Ebook Da Unidade - Segurança e Gerenciamento de Redes

Introdução a Redes
de Computadores
e Protocolos de
Comunicação
Unidade IV
Segurança e Gerenciamento de Redes
Diretor Executivo
DAVID LIRA STEPHEN BARROS
Gerente Editorial
CRISTIANE SILVEIRA CESAR DE OLIVEIRA
Projeto Gráfico
TIAGO DA ROCHA
Autoria
JEFERSON ARTUR VULCANIS
AUTORIA
Jeferson Artur Vulcanis
Olá, sou especialista em redes computacionais, infraestrutura de TI
e sistemas operacionais, com uma vasta experiência com os ambientes
Windows e Linux Server. Amo informática e, mais ainda, passar toda a
minha experiência e know-how aos iniciantes nesta magnífica carreira de
tecnologia da informação.
Vai ser um prazer enorme ajudar você a se tornar um excelente

analista de suporte técnico na área de informática. Conte comigo para lhe
ajudar nessa trajetória rumo ao seu desenvolvimento profissional! Muito
sucesso para você.
ICONOGRÁFICOS
Olá. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez
que:
OBJETIVO: DEFINIÇÃO:
para o início do houver necessidade
desenvolvimento de de se apresentar um
uma nova compe- novo conceito;
tência;
NOTA: IMPORTANTE:
quando forem as observações
necessários obser- escritas tiveram que
vações ou comple- ser priorizadas para
mentações para o você;
seu conhecimento;
EXPLICANDO VOCÊ SABIA?
MELHOR: curiosidades e
algo precisa ser indagações lúdicas
melhor explicado ou sobre o tema em
detalhado; estudo, se forem
necessárias;
SAIBA MAIS: REFLITA:
textos, referências se houver a neces-
bibliográficas e links sidade de chamar a
para aprofundamen- atenção sobre algo
to do seu conheci- a ser refletido ou dis-
mento; cutido sobre;
ACESSE: RESUMINDO:
se for preciso aces- quando for preciso
sar um ou mais sites se fazer um resumo
para fazer download, acumulativo das últi-
assistir vídeos, ler mas abordagens;
textos, ouvir podcast;
ATIVIDADES: TESTANDO:
quando alguma quando o desen-
atividade de au- volvimento de uma
toaprendizagem for competência for
aplicada; concluído e questões
forem explicadas;
SUMÁRIO
Equipamentos de Segurança..................................................................12
Equipamentos de Rede............................................................................................................... 12
Regras de Segmentação............................................................................................................ 13
Domínio de Colisão..................................................................................................... 13
Domínio Broadcast....................................................................................................... 14
Endereço Broadcast................................................................................................... 14
O que é um Segmento de Rede?..................................................................... 14
Regras para Segmentação (10 Mbps)............................................................................... 15
Regras de Segmentação para Fast Ethernet............................................................... 16
Regras para Segmentação (usando um Switch ou um Roteador)............... 16
Equipamentos..................................................................................................................................... 16
Placas de Rede............................................................................................................... 16
Repetidores....................................................................................................................... 17
Hubs........................................................................................................................................ 18
Switches............................................................................................................................... 19
Tipos de Switch.......................................................................................... 20
Funcionamento dos Switches......................................................... 20
Bridges.................................................................................................................................. 21
Roteadores......................................................................................................................... 21
Gateways............................................................................................................................. 22
Transceivers......................................................................................................................23
Baluns e Adaptadores...............................................................................................23
Segurança de Redes de Computadores.............................................25
Ataques................................................................................................................................25
Tipos de Ataques..........................................................................................................27
Proteção...............................................................................................................................34
Dual-Homed Host Firewall................................................................ 36
Screened-Host Firewall.........................................................................37
Screened-Subnet Firewall..................................................................37
Configuração................................................................................................................... 38
Filtros Inteligentes....................................................................................................... 39
Criptografia em Redes de Computadores.................................................. 41
Gerencimanento de Redes: Introdução, Histórico e Tipos ........43

Gerenciamento de Redes..........................................................................................................43
Histórico...............................................................................................................................45
Elementos de uma Arquitetura de Gerenciamento de Redes... 46
Modelo OSI.................................................................................................... 46
Modelo TMN – Telecommunications Management

Network.............................................................................................................47
Modelo SNMP..............................................................................................47
Tipos de Gerência de Redes.................................................................................................. 48
Gerência Centralizada.............................................................................................. 48
Gerência Descentralizada...................................................................................... 48
Gerência Reativa........................................................................................................... 49
Gerência Proativa......................................................................................................... 49
Gerenciamento de Redes: Elementos - Arquiteturas - Requisitos

- Monitoramentos ........................................................................................51
Elementos de uma Arquitetura de Gerenciamento de Redes....................... 51
Definição do Gerenciamento...................................................................................................52
O que é “Gerenciar”?......................................................................................................................53
Uso e Formas de Gerenciamento........................................................................................54

Introdução a Redes de Computadores e Protocolos de Comunicação 9
04
UNIDADE
10 Introdução a Redes de Computadores e Protocolos de Comunicação
INTRODUÇÃO
A utilização de redes de computadores faz hoje parte da cultura
em geral. A explosão da utilização da “Internet” tem aqui um papel
fundamental, visto que atualmente quando se fala de computadores está
implícito que os mesmos estão ligados a uma rede. Muitos utilizadores
consideram completamente inútil um computador. Ao longo da unidade
veremos detalhes sobre os equipamentos de rede e sobre suas regras
de segmentação. Veremos sobre endereços de broadcast e regras
de segmentação, além de conhecer mais sobre os equipamentos em
detalhes. sem ligação à “Internet”.
O processo para se realizar a segurança em um ambiente ou

sistema com redes de computadores é bastante complexo, pois exige
diversas etapas que devem ser seguidas e constantemente executadas
e acompanhadas, para garantir que surpresas não aconteçam, como
invasões indesejadas, roubos de informações e os mais diversos ataques
de vírus que existem, alguns deles capazes de destruir por completo o
seu sistema de redes.
Por fim, a Gerência de Redes ou Gerenciamento de Redes é o controle

de todo e qualquer “ativo” passível de ser monitorado numa estrutura de
recursos físicos e lógicos de uma rede e que podem ser distribuídos em
diversos ambientes, definidos pela sua proximidade ou não.
Entendeu? Ao longo desta unidade letiva você vai mergulhar neste

universo!
OBJETIVOS
Olá. Seja muito bem-vinda (o). Nosso propósito é auxiliar você no
desenvolvimento das seguintes objetivos de aprendizagem até o término
desta etapa de estudos:
1. Lidar com equipamentos ativos e passivos de rede, como placas,

repetidores, hubs, switches, bridges, roteadores, gateways,
transceivers, baluns e adaptadores;
2. Aplicar técnicas de segurança de dados em redes de computadores,

de modo a prevenir ataques, com foco na configuração do proxy,
filtros e criptografia
3. Identificar os tipos de gerenciamento de redes, como centralizado,

descentralizado, reativo e proativo, aplicando este conhecimento
na definição da arquitetura de gerenciamento de redes;
4. Aplicar arquiteturas e técnicas de gerenciamento à monitoração

de redes de dados e de telecomunicações.
Então? Preparado para uma viagem sem volta rumo ao conhecimento?

Ao trabalho!
Equipamentos de Segurança
OBJETIVO:
Ao término deste capítulo você será capaz de lidar com

equipamentos ativos e passivos de rede, como placas,
repetidores, hubs, switches, bridges, roteadores, gateways,
transceivers, baluns e adaptadores. Isto será fundamental
para o exercício de sua profissão. E então? Motivado para
desenvolver esta competência? Então vamos lá. Avante!
Equipamentos de Rede
Embora as aplicações sejam cada vez mais voltadas para os
utilizadores, e dispensem cada vez mais o conhecimento sobre os
princípios de funcionamento, a existência destes conhecimentos tem um
papel fundamental numa utilização segura e eficaz das redes.
Figura 1 – Diagrama sobre Equipamentos de Rede
Fonte: Editora TELESAPIENS

O que se designa por “Internet” é na realidade um conjunto de redes

e computadores que se encontram interligados a nível mundial. Os meios
usados para garantir esta interligação são muito diversos, recorrendo às
redes públicas de comunicações, baseadas em cabos eléctricos ou ópticos,
terrestres ou submarinos e ligações via rádio terrestres ou via-satélite.
Com tecnologias de transmissão tão diversas é necessário um elo

comum que permita a transferência de dados entre qualquer equipamento
ligado à “Internet”, esse elo é o protocolo de rede, no caso da “Internet”
designado por “Internet Protocol” e abreviado para IP. Uma das missões
importantes de um protocolo de rede é, portanto, assegurar a transferência
de dados entre redes que usam tecnologias de transmissão diferentes.
Regras de Segmentação
Domínio de Colisão
A conexão de vários computadores a um único meio de acesso
compartilhado, que não possui meio de acesso compartilhado, ou
nenhum outro dispositivo de rede conectado, cria um domínio de colisão.
Parte lógica onde os pacotes podem colidir, quanto mais colisões, pior
será a eficiência da rede.
A utilização de um hub, faz com que o domínio de colisão se espalhe

por todos os segmentos. Embora a rede esteja fisicamente como estrela,
usando um hub ela estará logicamente como em barramento. Isso simplifica
a transmissão dos dados, mas aumenta consideravelmente as colisões.
O padrão Ethernet (que é atualmente a arquitetura de redes locais

mais usada no mundo), define algumas regras rígidas para a segmentação
da rede. Isso significa que existem limites que devem ser respeitados.
As regras de segmentação possuem algumas variações pelo

padrão Ethernet:
• 10 Mbps: ethernet padrão;
• 100 Mbps: fast ethernet;
• 1 Gbps: gigabit ethernet.

Domínio Broadcast
O domínio broadcast consiste em um conjunto de dispositivos que
recebem qualquer pacote broadcast originário de qualquer dispositivo
dentro do segmento de rede. Todas as portas de um hub ou de um switch
pertencem ao mesmo domínio broadcast. O domínio broadcast pode ser
segmentado por um roteador, no qual cada porta do roteador representa
um domínio broadcast distinto. Outra forma de segmentar o domínio
broadcast é através de uma VLAN, como será comentado mais à frente.
Figura 2 – Domínio de Broadcast
Endereço Broadcast
Um endereço de destino MAC broadcast é definido por
FF:FF:FF:FF:FF:FF e significa que o pacote deve ser enviado de um host
origem para todos os outros hosts pertencentes à mesma rede.
O que é um Segmento de Rede?

No contexto das comunicações de dados, as seguintes definições
são usadas:
• Uma seção de uma rede que é ligada por bridges, roteadores ou

switches;
• Em rede local com barramento, segmento é um circuito elétrico

contínuo que é frequentemente conectado a outros segmentos
com repetidores.
Regras para Segmentação (10 Mbps)

A rede só poderá ter no máximo cinco segmentos e quatro
repetidores. A 2ª etapa diz respeito ao cabeamento. Se forem utilizados
4 repetidores e 5 segmentos, somente até 3 segmentos podem usar o
cabo coaxial;
Continuação: Ainda diz que quando for usado rede em série, no

máximo usando 4 segmentos e cabeamento de fibra óptica, não deve
ultrapassar 300 metros no padrão 10BaseFP e 500 metros para os demais
padrões;
No caso de haver redes onde a distância máxima entre as duas

máquinas mais distantes é de 4 segmentos e 3 repetidores, então todos
segmentos podem ser de cabo coaxial sem problemas e, portanto,
“habilitados”.
Figura 3 – Regras para Segmentação

Regras de Segmentação para Fast Ethernet

É ainda mais simples que a anterior. Existem dois tipos de repetidores
certos para esse tipo de segmentação: Classe I e classe II.
• Classe I: São mais simples e só permitem ligação entre no máximo

dois segmentos. Se usarmos par trançado, o limite pronto de cada
segmento é de 100 m, sendo assim a distância máxima entre dois
PCs é de 200 m;
• Classe II: Permitem a sua ligação com mais de um repetidor Classe

II. Nesse caso, a ligação entre os dos repetidores pode ter até 5
metros. Se os segmentos entre os PCs forem menores do que
100 metros, então a ligação entre os dois repetidores pode ter um
comprimento maior. O fato é que a distância entre os dois PCs não
pode exceder 205 metros.
Regras para Segmentação (usando um Switch

ou um Roteador)
É possível ligar um switch ou um roteador diretamente a uma porta
de um repetidor Classe I ou II. O switch ou o roteador serão vistos pelo
repetidor como sendo um micro. Isso significa que switches e roteadores
não entram no cálculo do limite de segmentação da rede. Dessa forma, é
possível colocar uma grande quantidade de hubs na rede usando-se de
switches e roteadores na ligação entre eles.
Equipamentos
Placas de Rede
O primeiro componente de uma rede é justamente a placa de rede.
Além de funcionar como um meio de comunicação, a placa de rede
desempenha várias funções essenciais, como a verificação da integridade
dos dados recebidos e a correção de erros. A placa de rede deverá ser
escolhida de acordo com a arquitetura de rede escolhida (Ethernet ou
Token Ring), e também, de acordo com o tipo de cabo que será usado.
Figura 4 – Placa de Rede Fast Ethernet
Fonte: Wikicommons
Atualmente, as placas mais comuns são as placas Ethernet 10/100,

que utilizam cabos de par trançado na sua versão PCI.
Repetidores
São elementos de hardware utilizados para a conexão de dois, ou
mais, segmentos de uma LAN com a função de reconstituir e retransmitir
os sinais elétricos do meio físico. São dispositivos da camada física do
modelo RM-OSI que recebem, amplificam e retransmitem sinais. Eles
amplificam o sinal recebido de um segmento de rede e repetem esse
mesmo sinal no outro segmento.
Figura 5 – Repetidores de Sinais Elétricos
Fonte: Wikicommons
Alguns modelos possuem recursos de auto particionamento,

ou seja, ocorrendo uma falha dos segmentos da rede, o dispositivo irá
efetivamente isolar o acesso à conexão defeituosa, permitindo que a
transmissão de dados aos segmentos remanescentes não seja afetada.
A limitação do número de repetidores ocorre de acordo com o

protocolo utilizado (no protocolo Ethernet o número máximo é de quatro).
Ou seja, um sistema pode conter vários cabos e repetidores, mas dois
transceptores não podem estar a mais de 2,5 km de distância, e nenhum
caminho entre dois transceptores pode atravessar mais de quatro
repetidores.
Um repetidor exerce a função de regenerador de sinal entre dois

segmentos de redes locais. Eles são necessários para fornecer corrente
para controlar cabos longos. Um repetidor permite interconectar dois
segmentos de redes locais de mesma tecnologia e eventualmente, opera
entre meios físicos de tipos diferentes (10base2 e 10base5, por exemplo).
Como resultado é possível aumentar a extensão de uma rede local, de
forma que o conjunto de segmentos interconectados se comporte como
um único segmento
Hubs
Numa rede com topologia de estrela, o Hub funciona como a
peça central, que recebe os sinais transmitidos pelos nós da rede e os
retransmite para os restantes nós. Existem dois tipos de hubs, os hubs
passivos e os hubs ativos.
Figura 6 – Hub USB de 4 Portas
Fonte: Wikicommons
Os hubs passivos limitam-se a funcionar como um espelho,

refletindo os sinais recebidos para todos os nós a ele conectados. Como
ele apenas distribui o sinal, sem fazer qualquer tipo de amplificação,
o comprimento total dos dois trajetos de cabo entre um nó e outro,
passando pelo hub, não pode exceder os 100 metros permitidos pelos
cabos de par entrançado.
Um hub ativo por sua vez, além de distribuir o sinal, serve como
um repetidor, reconstituindo o sinal enfraquecido e retransmitindo-o.
Num hub passivo o sinal pode propagar-se por apenas 100 metros,
somados os dois trajetos de cabos entre os nós. Por outro lado, usando
um hub ativo, o sinal pode propagar-se por 100 metros até ao hub, e
após ser retransmitido por ele, pode ser propagado por mais 100 metros
completos. Apesar de mais caro, este tipo de hub permite estender a rede
por distâncias maiores.
Switches
Um Hub simplesmente retransmite todos os dados que chegam
para todos os nós de rede conectados a ele, como um espelho. Isso faz
com que o barramento de dados disponível seja compartilhado entre
todos os nós e que apenas um possa transmitir de cada vez.
Figura 7 – Switch D-Link de 24 Portas
Fonte: WIkicommons
Um switch também pode ser usado para interligar vários hubs, ou

mesmo para interligar diretamente os diversos nós da rede, substituindo
o hub. Mas, o switch é mais esperto, pois ao invés de simplesmente
encaminhar os pacotes para todas os nós, encaminha apenas para o
destinatário correto. Isto traz uma vantagem considerável em termos
desempenho para redes congestionadas, além de permitir que, em casos
de redes, onde são misturadas placas 10/10 e 10/100, as comunicações
possam ser feitas na velocidade das placas envolvidas. Ou seja, quando
duas placas 10/100 trocarem dados, a comunicação será feita a 100
megabits. Quando uma das placas de 10 megabits estiver envolvida, será
feita a 10 megabits.
Os switches mais baratos, destinados a substituir os hubs são

também chamados de hub-switch.
De maneira geral a função do switch é muito parecida com a

de um bridge, com a excepção que um switch tem mais portas e um
melhor desempenho. Usando bridges ou switches, todos os segmentos
interligados continuam a fazer parte da mesma rede. As vantagens são
apenas a melhoria no desempenho e a possibilidade de adicionar mais
nós do que seria possível unindo os hubs diretamente. Os “routers” por
sua vez são ainda mais avançados, pois permitem interligar várias redes
diferentes, criando a comunicação, mas mantendo-as como redes
distintas.
Tipos de Switch
• Gerenciável: Tem uma interface que permite ao administrador de
rede realizar configurações via software;
• Não-Gerenciável: Não possui uma interface de gerência. Quando

possui configurações a serem feitas estas serão manuais. (Através
de jumpers).
Funcionamento dos Switches

• Mapeia os endereços dos nós que residem em cada segmento de
rede e permite a passagem somente do tráfego necessário;
• Aprende quais hosts estão em cada uma de suas portas;

• Examina o tráfego de entrada, deduz os endereços MAC e cria

uma tabela de endereçamento para cada uma de suas portas;
• Quando recebe um pacote ele determina o destino e a origem,

encaminhando corretamente o pacote, bloqueando o acesso
deste a outra rede se a origem e destino estiverem no mesmo
segmento.
Bridges
Uma bridge permite a comunicação entre diferentes tipos de
arquiteturas de rede, que em certa partida seriam incompatíveis. Para
que essa comunicação possa ocorrer, é importante que seja utilizado um
protocolo comum (TCP/IP) para o seu funcionamento.
Imaginemos duas redes diferentes, A e B, que estejam ligadas por

uma Bridge. A Bridge limita-se a ficar à escuta para ver se há alguma
transmissão ativa. No caso de haver, a Bridge analisa o endereço de
destino do pacote que está a ser transmitido e, ou ignora a transmissão
no caso de o pacote estar a ser enviado para um computador dentro da
mesma rede ou então envia o pacote para o destino na outra rede, se for
esse o caso.
Roteadores
Enquanto que as bridges serviam para conectar dois segmentos de
redes distintos transformando-os numa única rede, um roteador permite
interligar duas redes separadas, mesmo que estas estejam em países ou
continentes diferentes.
Figura 8 – Roteador
Fonte: Wikicommons
Os routers têm mais capacidade do que as bridges, pois só leem

os pacotes que se destinam a outra rede. Como tal têm que ser usados
protocolos que sejam “roteáveis” (TCP/IP, IPX/SPS). É possível interligar
redes diferentes usando routers, não havendo necessidade que todos os
roteadores tenham acesso direto a todos os outros routers que estiverem
conectados.
Os routers têm também a capacidade de procurar o melhor caminho.

Inicialmente tentam procurar o caminho mais curto, mas se durante este
caminho houver um router com excesso de tráfego então será procurado
um caminho mais longo, mas que permita uma transmissão em menos
tempo.
Gateways
Os Gateways são uma espécie de tradutor que converte as
informações de um protocolo para outro pouco inteligível ao destinatário.
Existem duas técnicas para fazer esta “tradução”: o tunneling e a emulação
de terminal.
O tunneling é o método mais simples e por isso o mais usado. Ele

consiste em converter a informação para um protocolo mutuamente
inteligível, que possa ser transportado através da rede, e em seguida

novamente converter um pacote para o protocolo usado na rede destino.
A emulação de terminal já é um processo um pouco mais trabalhoso

e destina-se a permitir a conexão de PCs com mainframes antigos, como
os ainda muito utilizados em bancos. Como os mainframes são capazes
de comunicar apenas com terminais “burros” e não com PCs, é preciso
fazer com que o PC finja ser um terminal “burro” durante a conversação.
O “fingimento” é feito através de um programa de emulação de terminal,
instalado em cada PC utilizador do mainframe.
Transceivers
O transceiver trata-se de um dispositivo de hardware que faz a
conexão entre os dispositivos elétricos ou que faz a conversão eletro/
óptica correta entre computadores de rede que usam fibra óptica. Ele
opera na camada física do modelo OSI, pois tem a função de transformar
um sinal elétrico em sinal ótico e vice-versa, durante a operação.
Basicamente, o transceiver seria dois equipamentos pelo mesmo

aparelho, um transmissor e um receptor.
Baluns e Adaptadores
Historicamente os Baluns surgiram como dispositivos utilizados
para permitir que aplicações de dados IBM, que rodavam normalmente
sobre sistemas coaxiais, twin-axiais e o cabo IBM tipo 1A de 150 ohms
pudessem ser transmitidas sobre o meio físico UTP.
O nome Balun origina-se das diferenças entre os modos de

transmissão utilizados em sistemas coaxiais (Não Balanceado) e em
sistemas UTP (Balanceado) - BALUN = BALanced + Unbalanced.
Estes dispositivos continuam tendo uma participação importante

no crescimento do cabeamento UTP, pois através deles é suportada
uma grande gama de aplicações, cada qual com suas necessidades
específicas, porém adaptadas à mesma infraestrutura de cabeamento.
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu mesmo

tudinho? Agora, só para termos certeza de que você
realmente entendeu o tema de estudo deste capítulo,
vamos resumir tudo o que vimos. Você deve ter aprendido
a saber lidar com equipamentos ativos e passivos de
rede, como placas, repetidores, hubs, switches, bridges,
roteadores, gateways, transceivers, baluns e adaptadores.
Segurança de Redes de Computadores

[[Objetivo]]: Ao término deste capítulo você será capaz de aplicar
técnicas de segurança de dados em redes de computadores, de modo a
prevenir ataques, com foco na configuração do proxy, filtros e criptografia.
Isto será fundamental para o exercício de sua profissão. E então? Motivado
para desenvolver esta competência? Então vamos lá. Avante!
Ao se conectar um computador a uma rede, é necessário que tome

as providencias para se certificar que esta nova máquina conectada possa
não vir a ser um “portão” que servirá de entrada de invasores, ou seja, de
pessoas que estão mal intencionadas, procurando prejudicar alguém ou
até mesmo paralisar a rede inteira.
Figura 9 – Segurança em Redes de Computadores
Fonte: Pixabay
Embora haja sistemas que venham a fornecer um grau de segurança

elevado, mesmo sendo bem configurado ainda estará vulnerável.
Ataques
Um ataque, ao ser planejado, segue um plano de estratégia sobre
o alvo desejado, e uma pessoa experiente em planejamento de ataque
sempre traça um roteiro a ser seguido a fim de alcançar o objetivo. Um
exemplo de roteiro organizado para atacar é exemplificado a seguir:
• Localizar o alvo desejado;
• Concentrar o máximo de informações possíveis sobre o alvo,

geralmente utilizando alguns serviços da própria rede, ou até
mesmo, ferramentas utilizadas na administração e gerenciamento
da rede alvo;
• Disparar o ataque sobre o alvo, a fim de invadir o sistema,

explorando a vulnerabilidade do sistema operacional, servidores
e serviços oferecidos pela rede. O invasor pode até mesmo abusar
um pouco da sorte tentando adivinhar uma senha na máquina
alvo, fazendo combinações possíveis;
• Não deixar pistas da invasão, pois geralmente as ações realizadas

pelos invasores são registradas no sistema alvo em arquivos de
log, possibilitando que o administrador do sistema invadido possa
vir a descobrir a invasão, a não ser que o invasor se preocupe em
eliminar todos e quaisquer vestígios que o incriminem;
• O invasor deve conseguir não somente senhas de usuários

comuns, pois os privilégios destes usuários são limitados, não
dando acesso a recursos mais abrangentes no sistema. Com isso,
é de grande importância que o invasor consiga uma senha de
administrador, pois terá todos os recursos de gerenciamento do
sistema disponíveis, para alterações e até mesmo gerar bug no
sistema. Instalar ferramentas que façam a captura de senhas de
forma clandestina aos olhos do administrador, para isso existem
programas que conseguem rodar em segundo plano sem que a
vítima perceba, podendo ser colocados na pasta usada pela vítima;
• Criar caminhos alternativos de invasão, logo que a administradora

do sistema encontrar uma “porta aberta” que permita a invasão
esta será fechada, mas se o invasor gerar outras maneiras de
invadir o sistema, certamente terá outra chance de invasão, já que
teve a preocupação de criar novas rotas alternativas;
• Utilizar a máquina invadida como “portão de entrada” para invasão

de outras máquinas da rede e até mesmo do computador central.
Tipos de Ataques
Segue abaixo o glossário para explicar cada termo designado para
os ataques e técnicas realizados por usuários deste gênero. Também
não podemos nos esquecer de muitos outros termos relacionados aos
aplicativos e arquivos que são apenas um peso para os computadores,
aqueles que nem deveriam ter sido lançados, mas incomodam a vida de
todos.
Adware: Este tipo de arquivo malicioso nem sempre é baixado

por acidente para o seu computador. Alguns programas carregados de
propagandas que só as eliminam após a aquisição de uma licença também
são considerados adwares. Em suma, um adware é um aplicativo que
baixa ou exibe, sem exigir autorização, anúncios na tela do computador.
Application-Layer Attack: Os “ataques na camada de aplicação”

podem ser feitos tanto em servidores remotos quanto em servidores de
rede interna. São ataques nas comunicações dos aplicativos, o que pode
gerar permissões de acesso aos crackers em computadores infectados.
Aplicativos que utilizam base de dados online (como Adobe Reader)
também podem ser atingidos.
Backdoor: Traduzindo literalmente, “porta dos fundos”. São falhas

de segurança no sistema operacional ou em aplicativos, que permitem
que usuários acessem as informações dos computadores sem que sejam
detectados por firewalls ou antivírus. Muitos crackers aproveitam-se
destas falhas para instalar vírus ou aplicativos de controle sobre máquinas
remotas para controlá-las.
Black Hat: O mesmo que “Cracker”. São usuários que tem os

conhecimentos de programação para causar danos em computadores
alheios.
Bloatware: Os “softwares bolha” não são considerados aplicativos

de invasão. Na verdade, são programas que causam perda de espaço
livre nos computadores por serem muito maiores do que deveriam ser.
Ou possuem muitas funções, mas poucas que são realmente funcionais.
Alguns dos softwares considerados “bloatware” são iTunes, Windows

Vista e Nero.
Bluebugging: É o tipo de invasão que ocorre por meio de falhas

de segurança em dispositivos Bluetooth. Com equipamentos de captura
de sinal Bluetooth e aplicativos de modificação sem autorização, crackers
podem roubar dados e senhas de aparelhos celulares ou notebooks que
possuam a tecnologia habilitada.
Botnet: São computadores “zumbis”. Em suma, são computadores

invadidos por um determinado cracker, que os transforma em um replicador
de informações. Dessa forma torna-se mais difícil o rastreamento de
computadores que geram spams e aumentam o alcance das mensagens
propagadas ilegalmente.
Crapware: Sabe quando você compra um computador pré-

montado e ele chega à sua casa com algumas dúzias de aplicativos que
você não faz ideia da funcionalidade? Eles são chamados de crapware
(em português: software porcaria) e são considerados um “bônus” pelas
fabricantes, mas para os usuários são poucos os aplicativos interessantes.
Compromised-Key Attack: São ataques realizados para

determinadas chaves de registro do sistema operacional. Quando o
cracker consegue ter acesso às chaves escolhidas, pode gerar logs com
a decodificação de senhas criptografadas e invadir contas e serviços
cadastrados.
Data Modification: Alteração de dados. O invasor pode decodificar

os pacotes capturados e modificar as informações contidas neles antes
de permitir que cheguem até o destinatário pré-definido.
Denial of Service (DoS): “Ataque de negação de serviços” é

uma forma de ataque que pretende impedir o acesso dos usuários a
determinados serviços. Alvos mais frequentes são servidores web, pois
os crackers visam deixar páginas indisponíveis. As consequências mais
comuns neste caso são: consumo excessivo de recursos e falhas na
comunicação entre sistema e usuário.
Distributed Denial of Service (DDoS): O mesmo que DoS, mas

realizado a partir de vários computadores. É um DoS distribuído.
DNS Poisoning: “Envenenamento do DSN” pode gerar alguns

problemas graves para os usuários infectados. Quando ataques deste
tipo ocorrem, os usuários atingidos conseguem navegar normalmente
pela internet, mas seus dados são todos enviados para um computador
invasor que fica como intermediário.
“Drive by Java”: Aplicativos maliciosos “Drive-by-Download” são

arquivos danosos que invadem os computadores quando os usuários
clicam sobre alguns anúncios ou acessam sites que direcionam downloads
sem autorização. O “Drive-by-Java” funciona da mesma maneira, mas em
vez de ser por downloads, ocorre devido à contaminação de aplicativos
Java.
Hacker: São usuários mais curiosos do que a maioria. Eles utilizam

essa curiosidade para buscar brechas e falhas de segurança em sistemas
já criados. Com esse processo, conseguem muito aprendizado e
desenvolvem capacidades de programação bastante empíricas. Quando
utilizam estes conhecimentos para causar danos passam a ser chamados
de crackers.
ICMP Attack: Ataques gerados nos protocolos de controle de

mensagens de erro na internet. Um computador com o IP alterado
para o endereço de outro usuário pode enviar centenas ou milhares de
mensagens de erro para servidores remotos, que irão enviar respostas
para o endereço com a mesma intensidade. Isso pode causar travamentos
e quedas de conexão no computador vitimado.
ICMP Tunneling: Podem ser criados túneis de verificação em

computadores invadidos, por meio da emissão de mensagens de erro e
sobrecarga da conexão. Com isso, arquivos maliciosos podem passar sem
interceptações de firewalls do computador invadido, passando por esses
“túneis” de maneira invisível.
IP Spoofing: É uma técnica utilizada por crackers para mascarar o

IP do computador. Utilizando endereços falsos, os crackers podem atacar
servidores ou computadores domésticos sem medo de serem rastreados,

pois o endereço que é enviado para os destinatários é falso.
Keylogging: É uma prática muito utilizada por ladrões de contas

bancárias. Aplicativos ocultos instalados no computador invadido geram
relatórios completos de tudo o que é digitado na máquina. Assim, podem
ser capturados senhas e nomes de acesso de contas de e-mail, serviços
online e até mesmo Internet Banking.
Lammer: É o termo utilizado por hackers mais experientes para

depreciar crackers inexperientes que utilizam o trabalho de outros para
realizar suas invasões. Não se limitam a invadir sites, quando o fazem
modificam toda a estrutura e até assinam as “obras” em busca de fama
na comunidade.
Logic Bomb: Este termo pode ser empregado em dois casos. O

primeiro refere-se a programas que expiram após alguma data e então
deixam de apresentar algumas de suas funcionalidades. O segundo,
mais grave, é utilizado em casos de empresas que utilizam aplicativos
de terceiros e quando os contratos são rompidos, estes softwares ativam
funções danosas nos computadores em que estavam instalados.
Malware: Qualquer aplicativo que acessa informações do sistema

ou de documentos alocados no disco rígido, sem a autorização do
administrador ou usuário, é considerado um malware. Isso inclui vírus,
trojans, worms, rootkits e vários outros arquivos maliciosos.
Man-in-the-Middle-Attack: Este tipo de ataque ocorre quando um

computador intercepta conexões de dois outros. Cliente e servidor trocam
informações com o invasor, que se esconde com as máscaras de ambos.
Em termos mais simples: pode ser um interceptador de uma conversa de
MSN, que passa a falar com os dois usuários como se fosse o outro.
Password-based Attacks: É o tipo de ataque gerado por programas

criados no intuito de tentar senhas repetidas vezes em curtos intervalos
de tempo. Criando instabilidades na verificação do logon referido, podem
ser geradas duplicatas de senhas ou logons válidos.
Ping of Death: Um invasor realiza constantes Pings na máquina

invadida para causar travamentos na banda e até mesmo para travar o
computador. É um tipo de ataque Denial of Service.
Phishing: Mensagens de e-mail enviadas por spammers são criadas

com interfaces e nomes que fazem referência a empresas famosas
e conhecidas, como bancos. Nestas mensagens são colocados links
disfarçados, que dizem ser prêmios ou informações sobre a empresa, mas
são arquivos maliciosos.
Phreaker: os hackers de telefonia. São responsáveis pelo roubo de

sinal de outros aparelhos e também por desbloquear aparelhos famosos,
como é o caso dos especializados em desbloqueio do iPhone.
Pod Slurping: É o nome atribuído às práticas de roubo de

informações por meio de dispositivos portáteis pré-configurados para a
atividade. Podem ser utilizados pen drives, iPods e muitos outros aparelhos
de armazenamento portátil. Há ataques diretos desta maneira e também
ataques que apenas abrem portas dos computadores para invasões.
Port Scanning: Atividade realizada por um Port Scanners. É a

varredura de servidores em busca de portas vulneráveis para uma invasão
posterior.
Repudiation Attacks: quando aplicativos ou sistemas não são

criados com os comandos corretos de rastreamento de logs, crackers
podem utilizar isso para remodelar os envios de comandos. Assim, podem
ser modificados os dados de endereçamento das informações, que são
enviadas diretamente para servidores maliciosos.
Rootkit: Tipo de malware que se esconde nas bases do sistema

operacional, em localidades que não podem ser encontradas por
antivírus comuns. São utilizados para interceptar solicitações do sistema
operacional e alterar os resultados.
Scareware: Malwares que são acessados pelos usuários mais

desavisados, pois ficam escondidos sobre banners maliciosos. Podem ser
percebidos em páginas da web que mostram informações do tipo: “Você
está infectado, clique aqui para limpar sua máquina”.
Session Hijacking: Roubo de sessão. Ocorre quando um usuário

intercepta cookies com dados do início da sessão da vítima em algum
serviço online. Assim, o cracker consegue acessar a página do serviço
como se fosse a vítima e realizar todos os roubos de informações e
modificações que ele vier a desejar fazer ali.
Scanners: São softwares que varrem computadores e sites em

busca de vulnerabilidades.
Script Kiddy: O mesmo que o Lammer.
Server Spoofing: O mesmo que IP Spoofing, mas para Servidores VPN.
Side Jacking: Prática relacionada ao Session Hijacking, mas

geralmente com o invasor e a vítima em uma mesma rede. Muito
frequentes os ataques deste tipo em hotspots Wi-Fi sem segurança
habilitada.
Shovel Ware: É o tipo de aplicativo que se destaca mais pela

quantidade de funcionalidades do que pela qualidade das mesmas. Muitos
conversores multimídia fazem parte deste conceito de shovel ware.
SMiShing: Similar a Phishing, mas destinado a celulares (SMS).
Smurf: O mesmo que ICMP Attack.
Sniffer Attack: Tipo de ataque realizado por softwares que capturam

pacotes de informações trocados em uma rede. Se os dados não forem
criptografados, os ofensores podem ter acesso às conversas e outros logs
registrados no computador atacado.
Snooping: Invasões sem fins lucrativos, apenas para “bisbilhotar” as

informações alheias.
Social Engineering (Engenharia Social): É o ato de manipular

pessoas para conseguir informações confidenciais sobre brechas de
segurança ou mesmo sobre senhas de acesso a dados importantes.
Spam: Mensagens enviadas em massa para listas conseguidas

de maneira ilegal. Geralmente carregam propagandas sobre pirataria de
medicamentos. Também podem conter atalhos para páginas maliciosas
que roubam listas de contatos e aumentam o poder de ataque dos

spammers.
Spoof: Mascarar informações para evitar rastreamento.
Spyware: São aplicativos (malwares) instalados sem o consentimento

dos usuários. Eles são utilizados para capturar informações de utilização
e navegação, enviando os logs para os invasores. Keyloggers fazem parte
desta denominação.
TCP Syn / TCP ACK Attack: Ataques realizados nas comunicações

entre servidor e cliente. Sendo enviadas mais requisições do que as
máquinas podem aguentar, a vítima é derrubada dos servidores e perde
a conexão estabelecida. Podem ocorrer travamentos dos computadores
atingidos.
TCP Sequence Number Attack: Tentativas de previsão da

sequência numérica utilizada para identificar os pacotes de dados
enviados e recebidos em uma conexão. Quando é terminada com sucesso,
pode emular um servidor falso para receber todas as informações do
computador invadido.
TCP Hijacking: Roubo de sessão TCP entre duas máquinas para

interferir e capturar as informações trocadas entre elas.
Teardrop: Uma forma de ataque Denial of Service. Usuários

ofensores utilizam IPs inválidos para criar fragmentos e sobrecarregar
os computadores vitimados. Computadores mais antigos podiam travar
facilmente com estes ataques.
Trojan: Tipo de malware que é baixado pelo usuário sem que ele
saiba. São geralmente aplicativos simples que escondem funcionalidades
maliciosas e alteram o sistema para permitir ataques posteriores.
Vírus: Assim como os vírus da biologia, os vírus de computador não

podem agir sozinhos. Anexam-se a outros arquivos para que possam ser
disseminados e infectar mais computadores. São códigos que forçam
a duplicação automática para aumentar poder de ataque e criar mais
estrago.
White Hat: Hackers éticos.

Worm: Funcionam de maneira similar aos vírus, mas não precisam

de outros arquivos hospedeiros para serem duplicados. São arquivos
maliciosos que podem replicar-se automaticamente e criar brechas
nos computadores invadidos. Disseminam-se por meio de redes sem
segurança.
Proteção
Um Firewall e um conjunto de políticas de segurança que tem
como objetivo tentar realizar uma segurança “eficiente”, mas sabendo que
esta segurança nunca será cem porcento. E, além disso, nós já temos um
Firewall software para executar a mesma tarefa.
Uma das grandes preocupações na área de segurança de redes

é com a vulnerabilidade de um computador, que pode comprometer as
transmissões pelo meio físico da rede na qual o mesmo está ligado.
Muito se tem feito para que o equipamento computacional (host)

esteja seguro, impedindo o acesso indevido a seus dados e monitorando
qualquer tentativa de invasão. Entretanto, um outro método tem se
mostrado bastante eficiente: impedir que informações indesejadas entrem
na rede como um todo.
Figura 10 – Proteção em Redes de Computadores
Fonte: Pixabay
Não é um método substituto à segurança do host, mas

complementar, e consiste no seguinte: na ligação da rede interna com
Internet, instala-se um equipamento que permitirá, ou não, a entrada e
saída de informação, baseada em uma lista de permissões e restrições,
devidamente configuradas para suprir as necessidades básicas de
comunicação da rede interna com a Internet e vice-versa. Nem mais nem
menos. Esta configuração é a chave do sucesso ou fracasso de um firewall.
REFLITA:
É importante lembrar que um “firewall” deve estar presente

em todas as conexões da rede com a Internet. Não adianta
colocar um firewall sofisticado na ligação do backbone se,
dentro da rede interna, existe um micro conectado com
outra rede.
A utilização de um firewall implica na necessidade de conectar uma

Intranet ao mundo externo, a Internet. Para tanto, podemos formular um
projeto de firewall específico, implicando em algumas perguntas que
podem ser necessárias durante a aquisição destas políticas:
• Gostaríamos que usuários baseados na Internet fizessem upload

ou download de arquivos de ou para o servidor da empresa?
• Há usuários específicos (como concorrentes) aos quais desejamos

negar um tipo de acesso?
• A empresa publicará uma página web?
• O site proverá suporte Telnet a usuários da Internet?
• Os usuários da Intranet da empresa deverão ter acesso à web sem

nenhum tipo de restrição?
• Serão necessárias estatísticas sobre “quem” está tentando acessar

o sistema através do firewall?
• Há pessoal empenhado na monitoração da segurança do firewall?
• Qual seria o “pior cenário” possível, caso algum tipo de ameaça

venha a atingir a Intranet da empresa?
• Os usuários da empresa precisam se conectar com outras Intranets

geograficamente dispersas?
Construir um firewall é decidir quais políticas de segurança serão

utilizadas, ou seja, que tipo de tráfego irá ou não ser permitido na Intranet.
Podemos escolher entre um roteador que irá filtrar pacotes

selecionados, ou usar algum tipo de software proxy que será executado
no computador, além de outras políticas.
No geral, uma arquitetura firewall pode englobar as duas

configurações, podendo assim maximizar a segurança da Intranet,
combinando um roteador e um servidor proxy no firewall.
As três arquiteturas de firewall mais populares que existem são:

Dual-Homed Host Firewall, Screened Host Firewall e Screened Subnet
Firewall, sendo que os dois últimos usam uma combinação de roteadores
e servidores proxy para melhorar ainda mais o serviço.
Dual-Homed Host Firewall

É uma configuração simples, porém muito segura, na qual
dedicamos um computador host como fronteira entre a Intranet e a
Internet. O computador host usa duas placas de rede, separadas para
se conectar a cada rede, conforme mostra a figura abaixo. Usando um
firewall deste tipo, é necessário desativar as capacidades de roteamento
do computador, para que ele não “conecte” as duas redes. Uma das
desvantagens desta configuração é a facilidade de ativar inadvertidamente
o roteamento interno.
Figura 11 – Proteção em Redes (Firewall)
Fonte: Pixabay
O Dual-Homed Host Firewall funciona rodando um proxy a nível

de circuito ou a nível de aplicativo. Conforme visto anteriormente, o
software proxy controla o fluxo de pacotes de uma rede para outra. Como
o computador host é dual-homed (conectado às duas redes), o firewall
host vê os pacotes de ambas, o que permite rodar o software proxy para
controlar o tráfego entre elas.
Screened-Host Firewall
Muitos projetistas de rede consideram os screened-host firewalls
mais seguros do que os Dual-Homed Host Firewalls, isto porque,
acrescentando um roteador e colocando um computador host fora da
Internet, é possível ter um firewall bastante eficaz e fácil de manter.
Fonte: Pixabay
Como podemos ver, um roteador conecta a Internet à Intranet e, ao

mesmo tempo, filtra os tipos de pacotes permitidos. Podemos configurar o
roteador para que ele veja somente um computador host na rede Intranet.
Os usuários da rede que desejarem ter acesso à Internet deverão fazer
isso por meio deste computador host, enquanto que o acesso de usuários
externos é restringido por este computador host.
Screened-Subnet Firewall
Uma arquitetura Screened-Subnet isola ainda mais a Intranet
da Internet, incorporando uma rede de perímetro intermediário. Em
um Screened-Subnet Firewall, o computador host é colocado na rede

de perímetro, onde os usuários poderão acessá-lo por dois roteadores
separados. Um roteador controla o tráfego da Intranet e o outro, o tráfego
na Internet.
Fonte: Pixabay
Um Screened-Subnet Firewall proporciona uma formidável defesa

contra ameaças. Como o firewall isola o computador host em uma rede
separada, ele reduz o impacto de uma ameaça para este computador,
minimizando ainda mais a chance de a rede interna ser afetada.
Configuração
A filtragem de pacotes é a maneira mais simples de se construir
um firewall. Geralmente utilizadas em roteadores, as listas de acesso têm
uma ótima relação custo X benefício: os roteadores já possuem estas
facilidades, basta sentar e aprender a configurá-los; a filtragem é bem
eficiente, invisível e rápida (se o roteador for de boa qualidade).
Mas então o que vamos configurar? Os roteadores (que toda rede

em conexão com Internet possui) tem um papel muito simples: interligar
duas ou mais redes e fazer o transporte de pacotes de informações de
uma rede para outra, conforme sua necessidade. Mas muitos destes
roteadores, além de identificar o destino do pacote e encaminhá-lo na
direção certa, elas checam ainda:
• A direção dos pacotes;
• De onde veio e para onde vai (rede interna e Internet);
• Endereço de origem e destino;
• Tipo de pacote;
• Portas de conexão;
• Flags do pacote e etc.
Estes pontos de conexão da Internet com a rede interna podem

receber uma série de regras para avaliar a informação corrente. São as
listas de acesso que definem o que deve e o que não deve passar por
este ponto de conexão.
Baseado nisto, nós podemos definir uma política para “a segurança

da rede”. A primeira opção seria liberar tudo e negar serviços perigosos; a
segunda seria negar tudo e liberar os serviços necessários. Sem dúvidas
a segunda é mais segura, entretanto, os funcionários da rede interna
podem precisar acessar livremente a Internet como forma de trabalho, e
a manutenção desta lista seria tão trabalhosa, visto que a proliferação de
programas na Internet é muito grande que, em pouco tempo estaríamos
em um emaranhado de regras sem sentido.
Filtros Inteligentes
Pensando nas dificuldades de configuração e falta de recursos
dos roteadores para a implementação dos filtros de pacotes, muitos
fabricantes criaram ferramentas para fazer este tipo de filtragem, desta vez
baseada em um host (computador) específico para esta tarefa, localizada
nos pontos de conexão da rede interna com a Internet.
Os chamados “filtros inteligentes” são aplicações feitas em

computadores ligados ao roteador e à rede interna. O tráfego de um lado
para outro se dá (ou não) conforme as regras estabelecidas nas aplicações.
Apesar de esta solução requerer um equipamento extra, ela nos dá uma
série de vantagens sobre os filtros baseados em roteador, principalmente
no que diz respeito à monitoração de acesso.
Roteadores que possuem algum tipo de log, não guardam

informações muito precisas sobre as tentativas de conexão na (ou da)
rede interna, enquanto os filtros inteligentes possuem vários níveis de
logs, nos quais é possível (e bastante recomendável) perceber os tipos
de tentativa de acesso, e até definir certas ações caso um evento em
especial relacionado à segurança aconteça.
Uma outra característica interessante dos “filtros inteligentes” é

a tentativa de implementar um controle de pacotes UDP, guardando
informações sobre eles e tentando “improvisar” o flag ACK. Montando-se
uma tabela de pacotes UDP que passam, pode-se comparar os pacotes
UDP que retornam e verificar se eles são uma resposta ou se são uma
tentativa para se fazer um novo contato.
Mais uma vez vale a pena lembrar que: nem mesmo os filtros
inteligentes são substitutos para a segurança dos computadores internos.
Fica fácil visualizar a quantidade de problemas se os computadores da
rede interna não apresentarem nenhum nível de segurança e o firewall for
comprometido. Lembre-se: “Nenhum colete à prova de bala lhe protegerá
se alguém enfiar o dedo no seu olho…”.
O servidor proxy tem duas funções, a primeira e fazer com que

a internet enxergue a intranet apenas como um maquina, com isso
tornando a rede segura e a outra função é armazenar páginas web para
sua rede interna caso precise de atualizações o servidor proxy vai buscar
na internet.
Neste sistema, temos um gateway (computador que faz uma

ligação) entre o nosso computador e o servidor que desejamos acessar.
Esse gateway possui uma ligação com a rede externa e outra com a rede
interna. Tudo que passa de uma rede para outra deve, obrigatoriamente,
passar pelo gateway. O fato de terem duas ligações lhe confere o nome
de “Gateway de Base Dupla”.
O seu funcionamento é simples, mas de funcionalidade trabalhosa:

Vamos supor que nós queremos acessar um servidor de FTP em uma
rede que possua este gateway de base dupla. Primeiro, nós precisamos
nos conectar ao Proxy (gateway), e dele nos conectar ao servidor FTP. Ao
baixar o arquivo, este não chegará direto até nós, e sim até o Proxy. Depois
de encerrada a transferência do arquivo até o Proxy, nós o transferimos,
do Proxy até o nosso computador. O conceito é relativamente simples,
mas isto implica em alguns problemas.
Há um outro tipo de Proxy que facilita um pouco as coisas: os proxies

de aplicação. Este, ao invés de fazerem com que o usuário se conecte com
o destino através do Proxy, permite ao usuário a conexão através do seu
próprio computador para que transfira as informações diretamente, desde
que passe nas regras estabelecidas no Proxy de aplicação. Ao se conectar
no Proxy de aplicação, este oferece as opções que o usuário tem disponível
na rede, nada mais, e isto diminui a chance de “livre arbítrio” do usuário,
como acontece nos gateways simples ou de base dupla, em que o usuário
tem acesso ao sistema para se conectar a máquinas internas da rede.
IMPORTANTE:
Entretanto, uma das principais vantagens destes proxies é

a capacidade de “esconder” a verdadeira estrutura interna
da rede. Vejamos como: ao tentar conectar a uma rede que
possui este tipo de Proxy, eu não preciso saber nada além
do número IP deste servidor.
De acordo com o tipo de serviço pedido pela minha conexão, o

servidor de Proxy a encaminha para o servidor que trata deste serviço,
que retorna para o Proxy, que me responde o serviço.
Criptografia em Redes de Computadores

Podemos então garantir uma comunicação segura na rede através
da implantação de criptografia. Podemos, por exemplo, implantar a
criptografia na geração dos pacotes, ou seja, apenas as mensagens enviadas
de máquina para máquina serão criptografadas. O único problema disso
continua sendo a escolha das chaves. Se implementarmos criptografia
com chave simples (uma única para criptografar e descriptografar) temos
o problema de fazer com que todas as máquinas conheçam esta chave,
e mesmo que isso possa parecer fácil em uma rede pequena, redes
maiores que não raramente atravessam ruas e avenidas ou mesmo

bairros isto pode ser inviável. Além no mais, talvez queiramos estabelecer
conexões confiáveis com máquinas fora de nossa rede e não será possível
estabelecer uma chave neste caso e garantir que somente as máquinas
envolvidas na comunicação a conhecem.
Figura 14 – Criptografia em Redes de Computadores.
Fonte: Pixabay
Se, contudo, criptografarmos as mensagens com chave pública

e privada, temos o problema de conhecer todas as chaves públicas de
todas as máquinas com quem queremos estabelecer comunicação. Isto
pode ser difícil de controlar quando são muitas maquinas.
RESUMINDO:

a aplicar técnicas de segurança de dados em redes de
computadores, de modo a prevenir ataques, com foco
na configuração do proxy, filtros e criptografia. Isto será
fundamental para o exercício de sua profissão.
Gerencimanento de Redes: Introdução,

Histórico e Tipos
OBJETIVO:
Ao término deste capítulo você será capaz de identificar

os tipos de gerenciamento de redes, como centralizado,
descentralizado, reativo e proativo, aplicando este
conhecimento na definição da arquitetura de gerenciamento
de redes. Isto será fundamental para o exercício de sua
profissão. E então? Motivado para desenvolver esta
competência? Então vamos lá. Avante!
Gerenciamento de Redes
O objetivo da Gerência de Redes é monitorar e controlar os
elementos da rede (sejam eles físicos ou lógicos), assegurando um
certo nível de qualidade de serviço. Para realizar esta tarefa, os gerentes
de redes são geralmente auxiliados por um sistema de gerência de
redes. Um sistema de gerência de rede pode ser definido como uma
coleção de ferramentas integradas para a monitoração e controle da
rede. Este sistema oferece uma interface única, com informações sobre
a rede e pode oferecer também um conjunto poderoso e amigável
de comandos que são usados para executar quase todas as tarefas
da gerência da rede. Citado acima. (Stallings, 1998 citado por SUAVE;
LOPES; NICOLLETTI, 2003).
Figura 15 – Administrador de Redes de Computadores
Fonte: Pixabay
O gerenciamento de uma rede de computadores torna-se uma

atividade essencial para garantir o seu funcionamento contínuo, assim
como para assegurar um elevado grau de qualidade dos serviços
oferecidos.
Desde a década de 80, vários grupos têm trabalhado para

definir arquiteturas padronizadas (e abertas) para o gerenciamento
de redes heterogêneas, ou seja, redes compostas por equipamentos
“Ativos” de diferentes fabricantes. As principais arquiteturas abertas de
gerenciamento de redes são relacionadas às tecnologias TCP/IP e OSI da
ISO e estas são conhecidas mais facilmente pelos nomes dos protocolos
de gerenciamento utilizados.
E, “elas” seriam as seguintes:
• Simple Network Management Protocol - SNMP do TCP/IP;
• Common Management Information Protocol - CMIP de OSI.

REFLITA:
Embora atualmente existem algumas aplicações de

gerenciamento muito sofisticadas, a maioria destas
aplicações permite apenas o monitoramento dos nós de
uma rede e não possui a “inteligência” para se permitir
auxiliar os administradores de rede na execução de sua
tarefa.
A arquitetura de gerenciamento SNMP, adotada na tecnologia

TCP/IP, supõe a existência de estações de gerenciamento, onde são
executadas as aplicações de gerenciamento e os nós gerenciados, que
são os elementos da rede (estações, roteadores e outros equipamentos de
comunicação), que desempenham funções de comunicação na operação
normal da rede, fazendo isso por meio dos chamados protocolos úteis.
Estes protocolos são instrumentados para permitir o monitoramento

e controle do seu funcionamento. Uma parte significativa do processo
de gerenciamento baseia-se na aquisição de informações sobre a rede,
sendo as mais importantes àquelas relativas a erros, falhas e outras
condições excepcionais. Tais dados devem ser armazenados em forma
bruta, sendo importante definir os valores aceitáveis como limiares de
tolerância que, quando ultrapassados, determinam uma sinalização para
pedir intervenção de um operador, ou o início de uma operação corretiva.
Tais limites não são necessariamente absolutos, tais como a taxa

de erros num enlace de dados, sendo necessário dispor de estatísticas
de erros em função do tráfego existente. Um determinado limiar pode
ser aceitável numa situação de carga leve na rede, mas intolerável numa
outra situação, de carga mais intensa, no qual o número de retransmissões
faria com que o tráfego total excedesse a capacidade do enlace, afetando
seriamente o tempo de resposta.
Histórico
Em 1986, na cidade de Dalas, E.U.A., um grupo de pessoas
pertencentes ao Comitê Técnico em Comunicação de Dados, reuniu-se
pela primeira vez para discutir a necessidade de gerenciamento de redes,

porém não havia uma concordância como isso seria feito.
Cada fornecedor tinha construído uma arquitetura proprietária

de gerenciamento para seus produtos e ao utilizar diferentes sistemas
era necessário implantar diversas soluções de gerenciamento em uma
mesma rede. Às vezes, muitos administradores perdiam muito tempo
apenas em se dedicar em implementar todo esse processo.
O principal problema de ter várias plataformas de gerenciamento

era o alto custo de implementar e manter esses sistemas de gerência.
Essa situação entraria em contradição com o objetivo inicial que é reduzir
custos de manutenção e evitar interrupções em uma rede quando
eventuais problemas pudessem ser detectados com antecedência.
Como solução para este problema surge ferramentas que

seguem padrões baseados em algum modelo de gerenciamento com o
objetivo de resolver os problemas citados anteriormente. Através dessas
ferramentas é possível monitorar e analisar equipamentos de vários
fabricantes e várias tecnologias com uma única ferramenta, já que todos
os equipamentos seguirão o mesmo padrão proposto, permitindo assim
que as informações de gerência sejam mais integradas. Vejamos alguns
desses modelos.
Elementos de uma Arquitetura de Gerenciamento

de Redes
Modelo OSI
O gerenciamento no modelo OSI da ISO é baseado em orientação a
objetos. Com isso, o sistema representa os recursos gerenciados através
de objetos.
IMPORTANTE:
O modelo OSI permite que as funções de monitoração

sejam delegadas aos agentes. Contudo, as funções de
controle ainda ficam incumbidas ao gerente, porque o
conhecimento relativo à tomada de decisões não se adapta
para ser codificado em classes de objeto, ao contrário do
referente ao monitoramento, que é mais simples.
São cinco as áreas funcionais no gerenciamento num ambiente OSI:
• Gerência de Configuração;
• Gerência de Desempenho;
• Gerência de Falhas;
• Gerência de Contabilidade;
• Gerência de Segurança.
Modelo TMN – Telecommunications Management

Network
Esse modelo foi introduzido pela ITU-T como uma referência
disposta para o Operation Support System (OSS) para as operadoras de
serviços de telecomunicações. O conceito TMN é uma estrutura para a
interligação dos diferentes tipos de componentes do OSS e elementos de
rede. O TMN também descreve as interfaces e protocolos padronizados
utilizados para a troca de informações entre os componentes OSS e os
elementos da rede, e a funcionalidade total necessária para gerenciamento
da rede.
Modelo SNMP
O SNMP é um protocolo de gerência que opera na camada de
aplicação, e é usado para receber informações de elementos gerenciados.
O gerente manda comandos aos agentes, e solicita uma leitura no valor
das variáveis dos objetos gerenciados, ou pode modificar o seu valor. O
protocolo de transporte utilizado é o UDP. As informações requisitadas são
armazenadas na MIB, que contém informações sobre o funcionamento
dos mais variados dispositivos. Gerenciar uma rede com SNMP permite
que seu estado seja acompanhado de maneira simples e em tempo real.
Esse protocolo pode ser usado para gerenciar diversos tipos de sistemas.
Tipos de Gerência de Redes

Gerência Centralizada
Um centro de gerência controla o processo. Os problemas com
os modelos centralizados de gerenciamentos de redes tornam-se mais
críticos na proporção em que a rede cresce.
Figura 16 – Modelo de Gerência Centralizada
Gerência Descentralizada
Na gerência descentralizada as atividades são distribuídas pois há
vários nós responsáveis pelo gerenciamento. Permite que o trabalho seja
feito de forma hierárquica, ou seja, cada nó é responsável por determinado
tipo de atividade gerencial.
Figura 17 – Modelo de Gerência Descentralizada
Gerência Reativa
Neste modelo os administradores de rede eram alertados de
problemas ocorridos na infraestrutura e passavam a atuar em sua solução.
Figura 18 – Modelo de Gerência Reativa
Gerência Proativa
O aumento exponencial das redes de computadores tem exigido
uma gerência mais eficaz das mesmas, no sentido de tentar evitar a
interrupção de seus serviços. Desta forma, uma gerência proativa de
redes procura vir a se antecipar as muitas tendências, aos padrões de mal

funcionamento e em descobrir vulnerabilidades, com alta agilidade.
RESUMINDO:
E então? Gostou do que lhe mostramos? Aprendeu

mesmo tudinho? Agora, só para termos certeza de
que você realmente entendeu o tema de estudo deste
capítulo, vamos resumir tudo o que vimos. Você deve ter
aprendido a identificar os tipos de gerenciamento de redes,
como centralizado, descentralizado, reativo e proativo,
aplicando este conhecimento na definição da arquitetura
de gerenciamento de redes.
Gerenciamento de Redes: Elementos -

Arquiteturas - Requisitos - Monitoramentos
OBJETIVO:
Ao término deste capítulo você será capaz de aplicar

arquiteturas e técnicas de gerenciamento à monitoração
de redes de dados e de telecomunicações. Isto será
fundamental para o exercício de sua profissão. E então?
Motivado para desenvolver esta competência? Então
vamos lá. Avante!
Elementos de uma Arquitetura de

Gerenciamento de Redes
A arquitetura geral dos sistemas de gerência de redes apresenta
quatro componentes básicos: elementos gerenciados, estações de
gerência, protocolos de gerência e informações de gerência.
• Elementos Gerenciados (Agentes): Linguagem de Programação,

software especial chamado agente. Este software permite que o
equipamento seja monitorado e controlado através de uma ou
mais estações de gerência de redes de computadores;
• Sistema de Gerência de Redes (Entidade Gerenciadora):

Gerenciador ou o gerente determina que para eficácia do
monitoramento deve haver pelo menos uma estação de gerência.
Em sistemas de gerência distribuídos existem duas ou mais
estações de gerência. Em sistemas centralizados mais comuns
existe apenas uma. Chamamos de gerente o software da estação
de gerência que conversa diretamente com os agentes nos
elementos gerenciados, seja com o objetivo de monitorá-los, seja
com o objetivo de controlá-los. A estação de gerência oferece uma
interface através da qual usuários autorizados podem gerenciar a
rede;
• Idioma Troca de Informações (Protocolo Gerenciamento): Para

que a troca de informações entre gerente e agentes seja possível
é necessário que eles falem o mesmo idioma. O idioma que
eles falam é um protocolo de gerência. Este protocolo permite
operações de monitoramento (leitura) e controle (escrita);
• Seção de Comunicação: Gerentes e Agentes podem trocar

informações, mas não qualquer tipo de informação. As informações
de gerência definem os dados que podem ser referenciados em
operações do protocolo de gerência, isto é, dados sobre os quais
gerente e agente conversam, também chamado de Management
Information Base (MIB); Base de dados de gerenciamento,
armazena os dados de gerenciamento coletados que serão
enviados ao gerente.
Através da estação de gerência podemos obter informações tais

como: taxa de erros, estado operacional de enlaces e equipamentos,
utilização de enlace, dentre outras. Tão importante quanto obter estas
informações é saber interpreta-las. Por exemplo, em um determinado
momento, a estação de gerência informa que a taxa de erros de um certo
enlace é 1%. Esta é uma taxa de erros aceitável?
Assim, quando dizemos que limiares foram excedidos, estamos

querendo dizer que obtivemos valores de informações de gerência que
não estão dentro da faixa de normalidade e, portanto, são indicativos de
problemas. Limiares excedidos e outros eventos podem gerar alarmes na
estação de gerência. Quando a estação de gerência percebe que uma
interface parou de operar, por exemplo, um alarme pode ser gerado.
Além do sistema de gerência de redes, outras ferramentas nos auxiliam a
gerenciar uma rede.
Definição do Gerenciamento
O gerenciamento de redes de computadores pode ser definido como
a coordenação (controle de atividades e monitoração de uso) de recursos
materiais (modems, roteadores, etc.) e ou lógicos (protocolos), fisicamente
distribuídos na rede, assegurando, na medida do possível, confiabilidade,
tempos de resposta aceitáveis e segurança das informações. O modelo

clássico de gerenciamento pode ser sumarizado em três etapas:
• Coleta de Dados: Um processo, em geral automático, que consiste

de monitoração sobre os recursos gerenciados;
• Diagnóstico: Esta etapa consiste no tratamento e análise realizados

a partir dos dados coletados. O computador de gerenciamento
executa uma série de procedimentos (por intermédio de um
operador ou não) com o intuito de determinar a causa do problema
representado no recurso gerenciado;
• Ação ou Controle: Uma vez diagnosticado o problema, cabe uma

ação, ou controle, sobre o recurso, caso o evento não tenha sido
passageiro (incidente operacional).
O que é “Gerenciar”?
Dependendo da ênfase atribuída aos investimentos realizados
no ambiente de processamento de dados, as funções de gerência de
rede podem ser centralizadas no processador central ou distribuídas em
diversos ambientes locais. O gerenciamento de rede implica na utilização
de várias ferramentas inseridas em uma estrutura, de certa forma
complexa, com os limites de atuação definidos, se possível padronizado,
entre os componentes envolvidos. Esta estrutura pode definir aspectos
como: a estratégia empregada no atendimento/chamadas dos usuários,
atuação do pessoal envolvido nas tarefas de gerenciamento de rede,
supridores de serviços, etc.
O foco para as atividades de gerenciamento de rede é a

organização e, aspectos como o atendimento do usuário, se caracterizam
como primordial para o sucesso da estrutura. É desejável que o usuário
dos serviços de rede tenha um único ponto de contato para reportar
problemas e mudanças.
Os limites de atuação desta gerência devem levar em conta a

amplitude desejada pelo modelo implantado na instalação que, além de
operar a rede, deve envolver tarefas como:
• Controle de acesso à rede;
• Disponibilidade e desempenho;
• Documentação de configuração;
• Gerência de mudanças;
• Planejamento de capacidade;
• Auxílio ao usuário;
• Gerência de problemas;
• Controle de inventário.
REFLITA:
A ênfase relativa atribuída à cada uma dessas categorias, por

uma instalação, depende do tamanho e da complexidade
da rede.
Uso e Formas de Gerenciamento

O contínuo crescimento em número e diversidade dos componentes
das redes de computadores tem tornado a atividade de gerenciamento
da rede cada vez mais complexa. Duas causas principais têm tornado
árduo o trabalho de isolamento e teste de problemas:
• Diversidade no nível dos envolvido: técnicos, gerentes e engenheiros;
• Diversidade nas formas de controle e monitoração: produtos cada

vez mais complexos, cada fornecedor oferecendo ferramentas
próprias de controle e monitoração.
As atividades básicas do gerenciamento de redes consistem

na detecção e correção de falhas em um tempo mínimo e no
estabelecimento de procedimentos para a previsão de problemas futuros.
Por exemplo, é possível tomar medidas que evitem o colapso da rede,
como a reconfiguração das rotas ou a troca do roteador por um modelo
mais adequado, através da monitoração de linhas cujo tráfego esteja
aumentando ou roteadores que estão se sobrecarregando.
A eficiência na realização destas tarefas está diretamente ligada à

presença de ferramentas que as automatizem e de pessoal qualificado.
Atualmente existem no mercado diversos tipos de ferramentas que
auxiliam o administrador nas atividades de gerenciamento. Estas
ferramentas podem ser divididas em quatro categorias:
1. Ferramentas de Nível Físico, que detectam problemas em termos

de cabos e conexões de hardware;
2. Monitores de Rede, que se conectam as redes monitorando o

trafego;
3. Analisadores de Rede, que auxiliam no rastreamento e correção

de problemas encontrados nas redes;
4. Sistemas de Gerenciamento de Redes, que permitem a

monetarização e controle de uma rede inteira a partir de um ponto
central.
Dentre a gama de soluções possíveis para o gerenciamento de

redes, uma das mais usuais consiste em utilizar um computador que
interage com os diversos componentes da rede para deles extrair as
informações necessárias ao seu gerenciamento.
Evidentemente é preciso montar um banco de dados neste

computador que será gerente da rede, contendo informações necessárias
para apoiar o diagnóstico e a busca de soluções para problemas da rede.
Isto envolve esforço para identificar, rastrear e resolver situações de falhas.
Como o tempo de espera do usuário pelo restabelecimento do serviço
deve ser o menor possível, tudo isto deve ser feito eficientemente.
RESUMINDO:

a aplicar arquiteturas e técnicas de gerenciamento à
monitoração de redes de dados e de telecomunicações.
REFERÊNCIAS
BOOKS, E. D. Guia Prática de Redes de Computadores. São Paulo:
Universo dos Livros. 2009.
MENDES, D. R. Redes de computadores -Teoria e Prática (Vol. 2ª

Edição).São Paulo: NOVATEC. 2015.
TANENBAUM, A. S., & WETHERALL, D. Redes de computadores

(Vol. 4ª Edição).(V. D. Souza, Trad.) Rio de Janeiro: ELSEVIER & CAMPUS.
2003.

Ebook Da Unidade - Segurança e Gerenciamento de Redes

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ebook Da Unidade - Segurança e Gerenciamento de Redes

Enviado por

Direitos autorais:

Formatos disponíveis

Introdução a Redes

Vai ser um prazer enorme ajudar você a se tornar um excelente

O que é um Segmento de Rede?..................................................................... 14

Regras para Segmentação (10 Mbps)............................................................................... 15

Regras de Segmentação para Fast Ethernet............................................................... 16

Regras para Segmentação (usando um Switch ou um Roteador)............... 16

Funcionamento dos Switches......................................................... 20

Dual-Homed Host Firewall................................................................ 36

Criptografia em Redes de Computadores.................................................. 41

Gerencimanento de Redes: Introdução, Histórico e Tipos ........43

Elementos de uma Arquitetura de Gerenciamento de Redes... 46

Modelo TMN – Telecommunications Management

Tipos de Gerência de Redes.................................................................................................. 48

Gerenciamento de Redes: Elementos - Arquiteturas - Requisitos

Uso e Formas de Gerenciamento........................................................................................54

O processo para se realizar a segurança em um ambiente ou

Por fim, a Gerência de Redes ou Gerenciamento de Redes é o controle

Entendeu? Ao longo desta unidade letiva você vai mergulhar neste

1. Lidar com equipamentos ativos e passivos de rede, como placas,

2. Aplicar técnicas de segurança de dados em redes de computadores,

3. Identificar os tipos de gerenciamento de redes, como centralizado,

4. Aplicar arquiteturas e técnicas de gerenciamento à monitoração

Então? Preparado para uma viagem sem volta rumo ao conhecimento?

Ao término deste capítulo você será capaz de lidar com

Fonte: Editora TELESAPIENS

O que se designa por “Internet” é na realidade um conjunto de redes

Com tecnologias de transmissão tão diversas é necessário um elo

A utilização de um hub, faz com que o domínio de colisão se espalhe

O padrão Ethernet (que é atualmente a arquitetura de redes locais

As regras de segmentação possuem algumas variações pelo

• 10 Mbps: ethernet padrão;

• 100 Mbps: fast ethernet;

• 1 Gbps: gigabit ethernet.

Fonte: Editora TELESAPIENS

O que é um Segmento de Rede?

• Uma seção de uma rede que é ligada por bridges, roteadores ou

• Em rede local com barramento, segmento é um circuito elétrico

Regras para Segmentação (10 Mbps)

Continuação: Ainda diz que quando for usado rede em série, no

No caso de haver redes onde a distância máxima entre as duas

Fonte: Editora TELESAPIENS

Regras de Segmentação para Fast Ethernet

• Classe I: São mais simples e só permitem ligação entre no máximo

• Classe II: Permitem a sua ligação com mais de um repetidor Classe

Regras para Segmentação (usando um Switch

Figura 4 – Placa de Rede Fast Ethernet

Atualmente, as placas mais comuns são as placas Ethernet 10/100,

Alguns modelos possuem recursos de auto particionamento,

A limitação do número de repetidores ocorre de acordo com o

Um repetidor exerce a função de regenerador de sinal entre dois

Os hubs passivos limitam-se a funcionar como um espelho,

Figura 7 – Switch D-Link de 24 Portas

Um switch também pode ser usado para interligar vários hubs, ou

Os switches mais baratos, destinados a substituir os hubs são

De maneira geral a função do switch é muito parecida com a

• Não-Gerenciável: Não possui uma interface de gerência. Quando

Funcionamento dos Switches

• Aprende quais hosts estão em cada uma de suas portas;

• Examina o tráfego de entrada, deduz os endereços MAC e cria

• Quando recebe um pacote ele determina o destino e a origem,

Imaginemos duas redes diferentes, A e B, que estejam ligadas por

Os routers têm mais capacidade do que as bridges, pois só leem

Os routers têm também a capacidade de procurar o melhor caminho.