Beruflich Dokumente
Kultur Dokumente
com
EMENTA
2
CAPÍTULOS
1 – O QUE É REDES
2 – CAMADA OSI
3 – IPV4
4 – SEGURANÇA
5 – GERENCIAMENTO
3
CAPÍTULO 1:
VIVENDO EM UM MUNDO
CENTRADO NA REDE
REDES MANTÊM A MANEIRA COMO
VIVEMOS
5
RECURSOS DISPONÍVEIS NA INTERNET AJUDAM A:
• Decidir o que vestir por meio das previsões do tempo on-line.
• Encontrar o caminho menos congestionado até o seu destino, mostrando vídeos sobre o clima e o trânsito.
• Olhar seu saldo bancário e pagar contas eletronicamente.
• Receber e enviar e-mail, ou fazer uma ligação pela Internet em um cyber café na hora do almoço.
• Obter informações sobre saúde e nutrição de especialistas ao redor do mundo e trocar informações em um
fórum sobre saúde ou tratamentos
• Baixar novas receitas e técnicas de culinária para criar um jantar espetacular.
• Compartilhar suas fotos, vídeos e experiências com amigos ou com o mundo.
6
FERRAMENTAS DE COLABORAÇÃO
• Novas formas de
comunicação, após a ampla
adoção da Internet
• Wikis;
• IMs;
• Blogs;
• Whatsapp;
• Podcasting.
7
REDES APOIANDO A FORMA COMO APRENDEMOS
8
REDES APOIANDO A FORMA COMO APRENDEMOS
• Benefícios às empresas:
• Materiais de treinamento atuais e precisos;
• Disponibilização de treinamento a um amplo público;
• Qualidade de ensino;
• Redução de custos.
9
COMUNICAÇÃO POR MEIO DE REDES
10
11
12
REDES MÚLTIPLAS
• Cada dispositivo possui suas próprias versões dos elementos
básicos de rede;
• Antes, cada serviço necessitava de uma tecnologia diferente para
transmitir o seu sinal particular de comunicação;
• E cada serviço possuía seu conjunto de regras e padrões, para
prover comunicação com sucesso.
13
REDES CONVERGIDAS
• Possibilidade de consolidar
redes diferentes na mesma
plataforma
• Um tipo de rede que pode trafegar voz,
vídeo e dados sobre a mesma rede;
• Muitos pontos de contato e dispositivos
especializados.
14
15
ARQUITETURA DA REDE
• Características que são endereçadas pelo projeto da
arquitetura de rede:
• Tolerância a falha;
• Escalabilidade;
• Qualidade de Serviço;
• Segurança.
16
QUALIDADE DE SERVIÇO
17
COMUNICANDO-SE PELA REDE
Estrutura da Rede
Definir os elementos de comunicação
Três elementos comuns de comunicação
Origem da mensagem (Remetente) -> Origem (final)
O canal (Meio Físico) -> intermediário (até L3)
Destino da mensagem (Receptor) -> Destino (final)
Definir a rede
Dados ou redes de informação capazes de trafegar diferentes tipos de 19
comunicação
ESTRUTURA DA REDE
• Segmentação e Multiplexação
20
ESTRUTURA DA REDE
Dispositivos finais (host) e suas regras na rede
Dispositivos finais formam interface entre a rede humana e a rede de comunicações. (Gerar
Dados)
Tipos de dispositivos finais:
Cliente
Servidor
Ambos
21
ESTRUTURA DA REDE
Cliente
Computadores (estações de trabalho, laptops, servidores de arquivo,
servidores Web)
Impressoras de rede
Telefones VoIP
Câmeras de segurança
Dispositivos móveis (tais como scanners de códigos de barras sem fio, PDAs)
22
ESTRUTURA DA REDE
• Servidor
23
ESTRUTURA DA REDE
Papel de um dispositivo intermediário:
Prover conectividade entre dispositivos finais assegurando o fluxo de dados
pela rede.
Determinar caminhos para os dados;
Retemporizar e retransmitir os sinais de dados;
Gerenciar fluxos de dados
24
• Dispositivos Intermediários
• Dispositivos de Acesso a Rede (Hubs, switches e pontos de acesso sem
fio (access points)
• Dispositivos de Redes Interconectadas (roteadores)
• Servidores e Modems de Comunicação
• Dispositivos de Segurança (firewalls)
25
ESTRUTURA DA REDE
• Quais os critérios para a escolha dos meios de
rede?
• Meios de Rede
26
TIPOS DE REDE
27
TIPOS DE REDE
28
TIPOS DE REDE
• Definir a Internet
• É uma malha global de redes interconectadas
29
PROTOCOLOS DE REDE
• Um padrão é um processo ou protocolo que foi endossado pela
indústria de rede e ratificado por uma organização de
padronização (Institute of Electrical and Electronics Engineers (IEEE)
ou o Internet Engineering Task Force (IETF).
30
PROTOCOLO DE REDE
32
CAMADAS COM TCP/IP E OSI
• Benefícios em usar o modelo em camadas
• Ajuda no projeto de protocolos
• Estimula a competição
• Mudanças em uma camada não afeta outras
• Provê uma linguagem comum
33
CAMADAS COM TCP/IP E OSI
• Protocolos e modelos de
referência
• Um modelo de protocolo provê um
modelo que aproxima a estrutura
de um conjunto de protocolos
particular
• Um modelo de referência provê
uma referência comum para manter
a consistência dentro de tipos de
protocolos de redes e serviços
34
CAMADAS COM TCP/IP E OSI
• Descrever o Modelo TCP/IP
• Modelo aberto constituído de RFCs.
35
CAMADAS COM TCP/IP E OSI
36
CAMADAS COM TCP/IP E OSI
• Definir o modelo OSI
Fornece os meios para a conectividade ponto-a-ponto entre indivíduos na rede
humana usando rede de dados.
37
Descreve meio exigir encapsulamentos dependentes da camadas mecânicos,
elétricos e funcionais e procedimentais para avaliar manter e desativar
conexões físicas para transmissão de bits para e/ou a partir de um dispositivo
CAMADAS COM TCP/IP E OSI
• Comparar os modelos OSI e TCP/IP
38
ESQUEMAS DE ENDEREÇAMENTO
39
ESQUEMAS DE ENDEREÇAMENTO
• Controle de acesso ao meio (MAC)
40
ESQUEMAS DE ENDEREÇAMENTO
• O endereçamento hierárquico da camada 3.
41
ESQUEMAS DE ENDEREÇAMENTO E NOMES
• Endereçamento da camada de transporte.
42
VÍDEO: GUERREIROS DA NET
43
CAPÍTULO 2:
CAMADA OSI
FUNCIONALIDADE E
PROTOCOLOS DA CAMADA DE
APLICAÇÃO
APLICAÇÃO / SERVIÇO
46
Aplicações – Interfaces entre Redes
• Camada de Apresentação
• Codificação e conversão dos dados
• Compressão dos dados
• Criptografia dos dados
• Camada de Sessão
– Criar e manter diálogos entre as aplicações na origem e no destino
47
– Manter ativos e reiniciar sessões interrompidas ou ociosas por um longo
período
APLICAÇÕES – INTERFACES ENTRE REDES
• Aplicações mais conhecidos da camada de aplicação
do TCP/IP
48
49
50
Aplicações – Interfaces entre Redes
51
REDES PONTO A PONTO.
• atua como cliente e servidor dentro da mesma comunicação
• o modo híbrido inclui um diretório de arquivos centralizado
• A segurança é difícil de ser aplicada.
• recursos descentralizados
• compartilhamento de recurso sem um servidor dedicado
• Pode ser usada em uma rede cliente x servidor
52
MODELO CLIENTE/SERVIDOR
Repositorio de dados
Administração e Segurança centralizada
53
54
SERVIÇOS E PROTOCOLOS DNS
55
56
SERVIÇO WWW E HTTP
57
CAMADA DE TRANSPORTE DO
MODELO OSI
59
PROPÓSITO DA CAMADA DE TRANSPORTE
• Rastrear a comunicação individual entre as aplicações nos hosts de origem e destino.
• Segmentar dados e gerenciar cada segmento
• Reagrupar os segmentos em fluxos de dados de aplicação
• Identificar as diferentes aplicações
• Separação em Múltiplas Comunicações
60
FUNÇÕES DA CAMADA DE TRANSPORTE
61
FUNÇÕES DA CAMADA DE TRANSPORTE
62
63
FUNÇÕES DA CAMADA DE TRANSPORTE
Comando: Netstat
64
FUNÇÕES DA CAMADA DE TRANSPORTE
65
FUNÇÕES DA CAMADA DE TRANSPORTE
66
PROTOCOLO TCP
• Regras do número de portas ao estabelecer sessões TCP e
direcionar os segmentos para o servidor processar
67
PROTOCOLO TCP
• Passos do handshake no estabelecimento de sessões do TCP
68
PROTOCOLO TCP
• Passos do handshake no término das sessões do TCP
69
PROTOCOLO TCP
• Analisando WireShark (syn)
70
PROTOCOLO TCP
• Analisando WireShark (syn, ack)
71
PROTOCOLO TCP
• Analisando WireShark (ack)
72
GERENCIAMENTO DE SESSÕES TCP
Número de sequências do TCP são usados para reconstruir o fluxo dos dados com
segmentos ordenados.
Essecontrole de fluxo a medida que os seguimentos viajam da origem ao destino
chama-se janelamento
73
GERENCIAMENTO DE SESSÕES TCP
• Janelamento e congestionamento.
74
PROTOCOLO UDP
Características do UDP;
Tipos de comunicação que o UDP suporta.
Baixo Overhead
75
PROTOCOLO UDP
• Processoespecificado pelo UDP para reagrupar
PDUs no destinatário.
76
PROTOCOLO UDP
• Passos
para utilização do número de portas pelo
UDP em comunicação Cliente/Servidor
77
CAMADA DE REDE DO
MODELO OSI
79
PROTOCOLOS DA CAMADA DE REDE –
INTERNET PROTOCOL (IP)
• Endereçamento
• Encapsulamento
• Roteamento
• Decapsulamento
80
PROTOCOLOS DA CAMADA DE REDE –
INTERNET PROTOCOL (IP)
81
IPV4
82
IPV4
83
IPV4
84
DIVISÃO DE HOSTS EM GRUPOS
• Razões para agrupar dispositivos em sub-redes.
• Termos usados para identificar sub-redes.
85
DIVISÃO DE HOSTS EM GRUPOS
• Formas de dividir uma grande rede pode
aumentar a performance da rede
86
DIVISÃO DE HOSTS EM GRUPOS
• Problemas de comunicação, relacionados a
endeçamento, quando um número grande de
dispositivos são instalados numa rede.
87
DIVISÃO DE HOSTS EM GRUPOS
88
DIVISÃO DE HOSTS EM GRUPOS
• Propostade adicionar subdivisão de redes dentro
de redes menores
89
ROTEAMENTO
• Regrade um dispositivo intermediário como gateway para permitir
que dispositivos se comuniquem através de redes subdivididas
90
ROTEAMENTO
• Passos de como um pacote IP atravessa a rede.
91
PROCESSOS DE ROTEAMENTO
• Tabela de Roteamento
92
PROCESSOS DE ROTEAMENTO
• Uso da rede de destino numa rota.
• Rede de destino
• Próximo salto
• Métrica
93
PROCESSOS DE ROTEAMENTO
Protocolos de Roteamento;
Rotas Estáticas;
Rotas Dinâmicas.
94
CAMADA DE ENLACE DE
DADOS DO MODELO OSI
RECAPITULANDO:
A camada de Aplicação fornece a interface para o usuário.
A camada de transporte é responsável pela divisão e gerenciamento das
comunicações entre os processos que são executados nos dois sistemas finais.
96
CAMADA DE ENLACE DE DADOS – ACESSO AO MEIO
• Termos da Camada de Enlace:
• Permite às camadas superiores acessarem o meio usando técnicas como enquadramento
• Controla como o dado é colocado sobre o meio e é recebido do meio usando técnicas como o
controle de acesso ao meio e detecção de erros.
97
CAMADA DE ENLACE DE DADOS – ACESSO AO MEIO
Por que os protocolos da camada de Enlace são
requeridos para controlar o acesso ao meio?
98
Camada de Enlace de Dados – Acesso ao Meio
• Criação de um Quadro
• Quais nós estão em comunicação.
• Quando a comunicação entre nós individuais começa e quando ela
termina.
• Quais erros ocorreram enquanto os nós se comunicavam.
• Quais os próximos nós que se comunicarão.
100
Camada de Enlace de Dados – Acesso ao Meio
Conexões Virtuais
Não ultrapassa
a LAN
101
Camada de Enlace de Dados – Acesso ao Meio
Fontes dos padrões e protocolos usados pela
camada de Enlace de Dados (Definidas por RFCs)
102
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
103
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
104
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
105
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
• Full Duplex;
• Half Duplex;
• Controle de Acesso ao Meio em meios não compartilhados.
106
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
• Topologia Lógica e Física
107
TÉCNICAS DE CONTROLE DE ACESSO AO MEIO
• Características da topologia de Multi-Acesso;
• CSMA/CD e CSMA/CA
108
VELOCIDADE X COMPLEXIDADE
109
ENDEREÇAMENTO E ENQUADRAMENTO DE
DADOS – CONTROLE DE ACESSO AO MEIO
110
CAMADA FÍSICA DO
MODELO OSI
PROTOCOLOS E SERVIÇOS DA CAMADA FÍSICA
Proposta da camada Física na rede;
Elementos básicos que habilitam esta camada para preencher suas funções.
112
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA
113
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA
114
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA
115
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA
116
SINAIS DE COMUNICAÇÃO – CAMADA FÍSICA
117
SINALIZAÇÃO E CODIFICAÇÃO DA CAMADA FÍSICA
• Largura de Banda (Mede a quantidade de informação que pode fluir de um lugar a outro
durante um determinado tempo);
118
CARACTERÍSTICAS E USO – MEIO DE REDE
119
CARACTERÍSTICAS E USO – MEIO DE REDE
• Características básicas do cabo UTP
• Evitar Diafonia (linha cruzada)
120
CARACTERÍSTICAS E USO – MEIO DE REDE
IEEE 802.11
IEEE 802.15
IEEE 802.16
121
VERIFICAÇÃO DE CONECTIVIDADE
Cabos Equipamentos
UTP e STP Testador de Cabo
Coaxial Multitmetro
Fibra OTDR
122
CONECTORES
123
CAPÍTULO 3:
IPV4
ENDEREÇAMENTO DE REDE
- IPV4
ESTRUTURA DE ENDEREÇAMENTO IP
Estrutura decimal pontuada de um endereço IP binário
126
ESTRUTURA DE ENDEREÇAMENTO IP
Regra geral de 8 bits no endereçamento da rede;
Conversão binário para decimal
127
CONVERSÃO BINÁRIO - DECIMAL
128
CONVERSÃO DECIMAL - BINÁRIO
129
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
130
IP TIPO INTERVALO
131
Normal Calculo Renderizado Qtd de host
255.128.0.0 /9 8.388.606
255.192.0.0 /10 4.194.302
255.224.0.0 /11 2.097.150
255.240.0.0 /12 1.048.574
M
255.248.0.0 /13 524.286
255.252.0.0 /14 262.142
S
255.255.0.0 /16 65.534
255.255.128.0 255 – (64 + 32 + 16 + 8 + 4 + 2 + /17 (128 x 256) – 2 =
C
1) 32.766
255.255.192.0 255 – (32 + 16 + 8 + 4 + 2 + 1 ) /18 (64 x 256) – 2 = 16.382
R
255.255.240.0 255 - ( 8 + 4 + 2 + 1 ) /20 (16 x 256) -2 = 4.094
255.255.248.0 255 - ( 4 + 2 + 1 ) /21 (8 x 256) - 2 = 2.046
A 255.255.252.0
255.255.254.0
255 ( 2 + 1 )
255 - (1 )
/22
/23
(4 x 256) – 2 = 1.022
(2 x 256) -2 = 510
255.255.255.0 0 /24 256 -2 = 254
255.255.255.128 (128) /25 (256 – 128) – 2 = 126
255.255.255.192 (128 + 64) /26 (256 – 192) -2 = 62
255.255.255.224 (128 + 64 + 32) /27 (256 – 224) -2 = 30
255.255.255.240 ( 128 + 64 + 32 + 16) /28 (256 – 240) -2 = 14
255.255.255.248 (128 + 64 + 32+ 16 + 8) /29 (256 – 248) – 2 = 6
132
255.255.255.252 (128 + 64 + 32 + 16 + 8 + 4) /30 (256 – 252) -2 = 2
FAZER ATIVIDADE 6.2.2.2
133
FAZER ATIVIDADE 6.2.2.2
134
FAZER ATIVIDADE 6.2.2.2
135
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
136
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
137
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
138
*Broadcast Direcionado
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
139
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
140
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
• 10.0.0.0 /8
• 172.16.0.0 à 172.31.255.255 /12
• 192.168.0.0./16
141
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
• Endereços especiais.
142
CLASSIFICAÇÃO DE ENDEREÇOS IPV4
• Classless X Classfull
143
ATRIBUIÇÃO DE ENDEREÇOS
144
ATRIBUIÇÃO DE ENDEREÇOS
• Diferentes tipos de ISPs e suas regras para prover conectividade
na Internet
145
ATRIBUIÇÃO DE ENDEREÇOS
146
MÁSCARA DE SUB-REDE DE TAMANHO VARIÁVEL (VLSM)
(HTTP://WWW.4SHARED.COM/OFFICE/UE8R8LVO/TABELA
_DE_IP_VLSM.HTML)
147
COMO ATRIBUIR IP’S PARA REDE ABAIXO?
... ...
148
SÃO PAULO CURITIBA
... ...
...
RIO DE JANEIRO 500 computadores
149
REDES COM POUCOS MICROS
150
CÁLCULO DE ENDEREÇOS
• Mecânica da Divisão em Sub-redes.
151
CÁLCULO DE ENDEREÇOS
152
CÁLCULO DE ENDEREÇOS
153
TESTE DA CAMADA DE REDE
Comandos ping, trace;
Operação destes comandos na rede
Uso do ping para determinar se o protocolo IP é
operacional no host local
154
CAPÍTULO 4:
SEGURANÇA
SEGURANÇA
O sistema informático mais seguro não é utilizável
157
INTRODUÇÃO
• A segurança no universo computacional divide-se em:
• Segurança Física
• Segurança Lógica
158
O QUE VOCÊ ESTÁ TENTANDO
PROTEGER?
• Suas informações
Integridade
Privacidade
Disponibilidade
• Seus recursos
• Sua reputação
159
CONTRA O QUE VOCÊ ESTÁ TENTANDO
SE PROTEGER?
• Roubo de senhas
• Engenharia Social
• BUG & Backdoors
• Falha de autenticação
• Falha de protocolo
• Obtendo Informações
• Negando serviços (DoS)
160
PRINCIPIOS DA SEGURANÇA DA INFORMAÇÃO
• 100% de segurança é um valor que não pode ser atingido
• Riscos devem ser calculados e balanceados
• Segurança tem quer ser calculada em relação a disponibilidade
EM QUE ABORDAGEM VOCÊ CONFIA ?
• Pessoas
- Displicência/negligência na execução de atividades;
- Desconhecimento/falta de treinamento para a execução de atividades;
- Manipulação para cometer fraudes;
• Processos
- Processo mal definido;
- Falta de controles;
- Falta de segregação de funções;
• Infra-Estrutura
- Falha em sistema (hardware ou software);
- Falha na infra-estrutura de serviços básicos (telecomunicações, energia,
água, gás, etc.);
163
Objetivos da Segurança
Quem?
O que?
Quando?
Como?
Onde?
Porque?
OS OBJETIVOS DA SEGURANÇA DA
INFORMAÇÃO SÃO:
• Preservação do patrimônio da empresa (os dados e as
informações fazem parte do patrimônio).
• Deve-se preservá-lo protegendo-o contra revelações acidentais, erros
operacionais e contra as infiltrações que podem ser de dois tipos:
• Ataques passivos (interceptação)
• Ataques ativos (interrupção, modificação e Fabricação)
165
O QUE É ATAQUE?
Ataque é toda ação realizada com intuito ou não de causar danos.
166
UM ATAQUE TÍPICO
167
ANATOMIA DE UM ATAQUE
Varredura Reconhecimento
Enumeração
Escalando Acesso à
Invasão
privilégios informação
Instalação de Ocultação
back doors de rastros
Negação de
Serviços
O QUE UM CRACKER ATACA ?
Aplicações
Banco de dados
Sistemas operacional
Serviços de rede
CASO REAL
Perfil do Fraudador*:
• 68% estão na Média e Alta Gerências
• 80% tem curso superior completo
• Predominantemente do Sexo Masculino
• Idade média entre 31 e 40 anos
*Pesquisa sobre crimes econômicos - PWC 05
EX: EMAIL PARA ROUBO DE INFORMAÇÕES
172
EX: EMAIL PARA ROUBO DE INFORMAÇÕES
173
EX: EMAIL PARA ROUBO DE INFORMAÇÕES
174
EX: EMAIL PARA ROUBO DE INFORMAÇÕES
175
EX: EMAIL PARA ROUBO DE INFORMAÇÕES
176
EX: EMAIL PARA ROUBO DE INFORMAÇÕES
177
EX2: CLONAGEM DE CARTÃO DE BANCO
Bocal preparado
178
EX2: CLONAGEM DE CARTÃO DE BANCO
Imperceptível para
o cliente
179
EX2: CLONAGEM DE CARTÃO DE BANCO
Micro câmera
disfarçada de porta
panfleto
EX2: CLONAGEM DE CARTÃO DE BANCO
Visão completa da
tela e teclas
digitadas
181
EX2: CLONAGEM DE CARTÃO DE BANCO
Visão completa da
tela e teclas
digitadas
182
EX2: CLONAGEM DE CARTÃO DE BANCO
Micro câmera
Bateria
Antena
transmissora
183
EX3: EMAIL DE PROMOÇÃO (ROUBO INFORMAÇÃO)
184
EX3: EMAIL DE PROMOÇÃO (ROUBO INFORMAÇÃO)
185
EX4: ANTIVIRUS GRATIS
186
EX5: ENGENHARIA SOCIAL
187
EX6: EMAIL RECEITA FEDERAL
188
Cópia de identidade visual de órgãos públicos
Pedido de download
de arquivos / erros
de português
Cópia de identidade visual de entidades
populares
História estranha
e mal contada
Necessidade
urgente de
download
Serviço inexistente
Ameaças
Distrbuição muito
Uso de marca popular
vantajosa de prêmios
Pedido de download
de arquivo
Uso de marca popular
Erro de português
Dívida inexistente
Embora o e-mail tenha usado uma técnica refinada que facilmente poderia enganar até mesmo
usuários com certa experiência, devido ao link camuflado, erros de ortografia característicos de
golpes e fraudes se faziam presentes. Aparentemente, o sistema de e-mail em massa usado
196
pelos criminosos não era compatível com caracteres especiais, como acentos.
FALHA NO SITE DO BRADESCO PERMITIU ATAQUE XSS
(HTTP://LINHADEFENSIVA.UOL.COM.BR/2008/07/BRADESCO-PESQUISA-INST-XSS/)
XSS
Cross Site Scripting, ou XSS, é um tipo de vulnerabilidade onde determinada página de internet não filtra suficientemente as
informações enviadas pelo navegador web, sendo possível fazê-la exibir conteúdos de outros sites, ou conteúdos especificados
no próprio link ou outra informação.
Um exemplo clássico é a página de busca. Em geral, páginas de buscas exibem na tela a informação que está sendo procurada
(por exemplo, “Você está procurando por: [termo de pesquisa]“). Se a exibição desta informação não for filtrada corretamente, a
informação, em vez de exibida, será interpretada como código HTML pelo navegador, possibilitando o ataque.
Fóruns, livros de visitas e blogs (este último, devido à função de comentários) podem ser vítimas do XSS permanente, onde um
post malicioso, por exemplo, fica permanentemente no ar e afetará qualquer usuário que o ver. Este é o ataque de XSS
persistente, ou tipo 2.
O Bradesco foi alvo do XSS impermanente ou não-persistente, também chamado de XSS tipo 1.
O objetivo de ataques XSS é geralmente roubar informações importantes da vítima, tais como os cookies de autenticação. Porém,
XSS também pode ser usado para alterar os sites e usar da confiança depositada pelo internauta na página para persuadi-lo a
enviar informações sigilosas, ou para rodar código malicioso nos PCs de visitantes.
A Linha Defensiva já noticiou a respeito de brechas semelhantes no YouTube e no Orkut.
Para se prevenir de ataques XSS impermanentes, recomenda-se que links recebidos em mensagens de e-mail e similares não
sejam clicados, a não ser quando estava-se esperando absolutamente o e-mail em questão (como, por exemplo, depois de
registrar-se em um site para validar sua conta). Sempre que possível, deve-se digitar o endereço do site na barra de endereços do
navegador e procurar manualmente o que foi indicado no e-mail.
Brechas de XSS tipo 2 são difíceis de serem evitadas pelo usuário, sendo a responsabilidade do site nesses casos ainda maior,
embora, em última instância, a responsabilidade sempre seja do site.
197
FALHA NO SITE DO BRADESCO PERMITIU ATAQUE XSS
(HTTP://LINHADEFENSIVA.UOL.COM.BR/2008/07/BRADES
CO-PESQUISA-INST-XSS/)
Em ataques XSS, páginas legítimas são usadas de forma maliciosa e um código (no caso acima,
198
um FRAMESET1) é inserido na página legítima. O conteúdo da página será, portanto, diferente do
esperado.
NOVOS ATAQUES
199
TÉCNICAS PARA ALCANÇAR OS
OBJETIVOS DA SEGURANÇA
• Deve-se perguntar:
• Proteger O QUÊ?
• Proteger DE QUEM?
• Proteger A QUE CUSTOS?
• Proteger COM QUE RISCOS?
• O axioma da segurança é bastante conhecido de todos, mas é
verdadeiro:
• "Uma corrente não é mais forte do que o seu elo mais fraco"
200
GERÊNCIA DE RISCO
CUSTO DE SEGURANÇA:
202
CUSTO VISIVEIS X INVISIVEIS:
203
Atualização do ambiente
Quando as ameaças ocorrem?
A maioria dos
ataques acontece
aqui
331
O tempo (em dias) entre a disponibilização da
correção e a invasão tem diminuído, portanto
a aplicação de “patches” não pode ser a única
180 defesa em grandes empresas
151
Produto Vulnerabilidade Fix Fix instalado pelo
Lançado descoberta disponível cliente
25
14
60 Poucas pessoas
Pouco treinamento
50
Falta de suporte
40 Infra-estrutura de TI complexa
Equipe de TI desqualificada
30
Falta de cooperação entre equipes
20 Políticas de segurança pouco definidas
Computerworld nº 398 de 19 de novembro 20039 – Pesquisa realizada pela revista americana CIO e
Pricewaterhouse Coopers
ATITUDE DE SEGURANÇA
• Reativa
• Resposta a incidentes;
• Investigações;
• Aplicação de sanções.
Preventiva
Planejamento;
Normalização;
Infra-estrutura segura;
Educação e Treinamento;
Auditoria.
MEDIDAS DE SEGURANÇA
• Política de Segurança;
• Política de utilização da Internet e Correio Eletrônico;
• Política de instalação e utilização de softwares;
• Plano de Classificação das Informações;
• Auditoria;
• Análise de Riscos;
• Análise de Vulnerabilidades;
• Análise da Política de Backup;
• Plano de Ação Operacional;
• Plano de Contingência;
• Capacitação Técnica;
• Processo de Conscientização dos Usuários.
MEDIDAS DE SEGURANÇA
• Backups;
• Antivírus;
• Firewall;
• Detecção de Intruso (IDS);
• Servidor Proxy;
• Filtros de Conteúdo;
• Sistema de Backup;
• Monitoração;
• Sistema de Controle de Acesso;
• Criptografia Forte;
• Certificação Digital;
• Teste de Invasão;
• Segurança do acesso físico aos locais críticos.
MUDANÇA DE PARADIGMAS
212
POSSÍVEIS DANOS
231
Perícia Computacional
Ramo da criminalística que compreende a aquisição, prevenção, restauração e análise de evidências
computacionais, sejam os componentes físicos ou dados processados eletronicamente e armazenados
em mídias computacionais.
A forense computacional lida com dados físicos, reais, mas numa realidade metafísica digital, onde os
dados físicos são informações elétricas, eletrônicas, magnéticas, eletromagnética e em outras formas
mais ou menos voláteis.
Obtenção de Evidências
Obtenção e coleta de dados; Identificação; Preservação; Análise, Apresentação
Investigação Forense
Ramo da criminalística utiliza métodos científicos na preservação, coleta, restauração, identificação,
análise, interpretação, documentação e apresentação de evidências digitais, sejam elas componentes
físicos ou dados que foram processados eletronicamente e armazenados em mídias computacionais.
Metodologia empregada
Obtenção e coleta de dados
Identificação .
Preservação
Análise
Apresentação
A validade técnica das metodologias para recuperar dados de computadores envolvidos em incidentes de
segurança tem se tornado fundamental. Os procedimentos têm que ser tecnologicamente capazes de
garantir que toda a informação obtida como prova não seja alterada, adicionada ou excluída.
Crimes com evidências digitais
Aliciamento
Calúnia e difamação
Ciberbullying
Divulgação de imagens não autorizadas
Fraude bancária ou financeira por meio eletrônico
Invasões.
Pedofilia
Racismo
Sexting
Roubo de dados
Sequestro de informações
Vazamento de informações
Xenofobia
A MAIORIA DOS CRIMES COMETIDOS POR MEIO DA INTERNET SÃO OS QUE
(PREVISTOS NOS ARTIGOS 138, 139 E 140 DO CÓDIGO PENAL, COM PENAS
Correlação cronológica
golpes
eletrônicos
(verídicos)
A imagem v inculada não pode ser exibida. Talv ez o arquiv o tenha sido mov ido, renomeado ou excluído. Verifique se o v ínculo aponta para o arquiv o e o local corretos.
PERITO EM ANÁLISE
FORESENSE WANDERSON
CASTILHO.
SEGUNDO CASTILHO,
INTERNET.
MATERIAL DIVULGADO
INDEVIDAMENTE NA
INTERNET.
Fonte: Sou + Eu
Edição 106 - 27 de novembro de 2006
7. Casos verídicos (5/)
Vídeo Dafra
Sou vítima. E agora?
Preserve as provas em algum tipo de mídia protegida contra alteração, como um CD-R ou DVD-R;
Todas essas provas ajudam como fonte de informação para a investigação da polícia;
No entanto, essas provas não valem em juízo, pois carece de fé pública. Uma alternativa é ir a um
cartório e fazer uma declaração de fé pública de que o crime em questão existiu, ou lavrar uma Ata
Notarial do conteúdo ilegal/ofensivo.
Esses procedimentos são necessários porque, como a Internet é dinâmica, as informações podem
ser tiradas do ar ou removidas para outro endereço a qualquer momento.
Não esqueça: A preservação das provas é fundamental. Já houve casos de a Justiça brasileira ter
responsabilizado internautas que não guardaram registros do crime on-line do qual foram vítimas.
Sou vítima. E agora?
De posse das provas, procure a Delegacia de Polícia Civil mais próxima do local de residência da
vítima e registre a ocorrência. Você também pode ir a uma delegacia especializada em crimes
cibernéticos.
Para fazer esta solicitação, envie uma Carta Registrada para o prestador do serviço de conteúdo
na Internet, que deve preservar todas as provas da materialidade e os indícios de autoria do(s)
crime(s).
CRIPTOGRAFIA
248
• Os procedimentos de criptografar e decriptografar são obtidos
através de um algoritmo e uma chave.
249
O Papel da Criptografia
Com criptografia
O Papel da Criptografia
Como criptografar (cifrar)?
Chave
d*2B%?
Dado (dado
cifrado)
Algoritmo
O Papel da Criptografia
Como decifrar?
Chave
d*2B%?
Dado (dado
cifrado)
Algoritmo
(geralmente executa passos reversos)
VANTAGENS E DESVANTAGENS DA
CRIPTOGRAFIA
• Vantagens da Criptografia:
• Proteger a informação armazenada em trânsito;
• Deter alterações de dados;
• Identificar pessoas.
• Desvantagens da Criptografia:
• Não há forma de impedir que um intruso apague todos os seus
dados, estando eles criptografados ou não;
• Um intruso pode modificar o programa para modificar a chave.
• Desse modo, o receptor não conseguirá descriptografar com a
sua chave.
253
CRIPTOGRAFIA ASSIMÉTRICA OU DE CHAVE
PÚBLICA
254
CRIPTOGRAFIA ASSIMÉTRICA OU DE CHAVE
PÚBLICA
Passo 1: Alice envia sua
chave pública para Bob
256
ESTEGANOGRAFIA X CRIPTOGRAFIA
Esteganografia x Criptografia
Criptografia Esteganografia
257
COMO FUNCIONA COM IMAGENS
• Identificação de bits redundantes (menos significativos)
• Inserção da informação nesses bits
• Exemplo: codificação de dígitos binários em uma imagem
colorida utilizando o bit menos significativo de cada
componente da cor dos pixels
ESTEGANOGRAFIA - FUNDAMENTOS
• Exemplo: Cédula de R$10,00, vista contra a luz mostra a Bandeira do
Brasil
259
ESTEGANOGRAFIA - FORMAS DE UTILIZAÇÃO
O Senhor Evandro quer usar este salão temporariamente. Relembre o fato ocorrido, isto
poderia estragar relíquias, florais e imagens talhadas. Obrigado.
• Técnicas:
• Bit menos significativo
• 1 Kb por segundo por KiloHertz
• 44 Kbps em um áudio de 44 KHz
266
267
Na segunda guerra foi utilizado o microponto, imagine que no fim de uma carta simples e inofensiva havia
um ponto final, que na realidade era um texto fotograficamente reduzido a menos de um milímetro de
diametro.
Os agentes alemães operavam aqui na America Latina !! E esses micropontos foram descobertos pelo FBI
em 1941.
Mensagem em um Microponto.
Criptografia e Esteganografia são ciencias independentes, mas que podem ser empregadas juntas.
A criptografia pode ser dividida em Transposição e Substituição.
A transposição é o arranjo das letras e a substituição como o nome já diz é troca por simbolos ou outras
letras.
268
INSEGURANÇA DA BIOMETRIA.
269
Saber Possuir Ser
270
271
272
273
274
• Fisiológicos
• Análise características físicas
• Possui menos variações em relação aos traços
comportamentais
• Mais utilizado comercialmente
• Impressão Digital
• Analise através características físicas do dedo do
usuário
• Imagem gerada transformada em vetor matemático
• Comparado valor pré armazenado
275
276
APLICAÇÃO
277
VULNERABILIDADES
• Sistema de impressão digital
• Podem ocorre em três fases do processo
278
279
280
281
PROCESSO DE AUTENTICAÇÃO BIOMÉTRICO
Interface Processamento Base Dados
Garantir a integridade Garantir o transporte Garantir a integridade
do elemento seguro (SSL, VPN, da Base
Unicidade TLS...) Vulnerabilidades
Uso de criptografia Existentes (MS-SQL
Fator Adicional (Hash) Server)
282
CERTIFICAÇÃO DIGITAL.
283
QUAL O VERDADEIRO?
284
QUAL O VERDADEIRO?
285
CERTIFICAÇÃO DIGITAL
...Pra fechar o
contrato tenho que Deixei a Declaração
ir ao Cartório,
autenticar as
Elas são familiares do IR pra última
hora e ainda vou
cópias do meu
contrato social, para você ? entregar em
disquete...Serei o
cartão de CNPJ e último a receber a
identidade...É Restituição...
longe ...sempre
cheio...vou perder
o dia todo !!! Descobri, depois de meses,
que estou na malha fina...sei
lá, uma inconsistência na
Invadiram meu minha Declaração....Agora,
Computador! Levaram
tenho que ir na Receita pra
toda minha Carteira de
Clientes e minhas senhas descobrir e corrigir o erro
em todas as Seguradoras. e....tentar receber a
E agora? restituição o mais rápido...
Na Internet,
ninguém sabe que você é um
...
CERT.BR
CERTIFICAÇÃO DIGITAL
•Identificação Forte.
•Alto padrão de Segurança.
BANCO CENTRAL
DO BRASIL
Apresentação de
Um Segundo Agente confere a
Documentos à um Agente
documentação física com a
de Registro (Presencial)
eletrônica. (Informações)
Cliente Utiliza
Seu Certificado Digital
Cliente recebe
Seu Certificado Digital
CERTIFICADO DIGITAL
GERAÇÃO E VALIDAÇÃO DAS
ASSINATURAS
TRANSMISSOR RECEPTOR
xxxx
xxxx yyyy DIGEST
yyyy zzzz
zzzz
Algoritmo
de
Algoritmo Hashing
de Rede
COMPARAÇÃO
Hashing
Assinatura Assinatura
DIGEST DIGEST
Digital Digital
1B2A37...
Criptografia com Decriptografia com
chave privada chave pública
Assinatura Digital – Representação Gráfica
É gerado o
arquivo
eletrônico que RESUMO
representa
Chave privada de É obtido o
digitalmente a
João:usada para RESUMO
assinatura de
codificar uma João Documento
mensagem eletrônico
assinado
Assinatura Digital – Representação Gráfica
Antonio recebe
um documento RESUMO I
assinado
FUNÇÃO HASH É obtido o
é aplicada RESUMO I
RESUMO
Se forem iguais, o
documento vem o
mesmo de João
RESUMO
Chave pública de
João:usada para
decodificação
RESUMO
I
O que é uma Assinatura Digital
Assinatura Digital
Assinatura Digital
Assinatura Digital
acontece através da
geração de arquivo
produzido a partir do
original, cifrado (hash)
pelo do par de chaves
através da chave
privada do emissor.
No destino o arquivo
cifrado retorna ao
original através da
chave pública.
Garantido-se
Autenticidade e
Integridade.
FUNÇÕES “HASH”
• São funções que, para um string digital de
tamanho qualquer, calculam um identificador
digital confiável, de tamanho fixo, usualmente de
16 ou 20 bytes
• A primeira propriedade básica de uma função
“hash” é a de que qualquer alteração do string
original, por menor que seja ( 1 bit, por ex. )
gera uma alteração significativa no valor do
“hash” correspondente
• A segunda propriedade é a de que deve ser
impossível gerar intencionalmente um string
digital diferente do original, e que resulte no
mesmo valor de “hash”
FUNÇÕES HASH
RESUMO
............................ 5A6D452F
......... compre a 211089C3
propriedade por HASH
R$1.000.000,00. B730956A
C3B5D67
RESUMO
............................ 89837AC4
......... compre a 87BDC485
HASH
propriedade por
R$1.500.000,00. 76DDA598
E4756FF
CHAVES PRIVADAS
• A toda chave pública está associada uma (e somente
uma) chave privada
Chave Pública Chave Privada
e=65537,n=14223936785841697577 d=455130737264022744971121873
67099738654500739643170479675 75821996218728416949314546946
37963581498770739727353522092 14044858778948103863909601600
08923034348773158786975299494 27491877618917638036708084138
19316967438262954152524442271 39912801228572529665774876532
03015424408026248310161052096 96263537913163056722091731362
48107582826471955212814734330 26557927435951598580164810267
71919104336564947827515327547 85861643971550766288990167133
37317882243505044499826239887 657888343401183947460265117578
39104889886353702761094027599 35001950039889837206493980062
9724385631333089769833207271 2637320099687830497
inviável
3056722091731 36226557927435
95159858016481026785861643
97155076628899016713
criptográficos em nome
32009968
78304
97
do usuário
• Ficam armazenadas em
disco rígido, memória,
smart cards, token, etc.
ASSINATURA DIGITAL: GERAÇÃO
45513073726402
27449711218737582199
62187284169493145469461404
1. A geração da assinatura digital é
Declaro para
Declaro para os
devidos fins
devidos
os
fins que
que a
4858778948103 8639096016002
749187761891
41383991280
763803670808
12285725296
um cálculo (na prática, feito por
Empresa
Fulano
Com.
A.
de XYZ
Tal dos
Ltdaestá
Pereira
Ind. E
estárigo-
rigo-
657748765329 626353791316
3056722091731 36226557927435
95159858016481026785861643
um programa de computador)
que usa dois ingredientes:
rosamente em em dia
dia 97155076628899016713
rosamente 36578883434011
com todas
com todas suas
suas obri-
obri- 83947
gações junto
gações junto àà Or-
Or- 460265
11757835
dem dos
dem dos Advogados
do Brasil.
do Brasil.
Advogados 001950
03988
983720
a. O documento a ser assinado;
Fulano de
Fulano de Tal,
Tal, 649
•AGP – Autoridade de
Gerência de Política,
decreto 3.587 de 5 de
AGP ITI – AC-Raiz
setembro de 2000;
•ITI – Responsável pelo
AC AC + AR
AC Raiz da ICP Brasil.
•AC e AR – Qualquer
AR
Certificado
entidade pública ou
Digital
privada que atenda aos
requisitos da ICP Brasil.
ICP BRASIL
Situação Atual
OBTENDO UM CERTIFICADO DIGITAL
Autoridade de Autoridade
Registro (AR) Certificadora
3. AR comprova (AC)
dados cadastrais
e solicita emissão
cadastrais
do certificado
2. Dados
e chave
pública
4. AC emite o certificado,
assinando com sua própria
chave
1. As chaves Diretório
são geradas 5. Certificado é instalado no
cliente e publicado no Diretório
308
ÚLTIMAS INOVAÇÕES
e-CPF
e-CNPJ
HIERARQUIA DE CERTIFICAÇÃO
DIGITAL DO GOVERNO SP
Comitê AC RAIZ
Gestor ICP-BRASIL
AC
AC SRF
Certisign
e-cpf, e-cnpj
AC IMPRENSA
A1-4, S1-4
NOSSA CAIXA
(AR)
JUDICIÁRIO
1 pedido de habeas corpus
ADVOGADO
Processo
Cópia do alvará de soltura
relator>revisor>vogal
8 alvará de soltura
confirmação da soltura
EXECUTIVO
10
9 Publicação da decisão
FLUXO
11 HABEAS CORPUS
CONCEDIDO
IIRGD PENITENCIÁRIA
SMART ID HONG KONG
• Plataforma fechada
• Apenas aplicações do governo
• Certificado digital opcional 313
• Pequenos pagamentos
• Inicialmente apenas cartão de transportes
• Aplicação de grande volume
• Utilização massificada, com milhões de utilizadores
• Interoperabilidade pouco interessante
• Solução proprietária
314
SISTEMA DE
TRANSPORTES DE
LISBOA
• Transportes com vários tipos e operadores
• Metropolitano, Autocarro, Comboio, Barco
• Norma Calypso
• Interacções entre cartões e terminais
• Interoperabilidade na ligação dos sistemas embarcados e
nos sistemas de back-office
• Representação comum dos títulos de transporte
• Equipamentos terminais (validadores, pontos de venda) 315
IP quente IP frio
servidor ROUTER
IPF-D
3
IPQ-E
Internet 2
IPF-C
IPQ-D IPF-B
IP quente IPF-A
UTM Signatures
ATTACK-RESPONSES 14BACKDOOR
INSPECT
INSPECT
58BAD-TRAFFIC 15DDOS 33DNS
19DOS 18EXPLOIT >35FINGER
318
318
PORQUE/ONDE USAR O FIREWALL
Malicious
email
Cracker
Viruses,
Firewall worms
Internet Intrusions
Inappropriate
Use
www.sex.com
www.free.com
319
www.game.com
Aspectos de Segurança de Redes
320
320
FLUXOGRAMA DOS FIREWALLS
Recebe pacote
S
Encaminhar
OK para Passar? Pacote
N
Seleciona
S Bloquear
Proxima OK para Bloquear
Regra Pacote
TCP ou ….
UDP Portas Registradas
49151
Geralmente usada por
49152
servidores proprietários.
….
Portas Dinâmicas ou Privadas:
65535
Usadas pelos clientes e
pelos serviços não
padronizados.
FIREWALLS
• REGRAS:
• BLOQUEAR ENTRADA DE PACOTES SE DESTINO DIFERENTE
DE IPB e PORTA DIFERENTE DE 80
• BLOQUEAR SAIDA DE PACOTES SE PORTA DE DESTINO
DIFERENTE DE 80
80
>1024 IP
IP C
A
80 >1024
IP IP
Regra B
Acao Senti. Prot. IP D
IP Port. Port
orig. dest. Orig Dest.
1 Permit Out TCP IP A IP C > 1023 80
2 Permit in TCP IP D IP B > 1023 80
3 negar * * * * * *
DIREÇÃO
EXEMPLO
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
permitir OUT tcp interno * > 1023 23
permitir IN tcp * interno > 1023 23
permitir IN tcp * interno > 1023 80
permitir OUT tcp interno * > 1023 80
negar * * * * * *
• Interpretação:
1 – Host Internos (OUT – dentro para fora) usando o procotolo TCP
podem acessar (permitir) qualquer servidor (*) Telnet (23).
2 – Host Externos (IN – fora para dentro) usando o procolo TCP podem
acessar (permitir) qualquer servidor interno (*) do serviço Telnet (23).
3 - Host Externos (IN) usando o procolo TCP podem acessar (permitir) o
servidor interno Web (80)
4 – Host Internos (OUT) usando o procotolo TCP podem acessar
(permitir) qualquer servidor (*) Web (80).
5 – Proibir (negar) tudo (*).
EXERCICIO 01:
326
EXERCÍCIO 02
- Hosts Internos podem acessar servidores de telnet externos e
hosts externos acessar meu servidor interno 10.10.10.10.
– Hosts externos podem acessar meu servidor 200.145.22.33 de
News
327
EXERCÍCIO 03
- Hosts Internos podem acessar servidores de telnet internos
(10.10.10.10) e hosts externos podem acessar meu servidor de
telnet (10.10.10.10).
– Hosts externos podem acessar servidores de web internos
(10.10.10.9) e os hosts internos podem acessar servidores
externos.
328
EXERCÍCIO 04: CRIAR REGRA REDE INTERNA E
SERVIDOR TELNET
>1023 >1023 1 23
2
INTERNET
200.17.98.? 200.234.56.7
Rede Interna
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
OUT tcp 200.17.98.0/24 23
permitir > 1023
* * *
* *
negar *
Servidor
Ação Dir Protocolo IP Origem IP Destino Porta Porta Destino
200.234.56.7 Origem
permitir IN tcp 200.17.98.0/24 23
* > 1023 329
negar * * * *
*
EXERCÍCIO 05 REDE INT 10.20.2.0/24
- O servidor de ssh (10.20.2.4) só poderá ser acessado pelos clientes
internos da rede;
- Devido a um problema de vírus a toda a classe B da rede que tem o host
200.242.4.5 será proibida de fazer qualquer solicitação.
- O Cliente 10.20.2.70 pode acessar o serviços de banco de dados postgres
(TCP - 5432) da maquina 10.20.2.9 e oracle (TCP 1521) do host 10.20.2.8.
– Hosts externos podem acessar servidores de web cujo IP é 200.3.4.6 e o
servidor de email que responde pelo endereço 200.3.4.5 (externamente) e
10.20.2.1 (internamente) e os hosts internos podem acessar servidores
web externos.
– Apenas a máquina 10.20.2.50 não pode acessar nenhum serviço da
internet.
Ação Direção Protocolo IP Origem IP Destino Porta Origem Porta Destino
Negar in * 200.242.0.0/16 * >1023 *
negar out * 10.10.2.50 * >1023 *
permitir In tcp * 200.3.4.6 > 1023 80
permitir in tcp * 200.3.4.5 > 1023 25/110
permitir out tcp 10.20.2.0/24 * >1023 80 330
negar * * * * * *
EXERCÍCIO06: PROVEDOR INTERNET
BACKBONES PROVEDOR
Servidor
Web, FTP e
Email Firewall Firewall
01 02
200.1.2.3 200.7.8.9
Servidor
Firewall
Postgres
03
5432
Servidor Oracle PROVEDOR
1521
200.4.5.6
Sabendo que cada rede possui uma classe C, faça as seguintes regras:
1 – Os serviços de Web e FTP da matriz poderão ser acessado por qualquer máquina
na internet, entretanto o serviço de Email só poderá ser acessado pelas duas filiais;
2 – Os bancos de dados ficam restrito só para acesso interno da empresa, ou seja, sua
respectiva rede interna, matriz e filias;
3 – As 3 redes podem acessar quaisquer servicos páginas Web e SSH externos.
NETWORK ADDRESS TRANSLATION (NAT)
333
1
CAPÍTULO 5:
GERÊNCIA DE REDES
GERENCIAMENTO DE REDES
Portáteis
Internet
Roteadores
Hubs
Estação de
Impressoras
Switches Gerenciamento
Hosts
O QUE PODE SER GERENCIADO ?
ETAPAS DO GERENCIAMENTO
• Criação e implantação da rede
• Projeto físico - determinação de quais os equipamentos que serão
utilizados
• Configuração - determinação de quais os endereços IP atribuídos aos
equipamentos
• Manutenção
• Instalação das estruturas (software) de gerenciamento
• Monitoração e configuração
COMPONENTES DOS SISTEMAS DE
GERÊNCIA DE REDE
• Estação de Gerenciamento;
• Agente de Gerenciamento;
• Base de Informação do Gerenciamento (MIB);
• Protocolo de Gerenciamento de Redes (SNMP);
ESTAÇÃO DE GERENCIAMENTO
Solicitações
Processo Gerente Processo Agente
Respostas
Base de Notificações Base de
dados dados
Rede
MODELO DE GERENCIAMENTO
• Identificação de um objeto
• iso.org.dod.internet.mgmt.mib-2.system.sysDescr
• 1.3.6.1.2.1.1.1
3A L - Tamanho = 58 bytes
01 L - Tamanho = 1 byte
...
SNMP V1 - SEGURANÇA
• Gerente tem que informar palavra correta ao Agente para ser autenticado
• Novas Operações
• GetBulk-resquest
• Permite ao gerente solicitar transferência de grandes quantidades de dados de forma
mais eficiente. Transferência de Tabelas
• Inform
• Permite que uma estação de gerenciamento envie uma mensagem assíncrona para
outra estação de gerenciamento
• SMIv2
• Permite uma melhor documentação e especificação mais elaborada de objetos. Novos
tipos de dados. Eliminou ambigüidades nas definições dos objetos encontrados nas
especificações anteriores
• SNMPv2-MIB
• Novos objetos de tráfego relacionado às novas operações alem de novas informações
relacionadas a configurações de gerentes e agentes
SNMP V2
• Gerenciamento Hierárquico
• RMON – Remote Network Monitoring
• Segurança
• Conceito de visão de MIB
• Conceito de Contexto
• Não acrescentou novos mecanismos de segurança
SNMP V3
• Criptografia
• As PDUs SNMP podem ser criptografadas com DES
• Chave deve ser compartilhada
• Autenticação
• Combina uso de uma função de hash(MD5) com um valor de chave secreta
• HMAC (Hashed Message Authentication Codes
• Proteção contra ataques de reprodução
• Utiliza “nounce”. Receptor exige que o remetente inclua em cada mensagem um valor
baseado em um contador do receptor. Esse contador é baseado na ultima reinicialização
do software de gerenciamento do receptor
• Controle de acesso
• Controle de acesso baseado em visões
• Determina quais informações de gerenciamento podem ser consultados ou definidas por
quais usuários
SISTEMA DE GERÊNCIA DE REDES
“Se você não pode proteger o que tem, você não tem nada.”
Anônimo
FIM DA EMENTA.
Dúvidas
Reflexão:
“Os computadores são incrivelmente rápidos, precisos e burros; os homens são
incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os
limites da Imaginação” – Albert Einstein
373