ANHANGUERA EDUCACIONAL FACULDADE COMUNITÁRIA DE LIMEIRA CURSO DE CIÊNCIA DA COMPUTAÇÃO

DOUGLAS PRADO LUIS CARLOS P. FAVETTA RAFAEL HENRIQUE THIRION SERGIO ALVES DE LIMA JR. THIAGO RODRIGO PEDERSEN

“Um Estudo de Aplicação de Inteligência Artificial em Firewalls Corporativos”

Trabalho de Conclusão de Curso.

Profa. Márcia Aguena Orientador

Limeira-SP, Março de 2008.

ANHANGUERA EDUCACIONAL

3

AGRADECIMENTOS

Quando desejado pelo autor do trabalho, são apresentados logo após a folha de rosto, nessa ordem. São de livre apresentação gráfica. Geralmente os Agradecimentos são apresentados como um capítulo não-numerado. O mesmo é recomendado para os próximos itens, até o Resumo e Abstract.

...............................................................................................2.............10 HTTPS....................................... 12 1....................................................................... 23 1.....................18 1.........................................14 1........................................................................................ 16 1........................................2........................................................................................ 13 1.14 1................................. 17 1................................... 15 1............. 19 1................................................... 17 1......2 Introdução.....................................9 SNMP.......................................... 22 1................3 SMTP........................................................... 10 1 REDES DE COMPUTADORES......................1 TCP................4 SUMÁRIO LISTA DE ABREVIATURAS E SIGLAS........................................................................................5 Sistema de Detecção de Intrusões – Intrusion Detection System (IDS)...................................... 9 ABSTRACT.......................................7 NTP............................. 6 LISTA DE FIGURAS.....4 Filtro de Pacote Dinâmico – Statefull.............3 Filtro de Pacote Estático – Stateless................................................................................................................. 18 1...............................................4 DNS........ 11 1..............................................................................................................................2...................................................... 19 2 FIREWALL........... 7 LISTA DE TABELAS............................................1 FTP..............................1........................... 14 1...................................................................................1...2.............................................................................................................................................................................2............. 22 1........................23 .....................................................2................3....................................................... 11 1........3...................................................6 POP..................................................................................................2...............................................................................22 1............................................................................................8 RESUMO..3 Protocolos de Aplicação................................................................2 SSH..................2............................2 TELNET...................................................1 Introdução................................2 UDP................................................................................................5 HTTP...................... 15 1...........2..........................................................................8 IMAP.....

...................... 24 3 CONCLUSÃO........................................................................ 33 ..................................................................................................................................5 1.................................................................................................................. 31 ANEXO B <EXEMPLO DE FOLHA DE ROSTO>.......................................................27 REFERÊNCIAS BIBLIOGRÁFICAS........ 28 GLOSSÁRIO............6 IPS – Sistema de Prevenção de Intrusões – Intrusion Prevention System (IPS) ................................................... 30 ANEXO A <DESCRIÇÃO DO ANEXO>....................... 32 APÊNDICE <DESCRIÇÃO DO APÊNDICE>.....................................................................

LISTA DE ABREVIATURAS E SIGLAS RFC BR Request For Comments Brasil Universidade Federal do Rio Grande do Sul UML Unified Model Language UFRGS RNA Redes Neurais Artificiais RBC Raciocínio Baseado em Casos .

LISTA DE FIGURAS .

LISTA DE TABELAS .

Palavras-Chave: Firewalls Corporativos. inteligência artificial e segurança da informação. na definição das regras que governam uma ferramenta de firewall. Essas regras provêem à ferramenta a capacidade de classificar os fragmentos de informação que recebe de acordo com seu grau de nocividade à integridade do sistema. Firewalls são ferramentas de software que aplicam regras definidas em sua configuração para tratar os dados que entram e saem de uma rede. O projeto do software foi desenvolvido e documentado com a utilização de diagramas e padrões UML. definindo um modelo para uma posterior desenvolvimento e implantação. produtos selecionados para prover a segurança e confiabilidade dos dados. O estudo da fundamentação teórica e das técnicas de redes neurais aplicadas no projeto teve apoio no conteúdo de literaturas técnicas das áreas de redes de computadores. Redes Neurais Artificiais.RESUMO Atualmente. Lógica Fuzzy. O trabalho apresenta um estudo de aplicação de metodologias de inteligência artificial. mais especificamente ligadas às redes neurais artificiais. a gerência da segurança das informações que são geradas dentro das corporações demanda de grande esforço humano e material além de garantias de continuidade de serviços. Redes de Computadores. Agentes Inteligentes de Controle. .

a 2cm da margem superior. centralizado. e poderão ter até 500 palavras. O abstract deve apresentar. electronic document preparation. O título traduzido é colocado antes do título do capítulo (“Abstract'”). Para maiores informações com relação à redação consultar a NBR-6028 da ABNT (1990). em fonte Times 14 pt negrito..This should be the title in English ABSTRACT This manual has the purpose of. text processors. . Ocupará no máximo 1 folha. adicionalmente. uma tradução do título do trabalho. Keywords: ABNT..

para que haja a comunicação “perfeita” entre os hosts que compõe a rede. controles. entre outros.1 REDES DE COMPUTADORES 1. notebooks. Esta infraestrutura traz consigo muitos conceitos e definição de padrões de protocolos. Este padrão define toda a infra-estrutura necessária para que haja a comunicação entre diferentes tipos de equipamentos. compartilhar informações e recursos remotamente. servidores de arquivos. switchs. Atualmente há diversos equipamentos que podem compor uma rede de computador. entre outros.1 Introdução Redes de computadores são definidas pela comunicação entre hosts que tem por objetivo geral. mídia. sem a necessidade de mover ou instalar tal recurso sempre que ele for necessário para executar determinada tarefa. servidores de aplicação. destacamos o modelo OSI (figura img_01) e suas camadas: Figura 1 • Camada 1 (layer 1): física • Camada 2 (layer 2): enlace • Camada 3 (layer 3): endereçamento • Camada 4 (layer 4): transporte . O padrão de comunicação de redes mais amplamente utilizado atualmente é o padrão Ethernet que segue as definições do modelo OSI. Abaixo. hubs. O modelo OSI define sete níveis. sendo os mais comuns atualmente: microcomputadores. também chamados de camadas. fabricados por diferentes fornecedores. PDAs. impressoras. aplicação. onde são estabelecidas as fronteiras entre os componentes necessários para que haja a comunicação entre os componentes de uma rede de computadores. firewalls. roteadores.

seja ela o simples acesso a um web site. homogêneas ou heterogêneas. sendo que o foco principal de ambos é informar o caminho que uma dada informação. Há divergências na literatura usual sobre redes de computadores sobre o modelo de referência TCP. apenas o modelo mais usado. o modelo de referência TCP. ou vídeo conferência. o modelo mais usado e aceito como padrão para elaboração de diagramas de redes. percorreu do ponto de origem até o seu destino final. sua função é garantir confiabilidade no fluxo de bytes que é fim a fim.1. que será amplamente utilizado nesse trabalho. como por exemplo. 1. Trataremos aqui. definição de topologias. Vale ressaltar que. Abaixo. para qualquer referência na construção de redes de computadores. o modelo de referência OSI é aceito e amplamente utilizado. políticas de segurança e acesso a informações. ou troca de mensagens por email. concepção de firewalls.1 TCP TCP é o principal protocolo de transporte utilizado na internet. serviços de rede. entre outras.12 • Camada 5 (layer 5): sessão • Camada 6 (layer 6): apresentação • Camada 7 (layer 7): aplicação A outros modelos de referência. mais simples que o modelo OSI. gerencia fluxos e interfaces para a camada IP e administrar e transmitir os timers dos datagramas que são entregues de . destacamos o modelo de referência TCP (figura img_02) e suas camadas: Figura 2 • • Camada 1 (layer 1): host/rede Camada 2 (layer 2): inter-redes • Camada 3 (layer 3): transporte • Camada 4 (layer 4): aplicação Cada um desses modelos apresenta uma visão para a normalização do tráfego de informações entre redes de computadores.

executando primitivas LIISTEN e ACCEPT através da especificação de um determinada origem ou ninguém em particular . Quando FIN é confirmado.2 UDP . o servidor deve aguardar passivamente por uma conexão de entrada .13 forma inapropriada pelo IP. a porta 25 (SMTP) que é utilizada para o correio eletrônico. o estado volta ser CLOSED. o tamanho máximo do segmento TCP que está disposto a aceitar . a aplicação transmissora adiciona algumas informações de controle ao fluxo de dados e o entrega ao TCP juntamente com um flag URGENT. os dados podem continuar a fluir indefinidamente no outro sentido. Quando ele se completa. o que significa que não há mais dados a serem transmitidos. o software do TCP que decide o tamanho dos segmentos.1. possui também o recurso chamado de dados urgentes . A conexão será encerrada quando os dois sentidos da conexão estiverem desativados. e sua característica principal é que cada byte em uma conexão tem seu próprio número de seqüência de 32 bits Para o funcionamento do serviço TCP é necessário que uma conexão seja estabelecida entre um soquete da máquina transmissora e um soquete da máquina receptora. Um segmento TCP consiste em um cabeçalho fixo de 20 bytes. Quando o TCP recebe dados de uma aplicação. com isso o serviço TCP para de acumular dados e transmite tudo imediatamente. e estes soquetes podem conter varias conexões. são necessários 11 estados em uma máquina de estados finitos para o estabelecimento e o encerramento de conexões TCP. Cada conexão começa do estado CLOSED. podemos considerar um par de conexões simplex onde cada conexão simplex é encerrada de modo independente de sua parceira e que para encerrar qualquer um dos lados pode enviar um segmento com o bit FIN ativado. e para o encerramento são necessários quatro segmentos TCP um FIN e um ACK para cada sentido Segundo Tanembaum. Sua robustez permite uma adaptação de forma dinâmica às propriedades de uma inter-rede. Conforme demonstrado na Figura 1. 1. por exemplo. quando um processo remoto já está iniciado e o usuário pressionar a tecla Del ou CTRL-C para interromper. a conexão será estabelecida e o estado passara a ser ESTABLISHED. especificando o endereço IP e a porta à qual deseja se conectar . enquanto o cliente executa uma primitiva CONNECT. seguido por zero ou mais bytes de dados. estes podem ser enviados imediatamente ou armazenados em um buffer para acumular um volume maior de dados e daí sim enviálos. A primitiva CONNECT envia um segmento TCP com o bit SYN ativado e um bit ACK desativado e aguarda uma resposta. O tráfego das conexões TCP pode ser feitas em ambas as direções que são chamadas de Full-duplex ou ponto a ponto. Se o outro lado executar a primitiva oposta. O encerramento da conexão pode ser iniciado por qualquer um dos lados. e opcionalmente alguns dados do usuário. Tanembaum afirma que para o estabelecimento de uma conexão TCP. No entanto. As portas mais conhecidas são às de números abaixo de 1. Ela sai desse estado ao executar uma abertura passiva (LISEN) ou ativa (CONNECT). Apesar de o tráfego das conexões TCP serem chamado de Full-Duplex. esse sentido é desativado para novos dados.024.

através do qual é possível executar diversas operações (transferência de arquivos.14 O protocolo UDP (User Datagram Protocol). consiste em transportar datagramas IP encapsulados sem que seja necessário estabelecer uma conexão. execução de programas. o protocolo UDP é utilizado para streaming de vídeo e áudio via web. backups. uma situação onde o que vale é a velocidade e não a confiabilidade. que pode ser armazenamento remoto.3. A porta normalmente utilizada para conexões SSH é a 22 sobre o protocolo TCP. não garantindo a entrega dos pacotes.1 FTP O protocolo de transferência de arquivos FTP ( File Transfer Protocol ) é um protocolo que promove o compartilhamento de arquivos entre um computador chamado de cliente e um servidor FTP que armazena arquivos. Segundo Tanembaum o protocolo FTP permite que qualquer pessoa ligado a Ìnternet pode fazer o download de qualquer arquivo. através de algoritmos na camada de aplicação o controle sobre os pacotes encaminhados. Este protocolo é considerado não confiável. enviar dados defeituosos e perder a conectividade. 1. após a verificação e validação da conexão o cliente pode fazer a troca ou recuperação de arquivos em um dos servidores. pelo padrão de comunicação FTP pela porta 21. É definido pelo RFC 768.2 SSH O protocolo SSH (Secure Shell) fornece uma conexão segura entre computadores interligados por uma rede não segura. Devido há esses problemas. 1. cada mensagem UDP contém um número em seu cabeçalho que permite identificar porta de origem e destino. Permite o acesso remoto a máquinas utilizando técnicas de criptografia em todo o tráfego. Para obter o controle sobre as mensagens UDP. Apesar dessas desvantagens. Possibilita a operação de um shell remotamente. Além dos dados enviados. seu principal meio de comunicação. Este protocolo opera da camada de transporte no modelo OSI e TCP/IP. o protocolo UDP durante a sua transmissão pode ocorrer há perda dos pacotes. aonde um cliente se conecta a internet e estabiliza uma conexão com um dos servidores FTP. utilização de serviços e recursos). o programador configura. A transferência de arquivos pode ser obtida através da internet. Uma das facilidades do protocolo FTP é o tipo de armazenamento de arquivo. além de ter bastante confiabilidade e eficiência o protocolo FTP foi implementado na rede TCP. desde que tenha um login.3. controle de erros ou retransmissão. o pacote ser retransmitidos (duplicados). segundo Douglas COMER. conforme na RFC 959. ocorrer atrasos. dados. O protocolo UDP não exige que os protocolos de recebimento confirmem a entrega dos pacotes. .3 Protocolos de Aplicação 1. pois não realiza controle de fluxo de dados.

O segundo conceito é relativo as opções negociadas. ) o SSH-CONNECT provê canais de comunicação criptografada que podem ser utilizados para uma vasta gama de propósitos. A criptografia ocorre de maneira transparente. Sua especificação é definida pela RFC 2821. Com isso o protocolo Telnet permite realizar a computação distribuída. De acordo com Comer (Interligação em Redes TCP/IP). segundo o RFC 854.15 De acordo com a RFC 4251. Este protocolo permite que um usuário em determinado site estabeleça uma conexão TCP com um servidor login em outro site.2.2 TELNET O propósito do protocolo Telnet é fornecer comunicação entre computadores ligados através de uma rede. sincronização e gerenciamento de arquivos. Modernos algoritmos de criptografia são aplicados nos dados que trafegam por SSH. o protocolo SSH é composto pelo protocolo de camada de transporte (SSH-TRANS). ou seja. 2003). 1. onde quaisquer dos terminais possam negocias as opções. Segundo Barrett e Silverman (SSH: The Secure Shell. E o terceiro conceito se se refere a uma vista simétrica de terminais e processos. que serve como interface padrão para os sistemas remotos. garantindo a segurança da transferência de dados em acessos remotos. De acordo com Tanenbaun (Redes de Computadores. podendo compartilhar hardware e software. Um daemon escuta essa porta constantemente à espera de conexões TCP (Transfer Control Protocol) que serão estabelecidas com a finalidade de realização da transferência das mensagens. que contém também a primeira parte da mensagem. the Definitive Guide. As mensagens recebidas são então copiadas para as respectivas caixas de correio.3 SMTP O protocolo de aplicação SMTP (Simple Mail Transfer Protocol) regula o envio de mensagens de correio eletrônico na Internet. onde são negociadas as opções e fornecidas como um conjunto de padrões. Barrett e Silverman afirmam também que a confiabilidade do protocolo permite que ele seja utilizado em aplicações críticas de grandes corporações. bem como a execução de aplicações e acesso a serviços e recursos podem ser executados remotamente via terminal. o protocolo Telnet é construído basicamente por três (3) idéias principais: O primeiro conceito é ligar em rede um terminal virtual da rede (“Network Virtual Terminal”). que apresenta a tela (prompt) do computador acessado para que o usuário possa operá-lo. 1. Uma mensagem que porventura não venha a ser entregue ocasionará o envio de um relatório de erros. A maneira mais difundida de utilização do SSH é o terminal remoto.2. de volta ao remetente. . a comunicação do protocolo SMTP ocorre na porta 25. Backup. pelo protocolo de autenticação de usuário (SSHUSERAUTH) e pelo protocolo de conexão (SSH-CONNECT). o usuário não percebe que seus dados são criptografados antes do envio e decriptografados ao chegar a seu destino.

1. Este nome é a seqüência de rótulos do nó na raiz do domínio. O servidor. no entanto. e se confirmações de envio e recebimento tiverem sido enviadas a conexão é encerrada.16 Segundo a RFC 2821. informando ao servidor o remetente e o destinatário. Os serviços estendido do protocolo SMTP. A aceitação desse comando por parte do destinatário indica ao cliente que o servidor aceita serviços extendidos do protocolo SMTP. Os servidores de nome administram dois tipos de dados. A não aceitação indica que a comunicação deverá ser feita sem a utilização das extensões do protocolo. uma sessão SMTP é iniciada quando o cliente (remetente) abre uma conexão com o servidor (destinatário) e este envia uma resposta de abertura. devido à sua implementação feita há muito tempo. o protocolo SMTP apresenta alguns problemas. O nó pode representar uma subárvore que representa uma partição do banco de dados global. enquanto os dados restritos são adquiridos por um servidor DNS local único para os serviços locais. juntamente com sua identificação. ou informações sobre domínios. Ao receber esta mensagem. e partições podem ser divididas em domínios ou diretórios que são chamadas de subdomínios do DNS e ambos possuem um nome único. As rotinas de bibliotecas que criam consultas e as enviam para um servidor de nome são chamados de solucionadores. que são os domínios e os dados restritos. As informações dos bancos de dados são disponibilizados para os clientes através dos servidores de nome. como por exemplo. o cliente envia um comando “EHLO”. é facultativa e existe a compatibilidade entre as duas versões. O banco de dados de uma estrutura do DNS é desenhada como uma árvore inversa. o cliente encaminha um comando “HELO”.4 DNS O DNS pode ser definido como uma distribuição de informações sobre zonas. cabendo então ao cliente o envio da mesma. que o comando de iniciação das versões mais antigas do protocolo. O cliente inicia então a transferência da mensagem. O tamanho das mensagens não pode ultrapassar 64kb. citados anteriormente. Tanembaun afirma ainda que embora bem definido.2. Após essa confirmação o servidor libera a transmissão da mensagem. Cliente e servidor configurados com timeouts diferentes podem tornar impossível o envio de uma mensagem. ou apenas para os agentes autorizados a visualizá-los. realiza uma checagem para confirmar a existência do receptor em seu domínio. A utilização da nova versão. A zona basicamente é base de dados completa para a ramificação particular de um ponto da árvore DNS. visam solucionar estes problemas. por sua vez. O banco de dados de um DNS pode ser considerado com um anexo do domínio O domínio pode ser dividido em vários subdomínios e as responsabilidades destes podem ser divididas em varias organizações. Para iniciar a sessão no modo não estendido. onde o nó raiz fica no topo com um rótulo que o identificará como pai. Efetuada a transmissão. . endereço IP. numa base de dados em que através de um esquema clienteservidor os dados ficam disponíveis em toda rede. O domínio contem hosts aos quais são atribuídos serviços e estes tem um nome de domínio que indica informações.

e com o passar dos anos essa filosofia mudou. Gopher e Wais. formado pela linguagem HTML para transferência de dados através da internet. entre outros.0. definido pelo RFC 1945. o uso de servidores proxy para um melhor monitoramento do cachê. esta versão permite enviar mensagens no formato MIME. aí então. do estado de transação que é responsável pela coleta de mensagens de correio eletrônico e do estado de atualização que é responsável . e enviar solicitação e obter uma resposta e depois enviar uma solicitação adicional e obter uma resposta adicional.2. lidando com os efeitos de fracasso do servidor de nome por consultar base de dados redundantes em outros servidores.1 pode ser usado também como um protocolo genérico para a comunicação entre os agentes de utilizadores e proxies/gatewars. novo métodos de requisições.2.9. surgindo uma nova versão o HTTP/1. O protocolo POP se inicia quando o leitor de correio é iniciado pelo usuário . esta conexão é seguida do estado de autorização que obtém o login do usuário. Esta em uso desde 1990 com iniciativa de distribuir informação na World Wide Web (www). Melhorando o desempenho do protocolo HTTP.6 POP O POP surgiu como uma solução para estações de trabalho que não dispõe de recursos suficientes para manter um sistema de transporte de mensagem.5 HTTP O HTTP (Hyper Text Transfer Protocol) é um protocolo de comunicação (de nível de aplicação no modelo OSI). 2003). segundo Tanembaun (Redes de Computadores. o HTTP/1. 1. imagens e outros atrativos visuais. se estabelece uma conexão TCP (Transmission Control Protocol) a conexão TCP oferece um fluxo de bytes fim a fim confiável.1. 1. Este protocolo é responsável pelo tratamento de pedidos/resposta entre cliente e servidor. contendo mais informações dos dados transferidos. Desta maneira permite o acesso de recursos de diversas aplicações.0. ou outros sistemas como SMTP. Esta versão admite o uso de conexões persistentes. NNTP.17 Uma organização que administra o domínio é livre para nomear hosts e subdomínios dentro do seu domínio. Em poucas palavras os servidores DNS tem a responsabilidade de lidar com a distribuição do espaço do domínio. Hoje uma página Web pode consistir de um grande número de ícones. Há alguns anos. as paginas Web consistia inteiramente de modo HTML. Com essa versão é possível estabelecer uma conexão TCP. Para suprir estas necessidades foi desenvolvido um conjunto de implementações adicionas ao HTTP/1. foi desenvolvido o HTTP/1. não sendo mais compatível com o protocolo HTTP/1. para que uma única resposta seja devolvida.0. ele é um protocolo utilizado no acesso remoto a uma caixa de correio eletrônico. FTP. Segundo o RFC 2616. permitindo enviar uma solicitação. A primeira versão do HTTP refere-se ao HTTP/0. permite que estações de trabalho recuperem mensagens de e-mail de um servidor que as armazena.

1. A maioria dos programas de correio eletrônico baixa tudo do servidor e esvazia a caixa de correio.2. Essa manipulação de mensagens e caixas de correio no servidor acontece de forma equivalente à manipulação de pastas e arquivos ou mesagens executada localmente. os usuários do stratum 2 são sincronizados aos usuários do stratum 1 e assim respectivamente um com o outro. Tanembaun afirma ainda que “essa desvantagem deu origem a um protocolo alternativo de entrega final. Para que haja uma sincronização correta entre os relógios. A premissa é que diferentemente do POP.7 NTP O protocolo de sincronização de relógio entre computadores NTP (Network Time Protocol).é um protocolo que auxilia a sincronização e coordenação do tempo em uma rede de computadores e a Internet. assim dispensando o ajuste manual de cada computador ou equipamento. Numa situação como essa a sincronização dos dispositivos se torna extremamente compicada. enquanto outras mensagens recebidas de amigos são alocadas em uma caixa de correio distinta.8 IMAP O Protocolo de Acesso a Mensagens na Internet (IMAP – Internet Message Access Protocol) permite que um cliente acesse e manipule mensagens de correio eletrônico em um servidor.18 pela exclusão da mensagem. causa alguns transtornos. um exemplo de regra que se pode estabelecer é quando uma mensagem de seu superior é recebida ela deve ir para uma determinada caixa de correio. são submetidas a regras. 1. O recurso que estabelece filtros é muito valioso para o usuário. que presume que o usuário deseja baixar suas mensagens a cada . A intenção é permitir que as mensagens sejam recuperadas e então deletadas. ou stratum 0(Dispositivos que podem ser relógios atômicos). definido na RFC 2060”. o IMAP. existe uma hierarquia de níveis. O POP não tem por objetivo permitir manipulações de mensagens no servidor. 2003). como o espalhamento das mensagens entre as diversas máquinas ou dispositivos utilizados pelo usuário para acessar seu email. mas o POP permiti baixar uma mensagem específica ou um conjunto de mensagens deixando-as no servidor. De acordo com Tanembaun (Redes de Computadores. o fato de o protocolo POP (Post Office Protocol) permitir que o usuário de um serviço de correio eletrônico tenha acesso às suas mensagens por meio do download das mesmas no computador que utiliza. Os primeiros usuários da stratum 1 o nível mais baixo são sincronizados com os serviços nacionais do tempo.2. Quando as mensagens chegam. onde cada nível (stratum) é atribuído com número. Umas das grandes melhorias da implementação do NTP na rede foi a sincronização automáticas dos relógios e dos equipamentos.

E por fim a terceira versão (SNMPv3). teve melhoras significativas na parte da segurança. mas com isso o protocolo aumentou sua complexidade. O SNMP também permite que os usuários façam ajustes das operações. legível ao homem para nomes e objeto. Então. segundo RFC 2660. Controle e Configuração. Na sua segunda versão (SNMPv2c). que usavam uma linguagem formal que fornecia uma forma codificada e notação precisa. que podem ser feitos pelos administradores nos dispositivos remotamente. com duas funções básicas. mecanismos chaves de gerencia.19 contato e acessá-las posteriormente off-line. Devido a grande aceitação desse sistema. foi desenvolvido o protocolo HTTPS. 1. read. buscar valor de uma variável ou armazenar um valor em uma variável. algoritmos de criptografia. . assim definindo o formato da mensagem que trafegam entre o software de gerenciamento e a entidade gerenciada. Segundo os autores Mauro e Shimidt (Essencial SNMP. que permite um mecanismo seguro de comunicação entre cliente e servidor. muitas aplicações exigem a autenticação entre cliente e servidor nas transações de dados confidenciais. 2001) o protocolo foi implementado na rede TCP/IP como padrão de gerenciamento por ser simples e de baixo nível.2. algumas informações confidenciais não poderiam circular na Web sem segurança. O protocolo HTTP é o mais usado entre os clientes WWW e servidores.10 HTTPS A World Wide Web (WWW) é um sistema distribuído de hypermedia que ganhou a aceitação comum entre os usuários da Internet. como controle de acesso para operações. Com isto. 1. foi adicionado o recurso getbulk. write e trap e também contem um padrão no protocolo SNMP chamado de MIB (Management Information Base). voltando a sua simplicidade. bem como ferramentas para gerenciamento e manutenção dessas mensagens. Em sua primeira versão (SNMPv1). que reduziu os pedidos e respostas repetitivas e aumentaram o desempenho para recuperar grandes quantidades de dados. Esse protocolo permite três níveis de ação entre o administrador e dispositivo a ser monitorado: Gerencia. para garantir a segurança das informações. Um servidor IMAP atua aguardando e atendendo requisições na porta 143. além da implementação multi-lingual (coexistência entre versões). O IMAP oferece mecanismos para leitura parcial ou completa das mensagens no servidor.9 SNMP O protocolo SNMP (Simple Network Management Protocol) para o gerenciamento de dispositivos em redes foi introduzido com a necessidade de crescimento para um padrão para controlar dispositivos do Internet (IP). consiste apenas ter comandos básicos. utilizando o protocolo HTTP em conjunto com SSL (secure Sockets Layer). o IMAP proporciona a permanência dessas mensagens no servidor indefinidamente. Ao longo do tempo foram surgindo versões otimizadas do SNMP. se comunicando em nível de aplicativo.2.

Redes de grande porte (figuras: img_06. para a grande maioria das grandes corporações. muitas vezes. empresas que estão diretamente ou indiretamente dependentes de sistemas de informação ou da Internet. respondem por orçamentos com somas significativas. É crescente também.20 1. sabotagens. o número significativo de hosts na rede. é indiscutível os benefícios que uma rede de computador pode trazer às empresas. é quase impossível identificar uma empresa. geralmente seguindo os padrões e recursos disponíveis. política de back-up e restore. as facilidades obtidas com o uso de redes. escalonadas em níveis. médio ou grande porte que não faça uso de redes de computadores. equipes essas terceirizadas (outsourcing) por empresas especializadas. desenhando-as conforme suas necessidades. ficam totalmente expostas a ameaças da rede mundial ou do mal uso de seus recursos por seus funcionários. sendo que o fluxo de informações é elevado e quase todo o acesso a servidores se dá remotamente. img_05): Nesses cenários. com alguns pontos remotos e acesso externos a rede local por meio de VPN ou outro sistema que permita o acesso a aplicações e recursos locais mesmo estando em pontos remotos. sendo assim. com número elevado de hosts. sua imagem tem na mídia com notícias negativas.3 Redes Corporativas Atualmente. com políticas rígidas para alterações de configurações. pode afetar sua participação no mercado. filiais em algumas cidades ou até mesmo estados. políticas de back-up e redundância. Vale lembrar que. roubar informações e até mesmo. fica difícil construir uma aplicação ou sistema de segurança eficiente o suficiente para inibir tais práticas. seja ela de pequeno. Redes de médio porte (figuras: img_03. Cada corporação define seu próprio cenário de rede. ou mesmo a troca de arquivos entre os hosts. porém. causando prejuízos significativos. Grande parte dos serviços utilizados é de aplicações desenvolvidas internamente e há um fluxo de informações relativamente grande exigindo uma equipe interna de TI para o suporte a usuários locais e remotos e manutenção das aplicações. filiais espalhadas por vários estados ou até mesmo países. isso porque. rigorosos procedimentos para acesso a informações. Vale ressaltar que nessas empresas há equipes de TI e que geralmente. equipes especializadas em continuidade de operações e suporte. tendo um número muito grande de servidores instalados em grandes datacenters fora do site principal da empresa. . Como a normalização de redes não é uma prática utilizada em larga escala pelas empresas. img_07. normalmente. As aplicações normalmente são executadas em servidores hospedados em um datacenter local. o número sem fim de aplicações que surgem a cada dia para derrubar serviços de redes. observamos que as redes construídas. o nível de segurança aqui utilizado é de alto grau de complexidade. seja pelo simples fato de poder utilizar uma impressora compartilhada. com nível de segurança relativamente alto. Neste ponto. img_04. img_08): Aqui.

equipes gigantes para manter tudo isso. em sites de e-commerce. são apenas algumas das muitas parafernálias que os gestores devem estar prontos para administrar de maneira eficiente a manter a integridade das informações. IDS/IPS. . Firewalls. que estão em constante monitoramento do uso da rede e isso implica em equipamentos e softwares cada vez mais especializados. grandes soluções de segurança pesam na performance da rede. em datacenters remotos. Pesadas regras de firewall e controle de acesso. prejudicam o andamento de processos ou atividades que dependem de acesso a informações que estão em sistemas fora da empresa. VPN. interfaces de gerenciamento. roteador/switch. servidores de autenticação. em sistemas web de fornecedores e instituições financeiras. ou o uso de um conjunto de mecanismos para garantir isso. exigem equipes especializadas. Scanners de vulnerabilidade. ai temos uma grande amontoado de softwares.21 Entretanto. hardwares. antivírus.

bem como o uso que os mesmos fazem da rede. O crescimento comercial assustador da Internet nos últimos anos foi superado apenas pela preocupação com a segurança deste novo tipo de mídia. é vulnerável a IP spoofing. componentes fundamentais em redes de qualquer tamanho – pequenas.3 Filtro de Pacote Estático – Stateless Os usuários das redes de computadores mudaram. O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurança. dificuldade de gerenciamento em ambiente complexos. statefull. Essa simplificação permite. Neste capítulo. . validando. tais como algoritmos complexos para montar e desmontar pacotes de dados que por ele passarem. sem estado (stateless) e com estado (statefull) Os sem estado (stateless) decidem sobre a passagem ou não de um pacote considerando apenas as informações carregadas no próprio pacote.) Os firewalls sem estado não analisam o protocolo de aplicação para determinar o tipo de serviço transportado pelo pacote.. A segurança da rede despontou-se como um problema em potencial. 1. um custo menor . iremos discutir os modelos mais implementados de firewall: stateless.22 2 FIREWALL 1. podem ter configurações simples – libera e bloqueia – estar associado a recursos de anti-spam anti-vírus. sem falar em firewalls. Suas vantagens consiste em possuir um baixo overhead. conforme um conjunto previamente de regras elaboradas pelo administrador. tornar o firewall mais rápido. O filtro de pacotes stateless tem sua vantagens e desvantagens. A dedução do tipo de serviço é feito indiretamente pelo campo “Protocol Type” do IP . independente do protocolo transportado e independente de criptografia e tunelamento. eles podem ser de dois tipos.2 Introdução Não se pode falar atualmente em segurança da informação. inspecionar praticamente todas as camadas do modelo OSI (ou TCP). Já suas desvantagens são permitir conexão externa → interna. é mais simples e flexível que o statefull e é transparente.. médias ou grandes – ou até mesmo em nossas casas. Os com estado (stateful) decidem sobre a passagem ou não de um pacote levando em consideração outros pacotes que atravessaram anteriormente o firewall. ou mesmo possuir recursos mais avançados. não oferece autenticaçãoe tem dificuldade de filtrar serviços com portas dinâmicas (RPC. se um determinado tipo de pacote (dado) poderá ou não entrar ou mesmo sair da rede que este protege. VoIP. O tipo mais comum de firewall é o sem estado que utiliza usualmente apenas informações das camadas de rede e transporte. Iremos abordar também dois outros conjuntos de ferramentas que auxiliam o analista de segurança ou a equipe de segurança: IDS e IPS.

. No filtro de pacotes dinâmico em um firewall temos a possibilidade de ver as ligações de uma conexão a outra e determinar quais pacotes podem ser transmitidos na rede. somente armazena os dados relacionados à ameaça (log) e envia um alerta ao console. após gravar os endereços IP e a porta utilizada e a conexão for aceita. O console monitora esses eventos e controla os sensores. atuando nas DMZs (Demilitarized Zones – Zonas Desmilitarizadas) ou nas bordas de uma rede. efetuar a inspeção continua dos dados. É possível. mantendo um registro de todas as conexões que passam por firewall. ter o tráfego garantido. 1. é possível determinar ações como: conexões previamente estabelecidas ou solicitadas pela rede protegida. Um sistema reativo. um sistema de detecção de intrusões – Intrusion Detection System (IDS) monitora o tráfico de uma rede de computadores procurando por atividades suspeitas e alerta o sistema ou o administrador da rede.23 Enfim o firewall estático proporciona segurança. O IDS é classificado como um sistema passivo. 1. Essa reação pode acontecer automaticamente ou sob o comando do administrador da rede. Um IDS é composto por vários componentes como sensores. ou menos restritivas para um usuário que conecta em uma rede corporativa. simplicidade e eficiência para os menos exigentes. dependendo de como e onde um sistema se conecta a rede. um console e um engine central. evitando entradas não permitidas na rede. por sua vez. Outra proteção é o bloqueio de tráfego em redes que contêm baixa segurança. o filtro de firewall dinâmico pode ter uma segurança mais elevada do que um filtro de pacotes estático. Existem diversas maneiras de se configurar um IDS dependendo do tipo e localização dos sensores e da metodologia utilizada pelo engine para gerar os alertas. No firewall temos dois tipos de filtro: Estático e Dinâmico.5 Sistema de Detecção de Intrusões – Intrusion Detection System (IDS) Segundo Cox e Gerg (2004). Um exemplo de sistemas reativos são os sistemas de prevenção de intrusões – Intrusion Prevention Systems (IPS). o firewall não permitirá sua passagem.4 Filtro de Pacote Dinâmico – Statefull Um firewall é um programa ou dispositivo de hardware (com um programa embarcado) que filtra os dados que entram ou saem pela conexão de sua rede privada ou conexão com a Internet. O engine central armazena os eventos detectados pelos sensores em uma base de dados e utiliza um sistema de regras para gerar alertas desses eventos. Isso porque. evitando que pacotes modificados (spoofing) entre na rede e cause danos ou comprometa as informações que trafegam pela rede. com esse recurso. responde à atividade suspeita ressetando a conexão ou reprogramando o firewall a fim de bloquear o tráfego oriundo da fonte suspeita. Em outras formas de seguranças o filtro de firewall dinâmico permite diferentes tipos de proteção. havendo mais possibilidades de restringir e definir regras para usuários que conectam a Internet. Os sensores geram eventos de segurança. Na maioria das implementações de IDSs os três componentes são combinados em um único dispositivo. Se um pacote oriundo ou com destino à Internet é identificado como “ameaça” ao sistema. uma vez que ao detectar uma possível ameaça à segurança do sistema.

incorporando novas funcionalidades. 2. Os NIDSs obtêm acesso ao tráfego da rede conectando-se a um hub ou switch. que são apresentadas na seqüência. logs de arquivos. 1.4 Host-based Intrusion Detection System (HBIDS) Um sistema de detecção de intrusões baseado em hosts consiste de um agente em uma máquina da rede.4. Os IDSs podem ser classificados em cinco categorias diferentes. Este sistema é uma evolução do IDS (Intrusion Detection System). 2. Qualquer anomalia é reportada ao console. IDSs e IPSs são bem sutis e tendem a se tornar cada vez mais discretas à medida que uma ferramenta assume características da outra. tentando identificar intrusões.4.6 IPS – Sistema de Prevenção de Intrusões – Intrusion Prevention System (IPS) O sistema de prevenção de intrusos – Intrusion Prevention System (IPS) tem por finalidade prevenir/evitar ataques ou atividades maliciosas na rede. etc. um IDS fornece um nível maior de segurança se utilizado em conjunto com um firewall tradicional. um APIDS monitoraria as transações específicas SQL com o banco de dados.3 Application-Protocol-based Intrusion Detection System (APIDS) Sistemas de detecção de intrusões baseados em protocolos de aplicações consistem de um sistema ou agente que monitora e analisa a comunicação (protocolo) entre aplicações específicas. 2.4.1 Network Intrusion Detection System (NIDS) Os sistemas de detecção de intrusões de rede são sistemas independentes que identificam ameaças examinando o tráfego de toda a rede e monitorando múltiplos hosts. 2. antes que alcance o seu alvo. em um servidor web com banco de dados.) e outras atividades e estados. alterações no sistema de arquivos (arquivos binários.5 Hybrid Intrusion Detection System (HIDS) Um sistema híbrido de detecção de intrusões combina duas ou mais das abordagens anteriormente descritas. arquivos de password. Ao . que analisa system calls. Dados dos agentes dos hosts são combinados às informações da rede para produzir uma visão mais ampla da situação da rede.24 Procurando por atividades suspeitas na camada de aplicação. que analisa endereços IP e portas.4.4. As diferenças entre firewalls.2 Protocol-based Intrusion Detection System (PIDS) Um sistema de detecção de intrusões baseados em protocolos consiste de um sistema ou agente que monitora e analisa o protocolo de comunicação entre um dispositivo e a rede na qual atua. 2. Por exemplo.

Essas ações são desenvolvidas e podem cancelar a conexão invasora e reconfigurar o firewall para bloquear/interceptar o ataque futuramente. o IPS executa (através de algoritmos) ações para derrubar os pacotes maliciosos e permitir que os outros pacotes inofensivos transitem normalmente na rede. que é um software introduzido diretamente em aplicações ou para ser instalados nos usuários da aplicação. verificando anomalias. onde hospedam as aplicações.In-Line – são dispositivos de hardware ou software habilitado a detectar e impedir ataques. . ou é utilizado para filtrar assinaturas baseadas (signature based).25 identificar/detectar um ataque na rede.Host – Based. 2º . são eles: 1º . O sistema IPS realiza decisões de controle de acesso baseados no conteúdo na aplicação. Existem dois (2) tipos de prevenção de intrusos.

.

.27 3 CONCLUSÃO Apresentar conclusão do trabalho xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.

REFERÊNCIAS BIBLIOGRÁFICAS BRAGA.. A. 4ª ed. P. Raciocínio Baseado em Casos. WANGENHEIM A. . CARVALHO A. von. 1ª ed Barueri: Editora Manole Ltda. 2000. Rio de Janeiro: Editora Campus. 2ª ed.. C. A.A.. C. 2003. WANGENHEIM. Redes de Computadores. LUDERMIR. S. Rio de Janeiro: Editora Campus. S. Redes Neurais Artificiais. RUSSEL. G. de P. Rio de Janeiro: LTC Editora S. TANENBAUM. NORVIG. 2003. P. F. Inteligência Artificial. 2004. T. de L. B. von.

:s. New York: Schaum Publishing. 1956. utilizando-se abreviaturas dos numerais ordinais e da palavra edição. ed.: SCHAUM. ambas na forma adotada na língua do documento.]. abreviada. a entrada é feita pelo título. Rio de Janeiro: L. abreviada.]. Ex. indica-se apenas o primeiro. Em casos em que a menção dos nomes for indispensável para certificar a autoria é facultado indicar todos os nomes.l. deve-se indicar a expressão sine nomine. entre colchetes [S. D. Cristiano.l. entre colchetes [s. São Paulo: Câmara Brasileira do Livro. acrescentando-se a expressão et al.n. A. I. Ex. et al. Não sendo possível determinar o local (cidade) de publicação. .]. Ex. Em caso de autoria desconhecida. utilizam-se [S. 1993. Schaum’s Outline of Theory and Problems.29 Observações Quando existirem mais de três autores. Quando o local e a editora não puderem ser identificados. 6.n. Quando houver uma indicação de edição. 5th ed.: URANI. Quando a editora não puder ser indicada. Da Cor à Cor Inexistente. PEDROSA.: DIAGNÓSTICO do Setor Editorial Brasileiro. utiliza-se a expressão sine loco. 1995. esta deve ser transcrita.

apresentar depois das referências.30 GLOSSÁRIO Esse item é opcional. . Se houver glossário.

mas que não são essenciais à sua compreensão.31 ANEXO A <DESCRIÇÃO DO ANEXO> Destinam-se à inclusão de informações complementares ao trabalho. . e que não foram desenvolvidos pelo autor do trabalho. que não necessariamente precisam estar em conformidade com o modelo. No caso de haver apenas um anexo. Os Apêndices devem apresentar material desenvolvido pelo próprio autor. etc. formatado de acordo com as normas. a não ser na página inicial de cada um. não utiliza-se as letras para enumerá-los. Nos Anexos os números não precisam ser indicados.. manuais. A contagem das páginas nos Apêndices e Anexos segue normalmente. Usa-se a palavra ANEXO no singular. Já os Anexos destinam-se à inclusão de material como cópias de artigos.

32 ANEXO B <EXEMPLO DE FOLHA DE ROSTO> Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx .

Já os Anexos destinam-se à inclusão de material como cópias de artigos. e que não foram desenvolvidos pelo autor do trabalho. formatado de acordo com as normas. A utilização de letras é dispensada.. No caso de haver apenas um apêndice.APÊNDICE <DESCRIÇÃO DO APÊNDICE> Destinam-se à inclusão de informações complementares ao trabalho. etc. A contagem das páginas nos Apêndices e Anexos segue normalmente. que não necessariamente precisam estar em conformidade com o modelo. não utiliza-se as letras para enumerá-los. mas que não são essenciais à sua compreensão. Nos Anexos os números não precisam ser indicados. . manuais. a não ser na página inicial de cada um. Usa-se a palavra APÊNDICE no singular. Os Apêndices devem apresentar material desenvolvido pelo próprio autor.