando danos às vítimas.
3.1.3 Coder
Os coders são os hackers que divulgam através de palestras, seminários e livros

seus conhecimentos e suas proezas.
Muitos destes coders podem até oferecer cursos sobre o assunto como forma
de receber algum valor financeiro em troca da divulgação de seus conhecimen-
tos.
3.1.4 Phreaker
O phreaker é aquele invasor que possui grandes conhecimentos de telefonia e

faz chamadas nacionais ou internacionais sem pagar.
Utiliza determinadas ferramentas, permitindo desenvolver seus ataques a par-
tir de um servidor de outra localidade, ampliando cada vez mais suas formas de
realizar uma invasão, preocupando muito as companhias telefônicas.
Os phreakers são fanáticos pelos sistemas telefônicos, tais como: celulares, mo-
dems, entre outros acessórios.
São hackers que mesclam conhecimentos de telefonia, eletrônica digital e in-
formática, desta forma eles conseguem realizar os débitos de seu telefone em
outra conta de usuário.
3.1.5 Lammer
O lammer é aquele indivíduo que se utiliza de ferramentas criadas por crackers

com o objetivo de um dia se tornar um deles. Possuem pouco conhecimento, por
isso, dependem de ferramentas já prontas.
Com o tempo, este lammer vai ganhando mais conhecimento e, quem sabe
um dia, se tornará um possível cracker.
É, muitas vezes, perigoso por não ter princípios e adora fazer estragos em re-
des desprotegidas.
segurança de redes
34
3.1.6 Newbie
Este é o novato na área que está em busca de conhecimento.

Ele ainda não tem habilidades definidas sobre o assunto, mas sua sede pelo
conhecimento o torna grande candidato a futuro hacker.
Diferencia-se do lammer por ser um indivíduo mais preocupado em adquirir
conhecimentos sobre o assunto do que derrubar redes pelo simples prazer de
destruição.
3.1.7 Insiders
São os ataques realizados por indivíduos de dentro da sua própria rede inter-
na.
Estes ataques podem ser feitos pelos próprios funcionários, ex-funcionários,
usuários ou pessoas que, de alguma forma, conseguem acessar sua rede interna
de dentro dela mesma. Estes tipos de ataques são os piores de serem evitados,
pois, muitas vezes, fica difícil de o administrador da rede garantir que uma deter-
minada pessoa não destrua algum dado da rede por simples vingança da direto-
ria da empresa ou de um chefe arrogante.
3.1.8 White hat
Também conhecidos como hackers do bem, estes são os verdadeiros hackers

que trabalham de maneira profissional e ética.
Sua principal função é descobrir vulnerabilidades e brechas no sistema e, des-
ta forma, aplicarem as correções necessárias para corrigi-las e garantir que um
hacker do mal não tenha acesso ao sistema.
Para que eles tenham sucesso, eles precisam conhecer o lado negro da força e
muitos deles podem até ter um pseudônimo para se fazer passar por um hacker
do mal e participar de fóruns, desta forma, eles ficam por dentro de novos tipos
de ataques.
3.1.9 Black hat
Estes são os verdadeiros hackers do mal, ou seja, são os crackers. Trabalham no

lado negro da força utilizando de sua inteligência e conhecimento para invadir
sistemas e roubar informações secretas das empresas.
35
Muitas vezes, eles tentam vender as informações roubadas para a própria ví-
tima e ameaçam divulgar as informações em caso de não pagamento da quantia
pedida.
3.1.10 Gray hat
Este indivíduo é um Black hat que se faz de White hat para trabalhar como um
consultor de segurança para uma determinada organização.
Muitas empresas contratam um Gray hat pelo motivo deste indivíduo possuir
grande conhecimento no assunto, pois o mesmo era um cracker e, se ele sabe
como invadir um sistema, ele pode ser uma boa opção em tornar o sistema im-
penetrável.
O grande problema é que, muitas vezes, estes indivíduos se corrompem e aca-
bam divulgando falhas de segurança para a comunidade hacker. Alguns deles
podem até invadir um sistema para depois oferecer seus serviços para a mesma
organização que invadiram, ou seja, os mesmos podem não ser éticos suficientes
para ser um consultor de segurança.
VOCÊ Todos os tipos de indivíduos invasores das redes de

computadores, apesar de seus nomes, serão representa-
SABIA? dos simplesmente como “hackers”.
Percebeu como foi esclarecedor este estudo? Sim, através dele é possível iden-
tificar e agir contra os indivíduos invasores que ameaçam quebrar a segurança de
um sistema computacional. Bem, agora você irá conhecer os tipos de ataques e
defesa de uma rede de computadores. Preparado?
3.2 Tipos de ataques e defesa
Para que você esteja apto a proteger uma rede de computadores de possíveis
ataques, você precisa conhecê-los, entender a sua anatomia e seu desenvolvi-
mento.
Qual o objetivo de estudar esses tipos de ataque? Bem, desta forma você irá
conhecer como um suposto invasor poderá agir contra a sua rede.
Não é a intenção dar à você receitas de como invadir um sistema e nem incen-
tivar alguém a tal ato. Como etapa inicial, você deve observar que o levantamento
segurança de redes
36
de dados é uma etapa importante. Nesta etapa, todos os dados relevantes à rede
a qual se pretende iniciar uma invasão devem ser organizados para criar o melhor
e mais completo perfil do alvo.
Nesta etapa não é exigido um grande conhecimento técnico do assunto, ou
seja, sua finalidade é somente o levantamento de informações que possam aju-
dar a desenvolver um possível ataque.
Nesta etapa, geralmente se usa a visita ao ambiente alvo (segurança física) e a
engenharia social como técnicas de ataque.
As etapas do levantamento de dados são citadas na sequência:
a) nomes de usuários e de grupos, endereços de e-mail (especialmente de ad-
ministradores), outras contas de FTP e outros tipos de serviços;
b) nomes de domínio (DNS), responsáveis e servidores assinalados;
c) topologia da rede, faixas de endereços de rede e sub-rede, tabelas de rote-
amento, NAT;
d) informações de gerenciamento (SNMP) com problemas de configuração;
e) sistema operacional do host alvo, serviços disponíveis neste equipamento
e informações que indiquem as versões dos serviços e do próprio sistema
operacional;
f) estrutura de segurança existente (firewall, IDS, ou ACLs implementadas no
roteador), etc.
Você agora vai ser apresentado às principais técnicas que poderão ser utiliza-
das para obter estas informações.
37
Observe que estas técnicas não são utilizadas somente pelos hackers, elas po-
dem e devem ser utilizadas também pelo administrador da rede para garantir que
não existam vulnerabilidades em seu sistema. Continue atento para prosseguir!
3.2.1 Ataque físico
Você sabe como acontece este tipo de ataque? Este tipo de ataque é obtido
quando um hacker consegue ter acesso físico ao seu ambiente de rede e obtêm
alguma informação valiosa, como por exemplo, uma senha que estava na parte
de baixo de um teclado ou colada em um post-it no monitor.
Muitos usuários desavisados agem desta maneira!
Para se proteger deste tipo de ataque você deve impedir,

FIQUE restringir ou controlar o acesso a determinados ambientes
de sua rede. Uma forma de garantir isso é através do uso
ALERTA de crachás de identificação, documentos de identidade,
câmeras de vídeo, etc.
3.2.2 Engenharia social
Este é outro tipo de ataque que, tal como no ataque físico, não necessita de
conhecimento técnico apurado, como vimos no início desta seção. O atacante
muitas vezes tem alguma noção de psicologia e certo poder de convencimento
para obter informações de pessoas ingênuas.
O hacker começa com o levantamento de informações sobre as pessoas que
ele deseja retirar alguma informação, como por exemplo, o nome e a função da
pessoa. Ele muitas vezes usa jornais, revistas ou o próprio site da empresa para
obter estas informações.
Após adquirir estas informações, o hacker pode fazer uma ligação para alguém
da empresa, apresentar-se como colega de outra pessoa e no meio da conversa
solicitar alguma informação valiosa que poderá ser útil em um possível ataque.
Muitas vezes, todas as informações necessárias para um ataque podem não
ser adquiridas apenas por uma ligação, sendo assim, o hacker pode precisar de
um ataque físico a este ambiente. Por exemplo, o hacker pode se fazer passar por
um entregador de flores, entrar no ambiente físico da empresa e, desta forma,
conseguir ligar um netbook a algum ponto de rede e implantar algum tipo de
segurança de redes
38
cavalo de tróia ou algo parecido que libere uma porta para ele realizar um ataque
remoto.
Que a engenharia social pode ser realizada através de

ataques de phishing? Estes ataques são realizados atra-
VOCÊ vés de e-mails enviados por atacantes com o objetivo de
SABIA? roubar informações do atacado. Por exemplo, um ata-
cante se fazendo passar por um banco para ter acesso a
sua senha bancária.
Agora vamos analisar mais uma técnica de ataque?
3.2.3 Dumpsterdiving ou trashing
Esta técnica de ataque é usada por muitos hackers, na qual eles procuram in-
formações nos lixos das empresas a serem atacadas, como por exemplo, nomes
de usuários e senhas, informações pessoais e confidenciais.
Também são buscadas outras informações, como: organogramas, impressões
de códigos fonte, inventário de hardware, topologia e documentação da rede,
etc.
FIQUE Esta técnica é considerada legal, uma vez que estas infor-
mações foram recuperadas do lixo por terem sido conside-
ALERTA radas sem qualquer valor pela empresa alvo.
3.2.4 Mapeamento da rede e busca de vulnerabilidades
Esta técnica consiste em usar ferramentas como, por exemplo, ping, tracert (ou
traceroute), tcpdump, wireshark, etc., para obter informações sobre o alvo a ser
atacado. Com estas ferramentas, o atacante pode descobrir a quantidade de rote-
adores entre ele e o alvo, o sistema operacional utilizado no alvo, as informações
de pacotes que trafegam na rede, o login de usuários e, até mesmo, as senhas sem
criptografia.
Após o hacker realizar o mapeamento de rede, ele terá informações que pode-
rão auxiliá-lo na busca por vulnerabilidades. Esta busca deverá ser feita de acordo
com o ambiente de rede detectado no mapeamento de rede, ou seja, de nada
39
adianta buscar informações de vulnerabilidades de um sistema Windows em caso

de empresas que usem sistema Unix. Verifique as seguintes vulnerabilidades:
a) softwares que estão desatualizados e possuem bugs de sistema;
b) configurações incorretas ou configurações padrões de fábrica com usuários
e senhas padrão;
c) serviços que não são usados e estão habilitados e que, muitas vezes, estão
desatualizados ou com bugs;
d) compartilhamento de pastas e arquivos sem senhas.
3.2.5 Spoofing
Esta é a técnica utilizada pelos hackers na qual a identidade real do atacante é

mascarada por outra identidade, ou seja, o atacante se esconde numa identidade
falsa e, desta forma, se faz passar por outro usuário.
Você sabe onde esta técnica é muito utilizada? Bem, a técnica de IP Spoofing é
muito utilizada nos casos em que existe um controle de acesso baseado no ende-
reço IP de origem, ou seja, o firewall da rede só permite acesso externo de ende-
reços previamente selecionados. Desta forma, o hacker troca o seu IP de origem
por um destes IP permitidos nas regras de firewall, sendo assim, o acesso será
permitido.
FIQUE Por este motivo, um firewall deve estar bem configurado

e ele nunca pode ser o único dispositivo de segurança em
ALERTA uma rede.
Vamos seguir conhecendo mais uma técnica de ataque? A próxima será nega-
ção de serviço.
3.2.6 Negação de serviço
Este ataque é também chamado de DoS (Denial-of-Service) e sua função prin-

cipal é consumir todos os recursos de um sistema até a sua parada total e, desta
forma, usuários legítimos não terão acesso ao serviço. A evolução do DoS é o ata-
que DDoS, este ataque utiliza o mesmo artifício do DoS só que ele age de forma
sincronizada com várias máquinas infectadas, de forma a iniciar um ataque distri-
buído (Redes Zumbi).
segurança de redes
40
Podemos citar algumas técnicas típicas de DoS:
Syn Flooding
O ataque de syn flooding baseia-se justamente em iniciar um grande número

de requisições de conexão TCP, de tal maneira que o servidor não consegue res-
ponder a todas estas requisições. A pilha de memória acaba sofrendo o que cha-
mamos de overflow e as requisições de usuários válidos acabam sendo negadas.
Fragmentação de pacotes IP
A fragmentação de pacotes IP é utilizada justamente para permitir a comuni-

cação entre diferentes tecnologias de redes locais, como no caso das redes Ether-
net, Token Ring e FDDI. Por exemplo, a rede Ethernet limita o tamanho dos pacotes
em 1500 octetos, enquanto que as redes FDDI limitam os pacotes a um tamanho
de 4470 octetos. Em casos em que um pacote precisa partir de uma rede FDDI
para uma rede Ethernet, ele precisá ser fragmentado em três fragmentos de 1500
octetos.
Os hackers podem usar essa fragmentação de pacotes IP para atacar alguma
rede que não esteja prevendo este tipo de ataque. Um ataque muito conhecido
do tipo DoS é o ataque do ping da morte, este ataque consiste em enviar um pa-
cote ICMP Echo Request com um tamanho de 65535 bytes, que é um pacote maior
do que o normal, desta forma, muitos sistemas podem travar devido à sobrecarga
do buffer da pilha TCP.
Outro tipo de ataque baseado na fragmentação de pacotes IP é utilizado no
envio de um pacote fragmentado a um sistema específico, que tem a porta 23
bloqueada. Quando o firewall recebe o primeiro fragmento que foi especificado
na porta 80, o firewall permite a passagem deste fragmento e dos fragmentos
posteriores desse pacote, justamente porque o firewall não realiza a desfragmen-
tação. Um desses fragmentos posteriores pode ter o valor de off-set capaz de so-
brescrever a porta 80 do fragmento inicial para a porta 23, desta forma, o hacker
pode conseguir acesso Telnet ao host a ser atacado. (NAKAMURA, 2003).
VOCÊ Através de um firewall bem configurado e de outras téc-

nicas de segurança, esses ataques podem ser bloquea-
SABIA? dos ou minimizados.
41
Smurf e fraggle
Apesar da simplicidade, possui um alto grau de devastação. Consiste em cole-

tar uma série de diretivas de broadcast para a continuação da repetição de echo
ICMP para cada uma delas em série, inúmeras vezes, falsificando o endereçamen-
to do IP de origem. Esse pacote será repetido em broadcast em centenas ou até
milhares de hosts que enviarão uma resposta de echo para a vítima cujo IP figura
no pacote ICMP [BOT 06].
Note uma diferença importante entre as técnicas. Sabe qual é? Bem, o fraggle
utiliza a mesma técnica do Smurf mas, ao invés de usar pacotes ICMP de Echo, ele
utiliza pacotes UDP de echo.
Para que os roteadores da rede não sejam usados como dispositivos interme-
diários deste ataque ou, até mesmo, amplificadores dessa técnica de ataque do
tipo DoS, os mesmos devem ser configurados para não receber ou deixar passar
pacotes para endereços de broadcast pelas suas interfaces de rede.
Ataque land
Esse ataque utiliza um novo bug na implementação TCP/IP das plataformas

Windows. Consiste no envio de um pacote malicioso, com um bit SYN 1 (com a
porta de origem igual à porta de destino), para alguma porta aberta de um servi-
dor (em geral de 113 a 139). A máquina fica enviando mensagens para ela mesma
e acaba travando.
3.2.7 Ataques no nível de aplicação
Você está lembrado da camada de aplicação do modelo OSI? Estes são os ata-
ques realizados a partir de vulnerabilidades em aplicações, protocolos e serviços
que funcionam na camada de aplicação do modelo OSI.
No site do Centro de Atendimento à Incidente de Segurança

SAIBA (CAIS) da Rede Nacional de Pesquisa (RNP) você vai encon-
trar uma tabela que lista as principais vulnerabilidades de
MAIS muitos aplicativos que funcionam na camada de aplicação.
Veja o endereço de acesso: <http://www.rnp.br/cais>.
segurança de redes
42
Quando um hacker consegue explorar estas vulnerabilidades, ele pode conse-

guir acesso ao host alvo com permissões da conta que executa a aplicação, muitas
vezes esta conta tem privilégios de administrador.
3.2.8 Quebra de senhas
Esta técnica consiste em descobrir as senhas de usuários através de programas

como, por exemplo, o John the Riper. Este programa consegue quebrar senhas
cifradas por algoritmos como MD4, MD5, Blowfish e DES.
Outra forma de quebrar senhas é através da técnica de

VOCÊ força bruta. Essa técnica consiste no método de tentati-
SABIA? va e erro com o uso de um banco de dados de palavras
de um determinado dicionário.
3.2.9 Port scanning
A técnica de port scanning consiste na utilização de ferramentas que obtêm

informações sobre quais portas de serviços estão abertas em um sistema. Desta
forma, o atacante não perde tempo em descobrir vulnerabilidades em serviços
que não estão sendo executados no host alvo.
Uma das ferramentas de port scanning mais utilizadas é o nmap. O nmap pode
ser utilizado para realizar auditorias em firewalls e em sistemas de detecção de
intrusão (IDS), além de detectar falhas que podem ser exploradas em ataques do
tipo DoS. O nmap pode ser usado também para identificar o sistema operacional
usado no host alvo.
Na sequência, alguns exemplos famosos, no Casos e relatos, sobre ataques so-
fridos no sistema de redes de computadores de algumas empresas. Vamos a eles!
43
CASOS E RELATOS
Ataques Famosos
1. Mitnick X Shimomura
No dia de Natal de 1994, Kevin Mitnick invadiu a máquina de Tsutomu
Shimomura (um dos maiores especialistas em segurança de redes do
mundo), utilizando técnicas como IP Spoofing e Finger, entre outras. O
ataque teve grande repercussão na mídia e Shimomura, sentindo-se ul-
trajado, jurou vingança. Em 15 de fevereiro de 1995, o FBI, utlizando apa-
relhos de localização telefônica e contando com a colaboração de Shimo-
mura, localizou e prendeu Mitnick que seria condenado a mais de 5 anos
de prisão por diversos crimes.
A história da maior caçada eletrônica de todos os tempos foi narrada nos
livros Best-Sellers: O jogo do fugitivo (de Jonathan Littman) e Contra-Ata-
que (de John Markoff e Tsutomu Shimomura).
2. Defense Information Systems Network (DISN)
Em abril de 1998, um grupo autodenominado Masters of Downloading in-
vadiu o DISN (Rede de Sistemas de Informações de defesa). O DISN controla
satélites militares vitais. Uma vez dentro, os crackers roubaram o software
personalizado que era a chave para a rede militar de satélites GPS (Global
Positioning System) dos Estados Unidos, utilizados para localizar com pre-
cisão ataques de mísseis, conduzir tropas e avaliar condições do terreno.
3. A marinha dos Estados Unidos e a NASA
Em abril de 1998, hosts tanto da marinha dos EUA como da NASA foram
alvos de ataques indiscriminados de recusa de serviço (Denial of Service).
Embora nenhum dado tenha sido perdido ou danificado, os hosts ficaram
indisponíveis durante alguns minutos e, em outros casos, por horas. Mui-
tos desses hosts eram centros de pesquisa militar e tecnológica críticos:
Ames Research Center, Dryden Flight Research Center, Goddard Space Flight
Center, Jet Propulsion Laboratory, Kennedy Space Flight Center, Langley Re-
search Center, Lewis Research Center, Marshal Space Flight Center, Moffett
Airfield (California), Quartel General da NASA, Stennis Space Center.
segurança de redes
44
1 macros
Macro é um conjunto 4. Ataque a um aeroporto

de comandos que
são executados para Em março de 1997, um cracker adolescente de Rutland, Massachussets,
automatizar uma
determinada tarefa. invadiu um aeroporto. Durante o ataque, a torre de controle do aeropor-
to e as instalações de comunicação foram desativadas por seis horas (o
departamento de incêndio do aeroporto também foi desativado). Foi in-
formado que a saúde pública e a segurança foram ameaçados pela inter-
rupção de energia, o que resultou na interrupção do serviço telefônico,
instalações relacionadas à segurança, serviço meteorológico, empresas
privadas de transporte aéreo de carga e o transmissor de rádio principal,
que está conectado à torre pelo sistema como um circuito que permite
que a aeronave envie um sinal elétrico para ativar as luzes da pista duran-
te a aproximação da aeronave. (LENTO, 2008, p. 46).
Espero que os relatos apresentados tenham contribuído para o entendimento

do conteúdo estudado.
Bem, vamos seguir com um novo assunto? Continue alerta!
3.3 As ameaças*
*O texto que segue é adaptado da cartilha de segurança para a Internet, de-

senvolvida pela Cert.br, mantido pelo NIC.br, com inteiro teor disponível em
<http://cartilha.cert.br/>.
Como você já aprendeu anteriormente, os hackers utilizam vulnerabilidades
existentes em sistemas computacionais, como por exemplo:
a) servidores de redes;
b) firewalls;
c) hosts internos;
d) hosts externos.
Tudo isto para invadir uma determinada rede de computadores!
É muito comum os hackers utilizarem ferramentas e softwares não desejados
para auxiliá-los em seu plano de ataque.
Chamamos de malware todos os tipos de softwares não desejados, como por
exemplo: vírus, worms, trojans, phishing, spam, rootkits, sniffers, etc.
Você verá a seguir conceitos destes softwares não desejados.
45
3.3.1 Vírus
Um vírus é um programa ou parte de um programa, que contém código ma-

licioso. Esse programa se propaga na rede e em outros computadores inserindo
várias cópias de si mesmo. Você sabia que o vírus é um programa que não pode
existir sozinho? É isso mesmo! Ele precisa de um arquivo hospedeiro para que
possa se tornar ativo e, posteriormente, possa continuar infectando outros com-
putadores.
Quer conhecer como um computador pode ser infectado por um vírus? Veja
a seguir:
a) abra arquivos infectados anexados em e-mails;
b) abra arquivos infectados do Word, Excel, etc;
c) abra arquivos por meio de compartilhamentos da rede que estejam infec-
tados;
d) instale programas de origem desconhecida obtidos através da Internet, e
mídias removíveis.
É muito comum que alguns vírus utilizem macros1 para serem executados.
Chamamos esses vírus de vírus de macro. Arquivos gerados por programas
como os da Microsoft, como por exemplo, o Word, Excel, PowerPoint e Access
estão mais sujeitos a estes tipos de vírus.
3.3.2 Cavalos de tróia
Cavalo de tróia ou Trojan Horse são programas que executam algumas tarefas
normais, como por exemplo, cartões virtuais, protetor de tela, jogos, etc. Mas qual
é o ponto negativo deste programa? O problema é que nestes programas são
anexados algum outro tipo de programa que executa outras tarefas maliciosas
segurança de redes
46
sem a permissão do usuário, ou seja, você instala um determinado jogo que bai-
xou da Internet e junto com este jogo você acaba instalando também um código
malicioso que deixa uma porta aberta para um futuro ataque do hacker sem sua
permissão.
Um cavalo de tróia pode instalar também em seu com-

VOCÊ putador um keylogger, screenlogger, backdoors, progra-
SABIA? mas que roubam senhas e números de cartões. Muitos
deles podem também alterar e apagar arquivos.
Um cavalo de tróia é diferente de um vírus justamente por não infectar outros

arquivos, nem propagar várias cópias de si mesmo automaticamente, como faz
um vírus. Um cavalo de tróia pode justamente conter um vírus junto com o pro-
grama que você instalou.
3.3.3 Adware e spyware
Adware vem da palavra Advertising Software, ou seja, Software de Publicidade

que consiste em realizar uma propaganda através de algum software instalado. É
muito comum adwares serem incorporados em softwares gratuitos como forma
de patrocínio.
Spywares são softwares que têm o objetivo de monitorar as atividades e hábi-
tos do usuário e, posteriormente, enviam estas informações para terceiros. Den-
tre as atividades realizadas por um spyware podemos citar as seguintes:
a) monitoramento de URLs acessadas pelo usuário;
b) alteração da página inicial;
c) varredura de arquivos;
d) monitoramento das teclas digitadas ou regiões da tela próximas ao clique
do mouse;
e) captura de números de cartões de créditos;
f) captura de diversos tipos de senhas.
FIQUE Seja cuidadoso com suas senhas, pois é por meio de mui-
tos Spywares que os hackers descobrem senhas de ban-
ALERTA cos.
47
3.3.4 Backdoors
Você pode observar nas técnicas de ataque que, nem sempre, invadir um de-
terminado host é uma tarefa fácil de ser realizada. Para facilitar o retorno a este
host invadido, muitos hackers instalam programas que facilitam o retorno do ata-
cante ao host invadido, chamamos este programa de Backdoor.
Nem sempre um computador precisa ser invadido para

VOCÊ possuir um backdoor, muitas vezes eles são instalados
através de cavalos de tróia ou através de um programa
SABIA? de acesso remoto mal instalado ou configurado errada-
mente.
3.3.5 Keyloggers e screenloggers
Estes programas têm a função de capturar e armazenar a digitação de teclas

em um computador, como por exemplo, textos de e-mails, informações de impos-
to de renda e, principalmente, senhas de contas bancárias e números de cartões
de crédito. Novamente a instalação destes programas no computador é realizada
através de cavalos de tróia.
Os screenloggers são programas que têm a mesma função dos keyloggers. Sabe
qual a diferença entre eles? Bem, a grande diferença é que os screenloggers cap-
turam a posição do cursor e a tela apresentada no monitor no momento em que
o mouse é clicado.
Esta técnica é utilizada pelos hackers em bancos que usam o teclado virtual
para digitação de senhas. Estas informações podem ser enviadas automatica-
mente através de rotinas do próprio programa.
Hemera ([20--?])
segurança de redes
48
3.3.6 Worms
Pode ser qualquer software que geralmente contém código malicioso e se pro-
paga entre computadores conectados em rede. O Worm se diferencia de um vírus
justamente por não ser necessária a sua execução através de uma intervenção
humana, ou seja, eles podem se autoexecutar.
Você sabe como são propagados? Geralmente são propagados através de fa-
lhas e vulnerabilidades em softwares existentes nos computadores. Podemos di-
zer que se trata de um supervírus, que pode acarretar em grandes transtornos ao
administrador da rede em questão.
Devido à sua capacidade de criar várias cópias de si mesmo, um Worm pode
facilmente degradar o desempenho de uma rede consumindo muitos recursos
de largura de banda.
3.3.7 Botnets
Muitos hackers infectam computadores usando programas com características

de um Worm e uma característica adicional de se comunicar com o computador
do invasor. Desta forma, o computador invadido poderá ser controlado remota-
mente pelo hacker. Chamamos estes programas de BOT.
Os computadores infectados com programas BOTs são simplesmente cha-
mados de computadores BOT e os hackers podem usar estes BOTs para realizar
ataques a um outro alvo, como por exemplo, uma negação de serviço (DOS). O
hacker poderá também usar este computador BOT para roubar informações que
possam ser valiosas para ele ou, até mesmo, para enviar spam.
Você quer saber o que é uma botnet? Acompanhe!
Botnets são redes criadas através da união de centenas ou até milhares de
computadores bots. Se os estragos que podem ser realizados por um hacker utili-
zando um computador bot podem ser grandes, imagine um hacker que controla
uma botnet inteira?
Podemos chamar isso de um ataque de negação de serviço distribuído (DDoS).
VOCÊ Uma botnet também pode ser chamada de Redes ZUM-

SABIA? BI.
49
3.3.8 Rootkits
O conjunto de programas que é responsável por garantir o retorno a um com-

putador invadido pelo hacker é chamado de Rootkit. Através desta técnica o ha-
cker facilita o retorno ao computador invadido.
Veja o os programas contidos em um Rootkit:
a) backdoors;
b) removedores de atividades em logs;
c) sniffers de rede;
d) scanner para mapeamento de vulnerabilidades.
3.3.9 Sniffer
Sniffer é o nome dado a um determinado software ou programa que tem como

objetivo capturar pacotes que trafegam através de um segmento de rede. Desta
forma, ajudam o administrador da rede a realizar uma análise do tráfego, detectar
e resolver problemas na rede e, até mesmo, observar possíveis pontos de degra-
dação no desempenho da rede.
Você lembra o conceito de domínio de colisão? De qualquer forma, para refor-
çar: significa um ambiente de rede em camada 2, em que os dados são criados e
podem colidir uns com os outros.
Um sniffer tem sua atividade resumida dentro de um domínio de colisão, sen-
do assim, com as trocas de hubs por switches devido à boa relação custo x bene-
fício dos switches, o tráfego precisa ser monitorado em cada domínio de colisão.
Atualmente, existem muitos exemplos de sniffers, como o wireshark, TCPdump,
snort e uma versão para redes wireless, chamada de airsnort. Os sniffers são
excelentes ferramentas para uso dos administradores de rede. Você está sendo
apresentado a esta ferramenta na seção de “Ameaças” justamente pelo fato de
os hackers usarem a mesma para colher informações de um segmento de rede e,
desta forma, capturarem senhas, logins, etc.
3.3.10 Spam
Spams são mensagens de e-mails enviados para um grande grupo de destina-

tários que contém, geralmente, propagandas comerciais. É interessante ressaltar
que estas mensagens não são solicitadas pelas pessoas que as recebem, ou seja,
são enviadas sem a devida permissão.
segurança de redes
50
VOCÊ Atualmente, os hackers estão utilizando a prática de

spamming como meio de disseminação e ferramenta de
SABIA? apoio no envio de vírus e fraudes on-line.
A quantidade de envio de spams aumentou tanto que hoje os spams são ditos
como a grande ameaça para a evolução da Internet como meio de comunicação
e negócios.
Hemera ([20--?])
O conjunto de links, listados a seguir, irá complementar o

estudo abordado nesta etapa da aprendizagem. É importan-
te você dar uma olhada!
<www.esecurityonline.com>;
SAIBA
MAIS <www.nessus.org>;
<www.free-av.com>;
<www.rnp.br/cais>;
<www.cert.org>.
Você pôde observar que são vários os tipos de ameaças que uma rede de com-
putadores está sujeita.
Você já se perguntou como proteger sua rede destas ameaças? Boa pergunta,
não é mesmo!
Confira a próxima etapa de estudo para ajudá-lo com esta questão.
51
Recapitulando
Nesta etapa você estudou quem são os potenciais invasores potenciais

de uma rede de computadores. Verificou também os tipos de ataques e
alguns exemplos de casos de ataques.
Por último, analisou as principais ameaças a uma rede de computadores.
No próximo estudo, o foco de sua aprendizagem serão os mecanismos
de segurança em redes de computadores.
Mecanismos de Segurança em Redes de
Computadores
Neste momento do estudo, você vai aprender a importância de instalar e manter um bom
antivírus em seu computador e nos computadores de uma rede. Você vai aprender também a
importância da existência de Firewalls, Proxys, IDSs e IPSs para garantir a segurança de uma rede
de computadores.
Agora você irá aprender a proteger uma rede de computadores. Aproveite bem este mo-
mento e, ao final, você terá subsídio para:
a) conhecer os principais mecanismos de segurança a serem utilizados em uma rede de
computadores.
Podemos prosseguir e continuar a descobrir informações relevantes para seu crescimento
profissional?
segurança de redes
54
4.1 Antivírus
Você estudou anteriormente os diversos tipos de ameaças ao qual um com-

putador ou uma rede de computadores pode estar sujeita, como por exemplo,
vírus, worms, cavalo de tróia, etc. Uma das formas de se proteger destas ameaças
é possuir um bom antivírus instalado em seu sistema computacional.
Antivírus é um programa que tem como objetivo principal detectar, anular
e remover vírus de computador. Como você já verificou, um computador pode
estar ameaçado por vários tipos de softwares com códigos maliciosos (malware)
e não somente ameaçado por um vírus.
Atualmente, um bom programa antivírus deve proteger um sistema compu-
tacional não somente de um vírus de computador, mas sim, de qualquer tipo de
malware.
Você sabe que basicamente poderá ter dois tipos de programas antivírus em
uso na sua rede de computadores? Quer conhecer quais são? O primeiro e mais
comum é o antivírus para desktop. O segundo é o antivírus para servidor. Veja a
seguir a diferença entre eles.
Antivírus para desktop – É aquele antivírus mais comum de ser utilizado em
nossos computadores. Ele é instalado em cada computador existente em sua
rede e precisa ser atualizado individualmente em cada um destes computadores.
Agora, imagine se sua rede possuísse uma quantidade grande de computadores,
o trabalho para realizar a atualização de todos estes antivírus seria bem grande,
sem contar a quantidade de tráfego na Internet que seria necessário para atua-
lizar cada computador com a mesma base de dados de atualização do antivírus.
Antivírus para servidor – Este antivírus resolve o problema mencionado an-
teriormente, ou seja, em casos de redes com uma quantidade considerável de
computadores para realizar as atualizações. Neste tipo de situação, você pode
instalar um programa antivírus em um ou em todos os servidores de sua rede,
garantindo assim, um nível de segurança para os seus servidores de rede. As es-
tações da sua rede estariam protegidas através de um programa antivírus do tipo
cliente, ou seja, elas seriam atualizadas através do servidor que tem o programa
antivírus instalado e, sendo atualizado periodicamente através da Internet. Desta
maneira, o administrador da rede precisa se preocupar em atualizar a base de
dados de vírus somente dos servidores. Logo em seguida, o administrador ou o
próprio programa antivírus insere uma rotina para que esta atualização seja re-
passada a todas as estações da rede automaticamente.
Os antivírus para desktop são facilmente encontrados na Internet gratuita-
mente, como por exemplo, o AVG, Avast, Avira, Panda, BitDefender, entre outros.
No caso dos antivírus para servidores fica mais difícil encontrar opções gratuitas
confiáveis, sendo mais comuns as instalações dos fabricantes Symantec e McAfee.
4 Mecanismos de Segurança em Redes de Computadores
55
Muitos fabricantes de antivírus gratuitos possuem suas versões para servidores

através do pagamento de licença de uso, com um nível de segurança bastante
satisfatório.
Além de um bom programa antivírus instalado e sempre atualizado você irá
precisar de programas que mantenham sua rede protegida de spams, spywares,
rootkits, backdoors, etc. Muitos programas antivírus integram esta segurança com
versões mais completas, como é o caso do AVG Internet Security e o Symantec En-
terprise Security Manager.
FIQUE Lembre-se: não adianta somente ter um programa antiví-

rus instalado. Você precisa manter o mesmo sempre atua-
ALERTA lizado.
4.2 Firewall/Proxy
Atualmente, qualquer rede de computadores possui uma conexão com a

Internet para que seja possível a troca de informações entre a rede privada ou
interna com a rede pública ou externa. Dificilmente uma rede de computador
estará isolada do mundo externo. Com o passar dos anos, a quantidade de troca
de informações entre redes privadas e públicas cresceu muito em volume. Você já
verificou, nas etapas anteriores, que a Internet é um local bastante perigoso onde
você pode encontrar vários tipos de ameaças. Estas ameaças estarão em contato
com sua rede privada no momento em que sua rede de computador se conectar
com este mundo externo.
Para que as ameaças existentes neste mundo interligado sejam minimizadas,
vários dispositivos de segurança foram desenvolvidos, entre estes dispositivos
encontra-se o firewall. Um firewall pode ser definido como um dispositivo que
cria uma barreira entre uma rede interna e uma rede externa com a finalidade de
evitar possíveis ataques oriundos desta rede externa.
Desta forma, o firewall torna-se um importante mecanismo de segurança que
protege os recursos de hardware e software de uma rede de computadores.
Você saberia dizer o que devemos proteger com o firewall? Que pergunta inte-
ressante e útil, não é mesmo?
Bem, como você já verificou, a função do firewall é proteger. Mas para isso,
você precisa saber “o que” proteger. No momento em que sua rede se conecta à
Internet, põe-se em risco três coisas.
segurança de redes
56
a) Dados: São as informações armazenadas nos computadores da rede a qual

você é o responsável. Para proteger estes dados, você deve garantir os prin-
cípios básicos da segurança da informação que aprendemos lá no início do
estudo. Está lembrado?
O CID - Confidencialidade – Integridade – Disponibilidade.
b) Recursos: São os próprios computadores de sua rede. Também podemos
citar os ativos de sua rede como roteadores e switches. Você deve evitar da-
nos lógicos aos equipamentos da rede. O roubo de processamento também
é muito comum e você deve se proteger quanto a isso.
c) Imagem da empresa: Imagine como ficaria a imagem da empresa no caso
de o site desta empresa ser redirecionado para um site pornográfico. Quem
é o responsável por esta rede de computadores? Sim, você técnico em segu-
rança de redes poderá ser responsabilizado.
Você sabe o que o firewall pode fazer para proteger os dados, recursos e ima-
gem da empresa?
O firewall pode restringir o acesso de usuários que se encontram na rede ex-
terna a acessar a rede interna. Ele pode também prevenir contra diversos tipos
de ataques bloqueando endereços e portas. O firewall pode também restringir o
acesso de usuários internos à rede externa, como por exemplo, bloquear alguns
tipos de sites pornográficos e de redes sociais.
Todo tipo de tráfego que entra ou sai da rede interna deve passar e ser anali-
sado pelo firewall. É nele que estarão implementadas todas as regras e listas de
controle de acesso que irão permitir ou negar o tráfego desta informação.
Figura 6 - Posicionamento do firewall

57
Você pode observar na figura que o firewall é o dispositivo que além de ana-
lisar o tráfego, separa e delimita a rede interna da rede externa. O firewall não
necessariamente é um único dispositivo, geralmente ele é um conjunto de har-
dware com um software adequado. Muitas soluções oferecem o firewall na forma
de um único dispositivo.
O firewall pode ser adquirido de um fabricante específico como no caso de
alguns firewalls como Symantec Gateway Security da Symantec, o ASA da Cisco Sys-
tem, o ISA Server da Microsoft, o Firewall AKER da empresa brasileira AKER, entre ou-
tros. O mais interessante é que para reduzir custos você pode criar o seu próprio
firewall corporativo, utilizando um computador com uma distribuição de sistema
operacional Linux. Para isso, você vai usar o IPTABLES como software para criar as
regras de controle de acesso.
FIQUE Lembre-se de que o computador precisa ter um hardware

robusto para atender a necessidade de estar em funciona-
ALERTA mento 24 horas por dia e 365 dias por ano.
4.2.1 Arquiteturas de firewall
As arquiteturas de firewall mais conhecidas e utilizadas são a Dual-homed host,

Screened host e Screened subnet. Podemos também usar arquiteturas que fogem
um pouco deste padrão.
A Dual-homed host é uma arquitetura bastante simples, geralmente utilizada
em empresas de pequeno porte. Consiste de um equipamento com duas inter-
faces de rede, onde uma interface está conectada com a rede pública (ou seja, a
Internet), e a outra interface está conectada à rede privada (ou seja, a rede local
da empresa). A disponibilidade desta arquitetura estará comprometida no caso
de falha no firewall. Veja a figura a seguir:
segurança de redes
58

Figura 7 - Arquitetura Dual-homed host
A arquitetura Screened host é composta por um filtro de pacotes e um bastion

host. No filtro de pacotes encontram-se as regras que permitem acesso à rede
interna apenas por intermédio do bastion host. Todo o tráfego para rede interna
passará por ele. O mesmo deve acontecer com o tráfego interno para a rede ex-
terna. Para aumentar o nível de segurança, filtros de pacotes devem existir tam-
bém nos bastion hosts. Assim, estaria sendo criado um firewall híbrido. A figura
demonstra com mais detalhes a arquitetura Screened host. Confira!
Figura 8 - Arquitetura Screened host

59
Um problema que poderá existir nesta arquitetura é que, se o bastion host for
comprometido, o invasor já estará dentro da rede interna da organização. Ou-
tro problema é que o filtro de pacotes e o bastion host formam um único ponto
de falha, de modo que, se ele for atacado, a comunicação da organização com a
Internet ficará comprometida e a rede interna ficará a mercê do invasor. (NAKA-
MURA, 2003).
Que muitas empresas utilizam a arquitetura Screened

VOCÊ subnet implementada como segurança? Muitas vezes
SABIA? as arquiteturas podem ser mescladas entre os diversos
tipos disponíveis.
A arquitetura Screened subnet se diferencia das outras por adicionar mais se-
gurança no sistema de firewall através do uso de uma DMZ. A DMZ (zona desmili-
tarizada) é uma rede que fica situada entre a rede local e a Internet, ou seja, entre
uma rede confiável e outra rede não confiável.
Você sabe qual a principal função desta rede? É manter todos os serviços que
possuem acesso externo separados da rede local, assim, limita-se o risco de in-
vasores. Nesta arquitetura, o bastion host fica localizado dentro da DMZ, ou seja,
caso um invasor tenha acesso ao bastion host, ele não terá acesso à rede interna,
pois, filtros internos não permitem acesso do bastion host para a rede interna.
Com a utilização de filtros internos e externos o sistema torna-se mais seguro e
confiável.
Figura 9 - Arquitetura Sreened subnet

segurança de redes
60
Em ambientes de redes mais complexos em que seja necessário certo grau

de redundância e alta necessidade de segurança você pode optar por uma ar-
quitetura do tipo Screened Subnet independentes, neste tipo de arquitetura são
utilizadas duas topologias Screened Subnet iguais e independentes uma da outra.
Veja a figura a seguir:

Figura 10 - Arquitetura composta de duas Screened subnet.
Para entender melhor, na prática, a arquitetura de firewall, acompanhe o Casos

e relatos a seguir.
CASOS E RELATOS
Arquitetura de Firewall
Felipe é o responsável pelo setor de informática de uma empresa em que
problemas de invasão a servidores internos vêm ocorrendo regularmen-
te. Após estudar sobre os tipos de arquitetura de firewall no curso técnico
de redes do SENAI, Felipe observa que a arquitetura de firewall utilizada
na empresa atualmente é a Arquitetura Screened host.
Felipe observa então que, com este tipo de arquitetura, o servidor WEB
da empresa está localizado na mesma rede do servidor de arquivos. Ele
percebeu também que as listas de controle de acesso usadas no rote-
ador não estão atendendo às necessidades. Felipe resolve então trocar
a arquitetura de firewall para uma Arquitetura Screened Subnet, onde o
servidor de WEB ficará localizado na DMZ.
Com estas ações, Felipe espera solucionar o problema de acessos indevi-
dos ao servidor de arquivos interno.
61
Então, o que achou do exemplo apresentado? Percebeu que é fundamental

entender as diferenças entre as estruturas de firewall e saber em que situações
utilizá-las?
Vale lembrar que você vai compreendendo cada vez mais sobre esse e outros
assuntos conforme for colocando os seus conhecimentos em prática.
Até o próximo tópico!
4.2.2 Tipos de Firewall
Quer conhecer este assunto no detalhe? Quer, não é mesmo? Afinal de contas
ele é de grande valia para a proteção de uma rede de computadores. Iniciaremos
a abordagem pelo filtro de pacotes.
Filtro de Pacotes
Sistemas de filtragem de pacotes roteiam pacotes entre máquinas internas e
externas de forma seletiva. As regras de admissão ou bloqueio de pacotes baseia-
-se na política de segurança implementada pela empresa. O componente que
realiza a filtragem de pacotes geralmente é um roteador dedicado, mas também
pode ser um host de propósito geral configurado como roteador, e recebe a de-
nominação de screening router. O processo de filtragem de pacotes acarreta num
overhead no sistema; onde numa situação de alto tráfego torna-se necessário que
se utilize um roteador com uma velocidade de processamento compatível.
Figura 11 - Firewall de filtro de pacotes

segurança de redes
62
A filtragem de pacotes que a maioria dos screening routers realiza é baseada

no:
a) endereço IP de origem;
b) endereço IP de destino;
c) protocolo: se o pacote é TCP, UDP ou ICMP;
d) portas TCP ou UDP de origem;
e) portas TCP ou UDP de destino;
f) tipo da mensagem ICMP;
g) tamanho do pacote.
A filtragem de pacotes não examina nenhum protocolo acima do nível de
transporte, isto é, não é tomada nenhuma decisão baseada no conteúdo dos pa-
cotes, ou seja, nos dados dos pacotes propriamente ditos. Esta tarefa, nível de
aplicação, fica com o application gateways (proxy servers). Logo, qualquer falha
de segurança no nível de aplicação não pode ser evitada utilizando somente um
filtro de pacotes.
Você quer entender como um filtro de pacotes trabalha? Então observe a dife-
rença entre um ordinary router e um screening router:
Ordinary router – busca simplesmente o endereço de destino de cada pacote,
verificando o melhor caminho para o seu encaminhamento. A decisão de como
manipular o pacote está baseada no seu endereço de destino.
Existem duas possibilidades:
a) roteador sabe onde enviar o pacote e então o faz;
b) roteador não sabe para onde enviar o pacote, descarta-o e envia uma men-
sagem ICMP de erro.
Screening router – verifica se o pacote atende as suas regras de filtragem con-
forme a política de segurança, antes de ser roteado.
Conheça as vantagens de se utilizar a filtragem de pacotes:
a) um screening router pode ajudar a proteger toda uma rede – a colocação
estratégica no canal de acesso à Internet é fundamental para o sucesso da
segurança;
b) a simples filtragem de pacotes é extremamente eficiente, porque requer
atenção somente em poucos campos do cabeçalho do pacote (ex: endereço,
protocolo), ocasionando um baixo custo de processamento;
c) a filtragem de pacotes está amplamente disponível em produtos de rotea-
mento (tanto em hardware quanto em software).
63
Agora as desvantagens de se utilizar a filtragem de pacotes:

a) as ferramentas de filtragens não são perfeitas – difíceis de configurar e tes-
tar; são incompletas em relação à implementação de regras mais complexas;
b) a filtragem de pacotes reduz o desempenho dos roteadores;
c) a existência de incompatibilidade do cumprimento de algumas regras de
filtragem por roteadores mais simples (com uma quantidade menor de re-
cursos de hardware e software).
Stateful packet filter
Os firewalls que trabalham com características de filtro de pacotes baseados
em estados tomam suas decisões de filtragem avaliando dois elementos:
a) as informações existentes no interior do cabeçalho dos pacotes de dados,
justamente como faz o filtro de pacotes;
b) uma tabela de estados que contém justamente o estado de cada conexão
estabelecida.
A grande diferença entre o filtro de pacotes e o filtro de pacotes baseado em
estado é que na utilização do Firewall Stateful o estado das conexões é sempre ve-
rificado, sendo possível que a permissão ou a negação do tráfego sejam definidas
de acordo com o estado de conexões que foram estabelecidas anteriormente e
mantidas em sua tabela de estados.
Note as vantagens de se utilizar a filtragem de pacotes baseada em estado:
a) abertura apenas temporária no perímetro da rede;
b) baixo overhead/alto desempenho da rede;
c) aceita quase todos os tipos de serviços.
Observe também as desvantagens de se utilizar a filtragem de pacotes basea-
do em estado:
a) permite a conexão direta para hosts internos a partir de redes externas;
b) não oferece autenticação do usuário, a não ser via gateway de aplicação.
Proxy
Os serviços de proxy são programas de aplicações especiais ou programas
servidores que recebem de clientes, requisições de serviços da Internet (HTTP,
FTP, etc), analisando-as e redirecionando estas requisições, caso aceitas, para os
servidores Internet que irão prover os serviços solicitados. Com isso, os proxies
substituem as conexões diretas entre clientes e servidores Internet, agindo como
um gateway entre os serviços (conhecido como gateways de nível de aplicação).
Essa funcionalidade possibilita o mascaramento do cliente e de sua rede, porque
segurança de redes
64
o servidor Internet não estabelecerá a conexão direta com o cliente e sim com o
proxy.
Os proxies, além de tornar a rede mais segura, podem também torná-la com
maior desempenho. Essa eficiência vem com base na utilização do mesmo como
cache de informações solicitadas pelo cache. Essa vantagem possibilita que caso
múltiplas máquinas solicitem o mesmo dado, esse poderá estar disponível no
proxy, ocasionando um melhor desempenho, porque reduzem o tráfego na rede,
em virtude da redução do número de conexões solicitadas. Normalmente, os apli-
cativos proxy oferecem tanto a funcionalidade de cache quanto a de mascara-
mento da rede do cliente.
Você sabe como os serviços de proxy trabalham? Ficou curioso? Veja a seguir.
Os serviços proxy necessitam de dois componentes: o servidor proxy e o cliente
proxy. O servidor proxy recebe as requisições do cliente proxy, realiza uma avalia-
ção das mesmas, e decide quais serão aprovadas ou negadas. Caso a requisição
seja aceita, o servidor realiza a conexão com o servidor de web, e encaminha a
solicitação do cliente para o mesmo. Desta forma, o servidor proxy controla quais
usuários podem acessar o quê. Programas de aplicação proxy mais sofisticados
podem admitir diferentes regras para diferentes máquinas, ao invés de manter as
mesmas regras na mesma máquina. Luiz Meneghel (2011)
Figura 12 - Funcionamento do Proxy
Vantagens de se utilizar o proxy:

a) são úteis na manutenção de dados para o log de informações sobre as cone-
xões aos serviços Internet;
b) são úteis na utilização de cache de informações;
65
c) podem realizar filtragem inteligente;

d) podem realizar autenticação em nível de usuário;
e) oferecem proteção automática para as implementações IP.
Desvantagens de se utilizar o proxy:
a) podem necessitar de servidores diferentes para cada serviço;
b) os serviços oferecidos por proxy ocasionam um certo atraso na realização
dos mesmos.
Firewalls internos
VOCÊ A utilização de firewalls não é exclusiva para proteger

a rede interna da rede externa. Você pode precisar
SABIA? proteger partes da rede interna de outras partes.
Existem algumas razões para a utilização de firewalls internos: quer saber quais
são? Acompanhe:
a) isolar redes de laboratório ou de testes;
b) isolar segmentos de rede acadêmicas ou para eventos;
c) isolar segmentos de rede voltados a desenvolvimentos de projetos sensí-
veis;
d) isolar segmentos de rede sem fio que geralmente são menos seguros.
Observe a figura a seguir que demonstra a utilização de um firewall separando
a rede local cabeada da rede local sem fio.
Figura 13 - Firewall separando a rede cabeada da rede sem fio.

segurança de redes
66
Firewalls Híbridos
Firewall híbrido é aquele que mistura as funcionalidades dos firewalls citados
anteriormente, ou seja, garante proteção aos serviços que exigem alto grau de
segurança com o uso do proxy e garante um nível de segurança para os serviços
em que o desempenho é muito importante, com o uso do filtro de pacotes e do
filtro de pacotes com estado. Desta forma, tráfegos como os originados por uma
conexão de Telnet serão verificados pelo filtro de pacotes, enquanto que tráfegos
originados de uma conexão FTP serão verificados pelo proxy.
Atualmente, a maioria dos firewalls corporativos utili-

VOCÊ zam firewalls híbridos, desta forma, as melhores caracte-
SABIA? rísticas de cada tipo de firewall são aplicadas de acordo
com o serviço específico.
Você saberia dizer o que um firewall pode realizar?Acompanhe.

a) Um foco para as decisões de segurança – ele é um ponto de estrangulamen-
to (verificação) – check point, em que todo o tráfego que chega e sai da rede
interna passa por este ponto:
O firewall aumenta sensivelmente o grau de segurança da rede, porque ele
possibilita concentrar as medidas de segurança num ponto. Analisando desta
forma, é mais eficiente trabalhar assim do que espalhar decisões de segurança e
tecnologias em volta da rede.
Apesar dos firewalls custarem algumas dezenas ou centenas de milhares de
reais para serem implementados, a maioria das empresas (sites) consideram mais
barato concentrar esforços de hardware e software em um firewall a despender
recursos em outras medidas de segurança.
b) Força a aplicação da política de segurança – exerce a função da polícia do
tráfego da rede.
Força a política de segurança do site, admitindo somente que serviços autori-
zados passem, e dentro de regras pré-estabelecidas.
c) Gerencia eficientemente as atividades na Internet – isto deve-se ao fato de
que todo o tráfego passa pelo firewall, possibilitando um bom local para a
coleta de informações sobre o sistema e sobre o uso da rede.
d) Limita a exposição da rede – pode ser utilizado para manter uma seção da
rede separada de outra seção.
Agora vamos analisar o que um firewall não pode realizar.
67
a) Não pode proteger contra usuários internos mal intencionados – nada ele
pode fazer contra danos de hardware, software, cópias de dados, etc. Faz-se
necessário uma política para a proteção das máquinas internas.
b) Não pode proteger a empresa de conexões que não passam por ele – um
exemplo é a utilização de acessos discados sem passar pelo firewall.
c) Não protege contra novas ameaças – ele é projetado para as ameaças co-
nhecidas. Logo, nenhum firewall pode, automaticamente, se defender de
novas ameaças.
d) Não protege contra vírus – o firewall não mantém os vírus de computado-
res fora da rede. É uma verdade dizer que os firewalls varrem o tráfego que
chega à rede e nem sempre oferecem proteção contra vírus. Isto se deve ao
fato de que reconhecer um vírus num pacote aleatório, passando via firewall
é muito difícil. Necessita de:
a) reconhecer que o pacote é parte de um programa;
b) determinar a qual programa ele pode pertencer;
c) determinar qual mudança no programa é realizada por causa do vírus.
e) Não pode ser configurado automaticamente – ele necessita de toda uma
configuração realizada pelo gerente de segurança. A sua má configuração
consiste numa sensação de falsa segurança.
4.2.3 Projetando um Firewall
O firewall consiste em um conjunto de componentes organizados de forma a

garantir certos requisitos de segurança. Algumas definições são importantes:
a) Packet filtering – é a ação de controle seletivo do fluxo de dados que chega
e sai da rede, realizada por dispositivos da rede. Os filtros de pacotes ad-
mitem ou bloqueiam pacotes, normalmente enquanto eles são roteados de
uma rede para a outra (na sua maioria, da Internet para a rede interna e vice-
-versa). Para realizar a filtragem de pacotes é necessária a implementação
de regras que especificarão os tipos de pacotes que serão admitidos e os
que serão bloqueados. Os dispositivos de filtragem podem ser roteadores,
bridges ou hosts.
b) Bastion host – é uma máquina que deve ser altamente segura, porque ela é
vulnerável a ataques. Essa vulnerabilidade deve-se ao fato dela estar exposta
à Internet e ser o principal ponto de contato para os usuários da rede interna.
segurança de redes
68
1 Anômalas c) Perimeter network – é a rede colocada entre a rede protegida e a rede ex-
terna, com o objetivo de ser uma camada adicional de segurança. A perime-
Algo irregular e anormal.
ter network é chamada de DMZ (De-Militarized Zone).
d) NAT(Network address translation) – consiste em um procedimento no
qual o roteador realiza mudanças nos endereços de rede do pacote. Essa
técnica possibilita esconder os endereços do segmento interno da rede, e
a conexão à Internet de uma grande quantidade de máquinas, fazendo uso
de uma quantidade pequena de endereços válidos, ou fazendo uso de en-
dereços administrativos. Normalmente, essa técnica faz parte do firewall de
uma empresa.
Você chegou ao final de mais uma etapa de estudos. Quantas informações im-
portantes você tomou conhecimento agregando ao seu aprendizado! Lembre-se
de utilizá-las, sempre que possível, nas suas atividades profissionais.
Preparado para seguir adiante?
4.3 IDS/IPS
Com o objetivo de aumentar o nível de segurança de uma organização você

pode utilizar um sistema de detecção de intrusão. Com isso, muda-se o enfoque
de uma segurança apenas baseada em firewall para um sistema de segurança
mais avançado. A figura abaixo demonstra as funções desempenhadas pelo IDS.
Funções do IDS
Figura 14 - Funções do IDS

Fonte: Nakamura (2003)
Assim, um sistema de detecção de intrusão, que tem como objetivo detec-

tar atividades suspeitas, impróprias, incorretas ou anômalas1, é um elemento im-
69
portante dentro do sistema de segurança da empresa. Além de ser crucial para

a segurança interna, o IDS pode detectar ataques que são realizados por meio
de portas legítimas permitidas e que, portanto, não podem ser protegidas pelo
firewall. (NAKAMURA, 2003).
Você estudará as funcionalidades de três tipos de IDS:
a) baseado em host (Host-Based Intrusion Detection System (HIDS)),
b) baseado em rede (Network-Based Intrusion Detection System (NIDS))
c) IDS híbrido (Hybrid IDS).
O HIDS realiza o monitoramento baseando-se em informações de arquivos de
registros ou de agentes de auditoria, podendo ainda basear-se nas informações
de registro do sistema. Dentre os elementos que HIDS pode monitorar, destaca-
mos os acessos e alterações em arquivos de sistema, modificações nos privilégios
de usuários, processos do sistema, programas em execução, uso de CPU e a de-
tecção de port scanning.
Já o NIDS realiza o monitoramento de eventos no tráfego de um determina-
do segmento de rede. Para isso, a interface de rede atua em modo promíscuo.
Um exemplo bastante conhecido de NIDS é o snort, o qual realiza verificações
eficientes contra ataques como port scanning, IP spoofing ou SYN flooding e buffer
overflow.
VOCÊ Uma característica importante do NIDS é a sua capacida-

SABIA? de de detectar ataques na rede em tempo real.
Como a interface de rede atua em modo promíscuo no mesmo segmento de

rede de um servidor atacado, por exemplo, este dispositivo pode capturar os pa-
cotes referentes ao ataque, analisar e responder ao ataque, praticamente ao mes-
mo tempo em que o servidor é atacado. (NAKAMURA, 2003).
O Hybrid IDS reúne os pontos fortes do HIDS e do NIDS para garantir um maior
nível de segurança para uma determinada organização, oferecendo uma melhora
na capacidade de detecção de intrusão.
O administrador de rede, ao tomar conhecimento de um

FIQUE ataque através da utilização de um IDS, poderá analisar
ALERTA qual procedimento será tomado, tendo como base a polí-
tica de segurança da organização.
segurança de redes
70
Outra maneira de auxiliar o administrador de rede seria a utilização de um sis-

tema de prevenção de intrusão. Esse sistema atua como um IDS e firewall juntos,
pois através da análise de pacotes, o IPS poderá proibir que este pacote chegue
até um servidor, por exemplo.
Você sabia que a simples decisão de adotar o uso de IDS em uma organização
pode se tornar uma tarefa complicada? É verdade, pois isso irá exigir do admi-
nistrador de rede um profundo conhecimento da topologia de rede. Problemas
relacionados com o uso de redes comutadas, redes de alta velocidade, SSL e IPSec
demandam um planejamento adequado por parte do administrador. (NAKAMU-
RA, 2003).
Um ponto a ser observado é a localização do IDS/IPS na rede. Esse dispositivo
poderá ser utilizado em diversos pontos da topologia da rede, ou seja, dependen-
do do nível de informações a serem detectadas por esses dispositivos. Acompa-
nhe na figura a seguir.
Figura 15 - Localização do IDS/IPS
A figura apresentada é um exemplo de localização de IDS/IPS. Muitos outros

exemplos de topologia poderiam ser citados. O que você deve observar é o nível
de informações que você precisa para garantir um nível satisfatório de segurança.
71
Quer aperfeiçoar seu conhecimento a respeito dos tópicos

desta etapa de estudo? Acesse o conjunto de links a seguir:
<www.amavis.org>;
SAIBA <www.nessus.org>;
MAIS
<www.rnp.br/newsgen/9909/ids.html>;
<www.rnp.br/newsgen/0103/filtros.html>;
<www.snort.org>.
Lembre-se de que apenas um tipo de mecanismo de segu-

FIQUE rança não garante que a rede que você administra esteja
ALERTA segura. Para garantir um maior nível de segurança, os me-
canismos de segurança devem ser aplicados em conjunto.
Aqui você finaliza mais um estudo. Continue explorando as informações dis-

poníveis e sempre que necessitar, retome os conteúdos vistos anteriormente!
Recapitulando
Nesta etapa, você conheceu os principais mecanismos de segurança utili-

zados em redes de computadores. Primeiro, você estudou a importância
de utilizar um bom antivírus e mantê-lo sempre atualizado. Depois, você
verificou como é fundamental um firewall e proxy em uma rede. E por
fim, você aprendeu os conceitos de IDS e IPS. Prepare-se para o próximo
capítulo: O uso da Criptografia!
O Uso da Criptografia
Nesta etapa de aprendizagem, você aprenderá os conceitos básicos de criptografia simétri-

ca e assimétrica, bem como, conceitos de assinatura digital. Por último, você vai compreender a
importância da ICP Brasil e do protocolo SSL na comunicação segura pela Internet.
Que ilustrativo será este momento de estudo! Ao término do assunto sobre criptografia
você terá subsídio para:
a) compreender a importância da utilização da criptografia como técnica na segurança de
redes de computadores.
Preparado? Então, vamos iniciar a exploração deste conteúdo.
segurança de redes
74
5.1 A técnica da criptografia
Você sabe no que consiste a criptografia?

É uma técnica bastante antiga que consiste em tornar informações sigilosas
em informações ilegíveis para pessoas que não têm autorização de acesso a estes
dados, sendo assim, criptografia pode ser definida como a técnica de escrever em
códigos e transformar textos legíveis em ilegíveis e vice-versa.
Desde os tempos antigos, a técnica da criptografia vem sendo utilizada para
armazenar e transportar informações, como por exemplo, fórmulas secretas,
mensagens entre exércitos, entre outros.
Para que uma informação seja criptografada serão necessários quatro compo-
nentes:
a) informação original;
b) algoritmo de criptografia;
c) chave;
d) informação cifrada.
Esta informação somente poderá ser descriptografada com a utilização da
chave usada no processo. Veja a figura a seguir:
Figura 16 - Visão dos componentes do processo de criptografia

Com uso da criptografia pode-se garantir a confidencialidade das informações

restringindo o acesso a elas somente aos proprietários da chave utilizada no pro-
cesso de criptografia. Nos casos em que os certificados digitais são utilizados em
conjunto com a criptografia, pode-se garantir também a integridade e irretrata-
bilidade.
As técnicas de substituição e transposição são as mais utilizadas nos sistemas
criptográficos. Quer entender melhor como funciona a criptografia? Confira, a se-
guir, uma forma bastante simples de como essas técnicas são utilizadas.
A técnica de substituição é também conhecida como cifrador de César, rece-
beu este nome justamente por ser utilizada nas guerras romanas pelo Imperador
5 O Uso da Criptografia
75
Júlio César, para que fosse possível trocar informações entre seus exércitos sem
que as mesmas fossem descobertas em caso de captura do mensageiro.
O codificador e o decodificador concordavam com um valor para a letra k e de
acordo com este valor, as letras do alfabeto eram trocadas do início para o fim do
alfabeto.
Veja o exemplo com o valor de k igual a 10.
A B C D E F G H I J L M N O P Q R S T U V X Z
L M N O P Q R S T U V X Z A B C D E F G H I J
Quadro 2 - Exemplo valor K igual a 10
A linha de cima é o alfabeto tradicional e a linha de baixo é o alfabeto com

o valor de k igual a 10 atribuído. Agora, para que a mensagem seja cifrada você
deve substituir as letras da linha de cima pela linha de baixo.
Observe o resultado da palavra SENHA cifrada com um k=10 =>EPZSL.
Na técnica da transposição, uma chave é usada para mudar a ordem das letras,
esta chave pode ser uma palavra ou uma frase. Esta chave será utilizada de apoio
para enumerar as colunas conforme a ordem alfabética das letras da mesma.
Para você entender com maior facilidade a técnica da transposição, imagine
que você precise cifrar a frase: redes de computadores e, para isso, vai usar a
chave: senai
Como a chave possui cinco letras, você vai escrever a frase a ser cifrada em
cinco colunas, veja abaixo:
R E D E S
D E C O M
P U T A D
O R E S
Quadro 3 - Frase a ser cifrada
Você vai enumerar as colunas de acordo com a ordem alfabética da chave usa-
da.
S E N A I
5 2 4 1 3
R E D E S
D E C O M
P U T A D
O R E S
Quadro 4 - Frase cifrada em ordem alfabética

segurança de redes
76
1 Ataque de força bruta Agora você vai escrever na vertical, conforme a ordem das colunas comanda-
das pela ordem das letras da chave. Verifique como ficou o resultado:
Tipo de ataque realizado
por hackers onde uma série EOASEEURSMDDCTERDPO
de tentativas de descoberta
de senhas ou chaves é
realizada em sequência. É importante destacar que estas técnicas são bem simples e fáceis de serem
descobertas.
Atualmente, essas técnicas se encontram bem mais sofisticadas e, é claro, que
os algoritmos criptográficos são bem mais difíceis de serem quebrados do que
essas técnicas apresentadas.
Ao longo do estudo, você verá a “criptografia simétrica” e a “criptografia as-
simétrica”. Mas antes disso, você sabe o que é criptoanálise? Bem, trata-se da
técnica empregada para descobrir como uma informação foi cifrada, bem como,
descobrir a chave utilizada no processo de criptografia.
Então, ficou claro o entendimento da criptografia como uma técnica de escre-
ver em códigos e efetuar a mudança de textos legíveis em ilegíveis e vice-versa?
Agora conheça a chave privada, o próximo assunto.
5.2 Chave privada
A criptografia simétrica é um tipo de criptografia em que a chave utilizada para

cifrar a informação é a mesma utilizada para decifrá-la.
Além de utilizar a mesma chave, a criptografia simétrica

VOCÊ utiliza o mesmo algoritmo em ambos os lados. A cripto-
SABIA? grafia simétrica é também chamada de criptografia de
chaves privadas.
Veja a figura para entender melhor a criptografia simétrica. Essa figura de-
monstra o funcionamento desse tipo de criptografa. Observe que, na origem te-
mos a informação original, a chave, o algoritmo e, por fim, a informação cifrada.
No destino, a informação é recebida cifrada e ilegível e a mesma chave e algo-
ritmo utilizados na origem são utilizados para decifrar a informação recebida no
destino.
Figura 17 - Criptografia simétrica

77
Você sabe quais os exemplos mais conhecidos de criptografia simétrica? São

eles:
a) DES (Data Encryption Standard);
b) Triple DES (DES utilizando três chaves);
c) IDEA (International Data Encryption Algorithm).
Agora você irá conhecê-los no detalhe.
5.2.1 Data Encryption Standard (DES)
É o algoritmo mais utilizado internacionalmente, sendo o primeiro cujo

conhecimento tornou-se público. Possui uma entrada de 64 bits, chaves de 56
bits e saída de 64 bits; utiliza a mesma chave para descriptografar. Utilizado em
aplicações típicas que necessitam de bom desempenho. Sua fraqueza é o peque-
no tamanho da chave (56 bits), facilitando o ataque de força bruta1.
5.2.2 Triple (DES)
É uma técnica utilizada com o algoritmo DES, no qual são aplicadas três vezes
a cada texto claro, usando diferentes chaves de 56 bits.
5.2.3 International Data Encryption Algorithm (IDEA)
É uma cifra de blocos, com uma chave de 128 bits, tendo como entrada e saída
um bloco de 64 bits. Foi projetado para ser eficiente em implementações por sof-
tware. Por possuir uma chave maior que o DES, torna-se mais atrativa a sua utili-
zação. Até onde se sabe, existe pouco conhecimento sobre suas vulnerabilidades.
5.2.4 Rivest Cipher 4 (RC4)
É uma cifra de fluxo criada pela RSA Data Security.

Embora o tamanho da sua chave possa variar, ela é normalmente utilizada
com 128 bits.
segurança de redes
78
5.2.5 RC5 e RC6
São algoritmos utilizados em qualquer computador com palavras de 16, 32 ou

64 bits. Possui uma estrutura compacta, bom desempenho e é adequado para a
utilização em software ou hardware. Como no DES, possuem várias interações e as
várias subchaves são utilizadas nas diversas interações.
O RC6 foi desenvolvido para ser mais seguro contra criptoanálise e mais veloz
que o RC5.
Você consegue perceber alguma limitação na criptografia simétrica?
Como trocar a chave com o receptor de forma segura?
Como armazenar a chave de forma segura tanto na origem como no destino?
Como você vai administrar as diversas chaves para cada comunicação entre
usuários diferentes?
Qual segurança você vai ter compartilhando a chave com várias pessoas?
Quanto questionamento, não é mesmo?
Para resolver estes problemas foi criada a “criptografia assimétrica”.
Você está pronto para estudá-la? É o próximo tópico.
5.3 Chave Pública
Para que fosse possível resolver os problemas da criptografia simétrica nos

processos de troca da chave, em 1976, Diffie e Hellman criaram a criptografia as-
simétrica, que também pode ser chamada de criptografia de chaves públicas, jus-
tamente pela filosofia de troca de chaves utilizada no processo.
O processo de troca de chaves consiste na adoção de duas chaves, uma priva-
da e uma pública.
Acompanhe as diferenças das duas.
A chave pública é disponibilizada pelo proprietário para todos que desejam se
comunicar com ele, e neste processo não é necessário criar um canal seguro para
a troca desta chave.
A chave privada deve ser de conhecimento único e exclusivo do proprietário,
ou seja, somente ele deverá ter acesso a esta chave.
A técnica de criptografia assimétrica garante que um texto cifrado com uma
chave pública só poderá ser decifrado com a chave privada correspondente, ou
seja, o mesmo par de chaves deve ser utilizado tanto no processo da criptografia
quanto na descriptografia. Verifique a figura a seguir.
79
Criptografa
xxxxxx
xxxxxx
Origem + + Algoritmo = xxxxxx
xxxxxx
xxxxxx
Descriptografa
Júlia Pelachini Farias (2011)

xxxxxx
xxxxxx
Destino xxxxxx
xxxxxx + + Algoritmo =
xxxxxx
Figura 18 - Criptografia assimétrica [FRE 08].

Agora chegou o momento de ilustrar um exemplo de troca de mensagem.

Acompanhe o Casos e relatos a seguir.
CASOS E RELATOS
Troca de mensagens entre João e Maria

A troca de mensagem ocorre entre João e Maria. Maria deseja enviar uma
mensagem para João de forma segura, utilizando a criptografia assimétri-
ca. Para que isso ocorra, Maria irá precisar da chave pública de João. Aqui
uma das grandes vantagens da criptografia assimétrica, pois, esta chave
não precisa ser trocada de forma segura, ou seja, qualquer um poderá ter
acesso a esta chave. Maria solicita a chave pública de João por telefone.
Maria, então, utiliza a chave pública de João e um algoritmo assimétrico
para cifrar o texto a ser enviado. João recebe o texto cifrado e ilegível e
utiliza sua chave privada, que faz par com a chave pública, utilizada por
Maria para decifrar a mensagem, ou seja, somente a chave privada de
João irá conseguir decifrar a mensagem.
Esclarecedor o exemplo não é mesmo?

Continuando seu aprendizado sobre criptografia, observe as propriedades da
criptografia assimétrica:
a) cada usuário calcula o seu par de chaves no seu computador;
segurança de redes
80
2 PGP b) a chave é guardada de forma segura no seu computador durante a sua uti-
lização;
Pretty Good Privacy
(privacidade bastante boa)
é um programa que realiza
c) a chave pública é distribuída aos usuários pertencentes ao sistema (ou arma-
a criptografia de e-mails ou zenada numa estrutura de diretórios);
arquivos.
d) não existe o problema de distribuição de chaves privadas, como nos algo-
ritmos simétricos.
Os principais algoritmos de criptografia assimétrica são o próprio Diffie-Hell-
man e o RSA.
Você sabia que o nome do algorítimo de criptografia

VOCÊ Diffie-Hellman vêm do nome dos dois criadores deste
SABIA? algoritimo? Whitfield Diffie e Martin Hellman criaram
este algoritmo de criptografia em 1976.
5.3.1 Diffie-Hellman
Este algoritmo foi, na prática, o primeiro algoritmo de chave pública e ainda

é bastante utilizado. Duas entidades podem utilizá-lo para compartilharem uma
chave privada, fazendo uso da sua chave para criptografar a chave privada do
algoritmo.
Conheça seu funcionamento.
a) Dois usuários trocam alguma informação de domínio público e usam esta
informação para que cada um gere uma chave privada.
b) Esta chave privada é combinada com os dados de domínio público, resul-
tando uma chave pública que é distribuída para cada um dos dois usuários.
c) O usuário 1 combina a chave pública do usuário 2 e com a sua chave pri-
vada, para produzir uma chave compartilhada. O usuário 2 realiza a mesma
operação com o usuário 1, produzindo a mesma chave compartilhada.
Você percebe que, na prática, o Diffie-Hellman é utilizado, inicialmente, para
gerenciamento de chaves, onde dois usuários utilizam as suas chaves públicas
para produzirem a sua chave privada? Pense a respeito!
81
5.3.2 RSA
Foi desenvolvido por Rivest, Shamir e Adleman e hoje é o algoritmo que as

pessoas mais associam ao conceito de chave pública. Esta técnica, literalmente,
produz chaves públicas que são ligadas a chaves privadas. Logo, se um usuário
possui a chave pública de outro usuário, ele pode criptografar uma mensagem
nesta chave, que só poderá ser descriptografada com a chave privada. A ope-
ração inversa, isto é, quando um usuário criptografa uma mensagem com a sua
chave privada, esta pode ser descriptografada com a sua chave pública.
Quer conhecer em que a geração de chaves está baseada? Prossiga.
a) Calcular dois números inteiros primos e longos (com centenas de bits) cha-
mados q e r; e calcular o seu produto n = qr. Recomenda-se que o compri-
mento de q seja próximo do comprimento de r, para tornar inviável a fatora-
ção rápida de n em primos.
b) Calcular um terceiro número chamado s (chave secreta) relativamente pri-
mo a (q-1) (r-1) e calcular um inteiro p (chave pública) que satisfaça p.s=1
mod (q-1) (r-1).
c) Os números q e r são apagados do sistema.
d) A chave secreta é armazenada de forma segura e a chave pública é enviada
para quem for necessário.
O RSA é utilizado no SSL para negociar as chaves de sessão entre os usuários
WEB e servidores seguros. Também é utilizado em sistemas de correio eletrônico
e no PGP2.
Você verificou que a criptografia assimétrica resolve os problemas da cripto-
grafia simétrica, mas é importante saber que a criptografia assimétrica exige um
tempo de processamento muito maior, justamente por ser bem mais complexa
do que a criptografia simétrica. Desta forma, a criptografia assimétrica não deve
ser utilizada em qualquer tipo de caso. Você pode utilizar a criptografia simétrica
nos casos em que uma chave não precisa ser trocada, ou seja, para armazenar
informações em um disco rígido ou pen drive, por exemplo.
Nos casos de troca de informações de maneira segura,

FIQUE a utilização da criptografia assimétrica é, sem dúvida, a
ALERTA melhor opção. Mas lembre-se da complexidade envolvida
neste processo, acarretando em tempo de processamento.
segurança de redes
82
5.3.3 Envelope digital
No caso de transações eletrônicas seguras na Internet, podem-se utilizar algo-

ritmos que combinam as duas técnicas de criptografia. Esta técnica é chamada de
“envelopes digitais”.
Os envelopes digitais otimizam o tempo realizando esta combinação para ci-
frar informações de grande conteúdo com a criptografia simétrica e informações
pequenas (chave de seção) com a criptografia assimétrica.
Neste caso, além do par de chaves pública e privada, uma terceira chave (cha-
mada chave de seção) é utilizada. Essa chave de seção é utilizada para cifrar as
informações a serem transmitidas utilizando a criptografia simétrica para tal ação.
Depois, somente a chave de seção é cifrada com a criptografia assimétrica, desta
forma, o tempo de processamento diminui bastante devido a pequena quanti-
dade de informação a ser cifrada com a criptografia assimétrica, e a segurança é
garantida na troca das informações.
Algumas perguntas ainda não puderam ser respondidas ao longo desta uni-
dade, como por exemplo: “Como você sabe de quem são as chaves públicas que
você tem?”; “Onde se obtêm as chaves públicas?”; “Como confiar nas chaves pú-
blicas?”; “Como elas são atualizadas?”.
Você saberia a resposta para essas perguntas? Bem, as respostas para essas
perguntas estão nas soluções de assinatura digital, certificados digitais e tecno-
logias PKI (Public Key Infrastructure) ou, no português, ICP (Infraestrutura de Cha-
ves Públicas). Não se preocupe, mais adiante, nesta unidade curricular, elas serão
abordadas. O essencial é você ir construindo seu conhecimento aos poucos e
sempre! Vamos tratar de mais um conceito precioso em se tratando de criptogra-
fia, a “assinatura digital”.
5.4 Assinatura digital
Você certamente já ouviu falar sobre assinatura digital. Saiba que é um pro-
cesso que têm o objetivo de garantir que uma informação foi realmente enviada
por uma determinada pessoa, ou seja, ela garante a autenticidade da informação
enviada.
Para que isso seja possível, a assinatura digital faz uso de uma função mate-
mática chamada de função hash. Essa função age como se fosse uma impressão
digital da informação a ser enviada, e não se pode obter a mensagem original a
partir do hash.
83
O MD5 e SHA-1 são exemplos de algoritmos de hash, eles possuem 128 e 160
bits de comprimento, respectivamente, independente do tamanho das mensa-
gens.
O principal objetivo da função hash é verificar se a men-

VOCÊ sagem sofreu algum tipo de alteração, pois a mudança
SABIA? de apenas 1 único bit na mensagem já irá gerar um hash
totalmente diferente do anterior.
Observe a figura a seguir e acompanhe a explicação. Uma mensagem conten-

do a palavra “REDES” precisa ser enviada por Maria para João. A mensagem então
é submetida ao algoritmo de hash, onde o resultado será um resumo da mensa-
gem de acordo com o tipo de algoritmo utilizado (MD5 ou SHA-1, por exemplo).
Então este hash é encaminhado ao destinatário juntamente com a mensagem
propriamente dita.
Ao chegar esta mensagem com o hash ao receptor João, o mesmo processo é
executado na mensagem enviada e os resultados são comparados. Os resultados
precisam ser iguais em ambos os lados, em caso de resultados diferentes, a men-
sagem foi alterada e deve ser descartada. Com isso, está garantida a integridade
dos dados.
D4 21 F5 3D 22
Algoritmo 9A CC B7 3C
SENAI de HASH AA E2
D4 21 F5 3D 22
9A CC B7 3C
AA E2
Garante a integridade
Transmite para dos dados
o destino
Algoritmo
SENAI de HASH
D4 21 F5 3D 22
9A CC B7 3C
AA E2
D4 21 F5 3D 22
9A CC B7 3C
AA E2 Iguais?
Figura 19 - Uso de função hash

Para que a assinatura digital seja caracterizada, ainda é necessário criptografar

o próprio hash, ou seja, sem criptografar o hash, a mensagem poderia ser captu-
rada na transmissão, gerando um novo hash e anexando a mensagem alterada
de forma que o receptor acreditaria na integridade da informação. Veja agora, a
figura com todo o processo:
segurança de redes
84
Chave
privada de A
Resumo Mensagem
Mensagem HASH Resumo
criptografado assinada
Verificação de uma mensagem com assinatura digital

Mensagem HASH
Mensagem
Resumo
assinada

Chave
privada de A =?
Resumo
criptografado
Resumo
Figura 20 - Funcionamento da assinatura digital

Desta forma, o uso da assinatura digital possibilita garantir a autenticidade e

a integridade no envio de uma informação. Caso ainda seja necessário garantir
a confidencialidade desta informação, a mesma poderá ainda ser criptografada
com a chave pública do receptor, ou seja, seria usada a assinatura digital e a crip-
tografia assimétrica.
Conheça, agora, a infraestrutura das chaves públicas.
5.5 PKI – Public Key Infrastructure
As PKIs são organizações comerciais, respeitadas pela comunidade, que ofere-

cem tecnologia, procedimentos e infraestrutura segura. O objetivo delas é possi-
bilitar que indivíduos consigam obter um certificado digital e, assim, garantam a
autenticidade dos dados contidos nele.
Uma PKI também é chamada de Infraestrutura de Chaves Públicas (ICP). No
Brasil, uma medida provisória foi definida em 2001, justamente para padronizar
uma PKI brasileira (Medida Provisória 2.200-2).
As funções mais comuns da ICP – Brasil são:
a) emitir e revogar certificados digitais;
b) criar e publicar as listas de certificados digitais revogados (CRLs);
c) guardar e recuperar certificados digitais e CRLs;
d) fazer o gerenciamento do ciclo de vida de um certificado digital.
85
Mas, você sabe o que é um certificado digital?Acompanhe!
5.5.1 Certificado Digital
As chaves públicas assinadas digitalmente por uma autoridade certificadora

confiável são o que podemos chamar de “certificados digitais”. Você pode veri-
ficar que o certificado digital funciona como um documento de identidade que
comprova eletronicamente a identidade de um usuário. Além desta assinatura
digital garantida pela autoridade certificadora, um certificado digital pode conter
outras informações, como as listadas abaixo:
a) dados do proprietário do certificado;
b) a chave pública propriamente dita;
c) a validade deste certificado;
d) dados da autoridade certificadora.
Quer conhecer os tipos de certificados digitais? Prossiga com a leitura!
a) Certificado de AC: Utilizados para emitir outros certificados. São autoassina-
dos ou assinados por uma AC de nível superior.
b) Certificados de servidor: São utilizados para identificar um servidor seguro.
Nele estão contidos o nome da organização e o nome DNS do servidor.
c) Certificados pessoais: São utilizados para autenticação do cliente e nele es-
tão contidos o nome do proprietário, e-mail, endereço, etc.
Confira o conceito de autoridade certificadora!
Autoridade Certificadora (AC)
São órgãos que garantem a veracidade das chaves e se preocupam com a

validade deles. As autoridades certificadoras atuam como um “cartório virtual”,
emitindo certificados digitais após a comprovação da identidade do solicitante.
Além da assinatura do certificado digital, uma AC deve garantir a emissão dos
certificados digitais e o controle dos certificados revogados, isso é feito através de
uma lista (Certificate Revocation List – CRL).
Exemplos de AC são: Verisign, Certisign, Cybertrust e Nortel.
segurança de redes
86
Autoridade de Registro (RA)
É o componente responsável pela conferência dos dados incluídos na requisi-

ção de solicitação do certificado. A RA fornece a interface entre o usuário e a AC,
sendo responsável por receber os pedidos de emissão de certificados e verificar a
autenticidade dos requerentes.
Percebeu neste estudo, que é por meio das organizações comerciais, que os
indivíduos são possibilitados a obter um certificado digital? E, desta forma, garan-
tem a autenticidade dos dados nele contido.
Vamos para o próximo assunto!
5.6 Secure Sockets Layer - SSL
O SSL (Secure Sockets Layer) é um protocolo de comunicação que implementa

um túnel seguro para comunicação de aplicações na Internet, de forma trans-
parente e independente da plataforma de comunicação. Ele foi originalmente
desenvolvido pela Netscape Communications. Pode usar criptografia simétrica e
assimétrica para garantir a segurança de uma comunicação.
Apesar de amplamente empregado em conexões HTTP, ele também pode ser
utilizado com os protocolos SMTP e POP3. Atualmente, o SSL encontra-se na ver-
são 3, tendo como melhorias: a diminuição no número de trocas de informações
durante a fase de negociação; a escolha das cifras e compressão por parte do
servidor; um suporte mais completo para a troca de chaves dos algoritmos de
criptografia; a possibilidade de renegociação das cifras em uso; e a separação das
chaves de autenticação e encriptação.
Você consegue perceber quando está usando o protocolo SSL?
Bem, observe a sua utilização com a existência do prefixo HTTPS no início do
nome da página visitada. Observe também, o uso de um pequeno cadeado fe-
chado no canto inferior direito ou ao lado da URL do site visitado, dependendo
do navegador.
5.6.1 Estrutura
O protocolo SSL trabalha na camada de aplicação, onde recebe os dados pro-

venientes desta camada, protege estes dados e envia para a camada de transpor-
te do TCP/IP. Observe a figura:
87

Figura 21 - Protocolo SSL
O pacote acima é manipulado da seguinte forma:

Origem da Mensagem:
a) recebe as mensagens da camada de aplicação;
b) fragmenta os dados em blocos;
c) pode ou não comprimir os dados;
d) aplica o código de autenticação de mensagens;
e) criptografa os dados;
f) envia para a camada de transporte.
Destino da mensagem:
a) recebe as mensagens da camada de transporte;
b) decriptografa as mensagens;
c) verifica a origem da mensagem (autenticação da mensagem);
d) descomprime os dados (caso seja necessário);
e) envia os dados para a camada de aplicação.
Você deve estar se perguntando: qual protocolo de camada de transporte é
usado neste processo?
O SSL foi projetado para ser usado somente com o protocolo TCP, ou seja, os
protocolos de camada de aplicação que desejam usufruir dos benefícios do SSL,
precisam usar o TCP como protocolo de transporte.
Você verificou anteriormente: o HTTP, o SMTP e o POP3, que são exemplos
destes protocolos.
O protocolo SSL é composto por vários outros protocolos. Veja cada um deles:
a) SSL Record Protocol;
b) SSL Handshake Protocol;
c) SSL Change Cipher Spec Protocol;
d) SSL Alert Protocol.
segurança de redes
88
SSL Chance
SSL Handshake SSL Alert
Cipher Spec HTTP
Protocol Protocol
Protocol
SSL Record
Júlia Pelachini Farias

Protocol
TCP
IP
Pilha de Protocolos e o SSL
Fonte: Stallings (2003, p.531)
O SSL é um dos protocolos mais convenientes e utilizados para implementa-

ção de transações seguras. É utilizado em Comércio Eletrônico e faz uso de ser-
vidores seguros, que criptografam durante a comunicação com o site toda infor-
mação pessoal preenchida nos formulários (incluindo o número do seu cartão
de crédito e dados correlatos como seu nome, seu endereço e tudo mais). Pode
trabalhar também com uma estrutura de PKI.
A implementação do SSL é relativamente simples, colocando-se o SSL no topo
da pilha TCP/IP, trabalhando independentemente das aplicações utilizadas e,
após o handshake inicial, comportando-se como um canal seguro, o qual permite
que se executem todas as funções que normalmente estão disponíveis na pilha
TCP/IP.
Com o objetivo de contribuir com seu estudo, segue um con-

junto de links para você acessar! Leia, pesquise e não perca
oportunidades de aprimoramento.
<www.iti.gov.br>;
SAIBA
MAIS <www.certisign.com.br>;
<www.serasa.com.br>;
<www.serpro.gov.br/servicos/cert_digital/certificacaoCCD-
Serpro>.
Existem várias implementações gratuitas e comerciais, disponíveis para UNIX,

Linux, Win 95/98/NT/2000, e a maioria dos servidores e clientes (browsers) WEB já
possui suporte nativo para o SSL, tornando-o um padrão de fato. Continue atento!
89
Recapitulando
Nesta etapa, você estudou os conceitos de criptografia simétrica e assi-

métrica, também chamadas de criptografia de chaves privadas e públi-
cas. Depois, aprendeu os conceitos de assinatura digital. E por último,
compreendeu a importância da infraestrutura de chaves públicas ofere-
cidas pela ICP Brasil, além de verificar a importância do protocolo SSL na
comunicação segura através da Internet
Ajeite-se confortavelmente e vamos rumo ao próximo tópico!
VIRTUAL PRIVATE NETWORK
Nesta etapa de aprendizado, você irá compreender o que é uma VPN e quais as suas princi-
pais características.
Você conhecerá também os principais tipos de VPN que existem no mercado de TI.
Ao término deste momento, você terá subsídio para:
a) conhecer as características de uma VPN e os seus principais tipos.
Notou como seus conhecimentos estão se aprofundando? Continue atento e siga rumo a
novas descobertas!
segurança de redes
92
6.1 O que é uma VPN?
O conceito de Virtual Private Network - VPN surgiu da necessidade de se utilizar

redes de comunicação não confiáveis para trafegar informações de forma segu-
ra. As VPNs são “redes virtuais” que possibilitam a economia de custos quando
utilizadas em substituição às tradicionais redes baseadas em linhas privadas,
reduzindo assim, investimento em equipamentos, treinamento e manutenção.
Ela ainda proporciona um gerenciamento e controle efetivo, por permitir a utiliza-
ção das facilidades de um provedor público sem perder o controle total da rede,
e controlar de forma efetiva a autenticação, os privilégios de acesso, a segurança
(garantir a confidencialidade, integridade e autenticidade), etc.
VOCÊ Que muitas empresas substituem seus links priva-

SABIA? dos por links de Internet compartilhada usando VPN?
Uma VPN pode ser definida como uma emulação de uma rede privativa de
longa distância (WAN) utilizando de estruturas de redes IP já existentes, Internet
ou redes privadas. Tendo em vista a fragilidade de segurança deste ambiente,
a VPN deve possuir dispositivos que proporcionem um tráfego seguro (“túnel”),
sem que exista qualquer tipo de vazamento de pacotes IP.
Acompanhe o Casos e relatos a seguir para entender melhor o assunto abor-
dado.
CASOS E RELATOS
Usando VPN para diminuir custos

Pedro recebeu a tarefa de encontrar alguma solução de comunicação
mais barata para as filiais da empresa a qual ele administra a rede. Atual-
mente, a empresa que Pedro trabalha possui links de 128 Kbps, utilizando
links dedicados de comunicação com um valor consideravelmente alto.
Pedro então resolve substituir estes links dedicados por uma solução VPN.
Para isso, Pedro instala links ADSL em todas as filiais da empresa e realiza
a configuração de VPN usando o OpenVPN. O OpenVPN é uma solução
em software livre que não possui custos de licença de software e é bas-
6 VIRTUAL PRIVATE NETWORK
93
tante robusta. Com esta solução, Pedro consegue diminuir o valor mensal
dos links com ADSL no lugar dos links dedicados e ainda consegue au-
mentar a largura de banda de cada link.
Então, notou como a escolha por uma solução VPN, neste caso, foi o caminho
mais acertado? Vamos conferir agora o funcionamento da VPN!
6.1.1 Funcionamento da VPN
Uma VPN conecta os componentes e recursos de uma rede sobre outra rede,
utilizando-se de um túnel via Internet ou outra rede pública, de forma que os
usuários deste túnel façam uso dos recursos de segurança e serviços, como se
estivessem conectados a uma rede privada. As figuras a seguir mostram dois ti-
pos de VPN, uma sendo realizada entre usuário e gateway, e outra entre gateway
e gateway, no qual os pacotes, ao invés de trafegarem em linhas privadas, são
transportados através de um túnel criado sobre redes compartilhadas.
Figura 22 - VPN entre usuário e gateway

segurança de redes
94

Figura 23 - VPN entre gateways
Observe como os elementos básicos na composição de uma VPN são classifi-

cados:
a) plataforma escalável – cada elemento deve ser escalável, de forma a supor-
tar desde pequenos até grandes sites (largura de banda e conectividade);
b) segurança – tunelamento, criptografia, autenticação de pacotes, etc;
c) serviços VPN – funções para a implementação de QoS;
d) ferramentas – firewalls, IDS e auditoria;
e) gerenciamento da rede.
Tunelamento
A capacidade de tornar transparente a estrutura física de uma rede na imple-

mentação de uma VPN é chamado de tunelamento ou tunneling. Ao invés de se-
rem enviados os dados originais, o protocolo de tunelamento encapsula estes
dados com um cabeçalho proprietário, provendo as informações necessárias de
roteamento para fazer chegar a informação ao seu destino. O caminho lógico uti-
lizado pelos pacotes, desde o ponto inicial até o seu destino é chamado de túnel.
Para que o túnel possa ser estabelecido entre o cliente e o servidor, ambos
devem utilizar o mesmo protocolo de tunelamento. A tecnologia de túneis pode
ser baseada sobre os protocolos de camada 2 ou 3.
Os protocolos de camada 2 utilizam os frames como sua unidade de troca
(PPTP – point-to-point tunneling protocol, L2TP , L2F). Todos eles encapsulam os
dados em um frame PPP (Point-to-point protocol), para ser enviado pela rede in-
termediária. Neste caso, o túnel é criado ou no servidor de acesso ou no próprio
cliente. A outra extremidade do túnel é encerrada em um roteador ou em um ser-
vidor dentro da rede corporativa. Todo o frame PPP é carregado em toda a rede
de ligação até o seu destino.
Nos protocolos de camada 3, IPSec (IP Security), os datagramas IP são encap-
sulados em um cabeçalho adicional antes de serem transmitidos pela rede. Neste
95
caso, o túnel é criado e encerrado na rede intermediária. O destino final é um

gateway para a rede corporativa. O protocolo PPP somente é carregado entre o
cliente e o servidor de acesso.
PPTP – Point-to-Point Tunneling Protocol
a) Criado por um grupo de empresas (3Com, Microsoft, UsRobotics, ECI Telema-

tics e Ascent Communications).
b) Tem como princípio possibilitar que usuários ou empresas façam acesso
remoto, via Internet, por exemplo, de forma segura. Os usuários remotos
necessitariam discar para o seu ISP (Internet services providers) e então aces-
sariam com segurança a rede corporativa.
c) Protocolo mais usado para acesso dial-up, a Internet é o PPP, onde o PPTP
utiliza a funcionalidade desse protocolo para prover o acesso dial-up criando
um túnel pela Internet.
d) A implementação atual do PPTP encapsula os pacotes PPP, possibilitando
que o mesmo tenha mais flexibilidade ao manipular protocolos além do IP,
como IPX ou NetBEUI.
L2F - Layer 2 Forwarding Protocol
a) É um protocolo de tunelamento de camada 2, que possibilita o acesso dial-

-up com alguns benefícios, como parâmetros de sessão negociados pelo
cliente com o gateway corporativo.
b) Mecanismos tradicionais como autorização, negociação de endereçamen-
to, protocolos de acesso, registros de conexão e filtragem são controlados
pelo cliente.
c) As tecnologias de criptografia funcionarão de forma transparente, fim a fim,
através do túnel da camada 2, possibilitando confidencialidade, integridade
e autenticidade.
L2TP – Layer 2 Tunneling Protocol
Foi criado para ser o sucessor dos protocolos PPTP e L2F. Ele possui as seguin-
tes características:
a) multiplexação – suporta a multiplexação de várias chamadas de diferentes
usuários sobre um único link. Entre dois pontos finais IP podem existir vários
segurança de redes
96
túneis (cada com o seu tunnel-id) e dentro de cada túnel várias sessões (iden-
tificadas pela session-id);
b) sinalização – é suportado porque existe o protocolo de controle de conexão
que possibilita que túneis e sessões sejam estabelecidas dinamicamente;
c) segurança de dados – possibilita o uso de mecanismos de segurança;
d) transporte multiprotocolo – o L2TP transporta pacotes PPP (transporta IP,
IPX, NetBEUI) e com isso pode ser usado para executar tráfego multiproto-
colo;
e) manutenção do túnel – o protocolo é usado pelo L2TP para admitir distin-
guir entre um túnel inativo e períodos prolongados de inatividade do túnel;
f) grandes MTUs – o L2TP não suporta segmentação, mas quando executado
sobre UDP/IP, a fragmentação IP pode ser utilizada, se necessária;
g) controle de fluxo – suporta mecanismos de controle de fluxo e congestiona-
mento para o controle do protocolo, mas não para dados;
h) QoS/gerenciamento de tráfego – o cabeçalho do L2TP possui um bit de
prioridade que pode ser setado quando for solicitado, no tratamento prefe-
rencial de tráfego de informações;
i) pode ser implementado sobre várias mídias de pacotes, como X.25, frame
relay e o ATM.
IPSec (IP Security)
O IP Security (IPSec) foi padronizado pela IETF, em 1998, para permitir que
pacotes IP sejam criptografados e encapsulados com cabeçalho adicional deste
mesmo protocolo e para serem transportados numa rede IP pública ou privada.
O IPSec é um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir
como padrão para todas as formas de VPN, caso o IPv6 venha de fato substituir o
IPv4. O IPSec sofreu adaptações possibilitando, também, a sua utilização com o
IPv4.
O IPSec possui meios para garantir a confidencialidade, integridade e autenti-
cidade das informações trocadas entre dois dispositivos. Ele pode também prote-
ger contra ataques de IP Spoofing. Como o IPSec trabalha na camada de rede do
modelo OSI, ele garante essa troca de informações sem qualquer interferência do
usuário e sua configuração é mínima e transparente.
Você já parou para pensar como o IPSec consegue proteger o tráfego IP?
A resposta é simples: fazendo uso de cabeçalhos de extensão. Você estudou
que um pacote IP é constituído por um cabeçalho do pacote e por um payload, no
97
cabeçalho encontram-se várias informações, como endereço de destino e origem

e no payload encontram-se os segmentos da camada de transporte e os dados
propriamente ditos.
Agora, suponha que você precise garantir a confidencialidade dos pacotes
transportados em sua VPN, o IPSec adiciona cabeçalhos de extensão entre o ca-
beçalho e o payload, fazendo com que a área de dados fique cifrada. Veja a figura
a seguir:
Figura 24 - Pacote IPv4 convencional e outro com o tratamento IPSec

Fonte: Righi (2008, p. 114)
O IPSec usa dois protocolos principais para criar os cabeçalhos de extensão.

Você sabe quais são? O AH e ESP. Para cada um destes protocolos, o IPSec suporta
dois modos de operação, que são o ‘túnel’ e o ‘transporte’.
Veja agora os modos de operação do IPSec!
a) Modo Transporte
O IPSec no modo transporte prevê proteção para os protocolos de camadas
superiores do modelo OSI, ou seja, camadas de sessão, apresentação e aplicação.
No modo transporte, o IPSec pode usar o AH ou o ESP para criar o cabeçalho de
extensão. Quando usado o AH, uma espécie de impressão digital do payload do
pacote e de partes do cabeçalho garante que, se qualquer modificação for reali-
zada nestes campos ou nos dados, esta seria facilmente percebida pelo destino.
Caso seja usado o ESP, todo o campo de payload é cifrado com criptografia simé-
trica. (RIGHI, 2008).
b) Modo Túnel
O modo túnel do IPSec possibilita a proteção de todo o pacote IP. Esse modo
cria um pacote IP externo e, com “cabeçalho e tudo”, coloca o pacote IP original
segurança de redes
98
como payload do pacote IP externo. Desta forma, um pacote IP é encapsulado em

outro pacote IP e esse é um dos fundamentos de uma VPN. (RIGHI, 2008).
As mesmas características proporcionadas pelos protocolos AH e ESP no modo
transporte são agora atribuídas ao pacote externo no modo túnel.

Figura 25 - Pacote IP dentro de pacote IP
Fonte: Righi(2008, p. 120)
Neste tópico, você aprendeu sobre uma VPN e algumas características funda-
mentais da mesma. Todo o conteúdo com objetivo de consolidar a sua aprendi-
zagem.
O próximo assunto será: “os tipos de VPN”.
6.2 Tipos de VPN
Quer conhecer os tipos de VPN? Acompanhe!
6.2.1 VPN ponto a ponto
A VPN ponto a ponto é uma alternativa para a infraestrutura de WAN, podendo

servir como expansão ou substituição das linhas privadas e por estruturas com-
partilhadas de redes. Esse tipo de conexão também pode ser chamado de LAN-
-to-LAN ou Site-to-Site. Podem ser construídas usando-se a Internet, provedores
IP, redes ATM ou frame relay. Quando são construídas sobre redes IP, utilizam-se
de IPSec ou GRE (generic routing encapsulation). São utilizadas para interligar re-
des de computadores de filiais de uma mesma organização.
Confira as seguintes vantagens que possui a Intranet VPN:
a) redução de custo;
b) facilidade de conexão para novos sites;
99
c) boa disponibilidade para os sistemas, em função da redundância de links

que podem ser providos.
Figura 26 - Intranet VPN
VPN Site-to-Site pode ser usado na substituição de links

FIQUE dedicados por acesso ADSL. Mas, lembre-se de que a
ALERTA ADSL é uma rede sem segurança e a VPN vai necessitar de
técnicas que garantam a integridade dos dados.
6.2.2 VPN para Acesso Remoto
As VPNs para acesso remoto consistem no reflexo do crescimento do traba-

lho móvel, isto é, aquele realizado por usuários móveis que se utilizam de um
computador para conexão com a rede corporativa, partindo de suas residências,
empresas de clientes, hotéis, etc.
Esse tipo de VPN possibilita ao usuário conectar-se à sua

empresa com um consumo mínimo de recursos de WAN.
VOCÊ
SABIA? Os métodos de acesso variam de acordo com a disponi-
bilidade de recursos da área (ex: PSTN, ADSL, etc). Esse
tipo de conexão também é chamado de Point-to-Site.
segurança de redes
100
Vamos agora mostrar à você as vantagens de utilizar VPN de acesso remoto,

que são basicamente:
a) redução de investimentos (ex: servidores de acesso);
b) possibilidade de realizar chamadas locais, ao invés de interurbanos;
c) maior escalabilidade no crescimento do número de usuários;
d) age diretamente com os negócios da empresa.
Nesta implementação, torna-se importante considerar onde será iniciado o tú-
nel: se no cliente ou no servidor. No cliente, o túnel criptografado é estabelecido
utilizando-se o IPSec, L2TP ou PPTP. A rede do provedor de acesso é somente um
meio de transporte. Quando o túnel é estabelecido no servidor, o usuário utilizará
apenas o protocolo de conexão (ex: PPP), sendo este, autenticado pelo provedor
de acesso, o qual iniciará uma conexão segura por um túnel criptografado para a
rede corporativa, fazendo uso dos protocolos L2TP ou L2F.
Figura 27 - VPN para acesso remoto
6.2.3 VPN para Extranet
Uma VPN Extranet tem como objetivo disponibilizar o acesso de parceiros, re-
presentantes, clientes e fornecedores à rede corporativa. Você sabe qual a finali-
dade desta comunicação? É permitir a agilidade ao processo de troca de informa-
ções entre as partes, estreitando o relacionamento, e tornando mais dinâmica e
efetiva a interação. Uma das grandes vantagens de se ter esta implementação é a
facilidade de implementar e administrar extranets. A conectividade é obtida com
a utilização da mesma estrutura e protocolos utilizados na VPN ponto e ponto e
de acesso remoto.
101

Figura 28 - Extranet VPN
Acesse o conjunto de links para estudar mais sobre os assun-

tos de VPN. <www.rnp.br/newsgen/9811/vpn.html>;
SAIBA <www.openvpn.net>;
MAIS
<www.openswan.org>;
<www.freeswan.org>.
As redes privadas virtuais, atualmente, são muito utilizadas como uma alterna-
tiva de baixo custo na implementação de WANs. Mas lembre-se: juntamente com
a VPN devemos ter uma grande preocupação com a integridade dos dados que
irão trafegar pelo link público.
Recapitulando
Nesta etapa de estudo, você aprendeu o que é uma VPN e quais as suas
principais características. Verificou também os principais tipos de VPN
que existem no mercado de TI e suas implicações para as redes de com-
putadores. Agora prepare-se para novo assunto: Autenticação!
Autenticação
Nesta etapa do estudo você entenderá como garantir a identificação e a autorização de um

usuário em um sistema computacional. Você observará também, como é importante controlar
o acesso a cada informação ou recurso de sua rede. Por último, você vai entender como pode
ser difícil a administração de diversos pares de login e senha e como o single sign-on poderá
auxiliá-lo neste processo.
Viu que significativo será este momento de aprendizagem? E ao final, você terá subsídio
para:
a) conhecer as técnicas de identificação e autorização, conhecer a importância do controle
de acesso e gerenciar pares de login e senha com o single sign-on.
Vamos seguir? Vem mais coisa interessante por aí!
segurança de redes
104
7.1 A Identificação e a autorização
O que será isto? Você sabe?

A “identificação e a autorização” é o processo ao qual um usuário se identifica
para ter acesso aos sistemas e recursos de uma determinada rede, ou seja, é o
processo que verifica se este usuário pode ter acesso à rede ou não. Pode ser
considerada como a primeira linha de defesa de um sistema, juntamente com o
firewall. (NAKAMURA, 2003).
A identificação é a forma em que o usuário é identificado em determinado
sistema, enquanto que a autorização é o processo que validou a utilização do sis-
tema e seus recursos. A identificação e a autorização, juntamente com a auditoria
(que é o processo de verificar todas as tentativas de acesso realizadas ou não a
um sistema), formam o que chamamos de AAA (authentication, authorization and
auditing), que são princípios de autenticação que garantem a segurança de um
determinado sistema. (NAKAMURA, 2003).
Veja agora, como estes procedimentos de autenticação podem ser realizados.
a) Autenticação com base no que o usuário possui. São formas de se iden-
tificar um usuário, com base em algo que o usuário possui, como por exem-
plo, dispositivos de memória e dispositivos inteligentes que podem resolver
algumas desvantagens do uso de senhas. Também podem ser chamados de
memory token e smart token.
Algumas desvantagens deste método são: os custos consideráveis na adição
de hardware específico; os custos com o próprio cartão e a administração; e a
possibilidade de perda e roubo do dispositivo.
b) Autenticação com base no que o usuário sabe
Este método de autenticação é baseado em alguma informação que o usuá-
rio possui, como por exemplo: senhas e chaves privadas no uso da criptografia
simétrica. O uso de uma senha no processo de autenticação vem sendo bastante
questionado no processo de segurança, justamente por depender diretamente
do comportamento humano.
Você conhece alguém que usa como senha a data de seu próprio aniversário
ou do filho? Senhas em branco? Senhas guardadas na carteira ou em baixo do
teclado? Isso é seguro? Reflita a respeito!
c) Autenticação baseada em alguma característica física do usuário
Também chamada de “biometria”, esta técnica de autenticação surgiu para
resolver os problemas de falhas existentes nas autenticações com base no que o
usuário possui ou sabe. Este método baseia-se em alguma característica física do
usuário, como por exemplo: impressão digital, características da face, reconheci-
mento de voz, retina e íris dos olhos e, até mesmo, o “DNA”.
7 Autenticação
105
VOCÊ A grande desvantagem da utilização da biometria é o

SABIA? seu elevado custo de implantação.
Agora que você já estudou os métodos de identificação e autenticação, você

vai estudar as técnicas de controle de acesso, que é o próximo assunto.
7.2 Controle de Acesso
Podemos definir “acesso” como a habilidade de se realizar algo em uma de-

terminada informação ou recurso computacional. Por sua vez, a “autorização” é a
permissão concedida pelo sistema ou pelo proprietário do recurso (seja esta di-
reta ou indireta). A autenticação vai garantir a legitimidade do usuário. Desta for-
ma, você pode observar que “controle de acesso” se caracteriza justamente pela
união deste acesso com a autorização e a autenticação, ou seja, é uma forma de
controlar quem poderá acessar determinadas informações. (NAKAMURA, 2003).
Em um sistema computacional ou, neste caso, em uma rede de computadores,
você pode lidar com controle de acesso “lógico” e “externo”. O controle de acesso
lógico é responsável por proteger modificações e manipulações não autorizadas
em determinados recursos, desta forma, tende a garantir os princípios da integri-
dade e disponibilidade. Listas de controle de acesso (ACLs) e interfaces de usuário
através de CLI também podem ter a sua utilização baseada no controle de acesso.
O controle de acesso externo visa à garantia em manter protegidos os recursos
internos de uma rede ou de uma determinada empresa de acesso, não permitidos
aqueles provenientes de uma rede externa (rede pública). (NAKAMURA, 2003).
Os requisitos usados para definir o controle de acesso devem ser definidos
e documentados. As regras de controle de acesso e direitos para cada usuário
ou grupo de usuários devem ser claramente estabelecidas em concordância com
uma política de acesso bem definida. Aspectos como: requisitos, identificação da
informação, classificação da informação e gerência de permissões devem ser con-
siderados. (LENTO, 2006).
7.2.1 Registro de usuário
Um procedimento formal para o registro e desabilitação de usuários no acesso

aos sistemas de uma rede de computadores. Seus recursos devem existir e estar
sempre atualizados.
segurança de redes
106
Veja abaixo alguns destes procedimentos:

a) identificação do usuário através de um ID;
b) definir um nível de acesso para cada usuário e informações;
c) criar um termo de acesso e direitos do usuário;
d) solicitar a assinatura do termo por cada usuário;
e) garantir acesso às informações somente depois da autenticação e autoriza-
ção do usuário;
f) registrar todos os acessos a serviços e recursos;
g) manter a lista de usuários atualizada;
h) garantir que não existam IDs redundantes.
No termo de acesso e uso de recursos da rede deverão

FIQUE existir punições previstas para casos de abuso ou não con-
ALERTA formidade. Este termo sempre deverá estar atualizado e
assinado por todos os usuários.
Com o intuito de ilustrar o tema estudado, segue um exemplo no Casos e re-

latos.
CASOS E RELATOS
Controlando o acesso do usuário

Lucas é o administrador da rede de uma empresa na área de marketing
e recentemente ele teve problemas com a exclusão de um arquivo im-
portante no servidor de arquivos. Lucas não pôde identificar qual usuário
da rede excluiu o arquivo porque ele não tinha nenhum tipo de controle
de acesso na rede. Para que isso não ocorra novamente, Lucas resolveu
identificar cada usuário da rede com um login único e definiu, também,
um nível de permissão para cada usuário. Lucas também criou um do-
cumento onde as regras de utilização da rede foram divulgadas e pediu
para que cada usuário tivesse conhecimento deste documento e pediu
para que cada um deles assinassem o mesmo.
Agora Lucas está mais preparado para possíveis problemas de controle
de acesso.
7 Autenticação
107
Conferiu a importância de controlar o acesso dos usuários de uma rede de

computadores? Desta forma, você está preparado para enfrentar os imprevistos
que surgirem!
Você deve estar se perguntando como administrar de maneira eficiente todos
estes usuários e senhas que existem em uma rede de computadores, não é?
Na próxima etapa, você saberá como!
7.3 Single Sign-On
O conceito de Single Sign-On (SSO) é bem simples, ele consiste em reduzir to-
dos os logins e senhas que o usuário precisa usar para ter acesso aos sistemas
e recursos da rede, em apenas um par de login e senha. Com este processo de
redução para apenas um par, o SSO consegue facilitar muito o processo de au-
tenticação e autorização.
Você pode fazer a seguinte analogia.
Imagine um zelador de um condomínio e uma das suas responsabilidades é
abrir e fechar todos os portões de acesso ao prédio, todos os dias. Este zelador
irá precisar de chaves para cada portão e, cada vez que ele precisar utilizar uma
destas chaves, ele terá que achar a chave no bolso, para só depois abri-la (isso
se ele achar a chave correta na primeira tentativa). Ficou bem mais claro com o
exemplo?
Você pode perceber que este zelador terá que ser organizado para poder ad-
ministrar todas estas chaves, ou seja, não é uma tarefa simples, mas é muito im-
portante que nenhum portão fique aberto.
Você já parou para pensar quanto tempo ele vai perder por dia para achar a
chave correta e abrir os portões? Já imaginou se apenas uma chave pudesse abrir
todos os portões? É verdade!
Agora pense em quantos pares de login e senha um usuário precisa utilizar
todos os dias. Primeiro, ele precisa acessar seu computador. Depois, ele precisa
acessar seus e-mails e, após isso, precisa acessar seus arquivos pessoais na uni-
dade da rede. Posteriormente, ele precisa entrar na Intranet para ter acesso às
informações diárias da empresa. Depois, ele vai acessar o software corporativo, e
por aí vai.
Não seria mais fácil ele possuir somente um par de login e senha? Com certeza!
Para isso, o SSO pode ser utilizado. É claro que, com somente um par de login
e senha, a preocupação com a segurança desta informação única começa a ser
um grande item a ser levando em consideração. Devido a este fato, é interessante
segurança de redes
108
considerar o uso de controles de acesso para garantir a segurança deste par de

login e senha.
Veja abaixo as principais características de um SSO (NAKAMURA, 2003):
a) combinação de nome de usuário e senhas únicos;
b) administração única, centralizado ou descentralizado, no qual as mudanças
são propagadas por meio do próprio sistema;
c) sólida segurança nas sessões de login e no armazenamento do par de login
e senha;
d) integração das regras de autorização nas múltiplas aplicações.
Uma solução bem conhecida atualmente no mercado é o Kerberos. Na utiliza-
ção do Kerberos, os usuários precisam primeiro autenticar-se no servidor central,
para somente depois, possuírem acesso aos outros recursos do sistema.
Que o nome do protocolo Kerberos foi usado com base

VOCÊ na mitologia Grega? Na mitologia Grega, Kerberos era
SABIA? um cachorro de três cabeças que protegia a entrada do
reino subterrâneo de Hades (a terra dos mortos).
Veja figura a seguir, que demonstra uma autenticação utilizando o Kerberos:

Figura 29 - Funcionamento do Kerberos.
Um ponto importante a ser observado é que, caso o servidor kerberos apre-

sente algum defeito, os usuários nas redes não poderão ter acesso a mesma, ou
seja, existe um ponto único de falha. Para resolver este problema, um segundo
servidor poderá ser utilizado como redundância.
7 Autenticação
109
SAIBA Para conhecer mais sobre o assunto estudado, acesse o site:

MAIS <http://www.kerberos.org>.
Implantar a filosofia de SSO em uma empresa não é uma tarefa fácil, ou seja,
precisa ser muito bem planejada e executada com bastante cuidado. Com este
planejamento bem realizado, os resultados serão bastante satisfatórios, princi-
palmente se for levado em conta o aumento da produtividade dos usuários do
sistema.
Recapitulando
No início desta etapa, você estudou a importância da identificação e

autorização. Aprendeu os conceitos de controle de acesso. Por último,
compreendeu a importância de um serviço de gerenciamento de login
e senha.
Próxima parada: “a importância dos serviços de monitoramento de rede”.
Serviços de Monitoramento de Rede
Nesta etapa de estudos você saberá como utilizar as informações obtidas a partir de um
sistema de monitoramento de rede (já estudado por você no módulo Específico 1, na disciplina
Gerenciamento e Monitoramento de Rede), para auxiliar as atividades relacionadas à seguran-
ça desta rede.
Com a assimilação destes conteúdos você terá subsídio para:
a) compreender como os serviços de monitoramento de rede subsidiam o administrador
também na parte de segurança das redes de computadores.
Vamos então começar com o gerenciamento e monitoramento!
segurança de redes
112
8.1 Gerenciamento e monitoramento
Com a evolução da informática em direção às redes de computadores, a con-

vergência de serviços (dados, voz, vídeo, etc.) sobre a mesma infraestrutura, a
complexidade das redes vai gradativamente aumentando. Sob a ótica da segu-
rança da informação, os riscos de uma rede exposta mundialmente são muito
maiores. É fundamental, neste contexto, nos valermos dos recursos de gerência
de redes para facilitar o gerenciamento da segurança desta rede e deixá-la de
conformidade com os três pilares básicos da segurança da informação. Você sa-
beria quais são? Confiabilidade, Disponibilidade e Integridade.
O que é premissa básica em qualquer ramo das diferentes atividades huma-
nas? Você saberia dizer? É o gerenciamento que é, cada vez mais eficiente, quan-
to mais o “gerente” ou “administrador” conhece o meio em que está inserido. É
claro que as diferentes e modernas técnicas de administração e gerência desen-
volvidas ao longo dos anos facilitam e, muito, esta tarefa.
8.2 SNMP (Simple Network Management Protocol)
Você quer conhecer o protocolo de gerência de redes SNMP (Simple Network

Management Protocol)? Ele é o protocolo cliente-servidor amplamente usado
para troca de informações de gerenciamento. A gerência propriamente dita é
composta dos seguintes elementos:
a) estações de Gerência (Network Management Stations – NMS);
b) agents ou Clientes (Network Management Element – NME);
c) base de Informações de Gerenciamento (Management Information Base –
MIB);
d) protocolo de Gerenciamento propriamente dito (SNMP).
A figura, a seguir, ilustra os elementos do sistema de gerenciamento e o rela-
cionamento entre estes.
8 Serviços de Monitoramento de Rede
113
Estação de gerência
SNMP
Agente

Agente Agente
MIB
MIB MIB
Agente
MIB
Figura 30 - Elementos do Sistema de Gerenciamento de Redes
A primeira versão do SNMP (SNMPv1) operava com duas comunidades básicas

(perfis de acesso): a comunidade denominada public que era read only (ou apenas
de leitura de informações) e a comunidade designada private que permitia read
and write (ler e alterar o valor das variáveis, modificando a configuração da mes-
ma). Para implementar a segurança nesta versão do SNMP era comum desabilitar
as duas comunidades existentes (public e private) e criar uma nova com nome es-
pecífico para este sistema de gerenciamento (técnica conhecida como segurança
por desconhecimento do nome da comunidade). O problema era que facilmente
a rede poderia ser monitorada com uma ferramenta de captura de pacotes (sni-
ffer) e, como o SNMP trafegava não criptografado (texto plano) entre os agentes e
gerentes, este nome de comunidade pode ser facilmente descoberto.
Já foi visto que o SNMPv2 evoluiu em alguns recursos, como o suporte à trans-
ferência de grandes blocos de dados (mensagens Get Bulk Request) e a possi-
bilidade de troca de informações entre gerentes – NMS (mensagens Inform Re-
quest). Desta forma, o sistema de monitoramento não ficava limitado a apenas
uma estação de gerência, poderia ocorrer a descentralização, eliminando assim
o ponto único de falha do processo. Ocorreram também diversas tentativas para
a melhoria de segurança nesta versão (SNMPsec, SNMPv2c, SNMPv2u, SNMPv2p
e SNMPv2*), mas ficou para o SNMPv3 a resolução de algumas questões que não
foram anteriormente resolvidas.
O uso de criptografia, a definição de perfis de acesso

VOCÊ (quais informações da MIB os usuários teriam acesso)
e a autenticação (usuário e senha) foram alguns dos
SABIA? recursos de segurança que permitiram ao SNMPv3 uma
significativa melhora nesta área.
segurança de redes
114
Confira, no Casos e relatos, um exemplo esclarecedor a respeito do gerencia-

mento e monitoramento das informações e o quanto elas significam em relação
à segurança de um usuário de cartão de crédito.
CASOS E RELATOS
Utilização de um cartão de crédito

Quando você utiliza algum serviço oferecido por uma instituição finan-
ceira, um cartão de crédito, por exemplo, você está sendo continuamen-
te observado.
A instituição financeira realiza este monitoramento para conhecer os seus
hábitos e consegue assim um perfil seu enquanto cliente. Quais os locais
onde você normalmente faz suas compras, quais valores usualmente gas-
ta por ida ao supermercado, com que frequência enche o tanque de com-
bustível de seu automóvel, qual o seu comportamento enquanto usuário
deste cartão de crédito.
Estas informações têm um número muito grande de aplicações e, apesar
do desconforto de sua privacidade ser invadida com esta monitoração,
ela tem um importante papel em relação à segurança, independente-
mente dos recursos de segurança usualmente associados ao seu cartão
(senha, chip, etc). Isto ajuda a evitar ou minimizar o uso indevido do mes-
mo e, com isso, minimizar perdas financeiras, sejam do cliente ou da ins-
tituição.
Imagine um cliente que usualmente faz suas compras de supermercado
em Florianópolis, gastando em torno de R$ 50,00 por compra, abastece
seu carro uma vez a cada semana gastando aproximadamente R$ 100,00
e raramente faz compras em lojas de acessórios de carros. O que você
faria se, quinze minutos após usar o cartão em um supermercado em Flo-
rianópolis, a instituição recebesse um pedido de liberação de compra de
um acessório de carro de mais de R$ 1.000,00 em Belo Horizonte?
Este comportamento não habitual pode disparar um alerta e solicitar
que, antes da liberação da compra pelo cartão, o funcionário entre em
contato com o titular do cartão para confirmar este “comportamento não
usual” e, somente então, aprovar ou não a transação financeira.
115
Percebeu que ilustrativo? Pensando assim é melhor o aborrecimento, com a li-

gação do funcionário da empresa de cartão de crédito, do que sofrer uma fraude.
Esta fase de estudo foi bastante produtiva, concorda? Podemos prosseguir? Área
funcional das gerências de redes é o que analisaremos na sequência.
8.3 Áreas funcionais da gerência de redes
Para você recordar o que foi visto, anteriormente, na disciplina de Gerencia-

mento e Monitoramento de Rede, observe que a gerência de redes se divide em
cinco áreas funcionais (modelo FCAPS), conforme pode também ser observado
na figura a seguir.
a) Gerência de Falhas (Fault).
b) Gerência de Configuração (Configuration).
c) Gerência de Contabilização (Accounting).
d) Gerência de Desempenho (Performance).
e) Gerência de Segurança (Security).
Falhas
Contabilização Segurança Configuração

Desempenho
Figura 31 - Áreas Funcionais da Gerência de Redes
Vamos ver agora cada uma das áreas funcionais? Acompanhe!

segurança de redes
116
8.3.1 Gerência de falhas
Recordemos que falha não é necessariamente um erro e, sim, uma sinalização

de condição anormal que precisa ter sua rápida detecção e correção. As condi-
ções anormais são indesejáveis, especialmente se as mesmas não tiverem condi-
ções naturais e forem provocadas por indivíduos mal intencionados.
spark-plug.deviantart.com ([20--?])
Em outras palavras, a falha em um switch por problemas decorrentes de seu
elevado tempo de vida (desgaste de ventoinhas, por exemplo) pode ser conside-
rado como natural e passível de previsão, porém, se o mesmo deixa de funcionar
por interferência externa (ou mesmo funciona indevidamente), o tratamento ao
incidente é distinto. A diferenciação entre estas duas situações é de suma impor-
tância ao administrador de segurança para a boa execução de seu trabalho.
É muito importante ficar atento ao uso de componentes e

dispositivos redundantes na rede e à detecção de falhas,
FIQUE a partir de múltiplos sintomas indicativos. Quando um
ALERTA determinado componente falha, o seu par redundante
mantém a rede em funcionamento, minimizando riscos de
parada na rede ou nos serviços.
117
8.3.2 Gerência de configuração
Você sabe que tipo de ajustes trata esta área funcional? Ela trata dos ajustes
que podem ser efetuados no estado dos dispositivos de rede, ligar e/ou desligar
eventuais interfaces, desativar dispositivos, redirecionar tráfego em pontos con-
gestionados, etc.
Hemera ([20--?])
Nesta área, considera-se boa prática a desativação de dispositivos, serviços ou

mesmo, interfaces fora de uso ou desnecessários. Eventuais serviços ou portas
que estão desnecessariamente ativos podem ser usados por indivíduos mal in-
tencionados, para explorar alguma eventual vulnerabilidade e ameaçar o funcio-
namento correto da rede.
Outro aspecto que merece atenção é a expressa garantia que estas atividades
de gerência, especialmente as atividades de controle, possam apenas ser efetua-
das de estações devidamente autorizadas e por usuários igualmente qualificados
e autorizados. Imagine este recurso à disposição de alguém mal intencionado.
Para fins de melhor utilização de recursos, as redes moder-

nas buscam uma maior integração dos aplicativos com a
FIQUE infraestrutura, porém, nesta situação, os cuidados devem
ALERTA ser maiores, nesta área de gerenciamento de segurança,
pois, em caso de algum incidente, maior é o risco ao qual a
rede está exposta.
segurança de redes
118
8.3.3 Gerência de contabilização
A gerência de contabilização verifica que indivíduos ou grupos de indivíduos

usaram quais serviços, pois se trata de uma auditoria. Estas informações subsi-
diam a cobrança, sobre o uso dos recursos disponíveis, baseada nos algoritmos e
nas políticas de cobrança previamente estabelecidos.
Deve ficar muito claro quais dados devem ser cadastrados e coletados para
este monitoramento visando contabilização, assim como onde esta informação
será armazenada. Deste modo, é possível realizar uma análise custo x benefício,
identificar e, eventualmente, reposicionar melhor os recursos em uma rede.
Você sabia que é a partir dos registros de atividades na rede que são obtidos
os dados que indicam o comportamento habitual desta rede? Ou seja, em outras
palavras, como funciona a rede em um dia normal ou comum.
Deste modo, sempre que for detectado um comportamento não condizente
com o usual, com o rotineiro, é disparado um sistema de aviso ou alerta. A causa
da mudança no comportamento da rede deve ser investigada. Pode ser uma al-
teração na rede causada por um fato novo, isolado, não usual ou mesmo indicar
atividade de fundo malicioso que está ocorrendo e as devidas providências de
mitigação devem ser tomadas. Novamente ressalta-se a importância de se ficar
atento para a diferenciação destas situações.
119
8.3.4 Gerência de desempenho
Você saberia dizer qual é objetivo maior, nesta área funcional? É avaliar e mo-
nitorar o desempenho “da rede”, desde o uso da largura de banda (throughput),
o tempo de resposta e mesmo como está a disponibilidade da rede e de seus dis-
positivos. Quando nos referimos ao desempenho “da rede”, estamos ressaltando
o comportamento considerado “normal” ou típico da rede.
Ingram Publishing ([20--?])
É também aqui que se realiza o monitoramento das atividades “na rede”: o que
pode estar causando excesso de tráfego (congestionamento)? Porque o tempo
de resposta está muito elevado? Trata-se de usuário(s) com atividades atípicas ou
algum tipo de ataque malicioso? Quando nos referimos ao comportamento “na
rede” busca-se ressaltar o comportamento de algum dispositivo, ou mesmo, de
usuário com características não usuais e, muito provavelmente, com más inten-
ções em relação à rede.
Novamente volta-se à necessidade de ter registrados todos os parâmetros co-
mumente observados na rede, em períodos de atividade normal (série histórica),
para que possam servir de base e comparação quando os valores forem muito
distintos. É o caso de acompanhamento por gráficos (da semana, do mês, do ano)
que, quando mudam a sua curva histórica, indicam a necessidade de se descobrir
a origem, seja ela mal intencionada ou não.
segurança de redes
120
1 Logs
Existe uma conferência de segurança, conhecida como
Registros de atividades “DEF CON”, que acontece anualmente desde 1992. É
VOCÊ uma das mais tradicionais do ramo e reúne cerca de
10 mil hackers em Las Vegas, nos Estados Unidos, para
SABIA? divulgar pesquisas e inovações, além de servir também
como um encontro de toda a comunidade de seguran-
ça.
8.3.5 Gerência de segurança
E com relação a esta área, você sabe o que são administradas? São administra-
das as permissões de acesso e a proteção das informações. Os usuários precisam
estar autorizados para acessar os dados associados ao seu respectivo de acesso.
Esta autorização somente é concedida após o processo de autenticação do mes-
mo. Trata, portanto, do sistema de autenticação, da política de senhas e das cha-
ves criptográficas utilizadas (política de geração, distribuição e armazenamento).
Stockbyte ([20--?])
Aqui também é acompanhado o monitoramento e o armazenamento dos logs

(registros de atividades) em sistema próprio para tal. Deste modo, mesmo se um
determinado dispositivo da rede for comprometido, os seus logs estarão a salvo
em servidor próprio e seguro. Os logs1, dependendo da informação registrada são
compartilhados com as demandas da gerência de contabilização.
É fundamental que os dados registrados nos diferentes servidores de logs
sejam periodicamente avaliados e estudados. Na área de segurança, não é
conveniente ter um conjunto rico de informações para serem usadas apenas
depois que aconteceu um incidente (para verificar de qual dispositivo se originou
um determinado incidente, quem foi o usuário que estava logado na ocasião,
121
etc). Estas informações devem ser usadas ao máximo, para emitir alertas preven-
tivos de ações anormais ou maliciosas.
Os dados precisam ser criptografados, seja na sua transmissão, ou mesmo,
armazenamento? Casos sejam interceptados (em uma transmissão ou roubo de
notebooks), podem ser acessados? O sistema de gerenciamento, em si, é seguro?
O tráfego de informações não é acessível pelos demais usuários da rede? Infor-
mações de gerenciamento são amplamente divulgadas (são dados que devem
ter acesso restrito)? O tráfego entre gerentes e agentes do sistema de gerência
é criptografado? Com que periodicidade os dados são auditados? É considerada
uma boa prática concentrar eventuais reconfigurações ou outras operações de
gerenciamento, em determinados momentos em que a rede esteja com menos
usuários?
Quantas perguntas, não é mesmo? São perguntas importantes que devem ser
constantemente respondidas. Vamos recordar sempre que, a área de segurança é
o elo mais fraco que acaba sendo explorado. Analise esta questão!
Você necessita ter em mente que todo o conjunto de informações menciona-
do, nesta etapa, deve ser analisado cuidadosamente na hora do projeto e, mes-
mo depois, quando em produção. Deve ser periodicamente reavaliado. Portanto,
trata-se de uma atividade rotineira, periódica.
Que tal agora acompanhar, no próximo item, o AAA? Quer descobrir do que se
trata, siga com o estudo!
8.4 AAA (Autenticação, Autorização e Auditoria)
Este termo está fortemente relacionado com a gerência de segurança da rede

e é muito comum em Segurança da Informação. Os procedimentos AAA, ou mais
claramente, Autenticação, Autorização e Auditoria (Authentication, Authoriza-
tion e Accounting) garantem o acesso com segurança a um determinado sistema.
Acompanhe suas descrições.
Autenticação – Processo no qual o usuário se identifica para um determinado
sistema ou aplicação. Normalmente vale-se de uma base de diretório na qual
estão as informações de todos os usuários cadastrados e que é consultada, neste
processo, seguindo os princípios de autenticação vistos anteriormente.
Autorização – Processo no qual o usuário, após devidamente estar identifica-
do pelo sistema, vai ter a associação dos respectivos privilégios de acesso. Quais
informações, dispositivos e sistemas o mesmo está autorizado a acessar. Trata-
-se de processo que ocorre imediatamente após a autenticação e, normalmente,
estas informações estão armazenadas na própria base de autenticação utilizada.
segurança de redes
122
Auditoria – Processo relacionado à área funcional da gerência de contabiliza-

ção, na qual o usuário, após estar autenticado e autorizado a usar os recursos ou
dispositivos da rede, tem seus procedimentos registrados, para fins de auditoria,
e mesmo, contabilização. O que foi executado, quais informações foram acessa-
das, quais procedimentos foram realizados, bem como o tempo utilizado em cada
um deles são algumas das informações coletadas para que esta etapa seja viável.
Utilize os endereços de sites, a seguir, para você incorporar

mais informações sobre os assuntos de gerência de redes,
especialmente sob ótica de segurança.
SAIBA
MAIS <http://www.rnp.br/newsgen/9708/n3-2.html>;
<http://penta.ufrgs.br/homegere.htm>;
<http://penta.ufrgs.br/gereseg/kerberos.html>.
Lembre-se de que a gerência de redes se divide em cinco áreas funcionais

(modelo FCAPS) e, para um bom funcionamento da gestão de segurança de uma
rede, a integração entre estas cinco áreas é de fundamental importância.
Recapitulando
Nesta etapa, você verificou como as informações de monitoramento e

gerenciamento podem e devem ser usadas para acompanhar o com-
portamento da rede. Estabelecido o comportamento normal da rede, é
importante a monitoração preventiva que, após analisar se o comporta-
mento anormal é aceitável ou mal intencionado, vai indicar as providên-
cias a serem tomadas para cessar o incidente.
Siga atento e comprometido! Veremos, na sequência, as normas de segu-
rança de informação ISO/IEC.
123
Anotações:
Normas de Segurança de Informação
ISO/IEC
Nesta etapa da unidade curricular, você aprenderá os conceitos das principais normas de se-
gurança da informação. Começará estudando os conceitos de boas práticas do ITIL. Depois par-
tirá para o estudo do COBIT, conceituado como um guia de boas práticas, que serve de modelo
de referência de gestão de TI. Ao longo do aprendizado, você entenderá as normas definidas
pela NBR ISO/IEC. E, por fim, você saberá utilizar os conceitos do ciclo PDCA.
Ao término destes estudos, você terá subsídio para:
a) compreender como as normas de segurança da informação auxiliam na segurança das
redes de computadores.
Mantenha seu ânimo e disciplina para continuar adquirindo conhecimentos! Ambos são
fundamentais para seu sucesso!
segurança de redes
126
9.1 Conceitos
Ao longo de todo este curso sobre redes de computadores, você aprendeu

que a interligação dos diferentes dispositivos (intermediários e finais) ocorre com
harmonia de funcionamento graças aos padrões adotados. As normatizações es-
tabelecidas a partir do trabalho de diferentes setores (engenheiros, técnicos, in-
dústria, governo, etc.) e que, quando adotadas, permitem interoperabilidade de
diferentes equipamentos, de diferentes fabricantes e o seu funcionamento den-
tro de expectativas mínimas de desempenho.
Observou que na área de segurança não é diferente? Também existem dife-
rentes normas que ajudarão você a implementar a segurança de maneira mais
adequada a cada caso. As normas nacionais geralmente estão em conformidade
com as normas internacionais, especialmente devido à inexistência de fronteiras
imposta pela Internet.
É importante salientar que as demandas ou requisitos de segurança de uma

instituição financeira (banco, operadora de cartão, financiadora, etc.) são muito
maiores que os requisitos de segurança de uma organização menor e que se de-
dique a outra área de atuação (uma pequena agroindústria, por exemplo). Ou
seja, os requisitos de segurança variam bastante de acordo com o ramo de ativi-
dade, com o porte da empresa, com a missão e o posicionamento da mesma no
mercado, etc. Como não existem duas empresas absolutamente iguais, devemos
ter também diferentes enfoques relativos à segurança, quando aplicarmos a nor-
ma a cada uma delas.
Você vai perceber que as normas que estudaremos são flexíveis, para que pos-
sam se adequar a cada tipo de empresa e situação. Elas não dizem “o que“, nem
“como” deve ser feito, mas indicam as melhores práticas em cada um dos aspec-
tos abordados e como deveria ser a situação ideal. Cabe a você, profissional da
9 Normas de Segurança de Informação ISO/IEC
127
área, na hora da implementação da norma, estudar mais detalhadamente a boa

prática indicada à luz da característica da empresa em questão e, aí sim, ver como,
o que, quando, de que maneira, etc.
Você não irá estudar, nesta etapa, as normas, as recomendações existentes
item a item, artigo a artigo. O estudo deste assunto é bastante cansativo e efeti-
vamente não vai agregar o conhecimento necessário para sua vida profissional.
Serão estudados os seus aspectos de modo geral, de forma que se saiba do que
tratam as normas existentes, onde e quando se aplicam. Assim, em caso de uma
necessidade mais específica, você possa recorrer a elas mais facilmente e, desta
forma, abordar mais profundamente cada tópico.
Outro aspecto importante sobre as normas é que sua implementação não é
obrigatória. Não se trata de uma lei e, sim, de uma norma, de recomendações de
boas práticas. É claro que todas as empresas que aplicarem estas normas possui-
rão um diferencial significativo em relação às que não aplicam. A correta aplica-
ção destas normas pode ser auditada por empresas externas, independentes e
devidamente autorizadas para tal, de modo que uma certificação possa ser emi-
tida. A certificação distingue a empresa das demais que não aplicam esta norma.
Através do Casos e relatos que segue, você observará claramente a questão
do diferencial de uma certificação, comprovando aos interessados que a empresa
está seguindo as boas práticas a que se propôs.
CASOS E RELATOS
Uso da Norma
Atualmente existe uma grande preocupação mundial com aspectos am-
bientais. Mas, como diferenciar as iniciativas seriamente preocupadas
com este importante aspecto das que não são.
Neste sentido existem normas e recomendações para orientarem as em-
presas na melhor forma de implementar cuidados e processos, um guia
de boas práticas nesta área.
Mas como saber efetivamente quem segue estas normas, estes guias?
Existem empresas certificadoras, que são instituições independentes,
conhecedoras das normas e credenciadas pelas instituições normativas
para que possam efetuar auditorias relativas à aplicação das mesmas.
segurança de redes
128
As empresas que fizeram corretamente seu dever de casa, implementan-

do adequadamente as normas, recebem a certificação e, com isto, po-
dem comprovar para os interessados que seguem estas boas práticas.
Quem não recebeu esta certificação recebe uma relação de itens com
“não conformidade” com a norma e, ao corrigir estas pendências podem
solicitar uma nova visita de avaliação, visando a almejada certificação.
Bastante esclarecedor o assunto abordado, não é mesmo? A certificação é,

sem dúvida, um documento que destaca positivamente uma empresa das de-
mais que não a possuem!
Convido você para seguir aprimorando seu aprendizado! Vamos lá? Agora co-
nheça a ITIL.
9.2 ITIL
Prlog ([20--?])
Figura 32 - (logo do ITIL)
A Information Technology Infrastructure Library (ITIL) trata de um conjunto de

boas práticas que podem ser aplicadas na infraestrutura, operação e manutenção
de serviços de tecnologia da informação (TI). Foi desenvolvido no final dos anos
80 pela CCTA (Central Computer and Telecommunications Agency) e encontra-se
atualmente sob guarda da OGC (Office for Government Commerce) na Inglaterra.
Suas recomendações não estão diretamente associadas com a segurança da
informação, mas ao atuar na gestão dos serviços de TI (Tecnologia da Informa-
129
ção) com enfoque na qualidade, merece atenção. Quer conhecer seus principais
objetivos?
a) Alinhar os serviços de TI com as necessidades atuais e futuras das organiza-
ções, seus clientes internos e externos (fornecedores).
b) Melhorar a qualidade dos serviços de TI oferecidos.
c) Reduzir, a médio e longo prazo, o custo inerente à disponibilização dos ser-
viços de TI.
Atuando nas áreas de Gestão e Disponibilidade de Serviços, está fortemente
associada com os conceitos de gerenciamento e monitoramento vistos na etapa
anterior e, deste modo, tem relação direta com a segurança da informação. Com
a implantação das boas práticas recomendadas pelo ITIL (na medida em que as
mesmas se apliquem), as possíveis vulnerabilidades na empresa, especialmente
na área dos serviços de TI, tendem a ser reduzidas.
A preocupação com a segurança da informação não é

recente! No Brasil, desde 2000 temos um decreto (De-
VOCÊ creto nº 3.505, de 13 de junho de 2000) estabelecendo
SABIA? a política de segurança da informação nos órgãos pú-
blicos. Veja na íntegra: <http://www.planalto.gov.br/
ccivil_03/decreto/D3505.htm>.
Muito bom saber que existe um conjunto de boas práticas que podem atuar
na gestão de serviços de tecnologia da informação com enfoque em qualidade!
O próximo tópico da aprendizagem diz respeito ao COBIT.
segurança de redes
130
9.3 COBIT
Frame Group ([20--?])

Figura 33 - (logo COBIT)
De forma análoga ao ITIL, direcionado à área de gestão de TI, existe também

o COBIT (Control Objetives for Information and Related Technology), que é mantido
pelo ISACA (Information Systems Audit and Control Association).
Trata-se igualmente de um guia de boas práticas que serve de modelo de re-
ferência de gestão de TI. Apresenta para tal um sumário executivo, um framework
(conjunto de conceitos), objetivos de controle, mapas de auditoria, ferramentas
para a sua implantação e também um guia com técnicas de gerenciamento.
O COBIT enquanto ferramenta de gerenciamento ou modelo de governança,
visa auxiliar aos gestores na formalização do processo de gestão e, com isso, fa-
cilitar inclusive a administração futura da TI. Se das boas práticas espera-se um
processo mais eficiente, com a TI mais alinhada aos negócios de TI, a sua análise
de risco aplicada ajuda a garantir a integridade das informações e dos sistemas
que a manipulam.
Notou como foi útil você analisar mais um guia de boas práticas que serve de
modelo de referência de gestão de TI? Próxima parada! NBR ISSO/IEC.
131
9.4 NBR ISO/IEC
Thiago Cesar Busarello ([20--?])

Figura 34 - (logo ABNT)
Esta norma foi inicialmente definida como código de prática pelo BSI – British
Standard Institut - Instituto de Padronização Britânico, em 1995. Em 1998, foi cria-
do o padrão BS 7799-2, a partir do padrão de 1995 e tratando da especificação,
gestão e implementação de um sistema de gestão de segurança da informação.
Em 1999, veio a BS 7799-1, como guia de melhores práticas e a BS 7799-2 foi
revisada. A partir da norma BS 7799-1, a ISO a adota como BS ISO/IEC 17799 e, em
2001, a ABNT a adota como BR ISO/IEC 17799-1. Em 2002, ocorreu por parte da
BSI a revisão da BS 7799-2. Em 2005, a revisão do padrão ISO/IEC 17799 tornou-se
finalmente o padrão ISO/IEC 17799:2005, sendo também adotada no Brasil. Em
2005, temos também a ISO/IEC 27001, originária da BS 7799-2, sendo adotada
pela ABNT como NBR ISO/IEC 27001, em 2006, no Brasil.
Você sabia que as duas normas ISO/IEC 27001 e 27002 trabalham em con-
junto? Sim. A ISO/IEC 27001 é a única norma internacional auditável que define
os requisitos para um SGSI - Sistema de Gestão de Segurança da Informação. É
amplamente aplicável a qualquer instituição, grande ou pequena, em qualquer
setor de atuação, ou mesmo, parte do mundo. É particularmente aplicável ou ne-
cessária onde a proteção da informação é mais crítica (finanças, saúde, setores
públicos e TI), especialmente em organizações que gerenciam informações em
nome de terceiros (a aplicação da norma é uma garantia ao cliente da proteção
da informação).
Observe como estão relacionadas as áreas de controle propostas pela norma,
em relação à segurança da informação:
a) Política de Segurança da Informação;
b) Estruturando a Segurança da Informação;
c) Gerenciamento dos Ativos da Informação;
segurança de redes
132
d) Gestão da Segurança nos Recursos Humanos;

e) Segurança Física e do Ambiente;
f) Gerenciamento das Operações de TI;
g) Controle de Acesso;
h) Aquisição, Desenvolvimento e Manutenção de Sistemas;
i) Gestão de Incidentes de Segurança;
j) Gestão da Continuidade do Negócio;
k) Conformidade Legal.
Bem, prepare-se que agora você verá com maiores detalhes estas áreas de
controles propostas pela norma.
9.4.1 Política de segurança da informação
Apresenta orientações para a formalização de uma política, com suas diretri-

zes, princípios e regras que irão orientar e apoiar a implantação e manutenção da
segurança na organização.
O que é a política de segurança da informação? Um conjunto de regras que
determina qual o comportamento das pessoas que se relacionam com a institui-
ção em relação ao tratamento e à segurança da informação.
Na política devem constar os objetivos e metas, as di-

FIQUE retrizes gerais, respectivas responsabilidades, como os
incidentes são registrados, como serão os procedimentos
ALERTA de revisão da mesma e as questões legais e de regulamen-
tação.
A política de segurança da informação deve apresentar as seguintes caracte-

rísticas:
a) simplicidade;
b) objetividade;
c) consistência;
d) definir metas;
e) definir responsabilidades; e
f) definir penalidades.
133
Quer saber como os possíveis controles podem ser citados? Através da:
a) documentação da política de segurança da informação;
b) análise crítica e periódica desta política.
9.4.2 Estruturando a segurança da informação
Esta parte apresenta recomendações para o estabelecimento e manutenção

de uma estrutura de gestão para planejar e controlar a implementação da segu-
rança da informação.
A infraestrutura de segurança da informação é a base sobre a qual o sistema
de gestão da segurança da informação de uma empresa deve ser construído e
apresenta os seguintes elementos:
a) internos – o Security Officer, o comitê gestor de segurança, a equipe de
implementação, a equipe de auditoria, etc.;
b) de responsabilização – cada grupo de ativos deve ter um responsável
para garantir a segurança da informação neste grupo;
c) externos – é importante a participação de um especialista em segurança
da informação, geralmente um consultor externo para auxiliar no processo.
É fundamental nesta área deixar bem definido como se darão os acessos por
prestadores de serviços externos à organização, como isto será registrado e mes-
mo controlado nos contratos de terceirização, prestação de serviços ou outsour-
cing.
São possíveis controles nesta fase de estruturação:
a) fórum de segurança da informação (alta direção);
b) comitê coordenador de segurança da Informação;
c) atribuição de responsabilidades sobre a segurança da informação;
d) acordos de confidencialidade;
e) contato com autoridades.
f) contatos com grupos ou consultores de segurança;
g) análise crítica (auditoria externa);
h) identificação do risco de acesso de terceirizados;
i) identificação de segurança da informação na relação com os clientes; e
j) requisitos de segurança em contratos de terceirização.
segurança de redes
134
9.4.3 Gerenciamento dos ativos da informação
Apresenta recomendações sobre a realização de inventário dos ativos da in-

formação, sua classificação em relação à segurança e atribuição de responsabili-
dades pela manutenção de sua proteção.
Você sabe como inicia o processo? Ele inicia com o levantamento ou inven-
tário dos ativos para que, na sequência, eles sejam classificados de acordo com
seu grau de importância para o negócio da empresa. Este levantamento é muito
importante para o processo da análise e gestão de risco.
Como controles, nesta fase de levantamento de ativos da informação, pode-se
enumerar:
a) inventário dos ativos;
b) normas para classificação da informação; e
c) rotulagem e tratamento da informação.
9.4.4 Gestão da segurança nos recursos humanos
Indica formas para reduzir os riscos de erro humano, roubo, fraude ou uso in-
devido das instalações (enfoque na capacitação contínua).
135
Getty Images ([20--?])

Quem são os principais elementos responsáveis pelo sucesso de uma política
de segurança de informações? Você sabe a resposta? São as pessoas! Para tanto
devem ser incluídos aspectos de segurança da informação nas responsabilidades
usuais do trabalho, política de seleção de pessoal envolvido nos diversos níveis e
elaboração de acordos de confidencialidade da informação.
O treinamento contínuo dos recursos humanos é fator

chave de sucesso na implementação da política de se-
gurança da empresa. Devem estar aptos à notificação e
FIQUE registro de:
ALERTA 1. incidentes de segurança da informação;
2. falhas de segurança;
3. mau funcionamento de software.
Necessitam ser também capacitados a aprender com os incidentes para me-

lhorar o nível de segurança e estarem cientes de eventual processo disciplinar,
em caso de violação de política (responsabilização).
Como controles, nesta área relativa à gestão de pessoas, pode-se enumerar
resumidamente:
a) a segurança da informação incluída nas responsabilidades do trabalho;
b) procedimentos de seleção e política de pessoal;
c) acordos de confidencialidade;
segurança de redes
136
d) termos e condições de trabalho;

e) treinamento e capacitação em segurança da informação;
f) notificação de incidentes de segurança da informação;
g) notificação e falhas de segurança da informação;
h) aprendizado e melhoria com base em incidentes; e
i) processo disciplinar.
Seguindo no entendimento das áreas de controles propostas pela norma, em
relação à segurança da informação, você irá estudar a segurança física e do am-
biente.
9.4.5 Segurança física e do ambiente
Esta área apresenta orientações para a proteção dos recursos e instalações de

processamento de informações críticas ou sensíveis do negócio contra acesso
não autorizado, dano ou interferência.
Você sabe o que significa área de segurança? É o espaço físico que necessita de
proteção contra eventuais ameaças à segurança. Inicialmente devem ser defini-
das estas áreas com seu respectivo nível de criticidade em relação à segurança da
informação. Os perímetros devem ser claramente definidos, pois as medidas em
áreas com criticidades diferentes também são diferentes entre si.
137
Devem ficar registrados os procedimentos de segurança dos equipamentos,

bem como, a forma de proteção, especialmente, dos equipamentos de processa-
mento da informação.
Conheça, de forma resumida, os controles que podem ser implementados:
a) definição de perímetro de segurança;
b) controle de acesso físico;
c) segurança em escritórios, salas e instalações de processamento de informa-
ções;
d) controle e regras de trabalho em áreas de segurança;
e) isolamento das áreas de expedição e carga;
f) instalação e proteção de equipamentos;
g) suprimento de energia de segurança;
h) proteção do cabeamento de dados ou de suporte a informação;
i) manutenção de equipamentos;
j) proteção de equipamentos fora das instalações da organização (notebooks);
k) segurança na reutilização e descarte de equipamentos;
l) política de tela e mesa limpa;
m) norma para remoção de informação da organização.
9.4.6 Gerenciamento das operações de TI
São recomendações para garantir a correta e segura operação dos recursos de

tratamento e armazenamento de informações, bem como proteger a sua integri-
dade.
segurança de redes
138
Abrange a documentação dos procedimentos e registros, clara definição de

funções e separação de ambientes, planejamento e aceite/homologação de sis-
temas, política de proteção contra software malicioso, manutenção operacional
dos serviços, etc.
O gerenciamento da rede deve ser executado de maneira mais formal, com
observação especial a certos pontos considerados críticos ou de maior risco. Se-
gurança e manuseio de mídias, especialmente na rotina de execução e verificação
de backup.
Veja, a seguir, os controles necessários para um correto gerenciamento da
rede.
a) Procedimentos de operações documentados.
b) Mudanças operacionais controladas.
c) Procedimento para gerenciamento de incidentes.
d) Separação e atribuição de responsabilidades.
e) Separação dos ambientes de produção e desenvolvimento.
f) Gerenciamento de recursos externos.
g) Planejamento de capacidade.
h) Aceitação de sistemas.
i) Controle contra softwares maliciosos.
j) Sistema de backup (cópias de segurança).
k) Registros operacionais (log de sistemas).
l) Registro de falhas.
m) Controles de rede.
n) Gerenciamento de mídias removíveis.
o) Descarte de mídias.
p) Procedimentos para tratamento de informação.
q) Segurança da documentação do sistema.
r) Contratos para troca de informação e uso de software.
s) Segurança do correio eletrônico.
t) Segurança do comércio eletrônico.
u) Segurança dos sistemas de escritório.
v) Mecanismos de autorização para tornar público o acesso aos sistemas.
w) Política para formas de troca de informação.
139
Observe agora a importância do controle de acesso!
9.4.7 Controle de Acesso
Apresentam orientações para a monitoração e o controle de acesso a recursos

computacionais, para proteção contra abusos internos ou mesmo ataques exter-
nos.
Você sabe como é definida a forma de controle de acesso? É estabelecida,

principalmente, em função dos requisitos do negócio. O acesso dos usuários deve
ser gerenciado, bem como tentativas de violação em relação a suas responsabili-
dades. O controle de acesso deve abranger: Acompanhe!
a) Acesso Físico.
b) Acesso ao Sistema Operacional.
c) Acesso à Rede.
d) Acesso às Aplicações.
Em paralelo, deve haver também o monitoramento

VOCÊ quantitativo do uso, nestes acessos, com especial aten-
SABIA? ção aos casos de computação móvel e trabalho remoto,
onde os requisitos de segurança são distintos.
segurança de redes
140
A seguir uma relação de alguns possíveis controles a serem implementados:

a) política de controle de acesso;
b) processo de registro de usuário;
c) gestão de privilégios dos usuários;
d) processo de revisão dos direitos de acesso;
e) regras para uso de senhas (sistema de gestão de senhas);
f) proteção adequada para equipamentos de usuário sem monitoração;
g) política de uso de serviços de rede;
h) rota de rede obrigatória (Controle de roteamento de rede);
i) autenticação de conexões externas ao usuário;
j) autenticação para acesso a computador remoto;
k) proteção a portas de diagnóstico remoto;
l) segregação em redes;
m) controle de conexões de rede;
n) segurança claramente definida para os serviços da rede;
o) restrição e controle do uso de sistemas utilitários;
p) timeout para conexão de terminais (após determinado tempo de inativida-
de);
q) sincronização de relógios dos computadores que registram eventos (logs); e
r) política de computação móvel.
9.4.8 Aquisição, desenvolvimento e manutenção de sistemas
São apresentados, para nós, indicações de requisitos e de controles de segu-

rança em todas as etapas do ciclo de vida dos sistemas.
Hemera ([20--?])
141
Precisam estar registrados os requisitos de segurança de sistemas, com con-

trole automático ou manual, que permita a identificação de qualquer anomalia
no mesmo. Além disto, deve-se ter a verificação de segurança em:
a) entrada de dados (por dupla entrada, análise de campos-chave, inspeção de
documentos, validação de erros e plausibilidade de dados);
b) controle de processamento (a forma de processamento está de acordo com
os requisitos);
c) checagens e controles (controle de processamento em lote, controles de
balanceamento, validação de dados gerados pelo sistema, checagem de in-
tegridade e avaliação dos registros operacionais);
d) autenticação de mensagens entre os sistemas; e
e) validação das saídas.
Observe que aqui também ficam os controles em relação à criptografia, tanto
de assinatura digital como no gerenciamento de chaves. Temos ainda a segu-
rança dos arquivos do sistema, no desenvolvimento do software (documentação
com registro de mudanças em relação ao projeto, etc.), do sistema operacional
e de pacotes de software. Sem falar em backdoor, cavalos de tróia e, mesmo, na
política de desenvolvimento terceirizado de software.
Podem ser implementados os controles de:
a) especificação e análise dos requisitos de segurança;
b) validação da entrada de dados;
c) checagens nos processamentos, que possam indicar possíveis problemas
nos dados;
d) autenticação de mensagens trocadas entre as aplicações;
e) validação das informações de saída ;
f) política para uso de criptografia (gestão de chaves, assinaturas digitais e ser-
viços de não-repúdio);
g) controle de software operacional (produção – desenvolvimento);
h) proteção para dados usados em testes; e
i) procedimentos para gestão de mudanças.
segurança de redes
142
9.4.9 Gestão de incidentes de segurança
Você sabe que, apesar de todos os controles implementados, eventualmente

podem ocorrer incidentes de segurança? Sim, é verdade! Podem ocorrer. Portan-
to, uma análise crítica leva ao aperfeiçoamento do sistema.
Hemera ([20--?])
Trata basicamente da notificação dos incidentes, do tratamento dado a eles e
do aperfeiçoamento do sistema de segurança decorrente com as eventuais pro-
vidências legais que alguns incidentes podem necessitar.
Como controles nesta área temos:
a) notificação de eventos de segurança da informação;
b) notificação de fragilidades de segurança da informação;
c) definição de responsabilidades e criação de procedimentos para notifica-
ção;
d) implantação de mecanismo de melhoria contínua com base nos incidentes
registrados; e
e) definição de procedimentos para coleta de evidências.
9.4.10 Gestão de continuidade do negócio
Apresenta recomendações visando preparar a organização para neutralizar as

interrupções nas atividades da empresa, protegendo processos críticos em casos
de falha ou desastres. Você verá maiores detalhes sobre este assunto na próxima
unidade curricular– Disaster Recovery).
143
Goodshoot ([20--?])
É fundamental um cuidadoso planejamento da continuidade, com documen-
tação dos planos e garantia de funcionamento destes, para que possam desem-
penhar seu papel na segurança da informação.
São controles, nesta área:
a) gestão dos processos de continuidade do negócio;
b) elaboração do plano, de acordo com a análise de risco previamente execu-
tada, para a coerência da proposta;
c) documentação do plano de continuidade de negócios (PCN);
d) mecanismo para estruturação e integração dos diversos planos de continui-
dade de negócios (se existir mais de um); e
e) realização de simulações com testes e manutenção dos mesmos.
9.4.11 Conformidade legal
São indicações para a preservação da conformidade com requisitos legais (di-

reito autoral, direito à privacidade, etc.) das normas, diretrizes internas e requisi-
tos técnicos de segurança.
segurança de redes
144
Inicialmente deve-se ter a identificação da legislação vigente, que afeta o ne-
gócio da empresa sob análise, quais informações estão afetadas pela lei de pro-
priedade intelectual e privacidade, como ocorrem os registros referentes às ativi-
dades com os dados (necessidade legal de guardar o registro), como é o uso da
criptografia (cada país tem uma legislação diferente) e se existe conformidade
nos sistemas de informação.
Possíveis controles que podem ser implementados nesta área:
a) identificação da legislação aplicável na organização;
b) implementação de procedimentos que garantam a propriedade intelectual;
c) mecanismos de proteção dos registros organizacionais;
d) mecanismos de proteção às informações pessoas que possam estar sob a
guarda da organização;
e) métodos de prevenção contra uso equivocado de informações;
f) regulamentação do uso de controle criptográfico;
g) procedimentos para coleta de evidências após a ocorrência de incidentes
de segurança;
h) mecanismos que promovam e garantam o cumprimento das normas de se-
gurança;
i) implementação de controles visando a auditoria de sistemas; e
j) ferramentas para auditoria e proteção de sistemas.
145
Os Comunicados de Segurança Microsoft (Security Advisories)

lidam com as mudanças na segurança, que podem afetar o
trabalho do consumidor como um todo, especialmente sob a
ótica de segurança do seu sistema.
SAIBA
MAIS Assine os mesmos e aumente seus conhecimentos sobre se-
gurança da informação.
<http://www.microsoft.com/brasil/technet/comunicados/
default.mspx>.
Percebeu como é relevante a análise de todas as áreas de controle proposta

pela norma em relação à segurança da informação? Esta etapa foi fundamental
para esclarecer a você as particularidades e importância destes controles.
O tema que trataremos, a seguir, é o PDCA. Vamos lá?
9.5 Ciclo PDCA
As normas devem ser aplicadas de acordo com as características, com o porte

e com o estilo de administração aplicado em cada empresa.
Para esta situação, é muito comum a utilização do ciclo PDCA, conforme figura
a seguir:
Figura 35 - Ciclo PDCA

segurança de redes
146
Veja o que significa.

PLAN – Planejar – é o momento do planejamento de aplicação da norma, ou
em ato contínuo, do planejamento de ajustes em função dos resultados do ciclo.
DO – Executar – Conduzir o plano, ou seja, implementar, de acordo com o que
foi planejado na etapa anterior.
CHECK – Verificar – Coletar e analisar informações para observar falhas e pos-
sibilidade de ajustes na implementação da norma.
ACT – Agir Corretivamente – Corrigir as falhas implementando os ajustes e rei-
niciando um novo ciclo em função dos resultados obtidos, buscando a melhoria
do processo.
O livro “Praticando a Segurança da Informação”, de Edison

Fontes, é uma excelente sugestão para uma leitura comple-
mentar no que diz respeito às orientações ligadas às normas
NBR ISO/IEC 27001 e 27002.
Seguem também algumas sugestões de sites para que você
conheça mais sobre o assunto que estudamos nesta etapa:
<http://www.itil-officialsite.com>;
SAIBA
MAIS <http://www.itilnapratica.com.br>;
<http://www.isaca.org/Knowledge-Center/COBIT/Pages/
Overview.aspx>;
<http://www.isaca.org.br/novoportal/modules/wfsection/
article.php?articleid=9>;
<http://www.abnt.org.br>;
<http://www.iso.org>.
O ciclo do PDCA, em função da dinâmica da empresa, da constante evolução

da informática, suas vulnerabilidades e riscos, é um processo contínuo. Após rea-
lizadas as ações corretivas,neste ciclo PDCA, o mesmo se inicia com novo planeja-
mento, tornando o procedimento de avaliação e reavaliação rotineiro.
Recapitulando
Nesta etapa de estudo, você verificou que existem diversas normas rela-
tivas à tecnologia da informação, com foco especial naquelas relativas à
segurança e, com a aplicação das mesmas, auxiliará você, administrador
147
de redes, em sua função. Sempre sob a ótica da segurança da informação.

Dever ficar esclarecido que não se trata de um pacote pronto, e todas as
sugestões possíveis deverão ser aplicadas de forma a tornar o ambiente
da informação cada vez mais seguro.
Adicionalmente, para as diversas áreas propostas pelas normas, você
foi apresentado aos principais controles que devem ser implementados
para os melhores resultados quando da implementação da norma ISO/
IEC. Agora o foco do estudo será a política de segurança de redes.
Política de Segurança de Redes
10
Nesta etapa da construção da aprendizagem, você estudará os conceitos de políticas de

segurança que devem ser usados em redes de computadores. Na primeira parte do estudo,
abordaremos os conceitos de uma política de segurança. Depois você estudará como desen-
volver uma política da segurança da informação. No encerramento da etapa, você entenderá
a importância da conscientização e capacitação continuados , como usuários e envolvidos em
uma política de segurança.
Muito importante e significativo o conteúdo destes estudos! Ao final deste momento você,
terá subsídio para compreender como as políticas de segurança auxiliam no processo de man-
ter uma rede segura.
Siga rumo a novos conteúdos! Para isto disciplina, juntamente com determinação, irá contri-
buir para que você colha resultados positivos! Na sequência, os conceitos serão tratados.
segurança de redes
150
10.1 Conceitos
Você já conheceu, nos estudos anteriores,as principais normas existentes da

área de segurança da informação e o seu respectivo enfoque. Portanto, agora,
você vai estudar como aplicar estas normas nacionais e internacionais, em uma
política de segurança da informação na empresa e, mais especificamente, uma
política de segurança de redes. Tal como falamos no estudo anterior, não é pro-
priamente um assunto da área tecnológica (TI), cuja implementação nos sistemas
informatizados vai garantir a segurança da informação na empresa. É, sim, um
assunto mais voltado para a gestão de processos, permeando a empresa como
um todo.
Já foi abordado que uma política de segurança da informação é basicamente
um conjunto formalizado de regras que determina qual o comportamento das
pessoas que se relacionam com a instituição, sob a ótica do tratamento e da se-
gurança da informação.
Você sabia que o desenvolvimento e a implantação de uma política de segu-

rança da informação, em uma organização, é um importante passo para comba-
ter ameaças aos seus ativos de informação, minimizando os riscos? Uma ilusão
de muitos administradores de empresas é que a adoção de ferramentas como
antivírus, antispam, firewall ou qualquer iniciativa, com a finalidade de aumentar
a segurança na empresa, vai garantir à organização 100% de segurança. Este é um
erro clássico.
10 Política de Segurança de Redes
151
A RNP – Rede Nacional de Pesquisa, através do CAIS –

Centro de Alertas a Incidentes de Segurança, mantém
um catálogo de fraudes atualizado, desde 2008, com
VOCÊ mais de 3 mil fraudes registradas. Ali você encontra tam-
SABIA? bém detalhes de cada fraude. O objetivo é justamente
aumentar a conscientização do usuário final a respeito
deste sério problema. Em caso de dúvidas, consulte o
link <http://www.rnp.br/cais/fraudes.php>.
Continue a leitura para conhecer algumas características que uma política de

segurança da informação deve apresentar:
Não é um assunto da área tecnológica – apesar de uma intensa associação
de segurança da informação com roubo de informações de servidores, com mi-
crocomputadores sofrendo invasão, com sistemas de comunicação prejudicados
ou desativados, este não é o foco principal. Não bastam apenas soluções nesta
área como antivírus, antispam, antispyware, firewall, etc. Reforçamos novamente
que são recursos fundamentais, porém não suficientes, para o sucesso da imple-
mentação de seu Plano de Segurança da Informação.
Trata-se de uma decisão organizacional – não deve ser unicamente a área
de TI, um gerente ou mesmo um diretor, a tomar a iniciativa de implantar um pla-
no desta importância para a empresa. A alta cúpula da organização deve estar ini-
cialmente ciente da importância deste tipo de iniciativa e, aí sim, sob o patrocínio
e supervisão direta de um dos executivos mais graduados, iniciar o processo de
implantação da política.
Deve estar alinhada com os requisitos do negócio da empresa – Se a se-
gurança da informação é uma decisão da empresa, é fundamental que ela esteja
“afinada” com o seu negócio, reconhecendo os ativos de informação mais impor-
tantes e atuando no sentido de protegê-los. Os seus custos não devem ser enca-
rados como um investimento (cujo retorno deve ser verificado), ou mesmo como
uma despesa e, sim, como um “seguro” para evitar problemas maiores.
Não ocorre por decreto – hábitos seguros, voltados para a proteção da infor-
mação, normalmente implicam em alterações na forma de trabalho das pessoas e
também em investimentos, de tempo e de dinheiro, nesta área. Sem a sensibiliza-
ção da direção em relação à importância da segurança e o envolvimento de uma
equipe para viabilizar a implementação do plano, dificilmente se obtém sucesso.
Trata-se de um processo que ocorre gradualmente.
Mudança de postura profissional – é importante sempre reforçar, deixar
bem claro que alguns hábitos devem ser mudados em função da segurança. E
como mudanças, geralmente não são bem aceitas pelas pessoas, este ponto me-
rece especial atenção na implantação da política, por esta dificuldade inerente.
A existência formalizada de regulamentos, normas e procedimentos, que se apli-
segurança de redes
152
cam a todos na organização é fundamental e facilita o processo, pois não exclui

ninguém.
Controle de acesso à informação – o funcionário deve ter acesso à informa-
ção que necessita para a execução de sua atividade na empresa. Para tal, a infor-
mação deve ser previamente classificada e os respectivos controles, neste senti-
do, devem ser implementados, independentemente de sua posição na hierarquia
da empresa.
Gestor da Informação – Se antes a segurança da informação era fortemente
associada à área de TI, agora é a figura do gestor da segurança da informação
(diretamente ligado à alta direção) e amparado por um Comitê de Gestão da In-
formação, que vai assumir este papel. O ocupante deste cargo será agora o vilão
da empresa, aquele que restringe o acesso à informação, o que dificulta tudo.
Envolvimento de todos – a implantação do plano de segurança da informa-
ção deve contemplar todos os envolvidos na empresa, funcionários dos diferen-
tes níveis hierárquicos (do presidente ao faxineiro), prestadores de serviço, ter-
ceirizados, fornecedores, etc. Lembre-se de que a corrente sempre estoura no elo
mais fraco.
153
Atenção com as pessoas – comprar soluções de segurança (firewall, antivírus,
etc.) é uma questão de instalar e ficar monitorando e eventualmente ajustar seu
funcionamento. Com pessoas a abordagem deve ser bem diferente. Elas devem
ser conscientizadas da importância da segurança da informação, receber treina-
mento para passar a trabalhar com ela e, constantemente, lembradas deste novo
enfoque no seu dia a dia. É um trabalho de capacitação e conscientização contí-
nuo (missionário).
Você estudou que na política de segurança da informação devem constar os
objetivos e metas, diretrizes gerais, respectivas responsabilidades, como os inci-
dentes são registrados, como serão os procedimentos de revisão da mesma e as
questões legais e de regulamentação.
Enumerando as características das normas e os procedimentos de segurança
da informação, decorrentes da sua política, elas devem ser:
a) simples e compreensíveis (texto claro, conciso e objetivo);
b) endossadas ou homologadas pela alta direção;
c) consistentes e estruturadas, de modo a permitir a sua implantação por fases;
d) alinhadas/coerentes com os negócios da empresa, seus padrões e procedi-
mentos;
e) orientadas fortemente aos riscos (risco maior -> maior ênfase);
f) flexíveis, permitindo ajustes a novos requisitos de tecnologias ou do negó-
cio;
g) positivas, não apenas com ênfase em ações proibitivas ou punitivas;
h) amplamente divulgadas e periodicamente revisadas;
segurança de redes
154
i) de fácil compreensão, com clareza na apresentação de suas metas,

responsabilidades e eventuais penalidades.
Que o CERT - Centro de Estudos, Resposta e Tratamento

de Incidentes de Segurança no Brasil (www.cert.br) é
mantido pelo NIC.br (www.nic.br), do Comitê Gestor da
Internet no Brasil, e atende a qualquer rede brasileira
conectada à Internet.
Assine a lista de anúncios para saber sobre novos do-
cumentos, lançamentos de estatísticas e informações
VOCÊ sobre novas turmas dos cursos.
SABIA?
Neste endereço também são apresentadas orientações
de instalação e configuração segura de sistemas e dicas
para a administração e operação segura de redes, servi-
ços e sistemas:
<http://www.cert.br/docs/seg-adm-redes/seg-adm-
-redes.html>.
Você observou que uma política de segurança da informação desenvolvida e

implementada, em uma empresa, é um grande passo para combater ameaças aos
ativos de informação, minimizando os riscos? E que necessita do envolvimento
de todas as pessoas desta organização! São considerações que merecem atenção
para o alcance do sucesso. Vamos seguir com um novo conteúdo!
10.2 Desenvolvimento de uma política de segurança da

informação
Vamos estudar aqui as fases do desenvolvimento de uma política de segu-

rança da informação, e o que deve ser abordado em cada fase. A política é um
conjunto formal de normas e procedimentos utilizados na implantação e manu-
tenção da segurança da informação na empresa.
Norma é um documento que contém especificações técnicas ou outros crité-
rios desenvolvidos para serem utilizados consistentemente como uma regra, uma
diretriz ou uma definição. Os procedimentos complementam a norma, indicam
ações, a forma de agir ou ainda os métodos para execução de algumas atividades
específicas em determinadas situações.
No desenvolvimento da política são sugeridas também algumas fases a serem
seguidas:
a) levantamento de informações;
b) elaboração e registro das políticas e normas;
c) definição dos procedimentos;
d) revisão final, aprovação e efetiva implantação.
155
Você irá conhecê-las, no detalhe. Acompanhe!
10.2.1 Levantamento de informações
Nesta fase, levantam-se todos os padrões, normas e procedimentos de segu-

rança já existentes, com ênfase para os já adotados pela organização. Tudo o que
existe deve ser resgatado e a sua aplicabilidade ou continuidade de uso devem
ser verificadas.
Diego Fernandes (2011)
Na sequência, deve ficar claro o papel da tecnologia da informação (necessi-

dades e uso efetivo) nos negócios da empresa. Você entende que, neste ponto, é
necessário levantar quais são os sistemas, equipamentos e informações existen-
tes? Qual o seu papel em relação aos processos de negócio da empresa? Quais as
plataformas de hardware utilizadas? Como os diferentes sistemas trocam infor-
mações entre si? Qual o fluxo da informação neste ambiente? Como é feita a do-
cumentação disso tudo? Quantas perguntas precisam de resposta, não é mesmo?
Tudo para estabelecer um sistema de segurança da informação viável à realidade
da empresa.
Depois é momento de situar a empresa em relação ao seu ambiente de negó-
cios, como funciona o mercado no qual está inserida, suas tendências, quais os
controles existentes, em relação ao negócio e quais os riscos inerentes.
10.2.2 Elaboração e registro da documentação
Após a clara e objetiva definição da segurança da informação, de quais os ob-

jetivos do gerenciamento da segurança e os fatores críticos de sucesso (e mesmo
os fatores-chave de fracasso – para serem evitados), inicia-se a definição de ge-
segurança de redes
156
renciamento da política. A forma de gerenciamento de versões futuras, a manu-

tenção da política, e mesmo, referências para outras políticas, normas e procedi-
mentos são fundamentais nesta fase.
Hemera ([20--?])
Depois das definições vem a estipulação de regras e responsabilidades. Como
será constituído o comitê de segurança da informação? Quem serão os respon-
sáveis pelas informações (proprietários)? Como será estruturada a área de segu-
rança da informação da empresa? Quem são os usuários da informação? Como
envolver os recursos humanos? Como serão os procedimentos para auditoria in-
terna? Mais uma série de perguntas fundamentais para estipulação de regras e
responsabilidades coerentes.
Outra área importante é relativa aos critérios para a classificação das informa-
ções. Quais os diferentes níveis de classificação instituídos? Como serão os proce-
dimentos em caso de necessidade de reclassificação da informação, de seu arma-
zenamento, e mesmo, de seus relatórios de saída.
Em seguida, a verificação dos procedimentos de segurança da informação.
Como efetuar a notificação (registro) e gerenciamento de incidentes? É necessá-
rio aplicar algum processo disciplinar (conscientização)? Como ocorre a coleta de
informações sobre falhas e seu respectivo registro? Quais os critérios de aquisição
e uso de hardware e software para a empresa? Como será efetuada a proteção
contra software malicioso? Como deve ocorrer a segurança no tratamento das
diferentes mídias (manuseio, armazenamento, transporte e descarte)?
157
Observou que, em vários momentos você precisa efetuar questionamentos e

encontrar uma resposta para cada um? E sempre focando na otimização do ge-
renciamento das documentações.
Veja como será normatizado o uso de recursos como:
a) internet (navegação, redes sociais, ferramentas de comunicação instantâ-
nea, etc.);
b) correio eletrônico (e-mail);
c) telefones e outros meios de comunicação;
d) recursos de TI (impressoras, área de armazenamento, rede sem fio, etc.);
e) senhas (política de gerenciamento de senhas);
f) controles de criptografia e gerenciamento de chaves; e
g) VPN (Virtual Private Network).
Descrever formalmente a rotina de realização de backups, indicando o tipo de
backup (incremental, full), a periodicidade, os dados copiados, os testes periódicos
de restauração, manuseio e armazenamento das mídias removíveis. Importância
de contrato de manutenção para equipamentos (ao menos os mais críticos), com
previsão de manutenção preventiva e testes periódicos de equipamentos.
Definir ou formalizar os procedimentos de gerenciamento e controle da rede,
com controles do uso de seus recursos, implementação de controle de acesso
físico às áreas mais sensíveis. Por fim supervisão em relação a visitantes e presta-
dores de serviço.
10.2.3 Elaboração dos procedimentos de segurança da

informação
Antes de iniciar o trabalho, é fundamental uma pesquisa sobre as melhores

práticas em segurança da informação utilizadas no mercado. Afinal, porque rein-
ventar a roda se a mesma já existe? Com o aproveitamento de uma boa idéia,
pode-se aperfeiçoá-la, tornando-a ainda mais adequada à realidade encontrada.
Aqui também se deve trabalhar no desenvolvimento de padrões e procedi-
mentos internos, ou seja, sempre em conformidade com as melhores práticas de
mercado e, na forma de implementá-los, afinados com as necessidades e metas
da organização, integrando-as à política interna da empresa.
segurança de redes
158
O grande cuidado é não deixar que a política de segurança
da informação, através de suas normas e procedimentos,
FIQUE acabe “engessando” ou dificultando o fluxo de trabalhos
na empresa. A implementação de mudanças, visando au-
ALERTA mentar a segurança da informação, sempre é fator de pre-
ocupação e, portanto, deve ser gradativamente implanta-
da e continuamente reavaliada.
10.2.4 Revisão, aprovação e implantação das políticas
Depois de elaboradas as políticas, é fundamental a sua cuidadosa revisão final,

aprovação e implementação bem como de todas as normas, padrões e procedi-
mentos que a acompanham. Inicialmente com grande campanha de divulgação
entre todos os níveis hierárquicos da empresa.
159
É chegada a hora da divulgação das responsabilidades dos funcionários, de

ressaltar a importância da política de segurança da informação, normas, padrões
e procedimentos relacionados. Início de uma grande campanha de capacitação
e conscientização, neste sentido, mas dirigida aos diferentes públicos-alvo, tais
como, grupo mais executivo, grupo administrativo-financeiro, grupo técnico, etc.
Cada grupo deve receber a mensagem no seu linguajar diário, facilitando a sua
compreensão e assimilação.
No Brasil, as iniciativas na área de Política de Segurança da

Informação não são recentes e estão se intensificando com a
proximidade da Copa do Mundo de 2014 e da Olimpíada de
SAIBA 2016.
MAIS Veja mais detalhes em:
<http://dsic.planalto.gov.br/noticias/80-artigo-sobre-politi-
ca-de-seguranca-no-governo-federal>.
Compreendeu como foi importante o estudo sobre as fases do desenvolvi-

mento de uma política de segurança da informação? Você verificou o que deve
ser abordado em cada fase e o impacto destas decisões para elaboração da polí-
tica de segurança.
O próximo item de estudo é sobre a conscientização e capacitação contínuas.
Vamos lá!
10.3 Conscientização e capacitação contínuas
Você verificou, até agora, um grande conjunto de cuidados e dicas para uma
boa elaboração da Política de Segurança da informação. Para que ela seja eficien-
te e eficaz, o maior enfoque deve ser nesta área de divulgação, treinamento e
capacitação contínua.
segurança de redes
160
BananaStock ([20--?])
Como é necessário que a cultura organizacional seja alterada para absorver
a diferença de postura para com a segurança da informação, é importante uma
campanha muito forte de divulgação e conscientização da mesma por parte dos
funcionários. O conjunto de recursos a serem utilizados precisa ser bem diver-
sificado e criativo, de modo a permitir uma boa venda da mensagem. A seguir,
acompanhe itens importantes desta campanha.
a) Avisos – comunicação interna, e-mail da campanha, banners da Intranet,
buscando o esclarecimento dos principais pontos da campanha e suas res-
ponsabilidades.
b) Reuniões de Conscientização – não muito longas para evitar a perda de
interesse e com uma abordagem que desperte a participação.
c) Elaboração de material promocional – aqui vale tudo. O material pode
ser o mais diferenciado e divertido (mas que desperte bastante interesse)
e que seja colocado nos locais mais inusitados. Um adesivo explicativo na
frente do mictório masculino, por exemplo.
d) Treinamento direcionado – as pessoas são diferentes, com interesses dife-
rentes e atuação dos mais diversos modos na empresa. Procurar reunir aque-
les com interesses e áreas de atuação mais próximas e trabalhar bem focado
em cada público.
e) Peça teatral – a encenação de algumas situações é altamente convincente.
f) Palestras de conscientização - com palestrantes que possam levar ade-
quadamente a mensagem aos funcionários.
Existem ainda muitos outros aspectos a serem observados nesta disseminação
de informações. Continue acompanhando.
161
a) Diferentes tipos de mídias – aulas presenciais, páginas web, Intranet, mou-

se pad, proteção de tela, informativos internos, vídeos, etc.
b) Treinamento diferenciado – básico e avançado, para a área de informáti-
ca e para a área administrativa, etc.
c) Orientações a novos funcionários – funcionários iniciando na atividade
não trazem vícios funcionais e o treinamento é mais eficiente.
d) Informes periódicos – apresentação de como anda a implementação do
plano de segurança, dicas úteis nessa área, como estão as tendências nesta
área, etc.
Para maiores informações sobre política de segurança da in-

formação, sugerem-se os seguintes endereços da web:
<http://www.bsibrasil.com.br/publicacoes/sobre_normas/
normas/>;
<http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.
html>;
<http://www.pmi.org/>.
SAIBA Para exemplos de políticas de segurança de informação você
MAIS pode consultar em:
<http://ri.bmfbovespa.com.br/upload/portal_investidores/
pt/governanca_corporativa/estatutos_politicas/Politica_da_
Seguranca_da_Informacao.pdf>;
<http://www.humaitainvest.com.br/files/PoliticadeSeguran-
cadaInformacaoHumaita.pdf>;
<http://www.receita.fazenda.gov.br/historico/srf/boasprati-
cas/modernizacao/PoliticaSeg.htm>.
Devemos ficar atentos que a política de segurança da informação de uma em-

presa é composta pelos documentos que definem os seus principais objetivos e
metas e que irão regular o comportamento das pessoas em relação à segurança
da informação. Composta pelas normas complementares que orientam seu uso
e restrições e pelos procedimentos que indicam as ações a serem seguidas, em
algumas situações, para a sua efetiva implementação.
Outro ponto importante é o treinamento e capacitação contínuos como forma
de envolver as pessoas, neste processo. Recordando que, em termos de seguran-
ça da informação, as pessoas são sempre o elo mais fraco na corrente. Acompa-
nhe o Casos e relatos a seguir.
segurança de redes
162
CASOS E RELATOS
Política de Segurança da Informação

João Pedro é o administrador de rede de uma empresa no ramo de cos-
méticos. Recentemente a direção da empresa procurou João Pedro para
conversar sobre vários assuntos referentes ao uso incorreto da tecnolo-
gia da informação na empresa, como por exemplo, uso incorreto de e-
-mail, acesso indevido a sites de Internet, sistemas sem senha e falta de
backup de arquivos importantes. João Pedro sugere a direção da empre-
sa que seja desenvolvido uma política de segurança da informação onde
todos estes itens sejam contemplados. Com a aprovação da direção João
Pedro desenvolve a política de segurança da informação da empresa em
questão.
Esclarecedor o exemplo, não é mesmo? Desta forma foi possível perceber a

importância de uma política de segurança, com o objetivo de padronizar a tecno-
logia da informação, dentro da organização.
Recapitulando
Nesta etapa da aprendizagem você estudou os conceitos de políticas

de segurança que devemos usar em redes de computadores. Aprendeu
efetivamente os conceitos de uma política de segurança. Ainda neste
momento de estudo, você verificou como desenvolver uma política da
segurança da informação. Por último, averiguou a importância em cons-
cientizar e capacitar continuamente os usuários e envolvidos em uma
política de segurança.
Prepare-se para o próximo tópico! Siga para conhecê-lo.
163
Anotações:
Disaster Recovery
11
Vamos estudar nesta etapa o que é um DRP – Disaster Recovery Plan (PRD - Plano de Recu-
peração de Desastres), sua importância para as empresas e como está associado diretamente
com o BCP – Business Continuity Planning (PCN - Plano de Continuidade do Negócio). Ambos os
planos, o de continuidade de negócios e o de recuperação de desastres são documentos que
compõem a política de segurança da informação da empresa, assunto que será abordado nesta
fase da aprendizagem. Com este estudo, você terá subsídio para compreender como o plano de
continuidade de negócio e o plano de recuperação de desastres ajudam a garantir a segurança
de uma rede de computadores.
Então, notou que temos mais tópicos de grande interesse para sua área de atuação? Você é
convidado a se lançar nestes assuntos com vontade e curiosidade, buscando ampliar seu hori-
zonte de conhecimento!
segurança de redes
166
11.1 Plano de recuperação de desastres
Você sabe qual é o objetivo do plano de recuperação de desastres? Ele descre-

ve as ações a serem executadas por uma organização, incluindo eventualmente a
ativação de processos manuais, para fazer com que seus processos vitais voltem
a funcionar plenamente (ou num estado minimamente aceitável). Atenuando
o impacto de uma paralisação prolongada que possa gerar maiores prejuízos à
corporação, como a fuga de acionistas, grandes perdas de receita, sanções go-
vernamentais, problemas jurídicos para os dirigentes, abordagens maliciosas da
imprensa (imagem), fuga de funcionários para os concorrentes e, até mesmo, em
casos extremos, o fechamento da empresa.
Thinkstock Images ([20--?])
No início a preocupação com a segurança da informação baseava-se no cui-

dado com o acesso físico aos ambientes onde ficavam os grandes computadores
(mais em função dos requisitos de funcionamento dos equipamentos do que da
informação em si) e nas ferramentas de backup utilizadas. A preocupação estava
voltada para a guarda da informação (ou de uma cópia) em lugar seguro para, em
caso de algum problema com a informação, possibilitar a recuperação da mesma.
Era uma época de processamento e armazenamento de dados centralizados.
11 Disaster Recover
167
Que das 350 empresas instaladas no World Trade Center,

150 fecharam por não terem backups de segurança em
outsourcing?
VOCÊ Que o custo de recuperar 20Mb de informação varia en-
SABIA? tre os 15.000€ e os 100.000€?
Que estatisticamente está comprovado: cerca de 50%
dos negócios, que não recuperam a sua atividade em
menos de 10 dias, acabam por desaparecer?
Foi a partir da década de 70, que este enfoque começou a mudar e as orga-
nizações perceberam que esta preocupação não era suficiente. Outros recursos
também necessitavam de atenção:
a) processamento de dados;
b) aplicações do computador (programas);
c) banco de dados;
d) serviços de telecomunicações.
A preocupação da empresa volta-se para como retornar às operações da or-
ganização, em caso de interrupções ocasionadas por eventuais desastres. Você
sabia que, neste momento, surgiu o conceito de plano de recuperação de desas-
tres?
Na medida em que o negócio da empresa foi ficando dependente da área de
TI, qualquer parada muito prolongada implicava em perda financeira por parte
da empresa. As eventuais paradas, caso acontecessem, deviam ser mínimas em
termos de tempo, retornando a situação de funcionamento normal o mais rapida-
mente possível, minimizando assim algum impacto negativo sobre os negócios.
Na figura a seguir você pode notar uma representação de um datacenter de
uma organização.
Figura 36 - Datacenter da Organização

segurança de redes
168
Com o aumento ainda maior da dependência da empresa em relação a sua

área de TI, o passo seguinte foi buscar manter o serviço ativo constantemente
e, com isso, verdadeiras estruturas redundantes foram implementadas. Em caso
de problemas na estrutura principal, um site backup (localizado em outro local)
instantaneamente entra no ar assumindo as funções executadas normalmente
na estrutura principal, de modo que o cliente (objetivo maior da organização) não
percebesse a eventual falha. Estes sites backups ou de recuperação eram conhe-
cidos como recoveries sites (podem ser inclusive mais que um). A idéia do recovery
site é representada pela figura na sequência.
Site Recoveries
Site Recoveries

Datacenter
Figura 37 - Datacenter da empresa com dois recoveries sites
Estes recoveries sites, em função das características do negócio podiam ser:

a) redundant site – toda a estrutura computacional é duplicada, interligada
ao site principal e permite a sua entrada em operação completa em pouquís-
simo tempo (minutos ou segundos);
b) hot site – bastante similar ao redundant site, pois permite também opera-
ção completa, porém ele normalmente permanece desligado sendo aciona-
do apenas quando o site principal apresenta problemas, Isto faz com que a
recuperação completa possa demorar algumas horas;
c) warm site – prevê a existência de equipamentos duplicados, porém como
trata-se de uma estrutura compartilhada, a sua configuração básica pode
necessitar ser ajustada antes da carga dos dados. É o caso de manter um
contrato de outsorcing com um datacenter e em uma emergência ativar este
contrato. Sua entrada em funcionamento é a mais demorada, podendo levar
dias ou semanas;
d) cold site – construções compartilhadas, mas sem a existência de equipa-
mentos computacionais. Basicamente o aluguel de uma infraestrutura para
11 Disaster Recover
169
instalar os equipamentos. É o mais demorado dos tipos de sites a retornar à

operação normal;
e) mobile site – é montado de acordo com as necessidades (equipamentos e
linhas de comunicação) e atuam até a reconstrução do site principal.
Você sabe que a escolha por um ou outro tipo de site redundante vai depender
diretamente dos requisitos de negócio e da disponibilidade de investimento da
organização?
Da mesma forma que os requisitos de segurança foram evoluindo ao longo do
tempo, os planos de recuperação de desastres também. Uma apresentação desta
evolução pode ser observada a seguir.
Figura 38 - Evolução da Preocupação com Disponibilidade e Recuperação de Desastres

Fonte: Guindani (2008)
segurança de redes
170
Mas você irá estudar mais detalhadamente este assunto, relacionando-o com
o plano de continuidade de negócios. Acompanhe o Casos e relatos, a seguir,
para compreender esta questão.
CASOS E RELATOS
Plano de continuidade do negócio

Na área de segurança da informação , em 11 de setembro de 2001, en-
tre outros tantos atingidos, quando do trágico atentado ao World Trade
Center em New York, estavam duas instituições financeiras com suas ins-
talações de Datacenter nos edifícios.
Passado o estado de choque com a situação, uma das instituições finan-
ceiras acionou o seu PCN – Plano de Continuidade de Negócios, ativan-
do o plano de recuperação de desastres e restabelecendo gradualmente
seus serviços, voltou a operar junto aos clientes a partir de instalações
redundantes localizadas inclusive em outro país.
A outra instituição não voltou a operar e acabou desaparecendo. Seu PCN
acabou instalando o Datacenter backup na segunda torre do complexo.
Reflita quando você estiver trabalhando no plano de continuidade de sua em-

presa, o quanto é fundamental a guarda da informação para um eventual plano
de recuperação de desastres!
11.2 Plano de continuidade de negócios
Você verificou que os primeiros planos de recuperação de desastres come-

çaram a surgir, a partir da década de 70? O Plano de Continuidade de Negócios
– PCN (ou Business Continuity Plan – BCP) surgiu como uma evolução do anterior,
porém com uma preocupação muito mais abrangente.
11 Disaster Recover
171
Jupiterimages ([20--?])
O foco principal do plano de continuidade de negócios é justamente buscar

um estado de continuidade do negócio, preocupação além da área de sistemas
(TI). A preocupação abrange também as pessoas, a infraestrutura física, elétrica,
computacional, os recursos financeiros, imagem, comunicação, contingência, etc.
Algumas facetas da preocupação do PCN podem ser verificadas, logo a seguir.
Figura 39 - Aspectos abordados pelo PCN de uma empresa

Fonte: Brandão (2008, p.32)
Você sabe o que faz a implantação do PCN? Faz com que a empresa busque os
pontos fracos dentro dos processos e das ferramentas do negócio. Estudando as
fraquezas e analisando os efeitos, caso ocorram, ações são propostas antes que o
desastre aconteça.
segurança de redes
172
O plano de continuidade de negócios é fruto da integração de diferentes pla-

nos que devem existir na organização. Os principais deles são apresentados grafi-
camente na sequência e enumerados abaixo.
a) Plano de Negócios – Orienta como a empresa procede para realizar seu
negócio, para atingir seus objetivos e metas.
b) Plano de Contingência – define como será a contingência de determina-
dos processos do negócio. Em caso de falha de um destes, quais procedi-
mentos a adotar para sua continuidade.
c) Plano de Comunicações – estabelece como será efetuada a comunicação
sobre o problema, tanto interna como externamente. Externamente toda a
informação deve ser pré-definida. Apenas um interlocutor deve se comu-
nicar com a mídia e deve ocorrer em intervalos regulares para promover a
confiança e a confidência.
d) Contingências Administrativas – medidas de integração do plano com
os parceiros de negócios, fornecedores, clientes e agências governamentais.
e) Plano de Recuperação de Desastres – voltaremos a este plano, na sessão
seguinte.
Figura 40 - Planos que compõem o Plano de Continuidade de Negócios
“Acontecimentos como falhas de computadores, copos

d’água derramados em importantes pedaços de papel,
FIQUE mau funcionamento misterioso que causa problemas em
equipamentos, picos de energia, pessoas fumando em
ALERTA locais indevidos, dentre outras. A questão não é se vai
acontecer, mas quando vai acontecer.” (WALLACE; WEBBER,
2004, p. 05, tradução nossa).
11 Disaster Recover
173
O sucesso de um plano de continuidade do negócio depende fundamental-

mente de treinamento e teste. A documentação e os manuais do plano de conti-
nuidade de negócios vão dizer o que fazer e como. Mas tudo o que foi previsto vai
funcionar conforme planejado? É fundamental inicialmente preparar a equipe,
deixá-la conhecedora do plano de continuidade de negócios, qual a responsabi-
lidade de cada um no plano.
Na sequência, partir para os testes. Testes com escopo e duração controlados,
visando verificar a efetividade do planejado, e mesmo, promover ajustes no plano
de continuidade, antes de uma situação real ocorrer.
Mas como ter certeza de que o plano de continuidade de negócios vai con-
templar os pontos mais críticos da organização? Neste momento é que entra a
análise de risco na organização, assunto que será analisado, a seguir.
11.3 Análise de risco
O primeiro passo da análise de risco é identificar todos os riscos que podem

afetar os processos do negócio e documentá-los. Trata-se de um exercício contí-
nuo, pois na medida em que o tempo passa, novos riscos podem ser identificados
e devem ser também documentados.
Depois de identificados os riscos, deve-se detectar o impacto dos mesmos em

relação aos objetivos do processo do negócio, bem como sua probabilidade de
ocorrência. Você sabia que é importante, nesta fase, a classificação dos riscos por
prioridade, de acordo com o efeito sobre os objetivos do processo?
segurança de redes
174
Sim, desta forma uma montagem de matriz de análise e impacto acaba por
ajudar a atribuir a cada risco um grau de risco. Os riscos podem ser classificados
de acordo com sua probabilidade de acontecerem em:
a) baixa (0,3) – acredita-se que o risco não deve se concretizar;
b) média (0,6) – acredita-se que o risco irá ocorrer ao menos uma vez; e
c) alta (0,9) – acredita-se que o risco deve acontecer mais de uma vez.
De acordo com o impacto que causam nos objetivos do negócio, os riscos são
classificados como possuindo impacto:
a) baixo (0,3) – acredita-se que o impacto no negócio pode afetar no máximo
20% de perdas;
b) médio (0,6) – acredita-se que o impacto nas perdas fique entre 20 e 40%; e
c) alto (0,9) – acredita-se que o impacto apresentará perdas superiores a 40%.
A matriz de risco pode ser observada na tabela a seguir:
Tabela 2 - Matriz de Risco
Impacto
Baixo (0,3) Médio (0,6) Alto (0,9)
Baixo (0,3) 0,09 0,18 0.27
Probabilidade Médio (0,6) 0,18 0,36 0.54
Alto (0,9) 0,27 0,54 0,81
De acordo com o enquadramento na matriz de risco, obtemos o grau de risco

de uma determinada vulnerabilidade, ou seja, grau de risco é o produto do valor
da probabilidade pelo valor do impacto.
Verifique o exemplo. Se determinada vulnerabilidade tem uma probabilidade
baixa de ocorrer (0,3) e o impacto nos negócios é médio (0,6), o grau de risco
desta vulnerabilidade é de 0,18 (0,3 x 0,6). Continuando a usar esta metodologia
podemos chegar a uma classificação do risco em função de seu grau de risco:
a) risco baixo - grau de risco abaixo de 0,27, alerta verde, é aceitável e neces-
sitará de um plano de resposta imediato;
b) risco médio - grau de risco entre 0,27 e 0,53, alerta amarelo, avaliar a ne-
cessidade de um plano de resposta, tentando minimizar as consequências
no negócio, mitigando os riscos;
c) risco alto - acima de 0,53, alerta vermelho, é importante criar um plano de
resposta ao risco.
11 Disaster Recover
175
Acompanhe outro exemplo! Se outra vulnerabilidade tem uma probabilidade

média de ocorrer (0,6) e o impacto nos negócios é alto (0,9), o grau de risco desta
vulnerabilidade é de 0,54 (0,6 x 0,9), então, o seu grau de risco é considerado alto.
Agora, com base no grau de risco de uma determinada vulnerabilidade, esco-
lhe-se a estratégia mais adequada a ser aplicada em sua organização.
a) Prevenção – evitar o risco por completo, eliminando a causa dos eventos
de risco.
b) Transferências – transferir o risco e suas consequências e responsabilida-
des a terceiros.
c) Mitigação – reduzir a probabilidade e o impacto a níveis considerados acei-
táveis.
d) Exploração – buscar impactos de oportunidades positivas no negócio.
e) Contingências – criar um plano de contingências prévio, para que quando
se efetivar a ocorrência do risco, o plano seja imediatamente acionado.
Dentro da estratégia adotada, agora se deve identificar atividades para propor
um plano de ação, que pode ser:
a) reduzir a probabilidade – identificar ações a serem realizadas com a fina-
lidade de diminuir a probabilidade de o evento ocorrer;
b) minimizar as consequências – analisar as consequências identificadas
para o risco e propor ações para reduzi-las ao mínimo no negócio;
c) explorar oportunidades – propor ações que permitam acrescentar opor-
tunidade aos negócios;
d) eliminar causas – definir ações para que as causas do risco sejam elimina-
das por completo.
Efetuada a análise do risco, passa-se à etapa da gestão do risco. A Gestão do
Risco é um processo contínuo e em constante desenvolvimento que analisa me-
todicamente todos os riscos inerentes às atividades da empresa (passadas, pre-
sentes, e mesmo, futuras). A eliminação completa de todos os riscos é um ob-
jetivo muito difícil (e caro) de ser atingido. A gestão do risco mantém acesa na
empresa a preocupação com os riscos, não a deixando esquecer-se deles.
Vamos seguir a jornada da aprendizagem? Conheça o CSRIT!
segurança de redes
176
11.4 CSIRT
Com todos estes detalhes e cuidados que a segurança da informação acaba

impondo às organizações, um novo perfil profissional na área de tecnologia da
informação surgiu, o Security Officer, a pessoa responsável pela segurança da in-
formação.
Verifique algumas atribuições do Security Officer: Diego Fernandes (2011)
a) organização da área de segurança e da infraestrutura organizacional para o

tratamento da segurança da empresa;
b) planejamento dos investimentos para a segurança da informação;
c) definição dos índices e indicadores para análise do retorno do investimento;
d) orientação e coordenação da equipe de segurança ou da consultoria tercei-
rizada.
Porém o Security Office não faz todo o trabalho nesta área sozinho, já foi men-
cionada, neste estudo, a necessidade de um Comitê de Segurança Corporativo
em que as diferentes áreas da empresa estão representadas e cujo papel principal
será o de organizar, concentrar e planejar as ações de segurança que irão interfe-
rir em todos os ambientes e processos da empresa.
Nesta área atuam também os CSIRTs - Computer Security Incident Response
Team, equipes responsáveis por receber, analisar e responder a notificações e ati-
vidades relacionadas a incidentes de segurança em computadores.
11 Disaster Recover
177
Para maiores detalhes sobre os CSIRT ou mesmo dicas para a

montagem de um em sua empresa,acesse o site:
<www.cert.br/csirt>.
Buscando aprofundar-se neste assunto, seguem alguns en-
dereços web para auxiliá-lo.
<http://disasterrecovery.org/>;
<http://www.cert.br/>;
<http://www.contingencia.com.br>;
SAIBA
MAIS <http://www.disasterrecoveryworld.com/>;
<http://www.disaster-recovery-guide.com/>;
<https://www.drii.org/>;
<http://www.drj.com/>;
<http://www.disaster-recovery.gov.pt/>;
<http://www.modulo.com.br>;
<http://www.nysfirm.org/documents/pdf/bc_02/8-<13Verita
sBusinessImpactAnalysis.pdf>.
Devemos ficar atento em um ponto bastante importante que diz respeito à

documentação de uma rede, principalmente levando em consideração a recupe-
ração de desastres. Uma documentação atualizada deve ser mantida a qualquer
custo, ou seja, caso os documentos de uma política de segurança estejam desa-
tualizados, isto poderá prejudicar na recuperação de qualquer desastre ocorrido.
Recapitulando
Nesta etapa do estudo, você aprendeu sobre o Plano de Recuperação de

Desastres (PRD), seus tipos e os diferentes níveis e formas de recupera-
ção. Estudamos ainda o Plano de Continuidade de Negócios (PCN) e que
estes dois planos compõem a política de segurança da informação de
uma empresa. Você verificou a importância da análise e gestão do risco
para a elaboração tanto do PCN como do PRD. Por fim, você compreen-
deu a forma de estruturação de uma equipe para atuar com segurança da
informação, o comitê gestor corporativo, o Security Officer e, nos momen-
tos de problemas, um CSIRT - Computer Security Incident Response Team.
A caminhada de seu aprendizado não termina aqui! Continue neste pro-
cesso, reforçando conteúdos e lembre-se de estar sempre disposto a ad-
quirir novos conhecimentos!
Referências
BEAL, Adriana. Segurança da Informação – Princípios e Melhores Práticas para a Proteção dos
Ativos de Informação nas Organizações. 1. ed. São Paulo: Atlas, 2008. 175 p.
BRANDÃO, Milene H. Plano de Continuidade de Negócio (PCN) e Tratamento de Incidentes.
Santa Catarina: SENAI/SC Florianópolis, 2008. 149 p.
CAMPOS, André L. N. Sistema de Segurança da Informação – Controlando os Riscos. 1. ed. Santa
Catarina: Visual Books, 2006. 180 p.
CERT.BR. Práticas de Segurança para Administradores Internet: versão 1.2. Comitê Gestor da
Internet no Brasil. São Paulo, 2003. Disponível em: <http://www.cert.br/docs/seg-adm-redes/seg-
adm-redes.html>. Acesso em: 14 out. 2011.
CERT.BR. Cartilha de segurança para a Internet. Desenvolvida pela Cert.br, mantido pelo
NIC.br. Disponível em: <http://cartilha.cert.br/>. Acesso em: 20 out. 2010.
FERREIRA, Fernando N. F.; ARAÚJO, Márcio Tadeu. Política de Segurança da Informação – Guia
Prático para Elaboração e Implementação. 1. ed. Rio de Janeiro: Ciência Moderna Ltda., 2006. 177 p.
FONTES, Edison L. G. Praticando a Segurança da Informação. Rio de Janeiro: Brasport, 2008. 283
p.
FREUND, Gislaine Parra; REITER, Cláudio César. Conceitos básicos de segurança da informação.
Santa Catarina: SENAI/SC Florianópolis, 2008. 136 p.
GUINDANI, Alexandre. Gestão da Continuidade do Negócio. 2008. Disponível em: <http://www.
upis.br/posgraduacao/revista_integracao/gestao_continuidade.pdf>. Acesso em: 18 out. 2011.
HAICKEL, Dalila. Normas e Procedimentos de Segurança da Informação. Santa Catarina: SENAI/
SC Florianópolis, 2008. 144 p.
LENTO, Luis O. B. Análise e Gerenciamento de Risco. Santa Catarina: SENAI/SC Florianópolis, 2008.
80 p.
______. Segurança da informação. Santa Catarina: SENAI/SC Florianópolis, 2006. 254 p.
MEIER, Adriano Matos. Gerenciamento e Monitoramento de Redes. Santa Catarina: SENAI/SC
Florianópolis, 2011. 61 p.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de Redes em Ambientes
Corporativos. 3. ed. São Paulo: Futura, 2003. 472 p.
RIGHI, Rafael da Rosa. Segurança na comunicação de dados. Santa Catarina: SENAI/SC
Florianópolis, 2008. 198 p.
STALLINGS, William. Cryptography and network security: principles and practice. 3. ed. Upper
Saddle River, NJ: Prentice-Hall International, 2003. xiv, 681 p.
WALLACE, Michael; WEBBER, Lawrence. The disaster recovery handbook: a step-by-step plan to
ensure business continuity and protect vital operations, facilities, and assets. USA: Amacom, 2004.
Bibliografia Complementar:
BRASIL. Instituto Nacional de Tecnologia da Informação – ITI. Disponível em: <http://www.icrasil.
gov.br>. Acesso em: 10 set. 2009.
CERT.BR. Cartilha de Segurança para Internet: versão 3.1. Comitê Gestor da Internet no Brasil, São
Paulo, 2006. Disponível em: <http://cartilha.cert.br/>. Acesso em: 02 set. 2009.
REDE NACIONAL DE ENSINO E PESQUISA - RPN. Disponível em: <http://www.rnp.br>. Acesso em: 14
set. 2009.
SANTANA, Silvio Fernando Lima de. Segurança em aplicações e transações eletrônicas. Santa
Catarina: SENAI/SC Florianópolis, 2008. 95 p.
STALLINGS, William. Cryptography and network security: principles and practice. 4. ed. Upper
Saddle River, NJ: Prentice-Hall International, 2006. xvi, 680 p.
TANENBAUM, Andrew S. Redes de computadores. Rio de Janeiro: Campus Elsevier, 2003. xvi, 945
p.
Minicurrículo dos autores
André Leopoldino de Souza, especialista em Gestão da Segurança da Informação pela Faculdade

de Tecnologia do Senai Florianópolis, onde concluiu também o curso Superior de Tecnologia em
Redes de Computadores. Possui as certificações CCNA (Cisco Certified Network Associate) e CCAI
(Cisco Certified Associate Instructor). Atualmente, trabalha como consultor na área de segurança
em transações eletrônicas de fundos aplicada à rede de dados e atua também como pesquisador
e professor no Senai de Florianópolis, onde ministra aulas nos cursos superiores de tecnologia e
Cisco Network Academy. Coordena a Academia Regional Cisco e é responsável pelo treinamento
dos instrutores das Academias Locais. Sua área de pesquisa está baseada em aplicações de segu-
rança, roteamento avançado e switches multicamadas. Cursos de qualificação realizados recen-
temente: Cisco CCNP-BSCI, Cisco CCNP-BCMSN, Cisco CCNP-ISCW e Cisco CCNP-ONT, como parte
da capacitação de docentes no projeto CCNP do SENAI. Curso VoIP, Curso Metro Ethernet, Curso
Wireless e Cisco CCNA Security, como parte da capacitação de docentes para o projeto Laborató-
rio Remoto do SENAI.
Cláudio César Reiter, engenheiro eletricista, formado pela UFSC - Universidade Federal de Santa
Catarina em 1984, com mestrado em Ciências da Computação – Sistema de Computação, tam-
bém pela UFSC, em 1997. Vem atuando na área de informática desde 1983, mais especificamente
em Infraestrutura de Redes e Segurança da Informação. Desde 1983, é funcionário da Epagri –
Empresa de Pesquisa e Extensão Rural de Santa Catarina onde, atualmente, é um dos administra-
dores da Rede Corporativa. Desde 2004, possui atuação acadêmica no SENAI Florianópolis, nos
programas de graduação (cursos de Redes de Computadores e Telecomunicações) e pós-gradua-
ção (cursos de Segurança da Informação, Gestão da Segurança da Informação, Redes Convergen-
tes e Segurança Alimentar). Participou também como convidado no programa de pós-graduação
na UNISUL – Universidade do Sul de Santa Catarina - Redes Corporativas: Gerência, Segurança e
Convergência IP. É instrutor certificado (CCNA – Cisco Certified Network Associate e CCAI – Cisco
Certified Academy Instructor) do programa Cisco Netoworking Academy para os cursos de CCNA,
CCNA Secutiry e CCNP (route, switch e troubleshotting). Na área de Segurança da Informação,
possui a certificação GIAC Computer and Network Security Awareness - Stay Sharp Program do
SANS Institute.
Índice
A
Ameaças 24, 25, 26, 28, 31, 43, 48, 49, 51, 53, 64, 134, 148, 152
Antivírus 51, 52, 69, 148, 149, 151
Ativos 13, 19, 41, 53, 61, 63, 65, 114, 115, 124, 129, 131, 132, 148, 149, 152
B
Botnet 47
C
Cavalo de tróia 37, 44, 45, 51
CID 20, 21, 53
Cobit 123, 127, 128, 144
Confidencialidade 20, 21, 22, 24, 28, 53, 72, 82, 90, 93, 94, 95, 131, 133
Controle de acesso 38, 54, 58, 101, 103, 104, 107, 130, 135, 137, 138, 150, 155
Cracker 32, 33, 34, 42, 43
Criptografia 10, 23, 38, 69, 71, 72, 74, 75, 76, 77, 78, 79, 80, 82, 84, 87, 92, 93, 95, 102, 111, 139,
142, 155
D
Disponibilidade 20, 21, 22, 23, 24, 25, 28, 55, 97, 103, 110, 117, 127, 167
F
Firewall 32, 36, 38, 39, 40, 41, 43, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 62, 63, 64, 65, 66, 67, 69, 92,
102, 148, 149, 151
H
Hacker 22, 23, 25, 26, 31, 32, 33, 34, 35, 36, 37, 38, 41, 43, 44, 45, 46, 47, 48, 74, 118
I
IDs 104
IDS 36, 41, 51, 66, 67, 68, 69, 92
Integridade 20, 21, 22, 24, 28, 53, 72, 81, 82, 90, 93, 94, 97, 99, 103, 110, 128, 135, 139
IPS 51, 66, 67, 68, 69, 92, 94, 95, 96, 98
ITIL 123, 126, 127, 128, 144
P
Proxy 51, 52, 59, 61, 62, 63, 69
R
Recuperação de desastres 163, 164, 165, 167, 168, 170, 174, 175
Riscos 24, 25, 26, 28, 31, 110, 114, 132, 144, 148, 151, 152, 171, 172, 173
S
Sniffer 25, 44, 48, 111
Spam 31, 44, 47, 48, 52, 148
Spoofing 38, 42, 67, 94
Spyware 31, 45, 52
V
Vírus 21, 25, 31, 44, 45, 46, 48, 51, 52, 64, 65, 148, 149, 151
VPN 89, 90, 91, 92, 94, 95, 96, 97, 98, 99, 155
Vulnerabilidade 24, 25, 26, 27, 28, 34, 36, 38, 41, 43, 46, 48, 65, 75, 115, 127, 144, 172
W
Worms 44, 46, 51
SENAI - DN
Unidade de Educação Profissional e Tecnológica – UNIEP
Rolando Vargas Vallejos

Gerente Executivo
Felipe Esteves Morgado

Gerente Executivo Adjunto
Diana Neri
Coordenação Geral do Desenvolvimento dos Livros
SENAI - Departamento Regional de Santa Catarina
Simone Moraes Raszl

Coordenação do Desenvolvimento dos Livros no Departamento Regional
Beth Schirmer
Coordenação do Núcleo de Desenvolvimento
Caroline Batista Nunes Silva

Juliano Anderson Pacheco
Coordenação do Projeto
Gisele Umbelino
Coordenação de Desenvolvimento de Recursos Didáticos
André Leopoldino de Souza

Cláudio César Reiter
Elaboração
Juliano Anderson Pacheco

Revisão Técnica
Rosecler Fernandes
Design Educacional
D’imitre Camargo Martins

Diego Fernandes
Luiz Eduardo Meneghel
Ilustrações, Tratamento de Imagens
Felipe da Silva Machado
Diagramação
Juliana Vieira de Lima

Revisão e Fechamento de Arquivos
Luciana Effting Takiuchi - CRB-14/937

Bibliotecária - Ficha Catalográfica
DNA Tecnologia Ltda.

Sidiane Kayser dos Santos Schwinzer
Revisão Ortográfica e Gramatical
DNA Tecnologia Ltda.

Sidiane Kayser dos Santos Schwinzer
Normalização
i-Comunicação
Projeto Gráfico

SENAI - Segurança de Redes

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SENAI - Segurança de Redes

Enviado por

Direitos autorais:

Formatos disponíveis

Série tecnologia da informação - hardwARE

Robson Braga de Andrade

DIRETORIA DE EDUCAÇÃO E TECNOLOGIA

Rafael Esmeraldo Lucchesi Ramacciotti

SERVIÇO NACIONAL DE APRENDIZAGEM INDUSTRIAL – SENAI

Robson Braga de Andrade

SENAI – Departamento Nacional

Rafael Esmeraldo Lucchesi Ramacciotti

Gustavo Leal Sales Filho

© 2012. SENAI – Departamento Regional de Santa Catarina

SENAI Departamento Nacional

SENAI Departamento Regional de Santa Catarina

1. Redes de computação – Medidas de Segurança. 2. Criptografia

Serviço Nacional de Setor Bancário Norte • Quadra 1 • Bloco C • Edifício Roberto

Tabela 1 - Tipos de Violação x Propriedade de Segurança Violada...................................................................24

2 Conceitos Básicos de Segurança da Informação em Redes de Computadores.......................................17

3 Os Riscos que Rondam as Redes de Computadores..........................................................................................31

6 VIRTUAL PRIVATE NETWORK.......................................................................................................................................89

8 Serviços de Monitoramento de Rede................................................................................................................... 109

9 Normas de Segurança de Informação ISO/IEC.................................................................................................. 123

10 Política de Segurança de Redes........................................................................................................................... 147

11 Disaster Recovery...................................................................................................................................................... 163

Minicurrículo dos Autores............................................................................................................................................ 179

Técnico em Redes de Computadores

• Cabeamento Estruturado 108h

• Arquitetura de Redes 80h

Específico I Ativos de Rede • Comutação de Rede Local 120h 464h

• Interconexão de Redes PR 96h

• Servidores de Rede 120h

• Serviços de Rede 120h

• Segurança de Redes 96h

Quadro 1 - Matriz curricular

Agora você é convidado a trilhar os caminhos do conhecimento. Faça deste

Nesta etapa da aprendizagem você será apresentado ao universo da Segurança da Infor-

2.1 Conceitos básicos de segurança da informação em redes

Para você entender os diversos assuntos que envolvem a segurança em redes

VOCÊ Os ativos podem ter enfoques diferentes quando fala-

Figura 1 - Ativos da Informação

2.2 CID (Confidencialidade, Integridade e Disponibilidade)

Segundo Nakamura (2003), a informática é um instrumento cada vez mais uti-

Figura 2 - Propriedades Básicas de Segurança

A seguir, você conhecerá uma situação envolvendo os conceitos abordados

Figura 3 - Confidencialidade da informação

Para que o princípio da confidencialidade seja garantido

A integridade é o princípio que garante que a informação não sofra qualquer

Luiz Meneghel (2011)

Figura 4 - Integridade da informação

Imagine uma situação em que um hacker altera a tela inicial de um site de

A mesma impressão negativa causada no caso anterior da alteração da página

Luiz Meneghel (2011)

Você saberia dizer o que é a irretratabilidade das informações ou não-repú-

FIQUE Para garantir a segurança em uma rede de computadores

2.3 Ameaças, riscos e vulnerabilidades

Uma concepção popular de segurança de informação é que ela tem somente

Tabela 1 - Tipos de Violação x Propriedade de Segurança Violada

Tipo de Violação Propriedade de Segurança Violada

1 Revelaçao Não Autorizada Confidencialidade

2 Modificação Não Autorizada Integridade

3 Negação de Serviço Disponibilidade

Fonte: Adaptado de Lento (2006)

FIQUE As violações de segurança são decorrências de ameaças,

São possíveis riscos ao sistema, isto é, a caracterização de um possível conjun-

FIQUE As principais ameaças às quais um ambiente de rede está

• Cabeamento Estruturado 108h