CIA

Prévia do material em texto

Segurança de Redes I
Aula 10: Protocolos usados para garantia de CIA
Apresentação
Como um dos elementos básicos da segurança da informação, a CIA é uma peça vital no estabelecimento de
transferências seguras de arquivos corporativos ou de qualquer outro nível e natureza. Já vimos a chamada tríade básica
da CIA e alguma outras características que devem ser aplicadas através de mecanimos que propiciam a segurança sobre
o trato da informação. Aplicá-los às suas transferências de dados é crucial para que possamos obter o que chamamos
CIA.
Vejamos agora alguns mecanismos denoinados de protocolos seguros para que possamos obter alguma certezas e
garantias sobre a segurança e, com isso, viabilizarmos a mesma.
Objetivos
Analisar protocolos;
Empregar protocolos e critérios de segurança;
Explicar o protocolo de segurança.
Sobre protocolos
Definição
Na chamada Área da Ciência da Computação, um protocolo é um conjunto
de regras convencionadas que controla e possibilita uma conexão, uma
comunicação e uma transferência de dados entre dois sistemas
computacionais quaisquer. Isso nos leva à compreensão de que o protocolo,
em linhas gerais, pode ser definido como um conjunto de regras que
controlam ou regem a sintaxe, a semântica e a sincronização de um
processo de comunicação.
Também é bom que se diga que os protocolos podem ser implementados tanto pelo hardware quanto pelo software ou por
uma combinação dos dois.
Propriedade típicas dos protocolos
Há muita variedade de protocolos em função de seus propósitos e nível de sofisticação e funcionalidades. Porém, há uma linha
geral de características, similaridades ou propriedades, que todo protocolo possui, são elas:
Detecção da conexão física subjacente ou a existência de um nó.
Handshaking (estabelecimento de ligação).
Negociação de várias características de uma conexão.
Como iniciar e finalizar uma mensagem.
Como formatar uma mensagem.
O que fazer com mensagens corrompidas ou mal formatadas.
Como detectar perda inesperada de conexão e o que fazer em seguida.
Término de sessão ou conexão.
Saiba mais
As funções lógicas das coisas que estão vivas e acontecendo em nosso universo digital, somente ocorrem porque existem os
protocolos. Caso contrário, sem os protocolos, seria muito difícil a existência de tantas funcionalidades espalhadas por esse
universo digital do qual fazemos parte.
A Internet, por exemplo, só existe como rede e sustenta toda a gama de serviços
sobre ela graças ao uso e ao funcionamento de protocolos, difundidos e
expandidos, principalmente os protocolos de comunicação, o que por
consequência de fato, é pré-requisito e uma contribuição para o poder e o sucesso
da Internet. Por exemplo, o famoso par formado por IP e TCP tornou-se uma
referência emblemática da coleção dos protocolos mais utilizados (TCP/IP).
 (Fonte: redesbrasil).
                  Camada                   Exemplos
Camada 4 – Aplicação (equivalente às
camadas 7,6 e 5 do modelo OSI)
HTTP, HTTPS, DNS, SNMP, FTP
Neste nível, encontram-se todos os protocolos que são destinados a um tipo de serviço
específico voltados para o processo de comunicação de dados em uma relação processo-
a-processo (fim-a-fim) como, por exemplo, no caso de um dado web browser que
necessita estabelecer uma comunicação com um servidor da web.
Camada 3 – Transporte (equivalente à
camada 4 do modelo OSI)
TCP, UDP, SCTP
Neste nível, encontra-se a comunicação host-a-host, transparente aos caminhos e aos
enlaces por onde se monta ao processo de comunicação.
Camada 2 – Internet (equivalente à
camada 3 do modelo OSI)
IP, MPLS
Este é o nível responsável por estabelecer as conexões entre os segmentos de redes,
montando as interconexões.
Camada 1 – enlace (equivalente às
camadas 2 e 1 do modelo OSI)
Neste nível, conhecido como físico, são tratadas e consideradas as tecnologias
empregadas nas conexões tais como: Ethernet, Wi-Fi, Modem etc. Em uma analogia com
o que foi estruturado no modelo OSI, essa camada também é conhecida como camada
física, mas subdividida em dois domínios ou partes: a camada física e a camada enlace de
dados. No domínio da camada física, tratamos questões do hardware e no domínio da
camada de enlace de dados tratamos parte lógica do hardware; mac address.
 Tabela
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Por exemplo, a chamada Pilha TCP/IP tem a maioria dos seus protocolos destinados aos processos de comunicação via
Internet que estão descritos nos documentos RFC do IETF.
 (Fonte: Tools.ietf).
No geral, apenas os protocolos mais simples são utilizados sozinhos. A grande maioria dos protocolos, especialmente no
contexto da comunicação em rede de computadores, são agrupados em pilhas de protocolo nas quais as diferentes tarefas
viabilizam o processo de comunicação, executadas por níveis especializados da pilha.
Enquanto uma pilha de protocolos denota uma combinação específica de protocolos que trabalham conjuntamente, um
modelo de referência é uma arquitetura de software que lista cada um dos níveis e os serviços que cada um deve oferecer. O
modelo clássico OSI, em sete níveis, é utilizado para conceituar pilhas de protocolo.
Lista de Protocolos, da arquitetura TCP/IP
Apesar de termos o chamado modelo clássico OSI, estruturado em sete níveis, o qual utilizamos para conceituar pilhas de
protocolo, o que aplicamos na prática e que se consolidou em muitas redes foi a pilha de protocolos TCP/IP, que apresenta um
conjunto de protocolos que se segue como exemplo:
Internet Protocol (IP).
Protocolo de Configuração Dinâmico de Endereço IP (DHCP).
Protocolo de Transporte (TCP).
Protocolo de Transporte (UDP).
Protocolos de Transferência de Texto – Hypertext (HTTP).
Protocolo de Acesso Remoto (Telnet).
Shell Security (SASH).
Posto Office Protocol (POP3).
Simple Mail Transfer Protocol (SMTP).
Internet Message Acess Protocol (IMAP).
Atenção
Sobre essa pilha de protocolos (TCP/IP) é que reside o nosso desafio de proteger a informação do seu domínio, não importando
se a mesma está estática num nicho de armazenamento ou em pleno deslocamento sobre uma infraestrutura de comunicação.
Dependendo de como esteja ocorrendo o processo, lançaremos mão de um determinado tipo de protocolo para construirmos
nossos mecanismos de proteção.
Tipos de Protocolos
Os protocolos foram criados provenientes da necessidade de haver conexão de equipamentos de fornecedores distintos, os
quais operavam com sistemas operacionais distintos, para que não houvesse a necessidade de ter que escrever, a cada caso
de comunicação, programas específicos para os fins que se desejavam.
Ambientes computacionais envolvidos no processo de comunicação devem estar configurados com os mesmos parâmetros e
obedecer aos mesmos padrões para que a comunicação possa ser realizada sem erros: executar ou rodar o mesmo protocolo.
Há diversos tipos de protocolos de rede que variam de acordo com o serviço a ser utilizado pelo ambiente computacional. A
figura abaixo ilustra os principais tipos de protocolos e sua camada de atuação.
 (Fonte: Sit13.wordpress).
Protocolos de Rede
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Os chamados protocolos de rede nada mais são do que um conjunto de
normas (base de teoria dos protocolos) que viabilizam um determinado
processo de comunicação de qualquer máquina com qualquer máquina,
desde que ambas estejam conectadas à uma infraestrutura de rede, sendo
esta privada (Intranet) ou pública (Internet).   
Com isso e desse jeito, qualquer usuário consegue enviar e receber mensagens instantâneas, baixar e subir arquivos do seu
domínio computacional e acessar qualquer tipo de domínio no universo digital permitido.
Esta dinâmica é muito interessante, mas também muito perigosa, pois sobre ela se escondem possíveis agressores do
domínio digital que podem provocar algum sinistro. Contra isso, no domínio dos protocolosde rede e sobre esse ambiente,
devemos ficar vigilantes e atentos, municiados de arquiteturas e mecanismos para combatermos os sinistros nesse nível e
garantirmos as características primordiais do CIA.
Imagine que você não precise aprender uma língua estrangeira para se comunicar com pessoas de outros países. E suponha
que o português fosse o único idioma existente, em que todos pudessem interagir e trocar informações sem problemas.
A estrutura de comunicação universal que surge com a aplicabilidade do conjunto de protocolos de comunicação de rede da
pilha TCP/IP abre portas, mas também viabiliza fragilizações de pontos na infraestrutura de rede.
Um grande salto no quesito independência de fabricante foi alcançado com a adoção dessa arquitetura de comunicação, esse
é um fato incontestável.
Isso faz com que não seja necessário usar qualquer tipo de software extra para que um computador possa entender os
protocolos de rede, o que que viabiliza o trâmite de conteúdo com qualquer elemento ligado à rede mundial de computadores
sem qualquer problema, ou com todos os problemas do mundo em termos de insegurança digital, especificamente falando da
camada de rede.
Vejamos agora alguns protocolos de rede: 
Clique nos botões para ver as informações.
Protocolo de camada de rede (tanto no modelo TCP/IP quanto no modelo OSI) destinado ao processo de comunicação
entre todos os elementos de rede trazendo como resultado prático a dinâmica do fluxo de dados sobre uma rede.
IP (Internet Protocol) – (em inglês: Internet Protocol, ou o acrónimo IP) 
 (Fonte: Itpro).
Sigla para o inglês Internet Control Message Protocol, é um protocolo integrante do protocolo IP, definido pelo RFC 792,
utilizado para fornecer relatórios de erros à fonte original. Qualquer computador que utilize IP precisa aceitar as
mensagens ICMP e alterar o seu comportamento de acordo com o erro relatado. Os gateways devem estar programados
para enviar mensagens ICMP quando receberem datagramas que provoquem algum erro.
No geral, as chamadas mensagens ICMP são transmitidas de modo automático quando ocorre uma das seguintes
situações:
Um dado ou determinado pacote IP não chega ao destino para o qual foi encaminhado, logo o seu tempo de vida,
ditado pelo contador TTL, expira.
O gateway, por motivos de congestionamento, fica incapacitado da retransmissão dos pacotes de acordo com a
cadência ou a frequência adequada.
O roteador indicará qual será a rota mais performática para que a máquina envie os seus pacotes.
ICMP 
 Fonte: (Fonte: Geeksforgeeks). 
https://www.geeksforgeeks.org/internet-control-message-protocol-icmp/
https://www.geeksforgeeks.org/internet-control-message-protocol-icmp/
Trata-se de um dos serviços mais comuns que se utiliza do protocolo ICMP para viabilização de testes de conectividade
entre elementos contidos em uma dada rede. O seu processo operacional de funcionamento está estruturado no envio de
pacotes de dados para o equipamento de destino a partir de uma dada origem e ao mesmo tempo fica monitorando se
ocorre o recebimento de respostas no destino. Se, porventura, o destino responde, significa que este está ativo na rede.
Ping (Packet Internet Grouper – Groper) 
Trata-se de um tipo de protocolo aplicado e dedicado à segurança do chamado “Mundo IP”, sendo uma espécie de
extensão do protocolo IP, o que implementa o fornecimento de privacidade como serviço ao usuário.
Ipsec 
Trata-se de um tipo de protocolo aplicado e dedicado à camada de transporte, mas com dependência da camada de rede
como fornecedora de serviço. Tem como sua função primordial viabilizar o transporte de informações na rede.
TCP ou Transporte Controller Protocol 
 (Fonte: Cisco).
Protocolos de Aplicação
A chamada camada de aplicação refere-se, na prática, a uma abstração cujo contexto engloba os protocolos que estabelecem
uma relação fim-a-fim entre aplicações nos dois extremos das sessões estabelecidas. Essa característica engloba tanto o
comportamento no modelo OSI quanto no modelo TCP/IP. Aqui entram os protocolos de aplicação sobre os quais as
aplicações acontecem e desenvolvem suas dinâmicas de comunicação para fornecer o produto fim aos usuários destas
aplicações: serviços ou aplicações de rede.
Assim como nos protocolos da camada de rede, vejamos uma apresentação inicial de alguns protocolos de aplicação. 
 Protocolos de aplicação
 Clique no botão acima.
FTP ou File Transporter Protocol – Refere-se a um protocolo de função de transferência de arquivos.
 (Fonte: Techtudo).
DHCP ou Dinamic Host Controller Protocol – Refere-se a um protocolo de função de fornecimento dinâmico e automático de
endereçamento para as plataformas na rede.
 (Fonte: Whatismyipaddress).
DNS ou Domain Name Server – Refere-se a um protocolo de função de resolução de nome em um dado domínio de rede.
 (Fonte: Aws.amazon).
POP3 e IMAP – Refere-se a um protocolo de função de recebimento de e-mails.
 (Fonte: Support.office).
SMTP ou Simple Mail Transfer Protocol – Refere-se a um protocolo de função de transmissão de e-mails.
 (Fonte: Techtudo).
HTTP ou HyperText Transfer Protocol – Trata-se de um protocolo aplicado e dedicado à função de tradução de códigos
HTML para o navegador.
 (Fonte: Webnots).
TELNET – Trata-se de um protocolo cuja finalidade é proporcionar um dado acesso remoto.
 (Fonte: Wikihow).
RDP ou Remote Desktop Protocol – Trata-se de um tipo de protocolo de funcionalidade multi-canal, o qual viabiliza que um
determinado usuário possa estabelecer um processo de conexão a um dado computador que esteja ou possa estar
executando o Microsoft Terminal Services.
 (Fonte: Fireeye).
SSH – Refere-se a um tipo de protocolo que permite acesso remoto criptografado.
 (Fonte: Hostinger).
HTTPS ou Hyper Text Transfer Protocol Secure – Refere-se a um protocolo de função de transferência de hipertexto em
modo seguro cuja implementação estratifica-se sobre o protocolo HTTP, sendo uma camada adicional de segurança que faz
uso do protocolo SSL/TLS.
 (Fonte: Servicos.busca24horas).
SNMP ou Simple Network Management Protocol – Refere-se a um protocolo de gerência de rede, tipicamente TCP/IP, que
roda sobre a camada de aplicação desta arquitetura. É altamente facilitador no trato do intercâmbio de informação entre os
elementos de uma rede IP. As informações de administração e eventos destes elementos passam sobre ele rumo aos
servidores que executam estas atividades.
 (Fonte: Diegomacedo).
Introdução ao emprego de protocolos e critérios de segurança
Há várias soluções para a abordagem do CIA, muitas parecem repetidas e outras surgem como verdadeiras inovações para
esta área, com desdobramentos de aplicabilidade para outros setores.
CIA nas transferências de arquivos
Soluções técnicas para obter confidencialidade nas transferências de arquivos corporativos ou de qualquer outra natureza se
baseiam no emprego de processo ou protocolos de intenção segura.
Há alguns métodos que podemos utilizar para garantir a confidencialidade da transferência de arquivos.
A criptografia é de longe a mais associada à confidencialidade e, por consequência, muito divulgada. A criptografia, como já
vimos bastante anteriormente, visa basicamente tornar os dados ilegíveis, preservando a confidencialidade.
Esses dados só poderão ficar legíveis novamente se, e somente se, passarem por um processo de descriptografia.
As duas soluções de criptografia quanto à natureza dinâmica do dado
As soluções de criptografia geralmente são agrupadas em duas categorias:
Criptografam os dados em repouso.
Descriptografam os dados em trânsito.
Atenção
As transferências de arquivos requerem os dois métodos de forma categórica, pois é de se convir que os processos de ameaça à
confidencialidade da transferência de arquivos enquanto os arquivos estão atravessando a rede (dados em trânsito) e enquanto
estão armazenados no servidor (dados em repouso)são uma espécie de fator constante, e por consequência, os métodos devem
cuidar do teor e do valor da informação, estando a mesma em dinâmica de movimento ou na sua forma estática, armazenada.
Para provimento do processo de criptografia dos dados em trânsito, dinâmicos, é utilizado o protocolo SSL (por exemplo, FTPS,
HTTPS, WebDAVs) ou o SSH (por exemplo, SFTP). Por outro lado, para provimento do processo de criptografia dos dados em
repouso, geralmente, utiliza-se o OpenPGP (padrão aberto de criptografia baseado no PGP que funciona através de chaves
assimétricas) ou outras soluções de criptografia em nível de disco ou arquivo.
Os três estágios da criptografia de um arquivo
Podemos ter criptografia de um dado arquivo, em três estágios, a saber:
Criptografar dados antes da transferência
Enquanto estiver no servidor do remetente.
Criptografar dados durante a transferência
Enquanto atravessa a rede.
Criptografar dados depois da transferência
Após a chegada ao servidor do destinatário.
Saiba mais
Chamamos esse processo de criptografia de criptografia ponta a ponta.
Outro método que você pode usar para proteger a confidencialidade dos dados é o processo que se baseia na autenticação, a
qual pode ajudar muito a restringir o acesso aos dados confidenciais da parte dos chamados indivíduos autorizados.
Os dois processos, criptografia e autenticação, podem ser concomitantes, ou seja, ao mesmo tempo, autenticação de dois
fatores, o que é ainda melhor e mais robusto.
Da integridade nas transferências de arquivos
Para obtermos a chamada integridade dos dados nas transferências de arquivos, aspecto da dinâmica do deslocamento da
informação, podem ser empregadas as chamadas funções de hash e assinaturas digitais, elementos de segurança que já
foram apresentados em aulas anteriores, disponíveis em protocolos de transferência de arquivos seguros, como FTPS, HTTPS,
SFTP e WebDAVs.
Com essas soluções, permite-se que os destinatários da transferência de arquivos determinem se os arquivos recebidos foram
adulterados ao longo do caminho.
Da disponibilidade em transferências de arquivos 
Para alcançarmos uma forma de garantir que haja 100% de disponibilidade dos serviços, devemos estruturar bem a arquitetura
da solução pretendida que suportará a demanda de acesso.
Desse modo, a melhor forma de garantir a disponibilidade de um dado serviço de transferência de arquivos é arquitetar a
disposição e a configuração de um cluster de alta disponibilidade (HA).
Há duas maneiras de se fazer isso. A primeiro implicaria a configuração de um ou mais servidores de failover  que podem
assumir o controle imediatamente caso o servidor principal seja desativado. Isso é conhecido como configuração de alta
disponibilidade ativo-passivo.
1
 (Fonte: Redes-e-servidores.blogspot).
Como alternativa, você pode configurar dois ou mais servidores, de forma que ambos sejam servidores ativos. Isso é
conhecido como configuração de alta disponibilidade ativo-ativo. O principal objetivo de uma configuração de HA ativa-ativa é
distribuir a carga de trabalho e reduzir a chance de um servidor cair devido à sobrecarga.
 Fonte: Redes-e-servidores.blogspot.com (Acesso em: 11 dez. 2019).
 Os três elementos fundamentais da CIA
 Clique no botão acima.
Para que possamos obter plenamente a CIA, faz-se necessário aplicarmos todos os três elementos fundamentais para este
fim, conforme visto anteriormente: Confidencialidade, Integridade e Disponibilidade. Para alcançarmos esse objetivo,
https://stecine.azureedge.net/webaula/estacio/go0345/aula10.html?brand=estacio
https://stecine.azureedge.net/webaula/estacio/go0345/aula10.html?brand=estacio
https://redes-e-servidores.blogspot.com/2011/09/failover-clustering-iv.html
https://redes-e-servidores.blogspot.com/2011/09/failover-clustering-iv.html
necessitaremos da aplicação de soluções díspares e que essas soluções sejam integradas.
Observando um pouco mais de perto, notaremos que a sua empregabilidade prática suscita complexidade de abordagem, o
que em sua sequência de solução exige, por necessidade intrínseca às técnicas, tempo e conhecimento consideráveis antes
que se possa encontrar uma solução completa. Uma opção melhor seria encontrarmos um produto que contemple, em sua
arquitetura, uma solução única que já incorpore todos os três elementos (e possivelmente mais). Juntar as partes, em muitas
das vezes faz surgir algo pior do que o problema em termos de complexidade e nos cria amarras das quais, muitas vezes, se
tornará difícil se livrar.
Há um exemplo que é o JSCAPE MFT Server, um servidor gerenciado de transferência de arquivos que já inclui:
Criptografia de dados em movimento por meio de protocolos seguros de transferência de arquivos como FTPS, SFTP,
HTTPS, WebDAVs, AS2 sobre HTTPS e OFTP (protegido por SSL).
Criptografia de dados em repouso através do OpenPGP.
Criptografia de ponta a ponta, que pode ser obtida por meio de recursos de ativação de automação conhecidos como
gatilhos.
Autenticação de dois fatores.
Mecanismos de verificação da integridade dos dados que empregam funções de hash e assinaturas digitais.
Suporte interno para configurações de alta disponibilidade, ativo-ativo e ativo-passivo.
Prevenção contra perda de dados (DLP), que detecta automaticamente a presença de dados confidenciais e toma as
ações apropriadas (por exemplo, cancelar o download ou aplicar a criptografia).
Protocolo de Segurança
Vamos, a partir desse momento de nossa aula, observar mais de perto alguns desses protocolos que são citados e possuem
usabilidade pela área de CIA e suas características.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Protocolo IPSec
Uma informação compreende toda e qualquer forma de conteúdo ou
dado, cujo valor é imprescindível para alguma estrutura empresarial,
estrutura administrativa ou organização, sendo também necessária e
importante para pessoas. A informação, por consequência, pode e
deve ser guardada para uso restrito ou para exposição ao público
para consulta ou aquisição. 
Vamos, a partir desse momento de nossa aula, observar mais de perto alguns desses protocolos que são citados e possuem
usabilidade pela área de CIA e suas características.
Protocolo IPSec
Protocolo de Segurança IP ou IPsec, é uma evolução a nível de segurança
que veio ser provida ao protocolo IP, viabilizando um processo padronizado
para que houvesse um certo nível de privacidade ao usuário, aumentando
com isso o grau de confiabilidade dado às informações fornecidas por este
usuário a uma dada entidade na Internet, como por exemplo um Banco. Com
isso, obtém-se ganhos atribuídos à integridade dos dados, colocando-a
como uma espécie de “selo de garantia” sobre o conteúdo que chegou ao
seu destino, em conformidade com o mesmo conteúdo da origem. Nesse
processo, confere-se e garante-se a autenticidade das informações, criando
prevenção contra “identity spoofing” (garantia de que uma pessoa é quem
diz ser) quando há a transferência de informações através de redes IP pela
Internet.
Segundo a RFC 6071, IPsec é uma suíte, conjunto, de protocolos que provê segurança no nível da camada IP para
comunicações pela Internet, operando na camada de rede, do modelo TCP/IP.
O Protocolo IPSec desenvolve seu nível de segurança por uso de um processo de tunelamento com uso de criptografia e
autenticação, existindo para isso dois modos ou processos que podem ser implementados na ocasião, mas que dependem do
contexto daquilo que se quer proteger. São eles:
Clique nos botões para ver as informações.
Neste modo, só se faz criptografia sobre a mensagem exclusivamente (pauload). Todo o processo de roteamento é
preservado (sem autenticação ou criptografia) em sua forma original contida no cabeçalho. Faz-se notar aqui que, quando
for utilizado um processo de autenticação, os endereços IPs não deverão ser rateados, o que invalidaria o valor do
processode hash. As camadas superiores, Transporte e Aplicação, são sempre fixas ou estáticas pelo processo de hash,
o que leva por consequência à condição de não poderem sofrer qualquer modificação. Este modo é muito utilizado no
processo de comunicações de host-a-host.
Modo de transporte 
Neste modo, o processo de criptografia envolve o pacote por completo, ou seja, tanto o cabeçalho quanto o payload.
Exige-se um novo IP para distribuir o pacote. Utiliza-se um processo de tunelamento para suprir os processos de
comunicações sobre Internet e que envolvam:
Rede-a-rede (criação e túneis seguros entre roteadores).
Host-a-rede.
Host-a-host.
Modo de tunelamento 
O ponto de critério de segurança ficará circunscrito ao cabeçalho do pacote, o qual sofrerá um processo de autenticação e para
isso, o IPSec utiliza-se de outros protocolos: os protocolos AH e ESP os quais fazem parte da arquitetura básica IPSec. Por
questões de garantia de interoperabilidade, estes protocolos estabelecem que todas as implementações IPSec suportem
alguns algoritmos pré-definidos. Para autenticação de cabeçalho, os algoritmos obrigatórios são os seguintes:
 (Fonte: 3way).
Protocolo SSL
O SSL (Secure Socket Layer) é um dos protocolos mais importantes existentes na Internet e, por consequência, em nossas
vidas de usuários digitais e na comunicação.
O SSL significa um sistema de certificado digital que faz uso de duas chaves para criptografar os dados entre cliente e servidor.
Este certificado garante ao visitante que o site que ele quer acessar é seguro – protocolo HTTPS – e que os seus dados estão
protegidos. Todos os sites com certificado digital apresentam um ícone de um cadeado junto ao endereço, comprovando a
segurança e a identidade do site aos visitantes.
Com a utilização deste protocolo, permite-se que aplicativos da arquitetura Cliente/Servidor efetuem trocas de conteúdo
revestido de total processo de segurança (em ambas as partes envolvidas na questão da troca de informação efetiva), dando
proteção à questão da integridade e veracidade ao conteúdo que trafega via Internet.
Mas como isso funciona? Vejamos.
O Cliente do acesso sempre inicia a comunicação instaurando uma conexão que faz uso do SSL. Quando isso acontece, o seu
Browser (Navegador WEB) solicita que haja o envio de um Certificado Digital e se verifica a seguinte dinâmica:
Trata-se de um certificado enviado confiável.
Este certificado é ou está válido.
Trata-se de um certificado que está em conformidade com o site que o enviou.
Depois que os pontos acima forem devidamente confirmados, aí sim uma chave criptográfica categorizada “chave pública” é
transmitida e só então o conteúdo da informação, as mensagens, poderá ser enviado.
Como dito antes, toda e qualquer mensagem que tenha sido criptografada com uma chave pública somente poderá ser
decifrada ou descriptografada com a sua chave privada, de característica correspondente.
A figura a seguir deixa claro o processo envolvendo o processo SSL. Vamos conferir:
 (Fonte: Autor).
Protocolo HTTPS
O Hypertext Transfer Protocol (HTTP) é o protocolo de comunicação standard, padrão, utilizado para a troca de hipertexto que
utiliza hiperlinks, ou seja, é a base para a comunicação de dados da www e surgiu nos primórdios da Internet. Mas, como tudo,
precisou ser evoluído motivado por insegurança: vulnerável e sujeito a vários tipos possíveis de hacking, tais como man-in-the-
middle e eavesdropping.
O Hyper Text Transfer Protocol Secure (HTTPS) surgiu da implementação de segurança sobre o protocolo HTTP, evoluindo-o de
sua forma simples, abrindo sobre este uma camada adicional de segurança que utiliza o protocolo SSL/TLS e permite a
transmissão de dados numa conexão criptografada através de certificados digitais.
Saiba mais
As URL’s HTTPS iniciam com htpps:// e – por norma – fazem uso da porta de comunicação 443, em vez da tradicional 80 como o
protocolo HTTP que inicia com htpp://.
O protocolo HTTPS criptografa a ligação através de um certificado digital SSL, utilizando o HTTP sobre SSL (Secure Sockets
Layer) permitindo uma ligação segura entre cliente e servidor.
Protocolo SSH
SSH trata-se de um processo comunicação que envolve um protocolo que viabiliza desenvolver um estado de administração
remota, ou um "Telnet seguro", o qual viabiliza um grau maior na segurança e no controle de usuários ao acessarem os seus
servidores pela Internet. O Telnet puro e simples não implementa em sua estrutura lógica nenhuma técnica que use ou
empregue algum processo de criptografia, de modo que venha a obter segurança nas comunicações entre os elementos
participantes do acesso fim-a-fim. Na prática, o que ocorre é que o Telnet disponibiliza uma forma de autenticação a um
usuário remoto, transferindo os valores de Usuário e Senha, imputado por dado usuário (cliente), para o Processo servidor que
detém a função de Servidor Telnet, o qual retransmitirá como saída para o cliente a confirmação ou a negação do acesso
pretendido.
Vejamos a seguir a figura que mostra a tela típica de uma conexão SSH em um ambiente Linux, mas podemos executar essa
conexão remota em Servidores, Roteadores, Switches, Firewalls e outros elementos de rede que tenham a pilha TCP/IP
completa.
 (Fonte: Hostinger).
Protocolo SFTP
 (Fonte: Comparitech).
A sigla SFTP nos define Secure File Transfer Protocol, ou seja, protocolo de transferência de arquivos seguro, o qual é
semelhante em finalidade e propósito ao FTP convencional. Ao SFTP apenas é acrescida a funcionalidade de segurança por
mecanismo de criptografia aplicada às conexões, através do estabelecimento de um túnel SSH, quando o tráfego de
informações passa a ter um incremento de segurança efetivo.
Na prática, trata-se de uma extensão do SSH para fornecer capacidade de transferência de arquivo, o que leva a ser utilizada
apenas a porta SSH para o controle dos dados.
É notório que nas instalações de servidores que possuem o SSH em seu ambiente, há a ocorrência de suporte ao protocolo
SFTP. Porém, é bom que se diga que, o SFTP necessita de mais uma configuração de um servidor FTP para oferecer esse
suporte, cujas funções são manipular e transferir arquivos através de qualquer fluxo de dados confiável.
Dica
Geralmente, é usado com o protocolo SSH-2 (porta TCP 22) – mas também pode se valer de outros protocolos –, de modo que
haja segurança no momento de transferir arquivos.
Protocolo FTPS
 (Fonte: Comparitech).
Outro protocolo utilizado em transferências de arquivo de maneira segura é o FTPS, que é um FTP com SSL para segurança,
usando, para isso, canal de controle e abrindo novas conexões para a transferência de dados.
Em função do FTPS usar SSL, ele necessita ter um certificado, como em lojas virtuais ou sites que usam https com um
cadeado no navegador.
Protocolo Radius
 (Fonte: Gta.ufrj).
O chamado RADIUS (Remote Authentication Dial In User Service) fornece à rede o modelo de uma estrutura centralizada de
gerenciamento de acesso que cumprirá os aspectos da sistemática de Autenticação, Autorização e Contabilização, ou seja,
triple A: AAA, para que todo o usuário que venha a se conectar possa ter rastreabilidade. Essa é uma mecânica de autenticação,
autorização e com contabilização de serviço implementado pelo seu criador, a Livingston Enterprises Ic. Feita no ano de 1991,
mais tarde ficou conhecida e foi introduzida com um tipo de padrão do chamado Internet Engineering Task Force (IETF).
O protocolo Radius é exaustivamente empregado em Provedores Internet, e nas empresas privadas no domínio de suas
Intranets, sendo um conjunto de regras de arquitetura voltado para as soluções cliente/servidor, no qual é executado como se
fosse um protocolo da camada de Aplicação, usando o UDP como nível de transporte.
O Cliente Radius é utilizado nos seguintes casos, onde se comunicam com os Servidores Radius:
No caso dos Servidores de Acesso Remoto (RAS).
No caso dos Servidores de Redes Virtuais Privadas (VPNs).
No caso dos Servidoresde Acesso à Rede (NAS).
No caso de todos os gateways que controlam o acesso à rede.
Determinado Servidor RADIUS possui três funções básicas e primordiais – AAA:
Autenticação
A função que viabiliza o processo de Autenticação de usuários ou de quaisquer dispositivos antes que a concessão de
acesso à rede seja concedida.
Autorização
A função que viabiliza o processo de Autorização de outros usuários ou quaisquer dispositivos possam vir a usar
determinados serviços providos pela rede.
Contabilização
A função que viabiliza o processo de Contabilização para informar sobre a usabilidade que os usuários fazem dos recursos e
serviços.
Por característica e definição, o protocolo RADIUS, resumidamente, trata-se de um serviço baseado emprotocolo de transporte
UDP, com fluxo de pergunta e resposta. As requisições e suas respectivas respostas obedecem a um dado padrão de tabelas
(variável = valor).
Essas variáveis são isentas de nome e referenciadas por uma numeração. Existe uma tabela denominada de dicionário que faz
uma relação dos índexes numéricos aos seus respectivos nomes.
Segue um exemplo de um dicionário padrão:
Exemplo
User-Name 1 string
Password 2 string
CHAP-Password 3 string
NAS-IP-Address 4 ipaddr
NAS-Port-Id 5 integer
Service-Type 6 integer
Framed-Protocol 7 integer
Framed-IP-Address 8 ipaddr
Framed-IP-Netmask 9 ipaddr
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
O RADIUS possui um socket relacionado ao processo de autenticação, no caso UDP 1645 ou UDP 1812, assim como outros
destinados à contabilização, a saber: UDP 1646 e UDP 1813.
Em redes que se utilizam de Radius para seus processos de autenticação, há funções distintas para cada tipo de equipamento:
Função de um
Cliente
Dado um elemento que precise utilizar-se de um recurso da rede,como por
exemplo, uma estação que deseja se associar a um Access Point, este
necessita ser autenticado para cumprir sua intenção.
Função de um NAS
(Network
Autentication
Server)
Determinado elemento que ao receber um pedido de autenticação de um
cliente (o Access Point por exemplo), encaminha a um servidor RADIUS.
Função de um
Servidor RADIUS
Trata-se de um host de função específica que executa os processos de
validação dos pedidos feitos pelos NAS. A resposta a um dado pedido de
autenticação pode ser de duas maneiras:
Positiva (Access-Accept)
acompanhada da tabela de
parâmetros de resposta.
Negativa (Access-Reject) sem
nenhum parâmetro.
 Atenção! Para visualização completa da tabela utilize a rolagem horizontal
Protocolo Tacacs
O TACACS, acrônimo de Terminal Access Controller Access-Control System, refere-se a um protocolo de autenticação remota
muito utilizado nos processos de comunicação com servidores de autenticação e usualmente rodando em um ambiente como
servidor computacional UNIX.
Uma arquitetura desenhada para utilizar o serviço de autenticação baseado em TACACS admite que um servidor de acesso
remoto possa vir a se comunicar com uma plataforma de autenticação, no caso o TACACS, para que possa “conferir” se o
usuário tem acesso à rede.
Um dado cliente TACACS captura os campos de Usuário e Senha, enviando-os para uma consulta e validação dos valores num
dado Servidor TACAS (chamado de TACACS daemon ou simplesmente TACACSD). Em função do que for a resposta à consulta
à base do TACACS, o acesso ao usuário é liberado ou não.
Há um tipo de versão do TACACS que foi disponibilizada no início da década de 1990 e que é denominada de XTACACS que
significa extended TACACS. Mais tarde, tanto o TACACSD quanto o XTACACS foram substituídos pelo TACACS+ que se refere a
um contexto de protocolo completamente novo, o qual não é compatível com as versões anteriores.
Saiba mais
Segundo a RFC, que define o TATACS, RFC 1492, os protocolos TCP e UDP dão suporte a este, utilizando o soket 49.
Todo esse conjunto de protocolos e arquitetura, juntos, dão robustez e
capacidade para a área de CIA arquitetar soluções robustas e
confiáveis, mantendo assim o nível de qualidade do conteúdo digital
da informação, tanto no domínio da rede para a própria rede, como
para o domínio do dado, circulante ou estático em um dado ambiente.
 Atividade
1. Descreva o tipo de mecanismo de segurança utilizado pelo protocolo SFTP?
2. Por que o protocolo SSH é tido como um protocolo de reforço ao acesso via web, devido a uma exigência que lhe é peculiar?
3. Indique as funções básicas e/ou principais associadas ao Protocolo IPsec, o qual cria a dinâmica de tunelamento?
4. Quais os tipos de tecnologias de criptografia empregadas na utilização do protocolo SSH?
5. Qual ou Quais protocolos de transporte são utilizados pelo TACACS e qual o seu número de porta padrão?
Notas
Servidores de failover 1
É  um servidor que assume um determinado serviço se outro servidor tem problemas, esse termo é usado normalmente em
cluster de HA.
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográfica e de impressos.
Referências
BARROS, Thiago. O que é FTP e como usar? Rio de Janeiro: TechTudo, 2012. Disponível em:
https://www.techtudo.com.br/artigos/noticia/2012/07/o-que-ftp-e-como-usar.html
 . Acesso em: 11 dez. 2019.
KUROSE, Jim; ROSS, Keith. Redes de computadores e a internet: uma abordagem top-down. 6. ed. São Paulo: Pearson, 2013.
STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson, 2014.
VMWARE. VMware high availability – alta disponibilidade econômica para máquinas virtuais. São Paulo: VMware, 2007.
Disponível em: https://www.vmware.com/files/br/pdf/products/07Q3_VM_HA_DS_BR_A4.pdf
 . Acesso em: 11 dez. 2019.
Próxima aula
Explore mais
SSH– O que é? Para que serve? Onde é utilizado? Como funciona? 
O que é um servidor Radius? 
https://www.techtudo.com.br/artigos/noticia/2012/07/o-que-ftp-e-como-usar.html
https://www.techtudo.com.br/artigos/noticia/2012/07/o-que-ftp-e-como-usar.html
https://www.vmware.com/files/br/pdf/products/07Q3_VM_HA_DS_BR_A4.pdf
https://www.vmware.com/files/br/pdf/products/07Q3_VM_HA_DS_BR_A4.pdf
https://www.youtube.com/watch?v=_MlHGPQnoGg
https://www.youtube.com/watch?v=_MlHGPQnoGg
https://www.youtube.com/watch?v=7isZr9vvT5U
https://www.youtube.com/watch?v=7isZr9vvT5U
https://www.youtube.com/watch?v=7isZr9vvT5U
https://www.youtube.com/watch?v=7isZr9vvT5U