Embed Size (px)
Citation preview
1
Aula 01
Para estudarmos as redes privadas virtuais o primeiro passo é compreender o que elas significam ou como são formadas. Para que você tenha uma rede privada é necessário que você tenha dois ou mais computadores interligados, formando assim uma rede (network). Ao instalar uma rede local, provavelmente dados serão trocados ou compartilhados entre as partes, assim sendo você passa a ter uma rede privada, pois apenas os micros que compõe esta rede é que passam a ter acesso aos dados compartilhados.
Esta ligação entre os computadores que compõe a rede pode ser feita através de uma conexão ponto a ponto, Hubs ou Switches (mais detalhes neste sentido no curso gratuito de redes e Windows 2000 Server).
Assim sendo, ao utilizar uma rede pública como a Internet ao invés de linhas privativas para implementar redes corporativas é denominada de Virtual Private Network (VPN) ou Rede Privada Virtual.
Uma VPN é uma reunião te tecnologias que formam canais de criptografia através de pontos autorizados, criados através da Internet ou outras redes públicas e/ou privadas para transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos. Assim sendo, este modelo de redes prima pela segurança pois os dados privados serão transmitidos pela Internet, que por sua vez é um meio de comunicação onde não é um fato isolado a invasão de privacidade, desta forma os dados por ela transmitidos devem ser protegidos de forma a não permitir que sejam modificados ou interceptados.
Este serviço foi criado visando atender a necessidade de conexão entre corporações (Extranets) através da Internet, além de possibilitar conexões dial-up criptografadas que podem ser muito úteis para usuários móveis ou remotos, bem como filiais distantes de uma empresa. Este tipo de conexão antes do surgimento das VPNs tinha um custo altíssimo, ao contrário do que ocorre com as VPNs. Esta redução de custos ocorre devido a eliminação de links dedicados de longa distância e performance, passando estes a serem substituidos pela conexão Internet, comum e muito acessível nos tempos atuais. Outro ponto interessante e que diminui os custos para este tipo de serviço está no fato de que a operação da WAN é que a conexão LAN-Internet-LAN fica parcialmente a cargo dos provedores de acesso.
Diversas são as aplicações visadas pelas empresas que optam pelas VPNs, dentre as quais destacamos:
• Acesso remoto via Internet; • Conexão de LANs via Internet; • Conexão de computadores através ed uma Intranet;
2
Aula 02
Vamos neste módulo de aula estudar sobre os riscos que não corremos ao trabalhar com VPNs. Quanto vale um e-mail comercial de sua empresa, enviado do diretor para o gerente de um departamento, falando sobre o lançamento de um novo produto/serviço? E se este e-mail "sem querer" cair nas mãos de um concorrente? E os dados de sua conta bancária (senhas de acesso, etc...) se caem nas mãos de
um Hacker? É necessário dar a devida proteção aos dados que são importantes e confidências e que em determinadas situações representam milhões. Para que qualquer procimento de segurança que envolva a troca de informações importantes, são necessários alguns cuidados e regras a serem adotadas, dentre as quais destacamos:
1. A sua empresa é um conjunto de setores e departamentos, envolvendo profissionais e interessados/responsáveis no cumprimento e adotação de metas;
2. Assim sendo, podemos separar este conjunto em subconjuntos; 3. Cada Subconjunto será formado por um grupo de profissionais que tem interesse em
um determinado tiop de informação; 4. Agora que temos definidos os subconjuntos citados no item três, deveremos criar um
esquema de suporte, para que cada setor tenha acesso aquilo que realmente lhe interessa e nenhuma outra informação desnecessária que gere fluxo de informações sem objetivo e que possam ser interpretados de forma errada;
Imagine os casos em que várias empresas de venda de venda de equipamentos de informática tenham em comum apenas o fornecedor. Cada uma dessas empresas irão ter os vendedores que tem como campo de trabalho a rua, ou seja, a visita dos representantes diretamente em seus clientes (pessoas físicas e jurídicas). O fornecedor central precisa saber o que está sendo vendido para que possa montar as máquinas, manter o estoque e realizar a entrega em tempo hábil e prometido ao cliente final. Esses dados devem ser tratados de forma segura, para que uma empresa representante "A" não tenha acesso aos dados de venda de uma empresa representante "B", já que possuem administrações e propriedades diferenciadas e independentes.
Imagine que de forma criminosa, um dos representantes (representante A), faça o logon como representante B e realize um pedido de 500 máquinas, sem que o mesmo tivesse realmente realizado esta venda, como este prejuizo seria tradado e quem seria responsabilizado?
Toda esta comunicação será realizada pela Internet, para que o fornecedor tenha um substâncial ganho de tempo, assim sendo esta troca de informações de compra e venda deverá ser segura e ao mesmo tempo privativa, ou seja, dados da empresa representante "A" não poderão ser visualizados pelo representante "B" e assim sucessivamente. Com esta nova afirmação, aplicamos o conceito de privacidade.
Esta troca de informações entre fornecedor e representantes deverá ser exata e precisa, ou seja, não poderão ocorrer problemas de comunicação entre as partes, para que uma venda de 100 unidades não seja tratada na outra ponta como 10 unidades ou 1000 unidades, ou seja, deveremos aplicar um procedimento de integridade da informação. A integridade implica na não alteração do conteúdo enviado de uma parte a outra, sem o seu conhecimento/consentimento. A integridade dos dados em uma troca de informações é realizada através de funções de Hash.
3
4
Aula 03
Vamos neste módulo de aula falar sobre autenticidade. Conforme citamos no módulo de aula anterior, o fornecedor deverá ter certeza absoluta de que as mensagens de um representante "A" foram enviadas por ele mesmo, sem a possibilidade de fraudes para evitar grandes transtornos e/ou prejuizos. Para que esta certeza se torne possível e a comunicação eletrônica confiável se torna necessário o
uso de assinaturas digitais, baseadas no processo de hash, citado no módulo de aula anterior. Mas como isso ocorre?
1. O sistema efetua um cálculo que tem como base o hash da mensagem que origina o processo e a chave de acesso do autor da mensagem;
2. O cálculo acima tem como resultado a assinatura digital;
3. A mensagem original tem a assinatura digital adicionada ao final da mensagem, fechando a mesma;
4. O destinatário ao receber a mensagem irá empregar a chave de acesso do remetente para verificar se a assinatura digital é verdadeira, em um processo inverso de cálculo, obtendo desta forma o hash original;
5. Neste ponto o destinatário sabe se a mensagem foi originada pelo verdadeiro remetente ou não.
Com este processo, o destinatário tem certeza de que a mensagem foi efetivamente enviada por quem assina a mesma e, quem enviou não tem como negar a autoria, gerando assim um processo seguro e confiável.
5
Aula 04
Quando geramos uma VPN, nenhum dos usuários da mesma, ou até mesmo seus equipamentos, podem ter acesso à Internet, sem que o administrador do sistema saiba e conceda este acesso, neste ponto estaremos atingindo a meta da privacidade. Para que esta meta possa ser alcançada, deveremos seguir um dos caminhos abaixo:
• Contratar uma empresa que preste serviços e desenvolva sistemas seguros quanto a privacidade do sistema;
• Solicitar a equipe de profissionais um sistema próprio de criptografia, impedindo assim que terceiros possam ter acesso as informações da VPN.
Quando você contrata o serviço de um provedor de acesso à Web ou ainda empresas que ofereçam o serviço de Backbone, possuem tecnologia e pessoal competente para oferecer a sua empresa os serviços de VPN, garantindo o isolamento total do tráfego entre as partes interessadas/autorizadas, com o emprego da tecnologia de criação de tabelas de rótulos, empregadas no roteamento de cada uma das VPNs. Neste sentido, temos três tecnologias distintas, oferecidas por estas empresas:
• Frame Relay; • IPSec; • MPLS.
Dependendo dos recursos pretendidos, deverá ser adotada uma ou outra tecnologia, como por exemplo: a criptografia de dados, é possível apenas com o emprego da tecnologia IPSec, já a conexão internacional não é possível através da tecnologia MPLs. Em breve iremos estudar mais sobre estas tecnologias.
Em esquemas mais complexos, é possível o uso de mais de uma tecnologia, aumentando assim a flexibilidade do sistema.
6
Aula 05
As técnicas de criptografia a serem empregadas em uma VPN são fundamentais para que a troca de informações seja realizada de forma segura, oferecendo assim a privacidade necessária aos seus usuários/participantes. A palavra criptografia tem como origem a lingua grega, sendo formada pela união de duas palavras neste
sentido:
• Kryptos - o mesmo que oculto; • graphen - o mesmo que escrever.
Ou seja, é a técnica utilizada para escrever um conteúdo de forma oculta, onde caracteres serão substituídos por códigos. Neste procedimento é empregada a técnica de sistemas numéricos. Um dos primeiros povos a empregar técnicas de criptografia foram os Romanos, através de seu imperador Júlio Cezar, sendo que na época, uma letra era trocada por outra, ou seja, se fossem utilizar a letra "G", na verdade teríamos no documento "J" e assim sucessivamente e, com o passar dos anos as técnicas de criptografia foram evoluindo, tentando-se evitar que alguém não desejado, conseguisse ter acesso a uma mensagem e compreender o seu objetivo/conteúdo.
O principal ponto de um sistema de criptografia é chamado de "chave de criptografia" e, estas estão divididas em dois grandes grupos:
• Chaves de criptografia simétricas; • Chaves de criptografia secretas;
As chaves simétricas operam com a lógica de compartilhamento de informações, ou seja, o destinatário da mensagem tem total conhecimento da chave de criptografia, para poder "traduzir" os códigos empregados e responder a mensagem com a mesma chave. Desta forma, neste processo é necessário que apenas o remetente e o destinatário da mensagem conheçam a chave secreta e nenhum outro. Este tipo de criptografia surgiu no ano de 1972 e foi sendo aprimorada e publicada oficialmente através do sistema ANSI X9 e, atualmente recebe o nome de Data Encryption Standard. Estas chaves tem comprimento de 64 bits divididos em dois grupos:
• Grupo de 56 Bits - utiilzado como chave do esquema; • Grupo de 8 Bits - empregado para o sistema de paridade.
Existem ainda outras técnicas e algoritmos para serem empregados em chaves simétricas, dentre os quais destacamos:
• BlowFish; • CAST-64; • CAST-128, entre outros.
7
8
Aula 06
A criptografia vem sendo desenvolvida dia a dia e, no ano de 1997 o NIST (National Institute of Standard and Technology), promoveu um programa e, no mesmo convocou os principais especialistas no assunto. Este programa recebeu o nome de AES (Advanced Encryption Standard). Neste programa, os profissionais envolvidos iriam enviar
os seus projetos de novos algoritmos de criptografia e, o algoritmo vencedor iria substituir o "bom e velho" DES. A primeira fase desta "competição" durou em média 4 anos e, os participantes foram submetidos a três estágios de análise de seu projeto:
• A primeira etapa selecionou os quinze melhores projetos na visão dos organizadores; • A segunda etapa selecionou os cinco melhores dentre os quinze que já haviam
passado da primeira etapa; • Na terceira etapa foi anunaciado o algoritmo vencedor, apelidado de Rijndael.
O algoritmo em questão foi elaborado pelos belgas Joan Daemen e Vicente Rijmen. Este novo sistema de criptografia reuniu os seguintes beneficios:
1. Combinação de segurança; 2. Desempenho; 3. Facilidade de implementação; 4. Flexibilidade quanto as diversas plataformas de software; 5. Flexibilidade quanto as diversas plataformas de hardware.
9
Aula 07
As chaves assimétricas também são conhecidas como chaves públicas. Este tiop de chave, possui a sua estrutura fundamental dividida em dois grupos:uma parte privada e outra pública. Vamos explicar melhor: a primeira parte (privada) é única para o usuário e não poderá ser compartilhada, garantindo assim a sua segurança e, a outra parte desta estrutra é pública, desta forma outros usuários
poderão enviar dados criptografados a este usuário.
Desta forma, quando você desejar enviar um conteúdo criptografado a um usuário qualquer que utilize desta tecnologia, a parte pública da chave do destinatário será utilizada por você, desta forma será possível criptografar as informações e enviá-las de forma segura. Por outro lado, o destinatário do pacote irá utiilzar dos recursos do ambiente seguro e privado, para descriptografar o conteúdo e transformá-lo em texto comum ou qualquer outra forma de informação (números, etc).
Dois algorítmos são aplicados para este processo, a saber:
• Diffie-Hellman; • RSA.
10
Aula 08
Apesar de um nome não muito comum, o algoritmo Diffie-Hellman é na verdade uma referência aos profissionais que criaram o mesmo. O fundamento deste algoritmo se dá na troca de dados entre as partes que se comunicam no processo, ou seja, as chaves públicas e privadas de ambos os lados. Um usuário para completar um processo de comunicação poderá necessitar do emprego das chaves públicas e
privadas de sua propriedade e, estas informações deverão ser trocadas com o usuário que está se comunicando. Através de um cálculo específico, um usuário da rede ao gerar sua chave para o processo de comunicação, irá gerar a forma para criptografar os dados a serem enviados e com o mesmo processo, o usuário que recebeu o pacote irá interpretar de forma correta os dados enviados e vice e versa. O ponto vulnerável deste processo é que, o usuário "Paulo" gera uma chave comopsta de sua própria chave privada e da chave pública do usuário "João", com o qual quer se comunicar que por sua fez, gera outra chave composta da sua chave primária com a chave pública do usuário "Paulo" se encontra no momento em que o usuário "Paulo" recebe informações da chave pública do usuário "João", pois o processo não é realizado sobre um ambiente seguro, desta forma um usuário "Manoel" poderá se fazer passar pelo usuário "João", e receber os dados que não são de seu interesse. Desta forma podemos concluir que alguns algoritmos de criptografia tem sua essência pura e simplesmente na criptografia dos dados e não na autenticação do usuário que estará se comunicando. No próximo módulo de aula iremos estudar sobre o algoritmo RSA de chaves assimétricas.
11
Aula 09
O algoritmo RSA de chaves assimétricas é bastante empregado em diversos aplicativos, entre eles em determinadas versões do Internet Explorer. Este mecanismo tem como principal caracteristica o fato de não gerar chaves criptografadas, apenas de utilizar chaves já criadas através de tecnologia de chaves públicas. Vamos imaginar a situação na qual dois usuários trocam informações pela Internet (usuário 1 e
2). O aplicativo do usuário 1 tem por objetivo enviar uma informação ao usuário 2, desta forma este aplicativo solicita ao usuário 2 a sua chave pública, realiza o processo de criptografia dos dados e faz o envio dos mesmos. Ao receber a informação, o aplicativo do usuário 2 irá utilizar a sua chave privada, descriptografar e ler a informação. A administração das chaves públicas na grande rede são de responsabilidade de dois grandes grupos:
• Orgãos certificadores; • Servidores LDAP.
12
Aula 09
O algoritmo RSA de chaves assimétricas é bastante empregado em diversos aplicativos, entre eles em determinadas versões do Internet Explorer. Este mecanismo tem como principal caracteristica o fato de não gerar chaves criptografadas, apenas de utilizar chaves já criadas através de tecnologia de chaves públicas. Vamos imaginar a situação na qual dois usuários trocam informações pela Internet (usuário 1 e
2). O aplicativo do usuário 1 tem por objetivo enviar uma informação ao usuário 2, desta forma este aplicativo solicita ao usuário 2 a sua chave pública, realiza o processo de criptografia dos dados e faz o envio dos mesmos. Ao receber a informação, o aplicativo do usuário 2 irá utilizar a sua chave privada, descriptografar e ler a informação. A administração das chaves públicas na grande rede são de responsabilidade de dois grandes grupos:
• Orgãos certificadores; • Servidores LDAP.
13
Aula 10
Quando tratamos de uma grande rede (a Internet por exemplo), temos conectados a esta diversos grupos, cada grupo com seus interesses e formas de trabalho, com suas necessidades e aplicações, ou seja, temos uma grande gama de objetivos, procedimentos e necessidades. Para que possamos ter uma comunicação confiável, mesmo nas condições citadas acima, se torna necessário definir um
conjunto mínimo e essencial de regras e sintaxes para a programação dos aplicativos que serão empregados nesta rede. Vamos a um exemplo muito simples: cada pessoa tem as suas características e maneiras de viver, porém todas são identificadas pela receita federal da mesma forma, ou seja através de seu CPF. Vamos a outro exemplo para que fique claro a necessidade de regras de padronização: ao comprar um sapato em uma loja na cidade de São Paulo, você irá citar como referência o número do seu pé correto? Em outra loja, de outro proprietário e que vende calçados de outra marca, estabelecida na cidade de Barra do Garças em MT, a medida de referência, apesar de todas as diferenças citadas será a mesma, o número do pé. Imagine se uma loja vende-se o calçado pelo número, outra pelo tamanho do pé em centimetros e outra pelo tamanho do pé em polegadas!
Assim sendo, apesar de que as diversas redes existentes no mundo terem objetivos diferentes, programas diferentes e finalidades totalmente diferentes, existem alguns padrões para que, se necessário for, estas resdes possam se comunicar pela Internet por exemplo. Desta forma foi criado um protocolo de comunicação padrão para todas as redes VPN, conhecido por TCP/IP. O TCP/IP será empregado mesmo que a rede interna não trabalhe com o mesmo, porém para se comunicar com uma rede externa, este protocolo será necessário.
Você saberia definir o que é um protocolo? Segundo o dicionário da lingua Portuguesa, protocolo é o mesmo que "convenção entre duas nações". Ou seja, uma forma padrão de comunicação. O protocolo especifica as regras que devem ser seguidas para a construção de um sistema de comunicação em rede. O uso de outros protocolos para uma VPN implicará no futuro na não possibilidade de comunicação com redes externas, ou seja, ele impõe a padronização do sistema de comunicação e troca de dados.
Para controlar este mundo de informações e regras, com o rápido crescimento da Internet e das VPNs, diversas organizações foram criadas, tendo as mesmas objetivos definidos para traçar os planos de trabalho sobre as diversas áreas que formam uma grande rede, entre os quais destacamos:
=> Word Wide Web Consortium - tem a responsabilidade de definir os padrões adotados na Web, como por exemplo as definições sobre o HTML, XML, etc.
=> Internet Engineering Task Force - tem a responsabilidade de definir os padrões da Internet quando as conexões, sistemas de criptografia, autenticação de usuários, etc.
=> Internet Computer Security Association (ICSA) - avalia e fornece o selo de interoperabilidade entre as empresas que oferecem soluções VPN, ou seja, é um orgão fiscalizador das empresas que oferecem produtos e serviços para VPNs.
=> American National Standards Institute - responsável por estabelecer os requerimentos minímos para as linguagens de programação.
14
15
Aula 11
Você saberia definir o que é um Firewall? O firewall é um programa que tem a função de barrar tráfego não autorizado de entrada e saída de rede. Ele ajuda a manter seus dados seguros de acessos de rede externos não autorizados. Para que este procedimento seja possível, estes aplicativos são associados a um conjunto de regras e cada regra é associada a uma determinada ação. As ações mais comuns a serem
executadas são de bloqueio e permissão de conteúdo. Todos os procedimentos adotados pelo Firewall são registrados em um banco de dados do próprio aplicativo, possibilitando assim que o administrador da rede possa analisar o tráfego que está "correndo" por sua rede.
Os Firewalls podem ser baseados no software da rede ou ainda no hardware na mesma. É claro que o Firewaal não é a solução definitiva de segurança da sua VPN, porém é uma peça importante para que se consiga um bom nível de garantia.
Os Firewalls mais modernos trabalham com um processo conhecido por áreadesmilitarizada, ou seja, uma área que é utilizada para a configuração de servidores de dominio público (como um servidor Web), sem que isso signifique a perda de segurança ao mesmo, pois o Firewall irá operar com tráfego de um determinado protocolo e nenhum outro. No caso do servidor Web teríamos o protocolo de comunicação HTTP.
16
Aula 12
Citamos no módulo de aula anterior sobre os Packet Filters, tipo de Firewall que trabalha como filtro de pacotes, desta forma os pacotes que trafegam pela rede só terão permissão de tráfego caso tenham como endereço de destino um servidor da rede interna e, o endereço de origem é validado através de um banco de dados de validação, onde estes endereços são previamente cadastrados. Os Packets Filters
tem como característica principal a performance no que diz respeito a velocidade de transmissão dos dados, pois o sistema se preocupa apenas na validação de endereços de origem e destino porém, por não analisarem o conteúdo do pacote, podem representar um grande risco. Observe no gráfico abaixo um exemplo gráfico de como este tipo de firewall opera:
conforme podemos observar no gráfico acima, neste tipo de firewall os pacotes serão analisados na cama de rede, desta forma podemos concluir que este tipo de aplicativo não atua no alto nível de aplicação, não compreendendo assim nada sobre os protocolos de aplicação.
17
Aula 13
O Firewall do tipo Application Gateways opera analisando o conteúdo e o tipo do serviço do pacote que irá trafegar pela rede e distribuindo este para o respectivo servidor de acordo com o resultado desta análise. Esta análise é realizada na camada de aplicação e tem como principal virtude o fato de oferecer um nível considerado alto de segurança, porém diminui a performance do sistema como um todo.
Este tipo de Firewall opera como uma ponte, pois o cliente deverá se comunicar com o Firewall que após a análise, irá se comunicar com o servidor capaz de atender ao pedido e vice e versa, fator este que também contribuir para a queda de performance do sistema, pois a comunicação é realiza por etapas entre as partes e o aplicativo de Firewall.
Outro fator que é determinante para o não emprego com frequência deste tipo de Firewall se dá pelo fato do mesmo não possuir sistemas de análises compatíveis com todos os serviços disponíveis para uma Internet ou VPN.
18
Aula 14
O Firewall do tipo Stateful Inspection tem como característica o fato de controlar a sessão por completo entre as partes que realizam a comunicação, através de um mecanismo que promove o controle do status das conexões que estão abertas entre pontos da rede, fazendo com que o controle sobre o tráfego seja maior e mais seguro. Este fato se deve principalmente pelo fato deste tipo de firewall analisaros
pacotes nas camadas acima da de rede, incluindo o método de analise da informação de estado. A tomada de decisões por este realizadas levam em conta a análise de três pontos:
• Tentativa de comunicação; • Estado da comunicação; • Estado da aplicação.
19
Aula 15
O ideal quando se tem o projeto de VPN é encontrar uma solução robusta no que diz respeito a segurança e que preferêncialmente se resuma em uma tecnologia única. Com base neste conceito surgiram os "Appliance" que é um casamento de hardware e software e que se resumem em um roteador com filtro de pacotes, somado a um poderoso firewall com um ótimo antívirus, entre outros componentes.
Muitas destas funções são apresentadas sobre a forma de chips dedicados, configuráveis e de fácil administração. Outro fator neste conceito é que, por estar diretamente ligado a questão "segurança", este equipamento não poderá compartilhar serviços para os quais o "appliance" não foi desenvolvido.
20
Aula 15
Não podemos pensar que exista um sistema 100% seguro e, assim sendo as VPNs possuem pontos vulneráveis e, estes estarão diretamente ligados ao orçamento disponível para que se monte a VPN, pois quanto maior o nível de segurança maiores serão os gastos. Infelizmente o fator segurança está diretamente ligado ao fator custo. Muitas empresas por exemplo, para reduzir custos implementam um
servidor de e-mails em uma VPN e, desta forma estão abrindo uma porta para invasões com códigos maliciosos enviados por e-mail. Esta empresa pensando em economizar na verdade está criando um ponto de vulnerabilidade.
Implementar uma politica rigorosa de segurança quanto a liberdade dos funcionários de utilizar o equipamento para fins pessoais é fundamental. Imagine um funcionário trazendo em um disquete um executável qualquer, que a principio pode ser engraçado, porém possui outro objetivo fora "divertir" aqueles que o executam.
A Internet também é uma porta aberta para a invasão, através de e-mails, aplicativos de mensagens instantâneas, etc. É fundamental conhecer os programas e a sua relação com o risco de invasão que os mesmos carregam. Existe um grupo conhecido por CERT Coordination Center que tem como uma das suas principais funções a publicação periódica sobre a questão vulnerabilidade. São milhares de falhas publicadas anualmente e, você deverá estar atento as mesmas.
Além dos fatos citados acima, você irá enfrentar problemas relacionados ao que chamamos de ataques de infra-estrutura e, estes afetam diretamente os componentes da Internet. Estes serão objetos de estudo do próximo módulo de aula.
21
Aula 17
Ataques de infra-estrutura são aqueles que de forma direta ou indireta comprometem os componentes da Internet e, os principais neste sentido podem ser observados na listagem abaixo:
• DOS (Denial Of Service) - também conhecido como negação de serviço. O atacante tem por principal objetivo deixar o servidor do
sistema inativo e, isto é conseguido aumentando significativamente o volume de requisições na rede, quando este dispara um número considerável (milhares) de pedidos de forma simultânea para um mesmo servidor (que pode ser um site da Web), pedidos estes sem nenhum objetivo concreto. Neste momento o servidor irá se sobrecarregar, tentando atender a todos os pedidos e, com certeza pelo número enviado não obterá êxito, até chegar ao ponto de ficar inoperante para aqueles que buscam o acesso de forma correta, pois o servidor estará "ocupado" tentando responder as falsas solicitações do ataque.
• DDOS (Distributed Denial Of Service) - também conhecido como negação de serviço distribuido. Aqui temos o mesmo principio aplicado no ataque do tipo DOS, porém as falsas requisições partem de diversos pontos e não de um único, como ocorre com o mesmo.
• Ataques a roteadoers - Ocorre quando são endereçados milhares de pacotes a um mesmo roteador e diretamente a ele (sem o redirecionamento para outros servidores) e, certamente ocorrerá uma sobrecarga ao sistema, deixando inoperante para novas consultas (muitas delas corretas).
Listamos acima os mais conhecidos ataques de infra-estrutura (existem outros diversos, porém com menor poder de ação).
22
Aula 18
Para identificar uma pessoa dentro de uma sociedade, esta passa a ter um número de documentação, facilitando assim o acesso aos dados gerais da mesma. Em uma cidade cada cidadão possui as suas características, funções, etc. O mesmo ocorre na Internet, cada computador ligado a rede possui uma determinada característica e função e, assim como os moradores de uma cidade, este computador
deverá receber uma espécie de documento que o identifique, que ao contrário de uma pessoa que possui o seu RG, passa a ser identificado através de um número específico, conhecido por endereço IP (Internet Protocol). Mas ao contrário de uma carteira de identidade, que é única para cada pessoa, o endereço IP não determina um equipamento específico, porém uma conexão à rede e ainda podem ser impregados para referenciar um host ou uma estação específica.
Você poderá acompanhar o curso de TCP/IP que é oferecido gratuitamente pelo site aprendaemcasa.com.br, e aqui iremos estudar algumas generalidades que são importantes para o curso de VPN. Um endereço IPv4 é formado por um conjunto de números de 32 bits, divididos em quatro octetos, conforme podemos observar em destaque no exemplo abaixo:
204.16.0.21
Estas quatro partes identificam:
• A primeira parte do endereço identifica uma determinada rede. • A segunda parte do endereço identifica um host.
23
Aula 19
As três classes distintas de endereços do IPv4 tem como ponto de classificação o tamanho da rede, que podem ser de uma rede local a uma rede com Internet onde existe a interligação de milhares de hosts. Estas classes são: A, B e C.
Classe A - empregada em redes de grande porte, onde cada rede poderá endereçar 2^24 hosts (o que indica um total de 16.777.216 hosts) sendo limitada a um total de 128 redes.Devido a este fator limitador, esta classe não é mais empregada atualmente. Nesta composição o bit mais significativo é o "0" e os demais 7 bits que formam o primeiro octeto identificam a rede, desta forma os demais 24 bits do endereço definem o endereço local.
Classe B - emprega dois octetos para o número de redes e dois octetos para o endereço de host. Seus endereços de rede variam de 128.1 até 191.255. No primeiro octeto o número 127 é utilizado para função especial, assim como os números 0 e 255 do segundo octeto.
Classe C - Aqui temos a classe empregada na Internet, onde os três primeiros octetos identificam a rede e o último octeto identifica o Host. Os endereços de rede vão de 192.1.1 até 223.254.254.
24
Aula 20
Você saberia definir o que é um Datagrama IP? O datagrama IP é a unidade básica de dados no nível IP. O datagrama é dividido em duas áreas, a saber:
• Área de cabeçalho; • Área de dados.
O cabeçalho contém informações que visam identificado o datagrama e, na área de dados temos encapsulado o pacote do nível superior, ou seja um pacote TCP ou UDP. O formato do datagrama IP é o seguinte:
Campos do Datagrama e seus objetivos
VERS: versão do protocolo IP que foi usada para criar o datagrama (4bits)
HLEN: comprimento do cabeçalho, medido em palavras de 32 bits (4 bits)
TOTAL-LENGTH: este campo proporciona o comprimento do datagrama medido em bytes, incluindo cabeçalho e dados.
SERVICE-TYPE: este campo especifica como o datagrama poderia ser manejado e dividido em cinco subcomandos.
25
IDENTIFICATION, FLAGS e FRAGMENTS: estes três campos controlam a fragmentação e a união dos datagramas. O campo de identificação contém um único inteiro que identifica o datagrama, é um campo muito importante porque quando um gateway fragmenta um datagrama, ele copia a maioria dos campos do cabeçalho do datagrama em cada fragmento, então a identificação também deve ser copiada, com o propósito de que o destino saiba quais fragmentos pertencem a quais datagramas. Cada fragmento tem o mesmo formato que um datagrama completo.
FRAGMENT OFFSET: especifica o início do datagrama original dos dados que estão sendo transportados no fragmento. É medido em unidades de 8 bytes.
FLAG: controla a fragmentação.
TTL(Time To Live): especifica o tempo em segundos que o datagrama está permitido a permanecer no sistema Internet. Gateways e hosts que processam o datagrama devem decrementar o campo TTL cada vez que um datagrama passa por eles e devem removê-lo quando seu tempo expirar.
PROTOCOL: especifica qual protocolo de alto nível foi usado para criar a mensagem que está sendo transportada na área de dados do datagrama.
HEADER-CHECKSUM: assegura integridade dos valores do cabeçalho.
SOURCE AND DESTINATION IP ADDRESS: especifica o endereço IP de 32 bits do remetente e receptor.
OPTIONS: é um campo opcional. Este campo varia em comprimento dependendo de quais opções estão sendo usadas. Algumas opções são de um byte, e neste caso este campo é chamado de Option Code , e está dividido em três campos.
26
Aula 21
O endereçamento é um ponto crucial em uma VPN. Alguns conflitos geram a quebra de comunicação, entre os quais destacamos:
• Um único equipamento sendo reconhecido por dois endereços; • Um equipamento não tem um endereço associado.
Agora imagine um provedor de acesso a Internet, que distribui um endereço IP para cada usuário que se conecta ao mesmo.
Quando se torna necessário distribuir endereços IPs de forma dinâmica, empregamos os servidores DHCP (Dynamic Host Control Protocol). Se você tem em seu escritório uma pequena rede de 3 pontos apenas, não terá muito trabalho para atribuir um endereço IP para cada máquina, mas a empresa cresceu e passou a ter um total de 200 computadores! O trabalho já passa a ser complexo e, o risco de erros ao atribuir um endereço IP para cada uma das máquinas passa a ser grande. O protocolo DHCP passa a ser necessário nestas condições, pois este servidor irá distribuir endereços IP na medida em que as máquinas solicitam conexão à rede. Quando um computador desconecta, seu IP fica livre para uso de outra máquina. Este procedimento é garantido através de uma checagem da rede em intervalos pré-definidos por parte do sistema.
Porém nem só de endereços IPs vive uma rede e, outras informações são fundamentais para que um cliente (computador/host) possa operar de forma satisfatória e, o DHCP também toma conta deste processo, ou seja máscara de rede, endereços de servidores DNS (Domain Name Server), nome que o computador deverá assumir na rede (aprendaemcasa1, aprendaemcasa2, etc), rotas, entre outras.
Sem este tipo de servidor, dificilmente você estaria conectado a Internet neste momento.
27
Aula 22
Nosso próximo passo é iniciar os estudos sobre o encapsulamento e protocolos para a VPN. Vamos exemplificar o encapsulamento com um exemplo do mundo real. Você escreve uma carta para um familiar ou um amigo, porém para que esta carta chegue ao destinatário é necessário que a mesma esteja dentro de um envelope. O envelope irá encapsular a sua carta (que é na verdade um pedaço de papel com
um conteúdo escrito) para que a mesma possa ser encaminhada pelo serviço dos correios.
O envelope para que possa conduzir corretamente a sua carta deve obedecer um padrão (protocolo), ou seja, na frente do envelope deverá estar especificado o endereço do destinatário, no verso o endereço do remetente, o CEP em ambos os casos deverá estar no formato 12345-789 e outros procedimentos. Podemos então afirmar que o protocolo é a padronização que a empresa de correios e telegrafos criou para que seus usuários possam utilizar o serviço corretamente e, ao obedecer este padrão (protocolo), a ECT poderá garantir a entrega da correspondência. O padrão de protocolo neste caso seria o da empresa ECT. Mas porque esta afirmação do padrão de protocolo? Porque em outros paises existem empresas que executam o mesmo papel da ECT no Brasil, porém cada empresa poderá criar o seu próprio padrão de protocolo, de acordo com o local onde atua, a realidade deste local, etc.
O mesmo ocorre nas redes de computadores, pois existem diversos tipos de protocolos, que foram desenvolvidos por várias empresas visando alcançar um determinado objetivo de forma mais eficiente e rápida. Ocorre que, com o uso em grande escala da Internet por empresas e pessoas físicas, um dos protocolos mais utilizados atualmente é o TCP/IP, protocolo oficial de comunicação que ligam os computadores na Internet.
Mas poderia uma rede que não emprega o protocolo TCP/IP trafegar na Internet? A resposta é sim e neste caso teremos que encapsular o pacote original em um segundo pacote, que seria o pacote TCP/IP e a partir deste ponto a comunicação seria efetuada.
Basicamente o pacote IP é composto por:
• Cabeçalho; • Dados.
O cabeçalho é conhecido como header e os dados são conhecidos como payload. No próximo módulo de aula iremos estudar alguns detalhes sobre o cabeçalho e dados do pacote IP.
