Este documento descreve uma unidade curricular sobre segurança em redes. A unidade aborda conceitos gerais de segurança da informação, criptografia, segurança em redes, firewalls, detecção de intrusões e autenticação. A avaliação inclui testes, projetos práticos e trabalhos práticos em aula.

1. Segurança Informática
CTeSP Tecnologias e Programação de Sistemas de Informação
Filipe André Martins de Freitas
Milton Rúben Rodrigues Aguiar

2. Informações Gerais
• Segurança em Redes
• Docentes Teórica
– Prof. Esp. Filipe Freitas
• filipef@staff.uma.pt
– Eng. Milton Aguiar
• miltonaguiar@staff.uma.pt
• Docentes Teórica-Pratica / Pratica
– Prof. Esp. Filipe Freitas
• filipef@staff.uma.pt
– Eng. Milton Aguiar
• miltonaguiar@staff.uma.pt

3. • Segurança
• Objectivo
– O foco principal desta unidade curricular está na mitigação das
ameaças de segurança. O objectivo deste capítulo é apresentar as
diferentes formas de auditar a segurança de uma rede e implementar
métodos para mitigar as ameaças.
Informações Gerais

4. • Programa
– Conceitos gerais sobre segurança da informação
– Vulnerabilidades, ameaças e ataques
– Políticas de segurança e mecanismos de segurança
– Segurança em sistemas distribuídos
– Conceitos gerais sobre criptografia
– Criptografia de chave pública/privada/combinada
– Gestão de chaves e certificados
– Segurança em Redes informáticas
– Gestão e administração de firewall
– Sistemas de deteção de intrusões (IDS)
– Estabelecimento de uma Redes privadas virtual (VPN)
– Autenticação de utilizadores
– Processos de autenticação
– Verificação em duas etapas
– Autenticação de certificados
– Segurança de Software
– Estrutura e dependências funcionais
– Análise e verificações de segurança no processo de desenvolvimento de software
Informações Gerais

5. • Segurança
• Avaliação
– 40 % Teste (nota mínima 8 valores)
– 40 % Projeto (nota mínima 8 valores)
– 10 % 1º Trabalho Prático em Aula
– 10 % 2º Trabalho Prático em Aula
Informações Gerais

6. Informações Gerais

7. Introdução

8. Introdução

9. Introdução

10. Introdução

11. Introdução

12. Introdução

13. Introdução

14. Introdução

15. Introdução

16. Introdução

17. Introdução

18. Introdução

19. Introdução

20. Introdução

21. Introdução

22. Introdução

23. Introdução

24. Introdução

25. Introdução

26. Introdução

27. Papel do Internetwork Operating System (IOS)
• Classes de dispositivos que têm o IOS embutido: routers, switches da Cisco e
respetivos parâmetros que podem ser configurados

28. Propósito dos ficheiros de configuração: startup config e running-config

29. Modos de operação do Cisco IOS: Estrutura hierárquica

30. Os diferentes modos existentes e a forma como são identificados no
prompt (janela de comandos)

31. Estrutura básica dos comandos no IOS

32. Tipos de ajuda existentes: comandos help (utilização do ?)

33. O propósito do comando show e das suas variantes: Exemplos

35. Como aceder ao IOS num equipamento: interfaces disponíveis nos equipamentos

36. Razões para nomearmos os equipamentos (atribuição do hostname)

37. Exemplo de configuração de um hostname

38. Papel das passwords para limitar o acesso às configurações dos equipamentos

39. Exemplos de configuração de passwords

40. Configuração das mensagens de banner : Exemplo

41. Ficheiro running-config: devemos copiar o conteúdo deste ficheiro
para o startup-config
Uma alternativa mais rápida é utilizar o comando write

42. Copiar o running-config para um servidor TFTP (fazendo um backup às
configurações do equipamento)

43. Configurar os interfaces do Router

44. O router possui vários tipos de interfaces

45. Podem ser configuradas descrições aos interfaces

46. Configurações de endereçamento a um host da rede: Configurações TCP/IP da
placa de rede

47. Comandos ipconfig/ifconfig permitem verificar as configurações TCP/IP de um
determinado host

48. No IOS é possível verificar as configurações dos interfaces do
router. Exemplo:

49. Utilização do PING para verificar a operacionalidade e conectividade

50. Utilização do PING

51. Utilização do PING para garantir conectividade entre hosts na rede

52. Identificar algumas das razões que podem levar a que o teste de
conectividade com o PING falhe

53. Tabela de Routing
• A principal função de um router é encaminhar um pacote para sua rede de destino, que é o
endereço IP de destino do pacote. Para isso, um router precisa pesquisar as informações de routing
armazenadas em sua tabela de routing.
• Uma tabela de routing é um arquivo de dados na RAM usada para armazenar informações de rota
sobre redes conectadas directamente e remotas.
• A tabela de routing contém associações de rede/próximo salto. Essas associações informam a um
router que, em termos ideais, um determinado destino pode ser alcançado enviando-se o pacote
para um router específico que representa o "próximo salto" a caminho do destino final. A
associação de próximo salto também pode ser a interface de saída para o destino final.

54. • Uma rede conectada directamente é uma rede acoplada directamente a uma das interfaces do router.
– Quando a interface de um router é configurada com um endereço IP e uma máscara de sub-rede, a
interface se torna um host na rede acoplada.
– O endereço de rede e a máscara de sub-rede da interface, além do tipo de interface e o número, são
inseridos na tabela de routing como uma rede conectada directamente. Quando um router encaminha
um pacote para um host, como um servidor Web, o host está na mesma rede da rede conectada
directamente de um router.
• Uma rede remota é uma rede que não está conectada directamente ao router. Em outras palavras, uma rede
remota é uma rede que só pode ser alcançada enviando-se o pacote para outro router.
– As redes remotas são adicionadas à tabela de routing usando um protocolo de routing dinâmico ou
configurando rotas estáticas. Rotas dinâmicas são rotas para redes remotas que foram aprendidas
automaticamente pelo router, usando um protocolo de routing dinâmico. Rotas estáticas são rotas para
redes configuradas manualmente por um administrador de rede.

56. Routing Estático
• As redes remotas são adicionadas à tabela de routing, configurando
rotas estáticas ou através de um protocolo de routing dinâmico.
– Quando o IOS souber algo sobre uma rede remota e sobre a interface
que a usará para alcançar essa rede, ele irá adicionar essa rota à
tabela de routing.
• Uma rota estática inclui o endereço de rede e a máscara de sub-
rede da rede remota, além do endereço IP do router do próximo
salto ou da interface de saída. As rotas estáticas são denotadas
com o código S na tabela de routing.

57. Routing dinâmico
• As redes remotas também podem ser adicionadas à tabela de routing,
usando um protocolo de routing dinâmico. Com recurso a protocolos os
routers constroem automaticamente a tabela de routing
• Os protocolos de routing dinâmico são usados por routers para partilhar
informações sobre o alcance e o status de redes remotas. Os protocolos de
routing dinâmico executam várias actividades, inclusive:
– Detecção de rede
– Actualização e manutenção das tabelas de routing.

58. • Há vários protocolos de routing dinâmico para IP.
Aqui estão alguns do protocolos de routing
dinâmico mais comuns para pacotes IP de
routing:
– Protocolo de informações de routing (RIP, Routing Information Protocol)
– Protocolo de routing de Gateway Interior (IGRP, Interior Gateway Routing Protocol)
– Protocolo de routing de Gateway Interior Aprimorado (EIGRP, Enhanced Interior Gateway Routing
Protocol)
– Abrir caminho mais curto primeiro (OSPF, Open Shortest Path First)
– Sistema Intermediário para Sistema Intermediário (IS-IS, Intermediate System-to-Intermediate
System)
– Protocolo de routing de Borda (BGP, Border Gateway Protocol)

59. Princípios da tabela de routing
• 1. Todos os routers tomam suas decisões sozinhos com base nas informações
presentes em sua própria tabela de routing.
• 2. O facto de um router ter determinadas informações em sua tabela de routing
não significa que todos os routers tenham as mesmas informações.
• 3. As informações de routing sobre um caminho de uma rede para outra não
fornecem informações de routing sobre o caminho inverso ou de retorno.

60. Determinação do melhor caminho
• Determinar o melhor caminho de um router envolve a avaliação de vários caminhos para a mesma
rede de destino e seleccionar o caminho ideal ou mais "curto" para alcançar essa rede.
• Sempre que há vários caminhos para alcançar a mesma rede, cada caminho usa uma interface de
saída diferente no router para alcançar essa rede.
• O melhor caminho é seleccionado por um protocolo de routing, com base no valor ou na métrica
usado para determinar a distância para alcançar uma rede. Alguns protocolos de routing, como RIP,
usam a contagem de saltos simples, o número de routers entre um router e a rede de destino.
• Outros protocolos de routing, como OSPF, determinam o caminho mais curto, examinando a largura
de banda dos enlaces e usando os enlaces com a largura de banda mais rápida de um router para a
rede de destino.

62. Balanceamento de Carga
• O que irá acontece se uma tabela de routing tiver dois ou mais caminhos com a
mesma métrica para a mesma rede de destino?
– Quando um router tem vários caminhos para uma rede de destino e o valor dessa métrica
(contagem de saltos, largura de banda etc.) é igual, isso é conhecido como métrica de mesmo
custo, e o router irá executar o balanceamento de carga de mesmo custo.
• A tabela de routing irá conter a única rede de destino, mas terá várias interfaces de
saída, uma para cada caminho de mesmo custo. O router irá encaminhar pacotes
que usam as várias interfaces de saída listadas na tabela de routing.

63. Encaminhando pacotes
• Encaminhar pacotes envolve duas funções:
– Função de determinação do caminho
– Função de comutação
• A função de determinação do caminho é o processo de como o router
determina que caminho usar ao encaminhar um pacote. Para
determinar o melhor caminho, o router pesquisa sua tabela de routing
em busca de um endereço de rede correspondente ao endereço IP de
destino do pacote.

64. Função de determinação do caminho
• Uma das três determinações de caminho é resultante dessa pesquisa:
– Rede conectada directamente – se o endereço IP de destino do pacote pertencer a um dispositivo em
uma rede conectada directamente a uma das interfaces do router, esse pacote será encaminhado
directamente para o dispositivo. Isso significa que o endereço IP de destino do pacote é um endereço de
host na mesma rede da interface do router.
– Rede remota – se o endereço IP de destino do pacote pertencer a uma rede remota, o pacote será
encaminhado para outro router. As redes remotas só podem ser alcançadas encaminhando-se pacotes
para outro router.
– Nenhuma rota determinada – se o endereço IP de destino do pacote não pertencer a uma rede
conectada ou remota e se o router não tiver uma rota padrão, o pacote será descartado. O router envia
uma mensagem inalcançável ICMP para o endereço IP de origem do pacote.

65. Função de Comutação
• A função de comutação é o processo usado por um router para aceitar um pacote em uma
interface e encaminhá-lo usando outra interface. Uma das principais responsabilidades da
função de comutação é encapsular pacotes no tipo apropriado do quadro de enlace de
dados para o link de dados de saída.
• O que um router faz com um pacote recebido de uma rede e com destino a outra rede? O
router executa as três seguintes etapas principais:
1. Desencapsula o pacote da Camada 3, removendo o cabeçalho e o trailer do quadro da Camada 2
2. Examina o endereço IP de destino do pacote IP para localizar o melhor caminho na tabela de routing.
3. Encapsula o pacote de Camada 3 em um novo quadro de Camada 2 e encaminha o quadro pela interface
de saída.

66. Routing Estático
• O comando para configurar uma rota estática é ip
route. A sintaxe completa para configurar uma
rota estática é:
Router(config)#ip route network-address
subnet-mask {ip-address | exit-interface }

67. • Os seguintes parâmetros são usados:
– network-address - Endereço da rede de destino da rede remota a ser adicionado à tabela de
routing
– subnet-mask - Máscara de sub-rede da rede remota a ser adicionada à tabela de routing. A
máscara de sub-rede pode ser modificada para resumir um grupo de redes.
• Um ou dois dos seguintes parâmetros também
devem ser usados:
– ip-address - Normalmente conhecido como o endereço IP do router do próximo salto
– exit-interface - Interface de saída que seria usada no encaminhamento de pacotes para a rede
de destino

70. Tabela de Routing
• Para que um pacote seja encaminhado por um router, o processo da tabela de routing deve
determinar a interface de saída a ser usada no encaminhamento do pacote. Isso é conhecido como
capacidade de resolução da rota.
• Localizar uma rota é apenas a primeira etapa do processo de pesquisa.
• Toda rota que só referencia um endereço IP do próximo salto, e não uma interface de saída, deve
ter o endereço IP do próximo salto resolvido usando outra rota na tabela de routing que tenha uma
interface de s
• Normalmente, essas rotas são resolvidas para rotas na tabela de routing que são redes diretamente
conectadas, porque essas entradas sempre conterão uma interface de saída. aída.

72. Sumarização de Rotas
• Criar tabelas de routing menores torna o processo de pesquisa na
tabela de routing mais eficiente, porque há menos rotas a serem
pesquisadas. Se uma rota estática puder ser usada em lugar de
várias rotas estáticas, o tamanho da tabela de routing será
reduzido. Em muitos casos, uma única rota estática pode ser usada
para representar dúzias, centenas ou até mesmo milhares de rotas.
• Várias rotas estáticas podem ser sumarizadas em uma única rota
estática caso:
– As redes de destino possam ser sumarizadas em um único endereço de rede e
– As várias rotas estáticas usem a mesma interface de saída ou o endereço IP do próximo salto

73. Sumarização de Rotas

74. Rota Estática Padrão
• Uma rota estática padrão é uma rota que
corresponderá a todos os pacotes. São usadas rotas
estáticas padrão:
– Quando nenhuma outra rota na tabela de routing corresponde ao endereço IP de destino. Em outras
palavras, quando não houver uma correspondência mais específica. Um uso comum é ao conectar o router
de borda de uma empresa à rede ISP.
– Quando um router só tem um outro router ao qual está conectado. Essa condição é conhecida como um
router stub.
• A sintaxe de uma rota estática padrão é semelhante a
qualquer outra rota estática, exceto pelo endereço de
rede ser 0.0.0.0 e a máscara de sub-rede, 0.0.0.0:
– Router(config)#ip route 0.0.0.0 0.0.0.0 [exit-interface | ip-address ]

75. DÚVIDAS ?!