Baixe o app para aproveitar ainda mais
Prévia do material em texto
Margarida Severino Índice INTRODUÇÃO ....................................................................................... 1 1. TOPOLOGIAS DE REDES ................................................................ 2 1.1. Estrela ............................................................................................... 2 1.2. Barramento ....................................................................................... 4 1.3. Anel .................................................................................................. 6 2. TOPOLOGIAS UTILIZADAS NOS SISTEMAS DE CABLAGEM. 8 3. REDES LOCAIS ................................................................................. 9 3.1. Bit ................................................................................................... 10 3.2. Byte ................................................................................................. 10 3.3. Ip ..................................................................................................... 10 3.4.Tcp ................................................................................................... 12 3.5. Tcp/Ip.............................................................................................. 13 3.6. Bridge ............................................................................................. 14 3.7. Router ............................................................................................. 15 3.8. GateWay ......................................................................................... 16 3.9. Wireless .......................................................................................... 17 4. PROTOCOLOS ................................................................................. 20 5. MODULAÇÃO E DESMODULAÇÃO ........................................... 32 5.1. Portadora......................................................................................... 34 5.2. Modulação de Amplitude ............................................................... 35 5.3. Modulação de Frequência ............................................................... 36 5.4. Desmodulação AM e FM ............................................................... 37 5.5. Modos digitais ................................................................................ 37 6. INFRAVERMELHOS ....................................................................... 39 6.1. Raios infravermelhos ...................................................................... 40 7. LASER .............................................................................................. 42 8. NETBIOS .......................................................................................... 43 9. SEGURANÇA NA INTERNET ....................................................... 46 9.1. Como proteger as senhas ................................................................ 50 9.2. Dicas de Segurança na Internet: ..................................................... 51 10. SISTEMAS OPERATIVOS ............................................................ 54 10.1. Sistemas Operativos de Tempo Real ............................................ 54 10.2. Kernel ........................................................................................... 57 11. CODIFICAÇÃO .............................................................................. 59 11.1. Certificados ................................................................................... 61 12. ASSINATURAS DIGITAIS ........................................................... 62 12.1. Assinaturas digitais com chaves Criptográficas: .......................... 62 12.2.Assinaturas digitais para o comércio electrónico .......................... 64 12.3. Descrições da definição de segurança .......................................... 66 13. POLÍTICA DE BLOQUEIO DE CONTAS .................................... 71 1.3.1.Política de confiança empresarial ................................................. 71 1.3.2. Políticas de chaves públicas ......................................................... 74 1.3.3.Política de autoridade de certificação de raiz fidedigna ............... 77 1.3.4.Política de Palavra-Passe .............................................................. 78 14. ANEXOS ......................................................................................... 99 14.1. Internet Explorer ........................................................................... 99 CONCLUSÃO ..................................................................................... 131 GLOSSÁRIO ....................................................................................... 132 SISTEMAS DISTRIBUIDOS 1 Introdução Este estudo engloba a junção dos trabalhos realizados ao longo do ano lectivo na disciplina de sistemas distribuidos, no curso de Aplicações Informáticas de Gestão. Neste Estudo podemos encontrar os aspectos fundamentais para os diversos temas aqui tratados, especificamente: 1. Topologias de Redes 2. Redes Locais 3. Protocolos 4. Modulação e Desmodulação 5. Infravermelhos 6. NetBios 7. Segurança na Internet 8. Sistemas Operativos 9. Codificação 10. Política de Bloqueio de contas SISTEMAS DISTRIBUIDOS 2 1. Topologias de Redes 1.1. Estrela Nesta Topologia utiliza-se geralmente um Hub, que permite a ligação dos computadores centralizando a comunicação entre os mesmos. Vantagens 1. Fácil Montagem; 2. Fácil Manutenção do Sistema; 3. Facilidade de inscrição de utilizadores; SISTEMAS DISTRIBUIDOS 3 Desvantagens 1.Custo de instalação elevado, porque esta leva mais cabos; 2.Se existir algum problema no HUB os outros PCs vão todos abaixo; SISTEMAS DISTRIBUIDOS 4 1.2. Barramento Esta topologia é caracterizada por uma linha única de dados, todas as estações partilham um mesmo cabo, finalizado por dois terminais (Figura2), no qual ligamos cada nó de tal forma que toda a mensagem enviada passa por todas as estações, sendo reconhecida somente por aquela que cumpre o papel de destinatário, pois cada dispositivo da rede tem um endereço único, o que permite através da análise dos pacotes seleccionar os que lhe são destinados. Somente uma transacção pode ser efectuada por vez. Quando mais de uma estação tenta utilizar o cabo, há uma colisão de dados. Quando isto ocorre, a placa de rede espera um determinado tempo para conseguir transmitir o pacote para a estação receptora, ou seja, sempre que há uma colisão o computador tem que esperar até que o cabo esteja livre para uso. SISTEMAS DISTRIBUIDOS 5 Vantagens 1. Simplicidade e facilidade de Instalação; 2. Eficiente em termos de Cabos e assim pode-se economiza dinheiro; 3. Se existir algum PC desligado a ligação não deixa de funcionar; Desvantagens 1. Difícil Montagem se não estiver os PCs em Fila; 2. Dificuldade na resolução de problemas; 3. Se houver um fio cortado, deixa de haver ligação; SISTEMAS DISTRIBUIDOS 6 1.3. Anel Aqui os computadores encontram-se ligados através de um cabo que funciona em circuito fechado. Vantagens 1. Relativamente simples de funcionamento e de montagem; 2. O desempenho permite mais de uma mensagem ao mesmo tempo; 3. Boa fiabilidade; 4. Suporte de Maio tráfego; 5. Velocidades maiores de transferência; SISTEMAS DISTRIBUIDOS 7 Desvantagens 1. Existir algum problema num PC, acaba-se a ligação; 2. Uma quebra no sistema implica uma falha total na ligação; SISTEMAS DISTRIBUIDOS 8 2. Topologias utilizadas nos sistemas de cablagem A topologia de cablagem diz respeito à apresentação física e lógica dos elementos que a compõem.A topologia física define a localização real dos elementos do sistema de cablagem, enquanto que a topologia lógica diz respeito à representação geométrica desses elementos. A topologia física é muito importante para uma correcta instalação dos componentes em obra (tomadas, cabos, distribuidores), a qual deve ser defina durante o planeamento e projecto de instalação. A topologia lógica é determinante para a selecção das tecnologias, dos equipamentos de comunicações e das aplicações telemáticas. SISTEMAS DISTRIBUIDOS 9 3. Redes Locais O que são Redes? Uma rede de computadores é um sistema de comunicação de dados constituídos através da interligação de computadores e outros dispositivos, com a finalidade de trocar informação e partilhar recursos. As redes vêm sendo cada vez mais utilizadas, não apenas em grandes empresas, mas também em pequenos escritórios ou até em casa. Objectivos de uma rede Partilha de recursos físicos da rede; Intercâmbio de informação; Melhor organização; SISTEMAS DISTRIBUIDOS 10 3.1. Bit O bit é a mais pequena unidade utilizada para medir quantidades de informação. Um Bit é um algarismo (0 ou 1) a um conjunto de oito bits dá-se o nome de byte. Nos textos electrónicos, por exemplo, cada letra é representada por um byte, ou seja, um conjunto de oito bits. 3.2. Byte O Byte é a unidade que permite medir a quantidade de informação, um byte corresponde a oito bits. 3.3. Ip O IP é o protocolo da camada Internet, o protocolo IP é um dos mais importantes entre todos os protocolos presentes na Internet. Ele é encarregado da entrega de pacotes para todos os outros protocolos da família TCP/IP. Ele oferece um sistema de entrega de dados sem conexão. Isto é, os pacotes IP não são garantidos de chegarem ao seu destino, nem de serem recebidos na ordem. Este tem por missão identificar as máquinas e redes e fazer o reencaminho correcto das transmissões entre elas. SISTEMAS DISTRIBUIDOS 11 O número IP é um número no seguinte formato: X.Y.Z.W, ou seja, são quatro números separados por ponto. Não podem existir duas máquinas, com o mesmo número IP, dentro da mesma rede. Caso seja configurado um novo equipamento com o mesmo número IP de uma máquina já existente, será gerado um conflito de números IP e um dos equipamentos não se conseguirá comunicar com a rede. O valor máximo para cada um dos números (X.Y.Z OU Z) é 255. Uma parte do número IP é a identificação da rede, a outra parte é a identificação da máquina dentro da rede. O que define quantos dos quatro números fazem parte da identificação da rede e quantos fazem parte da identificação da máquina é a máscara de sub-rede. SISTEMAS DISTRIBUIDOS 12 3.4.Tcp Este é um dos protocolos Internet pertencentes ao conjunto TCP/IP. De uma forma sintética, podemos afirmar que este protocolo é o responsável pelo controlo das transmissões de pacotes de informação entre computadores, este garante a entrega dos pacotes. No caso da rede perder ou corromper um pacote TCP/IP durante a transmissão, o TCP terá a responsabilidade de retransmitir esse mesmo pacote. SISTEMAS DISTRIBUIDOS 13 3.5. Tcp/Ip A arquitectura TCP/IP surgiu com o objectivo principal de manter conectados mesmo que, em parte, órgãos do governo e universidades. O TCP/IP é um conjunto de protocolos Internet. Este define a forma como se processam as comunicações entre os vários computadores ligados em rede. De uma forma mais clara, para que os computadores de uma rede possam trocar informações entre si é necessário que todos estejam a utilizar o mesmo protocolo. No protocolo de comunicação estão definidas todas as regras necessárias para que o computador de destino perceba as informações no formato que foram enviadas pelo computador de origem. Dois computadores com protocolos diferentes instalados, não serão capazes de estabelecer uma comunicação nem de trocar informações. SISTEMAS DISTRIBUIDOS 14 3.6. Bridge É um dispositivo que controla os pacotes de dados dentro de uma sub-rede, na tentativa de reduzir a quantidade de tráfego entre redes. Uma Bridge é usualmente colocada entre dois grupos separados de computadores que conversam entre si, mas não entre computadores de outros grupos. Exemplo: grupo de equipamentos Macintosh e grupo de equipamento Unix. Nas redes de comunicação estes dispositivos interligam duas redes locais que usam a mesma tecnologia de rede. Através de uma análise do bloco de dados, este dispositivo sabe se o destinatário é da rede actual ou da rede vizinha, após o qual o envia para a rede destinada. Essa análise é possível pois é mantida uma tabela em que a Bridge regista os utilizadores de cada rede, à medida que vai recebendo e enviando blocos de dados. SISTEMAS DISTRIBUIDOS 15 3.7. Router O router é um periférico utilizado em redes maiores. Ele decide qual a volta que um pacote de dados deve tomar para chegar a seu destino. Um pacote de dados não pode simplesmente ser replicado em todos os intervalos até achar o seu destino, como na topologia linear, senão a rede simplesmente não funcionará por excesso de colisões, além de tornar a rede insegura (imagine um pacote de dados destinado a um sector circulando em um sector completamente diferente). SISTEMAS DISTRIBUIDOS 16 3.8. GateWay O Gateway e um dispositivo que conecta duas redes diferentes, ou uma rede a um computador central. O “gateway” é responsável pela transmissão de informações entre esses ambientes. Para isso, executa a conversão de protocolos e torna compatíveis diferentes velocidades de transmissão. SISTEMAS DISTRIBUIDOS 17 3.9. Wireless As WLAN´s, ou redes locais sem fios, permitem velocidades até 11 Mbps num raio de alcance que pode ir dos 100 metros (em áreas fechadas com obstáculos) até aos 300 metros em espaços abertos. Esta tecnologia que se encontra especificada na norma 802.11b funciona em "half-duplex", o que significa que não permite a transmissão e a recepção de dados ao mesmo tempo. Apesar destas limitações apresenta algumas vantagens como a flexibilidade, já que não se fica condicionado fisicamente pelos cabos, e o preço que é bastante atractivo. Outra vantagem é a de com um portátil se ter acesso à Internet em qualquer ponto da escola. Surge assim como uma solução flexível, e financeiramente atractiva, para interligar os postos de trabalho de um laboratório de informática. Instalação e Configuração das Estações de Trabalho As placas "wireless " podem ser ligadas a uma porta USB, mas geralmente trazem uma interface PCMCIA. A ranhura PCMCIA encontra-se disponível nos computadores portáteis, mas nos SISTEMAS DISTRIBUIDOS 18 computadores de secretária obriga à abertura da caixa para colocação de um adaptador PCI para PC Card num "slot" livre. Placa Wireless Adaptador PCI para PC Card Placa Wireless no adaptador. Após a instalação física, o sistema operativo detecta automaticamente os novos dispositivos só tendo (nas versões mais antigas do Windows) que se instalar as "drives" que os acompanham.· Nas janelas de baixo vemos as propriedades da placa "wireless" com uma configuração TCP/IP especial para a primeira ligação ao ponto de acesso. O CD que vem com o equipamento inclui o respectivo utilitário de configuração da rede que também permite visualizar o estado das ligações. Na configuração, e principalmente por razões de segurança, convém ter algum cuidado, nomeadamente em relação aos seguintes pontos: Modificar em todos os equipamentos o ESSID (Electronic Spread Spectrum Identification) ou nome de identificação da rede. SISTEMAS DISTRIBUIDOS19 Utilizar uma chave WEP (Wireless Encryption Protocol) específica para codificar as comunicações. Esta chave deverá ter o máximo número possível de algarismos e ser preferencialmente de 128 bits. A chave escolhida também terá que ser colocada em todos os equipamentos. No tipo de ligação deverá substituir o modo "ad-hoc" em que os equipamentos comunicam entre si sem necessidade de um acesso centralizado, pelo modo "infrastructure" em que é necessário um ponto de acesso que trata de todo o tráfego O ponto de acesso para além de alargar o alcance da rede serve de interface com a rede da instituição e com a Internet. SISTEMAS DISTRIBUIDOS 20 4. Protocolos (quais e características/ funcionamento base) IEEE 802.11 IEEE – Institute of Electrical and Electronics Engineers • 802.11 – Família de padrões que especificam o funcionamento das redes sem fio. • WLAN – Wireless Lan Redes IEEE 802.11 O padrão de redes sem fio IEEE 802.11 foi definido em 1997, para velocidades entre 1 e 2 Mbps. Em 1999 foi definido o padrão 802.11b, para velocidades até 11 Mbps. Recentemente foram definidos os padrões 802.11a e 802.11g, ambos para velocidades até 54 Mbps. O padrão IEEE 802.11 está focado nas duas primeiras camadas do modelo OSI (camada física e de enlace) SISTEMAS DISTRIBUIDOS 21 Segurança no padrão IEEE 802.11 A segurança no padrão IEEE 802.11 está baseada em autenticação e privacidade, podendo operar em dois modos: Open System (somente autenticação) e Shared Key (autenticação e privacidade). IEEE 802.11 visão geral Camada Física: • Direct Sequence Spread Spectrum (DSSS) • Frequency HOPPING Spread Spectrum (FHSS) • Banda ISM de 2.4 a 2.5 GHZ Velocidade (bitrates): • 1, 2, 5.5, 11Mbps (802.11b), 54 Mbps (11a, 11g) Alcance Típico: • 50 Metros em ambientes fechados, 500 metros ao ar livre SISTEMAS DISTRIBUIDOS 22 IEEE 802.11 características: Transmissão de dados por ondas de rádio. Modulação do sinal sobre uma onda portadora. Visada • Ambientes externos (requer visada directa). • Ambientes internos (não requer visada directa). Autenticação no IEEE 802.11 Não criptográfica: • Modelo aberto: SSID NULO • Modelo fechado: requer SSID específico (trivialmente susceptível a ataque de replay). Criptográfico: • Desafio – resposta rudimentar para provar que o cliente conhece a chave Wep. SISTEMAS DISTRIBUIDOS 23 • O AP autentica o cliente • O cliente não autentica o AP • Susceptível a vários ataques, inclusive o famoso “man-in-the- middle” IEEE 802.11ª O 802.11b utiliza uma frequência de 2.4Ghz, a mesma utilizada por outros padrões de rede sem fio e pelos microondas, todos potenciais causadores de interferência. O 802.11a por sua vez utiliza a frequência de 5Ghz, onde a interferência não é problema. Graças à frequência mais alta, o padrão também é quase cinco vezes mais rápido, atingindo respeitáveis 54 megabits. A velocidade real das redes 802.11a é de 24 a 27 megabits por segundo, pouco mais de 4 vezes mais rápido que no 802.11b. SISTEMAS DISTRIBUIDOS 24 Além disso, por utilizarem uma frequência mais alta, os transmissores 802.11ª também possuem um alcance mais curto. Teoricamente metade do alcance dos transmissores 802.11b, o que torna necessário usar mais pontos de acesso para cobrir a mesma área, o que contribui para aumentar ainda mais os custos. Ao contrário do que o nome sugere, o 802.11a é um padrão mais recente do que o 802.11b. Na verdade, os dois padrões foram propostos pelo IEEE na mesma época, mas o 802.11b foi finalizado antes e por isso chegou ao mercado com mais de 6 meses de antecedência. Os primeiros periféricos 802.11aforam localizados em Novembro de 2001. IEEE 802.11a • Padrão “Fast Ethernet” para redes sem fio. • Velocidade de até 54Mbps. SISTEMAS DISTRIBUIDOS 25 Vantagens: • Alta velocidade. • Menor nível de intransferência. Desvantagens: • Menor alcance. • Necessidade de maior número de acess Points. IEEE 802.11b Esta é a tecnologia de rede sem fio mais difundida actualmente. A topologia das redes 802.11b é semelhante a das redes de par trançado, com um hub central. A diferença é que não existem os fios. As placas 802.11b são detectadas como placas Ethernet, apenas uma forma que os fabricantes encontraram para facilitar a compatibilidade com os vários sistemas operacionais. SISTEMAS DISTRIBUIDOS 26 O Hub é chamado de ponto de acesso e tem a mesma função que desempenha nas redes Ethernet: retransmite os pacotes de dados, de forma que todos os computadores da rede recebem. Não existe limite no número de estações que podem ser conectadas a cada ponto de acesso mas, assim como nas redes Ethernet, a velocidade da rede decai conforme aumenta o número estações, já que apenas uma pode transmitir de cada vez. SISTEMAS DISTRIBUIDOS 27 A maior arma do 802.11b contra as redes cabeadas é a versatilidade. O simples facto de poder interligar os computadores sem precisar de passar cabos pela parede, já é suficiente para convencer as pessoas. A possibilidade mais interessante é a mobilidade para os portáteis, podem ser movidos dentro da área coberta pelos pontos de acesso sem que seja perdido o acesso à rede. Esta possibilidade dá-nos alguma mobilidade dentro de casa para levar o portátil para onde quisermos, sem perder o acesso à Internet, mas é mais interessante ainda para empresas e escolas. No caso das empresas a rede permitiria que os funcionários pudessem deslocar-se pela empresa sem perder conectividade com a rede e bastaria entrar pela porta para que o portátil automaticamente se conectasse à rede e sincronizasse os dados necessários. A velocidade das redes 802.11b é de 11 megabits, comparada à das redes Ethernet de 10 megabits. Estes 11 megabits não são adequados para redes com um tráfego muito pesado, mas são mais do que suficientes para compartilhar o acesso à Internet. SISTEMAS DISTRIBUIDOS 28 O alcance do sinal varia entre 15 e 100 metros, dependendo da qualidade de obstáculos entre o ponto de acesso a cada uma das placas. Paredes, portas e até pessoas atrapalham a propagação do sinal. Num ambiente em que paredes sejam muito grossas, o alcance pode se aproximar dos 15 metros mínimos, enquanto num ambiente aberto, o alcance pode-se aproximar dos 100 metros máximos. Se o ponto de acesso estiver próximo de uma janela, provavelmente um vizinho distante pode-se conectar à nossa rede. A potência do sinal decai conforme aumenta a distância, enquanto a qualidade decai pela combinação do aumento da distância e dos obstáculos. As redes sem fios, baseadas no 802.11b, ou em qualquer outro padrão, apresentam um grande potencial para o futuro. SISTEMAS DISTRIBUIDOS 29 Características: • Padrão estabelecido em Setembro de 1999; • Velocidade de 11 Mbps; • Utiliza frequência de 2.4 Ghz; • Padrão mais utilizado de comunicação sem fios; Segurança: A maior duvida ao nível das redes sem fios, está sobre o factor segurança. Com um transmissor irradiando os dados transmitidos através da rede em todas as direcções, qualquer um se pode conectar a ela e roubar os nossos dados. Para garantir a segurança, existem vários sistemas que podem ser implementados, apesar de nem sempre eles virem activados nos pontos de acesso. Todos os pontos de acesso 802.11b mesmo os de baixo custo, oferece algum tipo de ferramentas de administração. SISTEMAS DISTRIBUIDOS 30 IEEE 802.11g Este é um padrão capaz de transmitir dados de 54 megabits, assim como 802.11a. Este padrão utiliza a mesma faixa de frequência do 802.11b, 2.4Ghz, isto permite que os dois padrões sejam inter compatíveis.A velocidade de transferência nas redes mistas pode ser de 54 megabits ao serem feitas transferências entre pontos 802.11g e de 11 megabits quando um dos pontos 802.11g estiver envolvido, ou então ser de 11 megabits em toda a rede, dependendo das componentes que forem utilizados. Esta é uma grande vantagem sobre o 802.11a, que também transmite a 54 megabits, mas é incompatível com os outros dois padrões. SISTEMAS DISTRIBUIDOS 31 O IEEE 802.11g: • Outro padrão de alta velocidade; • Visto como uma evolução do 802.11a • Velocidade de até 2.4 Ghz Vantagens: • Compatibilidade com o 802.11b • Melhor alcance que o 802.11a SISTEMAS DISTRIBUIDOS 32 5. Modulação e Desmodulação A modulação é a variação de um parâmetro de uma onda senoidal, de maneira linearmente proporcional ao valor instantâneo do sinal ou informação, ou seja, é o processo onde um sinal principal (portadora) tem a sua forma alterada, em frequência, fase ou amplitude através de um sinal secundário (Moduladora). Serve para modificar os sinais para um formato para que o suporte de comunicação o possa enviar para o outro lado. Pode-se dizer que a modulação consiste na colocação de dados digitais num sinal analógico. Embora seja possível duas técnicas para a transmissão de dados, digital e analógica, somente a analógica realiza modulação uma vez que a técnica digital usa o recurso de codificação de pulsos. A transmissão de dados sobre sinais analógicos justifica-se pela necessidade de aproveitar algumas infra-estruturas analógicas. SISTEMAS DISTRIBUIDOS 33 O sinal digital de um equipamento de processamento de dados é inserido na onda portadora, gerada pelo modem. O procedimento de modulação que é essencialmente analógico é realizado variando-se no tempo uma ou mais características de uma onda padrão. SISTEMAS DISTRIBUIDOS 34 5.1. Portadora Onda senoidal que, pela modulação de um dos seus parâmetros, permite a transposição da informação. Como a portadora senoidal tem três parâmetros: Amplitude, Frequência, e Fase, existem três formas básicas de modulação: Modulação em Amplitude AM, modulação em Frequência FM e modulação em Fase PM. Na figura seguinte podemos observar a forma de onda senoidal que consiste a portadora SISTEMAS DISTRIBUIDOS 35 5.2. Modulação de Amplitude Vantagens Fácil produção e detecção dos sinais; Desvantagens Velocidade de troca de amplitude limitada pela largura de banda; Pequenas mudanças de amplitude tornam detecção não confiável; SISTEMAS DISTRIBUIDOS 36 5.3. Modulação de Frequência Vantagens 1. Boa Imunidade a interferências 2. Pouca sofisticação dos equipamentos Desvantagens 1.Taxa de mudança de frequência limitada pela largura de banda 2.Distorção causada nas linhas torna a detecção mais difícil que na modulação por amplitude SISTEMAS DISTRIBUIDOS 37 5.4. Desmodulação AM e FM A desmodulação de sinais modulados em AM faz-se através da extracção do envelope do sinal passa banda, podendo ser efectuada de forma não coerente, ou seja, sem conhecer de forma exacta a frequência do sinal modulador. O mesmo não acontece para a desmodulação de fase que necessita ser feita em modo coerente com o emissor, já que a informação é transmitida exactamente na fase do sinal recebido. 5.5. Modos digitais Os modos digitais podem organizar informação em pacotes que contem campos de endereçamento, informação a respeito do protocolo que está a ser utilizado, o código de detecção de erros, umas centenas de bytes de dados, e bits para indicar onde cada pacote começa e termina. No terminal de recepção, os diferentes pacotes são reagrupados para formar a mensagem original. Se um pacote está perdido ou for recebido com erros, a estação receptora pode requisitar a retransmissão do pacote. Os pacotes podem ser recebidos fora da sequência ou até de múltiplas fontes e continuarão a ser agrupadas dentro da mensagem original pela estação receptora. SISTEMAS DISTRIBUIDOS 38 Enquanto os modos de pacotes têm sido usados principalmente para enviar texto, qualquer informação que pode ser convertida em formato digital – som, gráficos, vídeos etc. podem ser transmitidas por modos digitais. Outra vantagem dos modos de pacotes é que os pacotes podem ser endereçados a estações especificadas no campo de endereço de cada pacote. Outras estações irão ignorar os pacotes não endereçados a elas. SISTEMAS DISTRIBUIDOS 39 6. Infravermelhos Arranque esses cabos e enrole os fios! Com uma conexão por infravermelhos pode ligar todos os bits ao seu computador sem qualquer dificuldade Antes de continuar a ler, dê uma espreitadela para debaixo da sua mesa de trabalho. Grande confusão, verdade? Um PC vulgar precisa de pelo menos três cabos para interligar todos os componentes, já que os PCs são compostos por unidades separadas. Tradicionalmente, o seu teclado, o monitor e o rato só funcionam se estiverem ligados fisicamente à caixa principal. Junte um joystick, um microfone, altifalantes, talvez um scanner, e a cena à volta da sua estação de trabalho começa a lembrar um fosso de víboras. Muitos fabricantes estão a investigar métodos alternativos para ligar os periféricos ao PC para combater o esparguete que sai das portas série. Nestes dois últimos anos começaram a compreender a importância dos velhos raios infravermelhos. SISTEMAS DISTRIBUIDOS 40 6.1. Raios infravermelhos É claro que já está familiarizado com os infravermelhos em sua casa. É o método que utiliza para fazer o seu televisor mudar de canal. Desde meados da década de 80 que os comandos à distância utilizam os infravermelhos, irradiando os seus comandos através da sala para um pequeno receptor situado na frente do seu televisor. Os raios infravermelhos foram, de facto, descobertos muito antes disto – há exactamente 200 anos. Tendo acabado de descobrir o planeta Urano, o famoso cientista Frederick William Herschel começou a investigar o calor. Pensou que as diferentes cores da luz poderiam conter diversos níveis de energia calorífica, e, para se certificar, fez passar um feixe de luz solar através de um prisma para obter um espectro projectado. Verificou, como sabemos agora, que os raios de luz eram mais quentes na parte inferior do espectro, na zona do vermelho Sendo um curioso inveterado, Herschel decidiu então medir a temperatura imediatamente abaixo do vermelho - raios que são invisíveis para os seres humanos. Claro que ficou admiradíssimo porque esta era a zona mais quente de todas! SISTEMAS DISTRIBUIDOS 41 Tinha acabado de descobrir duas coisas. Primeiro, que a energia calorífera é transmitida por radiações electromagnéticas (raios muito semelhantes aos da luz) e, segundo, que existiam raios de energia que não podemos ver à vista desarmada. Estas radiações quentes e invisíveis foram chamadas infravermelhos (abaixo do vermelho) uma vez que se escondem nessa zona do espectro. Compreendeu-se imediatamente que constituíam um grande método para a medição das temperaturas, e, por isso, têm sido aplicadas em dezenas de tecnologias médicas. Os astrónomos utilizam-nas para terem uma ideia mais exacta da forma como a energia se propaga no universo. Os infravermelhos podem ser também utilizados para ver no escuro (já viu certamente os programas sobre vida selvagem, com a vida nocturna das raposas). SISTEMAS DISTRIBUIDOS 42 7. Laser LASER, um acrónimo para Amplificação da Luz pela Emissão Estimulada da Radiação, foi acrescentada ao vocabulário. Esta invenção foi baseada numa variedade de ideias e fatos que seoriginaram em diferentes ramos da física e da engenharia, mas principalmente em fenómenos da física atómica e molecular que não podem ser explicados pela física clássica. Foi a aplicação da mecânica quântica de Einstein à electrónica, que possibilitou o florescimento do que denominamos electrónica quântica, área que se desenvolveu após a Segunda Guerra Mundial e que deu origem ao descobrimento de muitos dispositivos, a começar pelo transístor nos anos 40, culminando com a descoberta do laser nos anos 60. SISTEMAS DISTRIBUIDOS 43 8. NetBios A especificação NetBios (Network Basic Input Output System) inicialmente foi desenvolvida para IBM e é actualmente muito usada pelos sistemas operativos da Microsoft. Interface para programação de aplicações distintas. O NetBios não é um protocolo mas uma interface que fornece às aplicações de rede um serviço de transmissão orientada à conexão, um serviço de nomes para identificar os usuários na rede e, opcionalmente, um serviço de transmissão de datagramas não confiável. O espaço de nomes NetBios é plano e significa que todos os nomes dentro do espaço de nomes não podem ser duplicados. Os recursos são identificados por nomes que são registados dinamicamente, quando, os computadores, serviços ou aplicações entram em acção. Eles podem ser registados como único, ou como um grupo. Um nome NetBios é usado para localizar um recurso solucionando o seu nome para um endereço IP. SISTEMAS DISTRIBUIDOS 44 O NetBios pode ser utilizado em conjunto com outros protocolos deferentes, permitindo que os programas utilizem uma linguagem comum para a rede, independentemente do protocolo que está instalado na máquina. O NetBios define uma interface de camada de sessão para a funcionalidade de transporte e de rede do NetBeiu. O termo NetBios muitas vezes é utilizado para referenciar à combinação de NetBios e NetBeiu. É um protocolo que foi implementado dentro de vários ambientes de rede, incluindo MS-NET e LAN Manager da Microsoft, PC Network e LAN da IBM e Netware da Novell. Em alguns ambientes da rede, a interface de sessão do NetBios é usada para aceder a outras camadas de transporte e rede. O NetBios oferece serviços de comunicação baseados em conexões e sem conexão. Todos os serviços NetBios são oferecidos como comandos formatados dentro de uma estrutura de dados de controlo, chamada NCB (Network Control Block). Através de uma chamada de sistema, a aplicação passa os campos do NCB para o NetBios. SISTEMAS DISTRIBUIDOS 45 No NetBios qualquer computador tem um nome e um pacote é dirigido a esse nome ao contrário do TCP/IP que leva o endereço e vai directamente à máquina. Uma das principais vantagens do NetBios é: a possibilidade de funcionar sobre diversos tipos de implementações das camadas inferiores. A principal desvantagem é: tendo sido desenvolvido para redes locais, utiliza intensivamente a comunicação em “ Broadcast”. Como este tipo de comunicação tem obrigatoriamente de ser bloqueada nos encaminhadores “Routers” o alcance do NetBios é muito limitado. SISTEMAS DISTRIBUIDOS 46 9. Segurança na Internet A Internet tem se tornado o maior meio de difusão de informações e troca generalizada de dados até hoje conhecido. A cada dia que passa, milhares de novos computadores ou entidades computacionais são adicionados à Internet como parte da mesma. Empresas estão a abrir uma porta para que usuários ou pessoas alheias no meio da sua corporação, cessem informações confidenciais. O protocolo utilizado na Internet não ajuda muito, pois não oferece muita segurança: Diversos são os modos que existem para entrar nestas redes corporativas através da Internet. Ameaças comuns As ameaças mais comuns na Internet baseiam-se em princípios bastante simples: se passar por outra pessoa. Isto pode ser conseguido em diversos níveis: por exemplo, a coisa mais fácil do mundo é mandar um e- mail passando-se por outra pessoa. Quando mandamos uma correspondência via Internet, não existe certificação nenhuma da autenticidade de quem a envia. SISTEMAS DISTRIBUIDOS 47 Uma falha de segurança que não pode ser consertada a curto prazo a única maneira de se certificar sobre a autenticidade de uma mensagem é via uma assinatura digital, criptográfica, pessoal e intransferível, que o usuário pode adicionar ao mail. Outro método utilizado é o IP spoofing. Através deste método, pode-se alterar o conteúdo de um pacote da Internet sem alterar o endereço de fonte e de destino. Seria o equivalente a capturar uma carta enviada por nós a um amigo e colocar dentro qualquer dado que quiser, sem alterar o endereço de remetente e destino. Como o único método para garantir a segurança de um pacote da Internet é verificar de onde o mesmo veio, então, como tal técnica, eu poderia por exemplo me fazer passar por uma máquina confiável. Outra ameaça comum, principalmente para as grades instituições de acesso à Internet, é os serviços que vêm instalados nos servidores por padrão. SISTEMAS DISTRIBUIDOS 48 Máquinas Unix possuem diversos daemons, ou serviços, que ficam rodando no servidor, à espera de alguém para utilizá-los. Existem daemos por exemplo, que habilitam um usuário via Internet, copiar arquivos, delectar arquivos e até executar aplicações no servidor, tudo remotamente. Outro ponto é os protocolos adicionais que trasfegam através do TCP/IP. Serviços da Internet como FTP, Telnet e e-mail, fazem com que a nossa senha trafegue pela Internet (ou linha telefónica) sem nenhum tipo de criptografia. Isto quer dizer que, se alguém estiver a utilizar um software de análise de pacotes na rede (Packet Sniffing), poderá capturar um pacote para o provedor de acesso, que seja justamente o pacote de autenticação. Sim, a senha estará lá, para quem a quiser ler. Trocar as senhas periodicamente é a única solução. Se a conta é pessoal sem nada a esconder, devemos trocar a senha pelo menos uma vez por mês. A maioria dos provedores Internet possuem um servidor de troca de senhas on-line, via Telnet. Além destas ameaças comuns, existe a utilização não autorizada do protocolo de gerência. Através destes protocolos, é possível verificar dados estatísticos de equipamentos que provém a conectividade à rede, SISTEMAS DISTRIBUIDOS 49 permitindo a visualização do status das portas do equipamento e até desactivação de portas bem como a desactivação de todo o equipamento. O SNMP trabalha com comunidades de segurança e implementa segurança através de senhas de acesso. Porém, a maioria não configura o serviço, simplesmente a deixa no mesmo estado em que foi fornecido junto com o equipamento. A grande porção das implementações do SNM tem por padrão a comunidade PUBLIC, e como senha, coisas como PUBLIC, Palavra- chave ou ADMINISTRATOR, isto quando é fornecido com alguma senha. Poderia portanto, via Internet, construir um mapa completo do sistema de conectividade de uma empresa, realizar a monitoras dos equipamentos e desactivá-los/ reiniciá-los. SISTEMAS DISTRIBUIDOS 50 9.1. Como proteger as senhas As senhas são um dos pontos de maior ataque. Através de uma senha, qualquer usuário pode ser autenticado em sistemas de segurança. Se nós nos identificarmos como administrador de um serviço e fornecer a senha correcta, conseguiremos poderes de administração. Sendo assim, existem algumas directrizes que devem ser observadas para minimizar as vulnerabilidades. O pensamento chave para segurança na Internet é paranóia. Construir segurança é um meio por natureza, inseguro. SISTEMAS DISTRIBUIDOS 51 9.2. Dicas de Segurança na Internet: Feche a porta sempre: Se o computador por nós utilizado para aceder à Internet, éusado também numa rede, não deve ser conectado à Web com recursos compartilhados. Ao compartilhar qualquer coisa como uma simples pasta, a porta fica aberta para invasões de hackers. Remetente de e-mail desconhecido: Ao aceder ao e-mail e nos depararmos com um remetente desconhecido e ainda por cima a mensagem vem com um anexo nem o devemos abrir, pois este pode conter vírus. SISTEMAS DISTRIBUIDOS 52 Devemos sair de verdade: Se compartilharmos o computador com alguém ou se tivermos medo de que algum bisbilhoteiro olhe o nosso computador quando estamos ausentes, a melhor saída é desconectada de todos os serviços de Internet que usamos, como webmail, noticiários, etc. Apagar os vestígios: Se é hábito fazer compras pela Internet, principalmente num computador existente no nosso local de trabalho, corremos o risco de ter todos os dados confidenciais expostos a qualquer um, pois qualquer página por nós a cessada, fica armazenada no cache do computador, mesmo páginas seguras, qualquer pessoa pode resgatá-la e a cessar todos os nossos dados. SISTEMAS DISTRIBUIDOS 53 Cuidado com downloads: Por exemplo nós encontramos um programa muito interessante na Internet, ou uma música MP3 que adoramos. É preciso cuidado, pois o arquivo pode conter vírus. Por isso sempre que fizermos um download não devemos executar logo o arquivo. Cuidado com as senhas: Nunca devemos escolher uma senha fácil de ser lembrada como a nossa data de aniversário, para aceder ao e-mail ou a outro serviço da Internet. Além disso a senha não deve ser guardada no computador, num arquivo de fácil acesso ou que pode ser lido facilmente. Para evitar qualquer tipo de problema, as senhas deverão ser mudadas num determinado período de tempo. SISTEMAS DISTRIBUIDOS 54 10. Sistemas Operativos 10.1. Sistemas Operativos de Tempo Real Sistemas de tempo real são sistemas cujas características dependem do cumprimento de requisitos temporais e lógicos e onde as consequências do não cumprimento desses mesmos requisitos podem causar prejuízos nefastos, como sejam a segurança de pessoas. Nesta perspectiva, um Sistema Operativo de Tempo Real (SOTR) é uma aplicação multitarefa na qual várias tarefas críticas devem ser processadas em simultâneo. O sistema deve assegurar que as tarefas críticas sejam tratadas em tempo útil. O uso de SOTR simplifica o projecto de um sistema. De um modo geral, um sistema pode sempre ser decomposto num conjunto de processos. A função do SOTR é gerir esses processos atribuindo-lhes "espaço" para que cada um deles execute, sem que isso destrua a integridade temporal do sistema, isto é, prioridade para os processos críticos. De alguma forma, as duas palavras sublinhadas anteriormente sugerem o âmbito no qual reside a essência de SOTR: gerir prioridades, Escalonar! SISTEMAS DISTRIBUIDOS 55 Um Sistema Operativo (SO) é um programa que controla a execução dos programas de aplicação dos utilizadores do sistema de computação. O SO fornece uma plataforma virtual de alto nível ao programador que esconde os detalhes do hardware facilitando o desenvolvimento de programas que usam os recursos do sistema. Deste modo, podemos afirmar que o sistema de computação se encontra distribuído por camadas da seguinte forma: Aplicações do programador Sistema Operativo Hardware do sistema Os sistemas que não usam SOTR são geralmente esquematizados conforme se mostra na figura 1. A estes sistemas chamamos foreground/background. Uma aplicação consiste num loop infinito que pede a cada módulo de aplicação para realizar/executar as operações que se desejam. Os módulos são executados sequencialmente (background) com rotinas do serviço de interrupções (Isr) que lidam com eventos assíncronos (foreground). Operações críticas deverão ser executadas pelo Isr. de modo a garantir que estas serão executadas o mais rápido possível (também conhecido por "best effort"). Devido a este facto, Isr são tendencialmente mais demoradas do que deveriam ser. SISTEMAS DISTRIBUIDOS 56 A informação para um módulo background que é acessível por uma ISR só será processada quando a rotina background estiver apta para a executar. Neste caso a latência depende de quanto tempo o loop em background demora a ser executado. Funções Típicas dos Sistemas Operativos: 1. Gerir o Tempo de Processador dedicado a Cada Programa 2. Gerir o espaço de Memória Atribuído a cada programa Gerir os dispositivos de Entrada e Saída 3. Estabelecer um modelo de Organização, de informação que permita que tantos os utilizadores como os programas utilizem os periféricos de armazenamento 4. Gerir permissões de acesso que cada utilizador ou programa têm sobre determinada Informação SISTEMAS DISTRIBUIDOS 57 10.2. Kernel O kernel é a parte de um sistema de multitarefas que é responsável pela realização de tarefas e pela comunicação entre tarefas. Quando o Kernel decide correr uma tarefa diferente ele salvaguarda o contexto das tarefas correntes na stack destas tarefas; para cada uma das tarefas existe um espaço de memória dedicado à stack respectiva. Ao mudar de tarefa, é feito um update do conteúdo da actual e o conteúdo da stack da nova tarefa é resumido, assim como o código respectivo. O endereço da stack, em conjunto com outra informação é guardado numa estrutura de dados intitulada Task Control Block. O conjunto de todas as TCB’s é depois gerido pelo SOTR SISTEMAS DISTRIBUIDOS 58 Um dos serviços do kernel de tempo real mais comum é a gestão de semáforos. Um semáforo é um protocolo usado para controlo do acesso a recursos partilhados, assinalar a ocorrência de eventos ou sincronizar tarefas. Genericamente, é uma permissão que uma tarefa adquire para continuar a executar. Se o semáforo já estiver em uso, a tarefa é suspensa até que o semáforo seja libertado. A vantagem é que uma tarefa suspensa não gasta tempo do CPU. Um outro serviço é o estabelecimento de uma base de tempo que permita a uma tarefa atrasar- se um determinado número de tick's definidos por essa base de tempo. Outro serviço é a troca de mensagens entre mensagens ou entre mensagens e o ISR. Os dois tipos deste serviço mais comuns são o message caixa de correio e o message queue. O message caixa de correio é tipicamente uma variável do tipo apontador que o remetente deixa na caixa de correio para o destinatário, sendo o tipo de mensagem acordado entre os interlocutores. O message queue é utilizado para enviar mais do que uma mensagem; genericamente, consiste numa pilha de mailboxes SISTEMAS DISTRIBUIDOS 59 11. Codificação A principal preocupação do utilizador de um serviço de Internet banking prende-se com a questão de segurança. O cliente deverá assegurar- se de que é usada tecnologia de encriptação (codificação) e de certificação digital (uma espécie de certificado de identidade digital) para que exista: • Confidencialidade – garantir que as comunicações banco/ cliente não sejam interceptadas; • Integridade de informação – garantir que as comunicações não são alteradas; • Autenticação dos agentes – garantir que o banco e o cliente são inequivocamente identificados nas comunicações; • Não repudiação – Estas garantias implicam que nenhum dos envolvidos pode recusar uma informação realmente ocorrida, alegando a sua não ocorrência. Só o cliente consegue validar as suas instruções, garantindo-se que as informações provêm do cliente ao qual foi atribuído o certificado digital. SISTEMAS DISTRIBUIDOS 60 A encriptação é uma forma de codificação que combina um código matemático e uma chave, ficando os dados codificados de tal forma que só com uma chave adequada podem ser descodificadas. SISTEMAS DISTRIBUIDOS 61 11.1. Certificados Um certificado,é um conjunto de informação fornecida a um emissor que entre outras coisas tem informação a que pertence o certificado, a duração do mesmo, a chave pública, a identificação do emissor entre outros. Exemplo: Emissor Certificado Receptor Emissor de certificados SISTEMAS DISTRIBUIDOS 62 12. Assinaturas digitais 12.1. Assinaturas digitais com chaves Criptográficas: As assinaturas digitais são, o resultado de uma complexa operação matemática que trabalha com um conceito conhecido por criptografia assimétrica. A operação matemática utiliza como variáveis o documento a ser assinado e um segredo particular, que só o signatório electrónico possui: a chamada chave privada. Como somente o titular deve ter acesso à sua chave privada, somente ele poderia ter calculado aquele resultado, o que, por isso, se supõe ser único e exclusivo, como uma assinatura. SISTEMAS DISTRIBUIDOS 63 Para conferir a assinatura digital, não é necessário ter conhecimento da chave privada do signatório, preservando, assim o segredo necessário para assinar. Basta que se tenha acesso à chave pública que corresponde àquela chave privada. A conferência da assinatura também é feita por operações matemáticas que, a partir do documento, da chave pública e da assinatura, podem atestar que tal assinatura foi produzida com a chave privada correspondente, sem a necessidade de se ter acesso a essa chave privada correspondente. E, se o documento tiver sido adulterado, posteriormente ao lançamento da assinatura digital, o resultado da operação matemática irá acusar esta desconformidade, invalidando a assinatura. Se a conferência anunciar uma assinatura válida, isto significa que a assinatura foi produzida com o uso de chave privada correspondente à chave pública, o documento não foi modificado depois de produzida a assinatura. SISTEMAS DISTRIBUIDOS 64 12.2.Assinaturas digitais para o comércio electrónico O termo assinatura é evidentemente derivada do procedimento tradicional de uma pessoa escrever o seu nome num documento para indicar a sua concordância com os seus termos. Isto seria especialmente o caso de contratos de diversos tipos, incluindo contrair dívidas através de cartões de débito ou cheque. A assinatura digital é uma aplicação da criptografia assimétrica. Esta envolve o uso de um par de chaves, uma privada, chamada de chave de assinatura digital, usada para assinar documentos digitais, e outra pública, chamada de chave de verificação digital, usada por outros para verificar se o documento foi assinado, usando a chave de assinatura digital geralmente requer o uso de um computador, pois envolve realizar uma série de cálculos, impossível de se fazer de outra forma. SISTEMAS DISTRIBUIDOS 65 Há várias diferenças entre assinaturas escritas a mão e a digital. Se for feita qualquer modificação do documento digital, não será verificada a assinatura digital. A assinatura digital, portanto, é uma garantia da integridade do documento assinado. Um documento em papel depois de assinado, poderia ser modificado sem ser detectado. Por outro lado, uma assinatura escrita, desde que seja autêntica, atesta a presença física do seu dono, enquanto a assinatura digital indica apenas que a chave de assinatura tenha sido usada, sem podermos concluir que o usuário tenha sido o seu dono. Evidentemente, se a chave de assinatura permanecer sob o controle de uma única pessoa, poderemos concluir que documentos assinados com a chave foram realmente assinados por essa pessoa. Apesar destas semelhanças, em alguns casos da legislação de comércio electrónico em preparação no mundo trata-se diferentemente a repudição dos dois tipos de assinatura, a escrita e a digital. Normalmente uma pessoa pode repudiar uma assinatura escrita, alegando que ela tenha sido forjada, ou apesar de genuína, obtida por meios ilícitos. Diferente do caso das assinaturas escritas, existem propostas de leis que negam ao dono da chave de assinatura o direito de repudiar uma assinatura digital criada com esta chave, transferindo este o meio que demonstra que uma assinatura digital não é válida. SISTEMAS DISTRIBUIDOS 66 12.3. Descrições da definição de segurança Aplicar Histórico de palavras-passe: Descrição: Determina o número de novas palavras-passe exclusivas que devem ser associadas a uma conta de utilizador, antes de uma palavra-chave antiga poder ser reutilizada. O valor deve situar-se entre 0 e 24 palavras- passe. Esta política permite que os administradores melhorem a segurança, assegurando que as palavras-passe antigas não são continuamente reutilizadas. Para manter a eficácia do histórico da palavra-passe, não permita que as palavras-passe sejam alteradas imediatamente quando configurar a duração mínima da palavra passe. SISTEMAS DISTRIBUIDOS 67 Duração máxima da palavra-chave: Descrição: Determina o período de tempo (em dias) que uma palavra-chave pode ser utilizada, antes que o sistema solicite ao utilizador que a altere. Pode definir as palavras-passe para expirar depois de um determinado número de dias, entre 1 e 999, ou especificar que as palavras-passe nunca expirem, definindo o número de dias para 0. Duração mínima da palavra-passe: Descrição: Determina o período de tempo (em dias) que uma palavra-passe deve ser utilizada, antes de poder ser alterada pelo utilizador. Pode definir um valor entre 1 e 999 dias ou permitir alterações imediatamente, definindo o número de dias para 0. A duração mínima da palavra-passe deve ser inferior à duração máxima da palavra passe. SISTEMAS DISTRIBUIDOS 68 Configure a duração mínima da palavra-passe para um valor superior a 0 se pretender que aplicar histórico da palavra passe seja eficaz. Sem uma duração mínima da palavra-passe, os utilizadores podem repetir palavras-passe até obterem uma palavra-passe preferida antiga. A predefinição não segue esta recomendação, para que um administrador possa especificar uma palavra-passe para um utilizador e, em seguida, solicitar que este altere a palavra-passe definida pelo administrador quando inicia a sessão. Se o histórico da palavra-passe estiver definido para 0, o utilizador não terá de escolher uma nova palavra-passe. Por este motivo, o histórico da palavra-passe está definido para 1 por definição. Tamanho mínimo da palavra passe: Descrição: Determina o número mínimo de caracteres que pode ter a palavra- passe de uma conta de utilizador. Pode definir um valor entre 1 e 14 caracteres ou estabelecer que não seja necessária qualquer palavra- passe, definindo o número de caracteres para 0. SISTEMAS DISTRIBUIDOS 69 As palavras-passe devem cumprir os requisitos de complexidade: Descrição: Determina se as palavras-passe devem satisfazer requisitos de complexidade. Se esta política estiver activada, as palavras-passe devem satisfazer os seguintes requisitos mínimos: Não conter a totalidade, ou parte, do nome da conta de utilizador; Ter, no mínimo, seis caracteres de comprimento; Conter caracteres de três das seguintes quatro Categorias; Caracteres maiúsculos do alfabeto inglês (de A a Z) Caracteres minúsculos do alfabeto inglês (de a a z); 10 Dígitos base (de 0 a 9); Caracteres não alfanuméricos (por ex., !, $, #, %); SISTEMAS DISTRIBUIDOS 70 Os requisitos de complexidade são impostos quando as palavras-passe são alteradas ou criadas. Armazenar a palavra-passe utilizando a encriptação reversível para todos os utilizadores no domínio: Descrição: Determina se o Windows 2000 Servidor, Windows 2000 Professional e o Windows XP Professional armazenam palavras-passe através da encriptação reversível. Esta política fornece suporte para aplicações que utilizam protocolos querequeiram conhecimento da palavra-passe do utilizador para fins de autenticação. O armazenamento de palavras-passe através da utilização da encriptação reversível é essencialmente o mesmo que o armazenamento de versões de texto simples das palavras-passe. Por este motivo, esta política só deve ser activada se os requisitos da aplicação se sobrepuserem à necessidade de proteger as informações de palavra-passe. SISTEMAS DISTRIBUIDOS 71 Esta política é necessária quando é utilizada a autenticação CHAP através de acesso remoto ou de serviços do IAS. Também é necessária quando é utilizada a autenticação de texto implícita do IIS (Serviços de informação Internet - Internet Information Services). 13. Política de Bloqueio de contas 1.3.1.Política de confiança empresarial Uma lista de certificados fidedignos (CTL, Certificate Trust List) permite controlar a fidedignidade do objectivo e o período de validade de certificados emitidos por autoridades de certificação (AC) externas. Normalmente, uma autoridade de certificação pode emitir certificados para diversos objectivos, tais como correio electrónico seguro ou autenticação de clientes. No entanto, poderão existir situações nas quais pretenda limitar a fidedignidade de certificados emitidos por uma determinada autoridade de certificação, principalmente se a AC for exterior à empresa. Nestas situações, a criação de uma lista de certificados fidedignos e a respectiva utilização através da Política de grupo poderá revelar-se útil. SISTEMAS DISTRIBUIDOS 72 Suponha, por exemplo, que uma autoridade de certificação designada "A minha AC" é capaz de emitir certificados para autenticação de servidor, autenticação de clientes, assinatura de código e correio electrónico seguro. No entanto, pretende apenas considerar fidedignos os certificados emitidos por "A minha AC" com o objectivo de autenticação de clientes. Pode criar uma lista de certificados fidedignos e limitar o objectivo para o qual considera fidedignos os certificados emitidos por "A minha AC", por forma a que só sejam válidos para autenticação de clientes. Todos os certificados emitidos com outro objectivo por "A minha AC", não serão aceites para utilização por nenhum computador ou utilizador no âmbito do objecto de Política de grupo ao qual a lista de certificados fidedignos se aplica. Podem existir múltiplas listas de certificados fidedignos numa empresa. Uma vez que as utilizações e as fidedignidades dos certificados para domínios ou unidades organizacionais específicas podem ser diferentes, pode criar listas de certificados fidedignos separadas, para reflectir estas utilizações e atribuir listas de certificados fidedignos específicas a determinados objectos de Política de grupo. SISTEMAS DISTRIBUIDOS 73 Através da utilização da Política de grupo na empresa, tem a opção de designar a fidedignidade nas AC, utilizando a política de autoridade de certificação de raiz fidedignas ou a política de confiança empresarial (listas de certificados fidedignos). Utilize as seguintes directrizes para determinar que política utilizar: • Se a empresa tiver autoridades de certificação (AC) de raiz próprias e utilizar o Active Directory, não será necessário utilizar o mecanismo Política de grupo para distribuir estes certificados raiz. • Se a empresa tiver autoridades de certificação (AC) de raiz próprias que não estejam instaladas em servidores, deve utilizar a política de certificação de raiz fidedigna para distribuir os certificados raiz da empresa. • Se a empresa não tiver autoridades de certificação (AC) próprias, utilize a política de confiança empresarial para criar listas de certificados fidedignos para estabelecer a fidedignidade da empresa em autoridades de certificação de raiz externas. SISTEMAS DISTRIBUIDOS 74 1.3.2. Políticas de chaves públicas Pode utilizar as definições de política de chaves públicas em Política de grupo para: • Os computadores submeterem automaticamente uma requisição de certificado a uma autoridade de certificação empresarial e instalarem o certificado emitido. Isto é útil para garantir que os computadores têm os certificados de que necessitam para executar operações criptográficas de chaves públicas na empresa, por exemplo, para IPSec (Internet Protocol security) ou para autenticação de clientes. Para mais informações sobre inscrição automática de certificados para computadores, consulte Definições de requisições automáticas de certificados. • Criar e distribuir uma lista de certificados fidedignos (CTL, Certificate Trust List). Uma lista de certificados fidedignos é uma lista assinada de certificados de raiz de autoridade de certificação (AC), a qual foi considerada fidedigna por um administrador para fins designados, tais como a autenticação de clientes ou correio electrónico seguro. Por exemplo, se pretender considerar fidedignos os certificados de uma autoridade para IPSec, mas não para autenticação de clientes, SISTEMAS DISTRIBUIDOS 75 pode implementar essa relação de fidedignidade com uma lista de certificados fidedignos. Para mais informações sobre listas de certificados fidedignos, consulte Política de confiança empresarial. • Estabelecer autoridades de certificação de raiz fidedignas comuns. Pode utilizar esta definição de política para que os computadores e utilizadores fiquem sujeitos a autoridades de certificação de raiz comuns (para além das autoridades que já são consideradas fidedignas individualmente). Não é necessário utilizar esta definição de política para autoridades de certificação num domínio, uma vez que já são consideradas fidedignas por todos os utilizadores e computadores no domínio. Esta política destina-se, essencialmente, a estabelecer a fidedignidade numa autoridade de certificação de raiz que não faça parte da empresa. Para mais informações sobre autoridades de certificação de raiz, consulte Políticas para estabelecer a fidedignidade das autoridades de certificação de raiz. SISTEMAS DISTRIBUIDOS 76 • Adicionar agentes de recuperação de dados encriptados e alterar as definições de política de recuperação de dados encriptados. Para mais informações sobre esta definição de política, consulte Recuperar dados. Para obter uma descrição geral do Sistema de ficheiros de encriptação (EFS, Encrypting File System), consulte Descrição geral do Sistema de ficheiros de encriptação. Não é necessário utilizar estas definições de política de chaves públicas em Política de grupo para implementar uma infra- estrutura de chave pública na empresa. No entanto, estas definições possibilitam uma maior flexibilidade e controlo quando estabelecer fidedignidade em autoridades de certificação, emitir certificados para computadores e implementar o EFS num domínio. SISTEMAS DISTRIBUIDOS 77 1.3.3.Política de autoridade de certificação de raiz fidedigna Para estabelecer uma autoridade de certificação (AC) de raiz fidedigna utilizando a Política de grupo, o objecto de Política de grupo que criar tem de ter acesso ao certificado raiz. Para isso, é necessário importar uma cópia do certificado de autoridade raiz. Pode efectuar esta operação utilizando o procedimento Adicionar uma autoridade de certificação de raiz fidedigna a um objecto de Política de grupo. Para um certificado da AC de raiz ser importado, o certificado raiz tem de estar em ficheiros PKCS #12, em ficheiros PKCS #7 ou em ficheiros de certificado X.509v3 codificados com códigos binários. Para mais informações sobre estes formatos de ficheiro, consulte Importar e exportar certificados. Para mais informações, consulte: • Políticas para estabelecer a fidedignidade de autoridades de certificação de raiz SISTEMAS DISTRIBUIDOS 78 • Eliminar uma autoridade de certificaçãode raiz fidedigna de um objecto de Política de grupo 1.3.4.Política de Palavra-Passe • Aplicar Histórico de palavras-passe • Duração máxima da palavra-passe • Tamanho mínimo da palavra-passe • As palavras-passe têm de cumprir requisitos de complexidade • Guarde a palavra-passe utilizando a codificação reversível para todos os utilizadores do domínio. Aplicar histórico da palavra-passe Configuração do computador/Definições do Windows/Definições de segurança/politicas de conta/politica de palavra-passe. Descrição: Determina o número de novas palavras-passe exclusivas que devem ser associadas a uma conta de utilizador, antes de uma palavra-passe antiga pode ser reutilizada. O valor deve situar-se entre 0 e 24 palavra-passe. Esta Politica permite que os administradores SISTEMAS DISTRIBUIDOS 79 melhorem a segurança, assegurando que as palavras-passe antigas não são continuamente reutilizadas. Para manter a eficácia do histórico da palavra-passe, não permita que as palvras-passe sejam alteradas imediatamente quando configurar a Duração mínima da palavra – passe. Duração máxima da palavra-passe Determina o período de tempo (em dias) que uma palavra-passe pode ser utilizada, antes que o sistema solicite ao utilizador que a altere. Pode definir as palavras para expirar depois de um determinado número de dias, entre 1 e 999, ou especificar que as palavras-chave nunca expirem, definindo o numero de dias para 0 SISTEMAS DISTRIBUIDOS 80 Duração mínima da palavra-passe Determina o período de tempo (em dias) que uma palavra-passe pode ser utilizada, antes que o sistema solicite ao utilizador que a altere Pode definir as palavras para expirar depois de um determinado número de dias, entre 1 e 999, ou especificar que as palavras-chave nunca expirem, definindo o número de dias para 0. SISTEMAS DISTRIBUIDOS 81 Aplicar histórico da palavra-passe Configuração do computador\Definições do Windows\Definições de segurança. Políticas de conta\Política de palavras-passe Descrição Determina o número de novas palavras-passe exclusivas que devem ser associadas a uma conta de utilizador, antes de uma palavra- passe antiga poder ser reutilizada. O valor deve situar-se entre 0 e 24 palavras-passe. Esta política permite que os administradores melhorem a segurança, assegurando que as palavras-passe antigas não são continuamente reutilizadas. Para manter a eficácia do histórico da palavra-passe, não permita que as palavras-passe sejam alteradas imediatamente quando configurar a Duração mínima da palavra-passe. Predefinição: 1 Guarde a palavra-passe utilizando a codificação reversível para todos os utilizadores do domínio Configuração do computador\Definições do Windows\Definições de segurança\Políticas de conta\Política de palavras-passe Descrição Determina se o Windows 2000 Server, Windows 2000 Professional e o Windows XP Professional armazenam palavras-passe através da encriptação reversível. SISTEMAS DISTRIBUIDOS 82 Esta política fornece suporte para aplicações que utilizam protocolos que requeiram conhecimento da palavra-passe do utilizador para fins de autenticação. O armazenamento de palavras-passe através da utilização da encriptação reversível é essencialmente o mesmo que o armazenamento de versões de texto simples das palavras-passe. Por este motivo, esta política só deve ser activada se os requisitos da aplicação se sobrepuserem à necessidade de proteger as informações de palavra- passe. Esta política é necessária quando é utilizada a autenticação CHAP através de acesso remoto ou de serviços do IAS. Também é necessária quando é utilizada a autenticação de texto implícita do IIS (Serviços de informação Internet - Internet Information Services). Predefinição: Desactivado. SISTEMAS DISTRIBUIDOS 83 A palavra-passe tem de satisfazer requisitos de complexidade Configuração do computador\Definições do Windows\Definições de segurança\Políticas de conta\Política de palavras-passe Descrição Determina se as palavras-passe devem satisfazer requisitos de complexidade. Se esta política estiver activada, as palavras-passe devem satisfazer os seguintes requisitos mínimos: • Não conter a totalidade, ou parte, do nome da conta de utilizador • Ter, no mínimo, seis caracteres de comprimento • Conter caracteres de três das seguintes quatro categorias: o Caracteres maiúsculos do alfabeto inglês (de A a Z) o Caracteres minúsculos do alfabeto inglês (de a a z) o 10 dígitos base (de 0 a 9) o Caracteres não alfa-numéricos (por ex.,!, $, #, %) Os requisitos de complexidade são impostos quando as palavras- passe são alteradas ou criadas. Para criar filtros de palavra-passe personalizados, consulte a Microsoft Platform Software Development Kit e a Microsoft Technet. SISTEMAS DISTRIBUIDOS 84 Membro de domínio: Desactivar mudanças de palavra-passe de conta de computador Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança Descrição Determina se um membro de domínio altera periodicamente a respectiva palavra-passe de conta de computador. Se esta definição estiver activada, o membro de domínio não irá tentar alterar a respectiva palavra-passe de conta de computador. Se esta definição estiver desactivada, o membro de domínio irá tentar alterar a respectiva palavra-passe de conta de computador, tal como se encontrar especificado pela definição "Membro do domínio: Duração máxima da palavra-passe de conta de computador", a qual, por predefinição, é executada a cada 30 dias. Predefinição: Desactivado. SISTEMAS DISTRIBUIDOS 85 Contas: Limitar a utilização por parte da conta local de palavras-passe em branco apenas para início de sessão na consola Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança Descrição Determina se os inícios de sessão interactivos remotos através de serviços de rede, tais como serviços terminal, telnet e FTP, são permitidos para contas locais com palavras-passe em branco. Se esta definição estiver activada, uma conta local terá de ter uma palavra-passe não em branco, para ser utilizada para efectuar um início de sessão interactivo de um cliente remoto. Predefinição: Activado Tamanho mínimo da palavra-passe Configuração do computador\Definições do Windows\Definições de segurança\Políticas de conta\Política de palavras-passe Descrição Determina o número mínimo de caracteres que pode ter a palavra- passe de uma conta de utilizador. Pode definir um valor entre 1 e 14 caracteres ou estabelecer que não seja necessária qualquer palavra- passe, definindo o número de caracteres para 0. Predefinição: 0. SISTEMAS DISTRIBUIDOS 86 Controlador de domínio: Recusar alterações de palavra- passe de conta de computador Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança Descrição Determina se um controlador de domínio irá aceitar os pedidos de alteração de palavras-passe de contas de computador. Se estiver activado em todos os controladores de domínio num domínio, os membros do domínio não poderão alterar as respectivas palavras-passe de conta de computador, deixando-as susceptíveis a ataques. Predefinição: Desactivado. Início de sessão interactivo: Pedir ao utilizador para alterar a palavra-passe antes de expirar Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança Descrição Determina a antecedência (em dias) com que os utilizadores são avisados sobre a expiração das respectivas palavras-passe. Com este aviso prévio, o utilizador tem tempo para criar uma palavra-passe suficientemente segura. Predefinição: 14 dias. Cliente de rede da Microsoft: Enviar palavra-passe não encriptada para ligar a servidores SMB de terceirosSISTEMAS DISTRIBUIDOS 87 Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança Descrição Se esta política estiver activada, o redireccionador do bloco de mensagens do servidor (SMB, Server Message Block) terá permissão para enviar palavras-passe de texto simples para servidores SMB sem ser da Microsoft, que não suportem encriptação da palavra-passe durante a autenticação. Predefinição: Desactivado. Início de sessão interactivo: Não requerer CTRL+ALT+DEL para iniciar sessão Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Opções de segurança Descrição Determina se é necessário premir CTRL+ALT+DEL antes de um utilizador poder iniciar sessão. Se esta política estiver activada num computador, não será necessário que um utilizador prima CTRL+ALT+DEL para iniciar sessão. Não sendo necessário premir CTRL+ALT+DEL, os utilizadores ficam sujeitos a ataques que tentem interceptar as palavras-passe dos utilizadores. A necessidade de premir CTRL+ALT+DEL antes de os utilizadores iniciarem sessão, garante que os utilizadores estão a SISTEMAS DISTRIBUIDOS 88 comunicar através de um caminho fidedigno quando introduzirem as palavras-passe. Se esta política estiver desactivada, os utilizadores terão de premir CTRL+ALT+DEL antes de iniciar sessão no Windows (a menos que estejam a utilizar um smart card para o início de sessão no Windows). Predefinição: • Desactivado em estações de trabalho e servidores associados a um domínio. • Activado em estações de trabalho autónomas. Limite de bloqueio de conta Configuração do computador\Definições do Windows\Definições de segurança\Políticas de conta\Política de bloqueio de conta Descrição Determina o número de tentativas de início de sessão sem êxito que faz com que uma conta de utilizador seja bloqueada. Uma conta bloqueada só pode ser utilizada quando for reposta por um administrador ou quando a duração do bloqueio tiver expirado. Pode definir um valor de tentativas de início de sessão sem êxito entre 1 e 999 ou especificar que a conta nunca seja bloqueada, definindo o valor para 0. As tentativas de palavras-passe sem êxito em estações de trabalho ou servidores membros que tenham sido bloqueados com SISTEMAS DISTRIBUIDOS 89 CTRL+ALT+DELETE ou uma protecção de ecrã protegida por palavra- passe não contam como tentativas de início de sessão sem êxito. Predefinição: Desactivado. Descrições de definições de segurança Configuração do computador\Definições do Windows\Definições de segurança Área de segurança Descrição Política s de conta Política de palavras-passe, Política de bloqueio de conta e Política Kerberos Política s locais Política de auditoria, Atribuição de direitos de utilizadores e Opções de segurança Registo de eventos Definições de Registo de eventos de aplicações, Registo de eventos do sistema e Registo de eventos de segurança Grupos restritos Associação de grupos com preocupações de segurança Serviço s de sistema Arranque e permissões para serviços de sistema Registo Permissões para chaves de registo Sistema de ficheiros Permissões para pastas e ficheiros Pode configurar as definições da segurança descritas nesta secção num ou mais computadores, utilizando as ferramentas do Gestor de SISTEMAS DISTRIBUIDOS 90 configuração da segurança. As ferramentas do Gestor de configuração da segurança são constituídas por: • Modelos de segurança • Análise e configuração da segurança • Ferramenta da linha de comandos Secedit.exe • Política de segurança local • Extensão de definições de segurança para Política de grupo Para definir ou modificar definições de segurança individuais em computadores individuais, utilize Política de segurança local. Para definir definições de segurança impostas num qualquer número de computadores, utilize Extensão de definições de segurança para Política de grupo. Para aplicar várias definições num batch, utilize Modelos de segurança para definir as definições e, em seguida, aplique essas definições utilizando Análise e configuração da segurança ou o Secedit.exe ou importe o modelo que contém as respectivas definições para Política local ou Política de grupo. Politicas Locais Auditar eventos de início de sessão Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Política de auditoria Descrição Determina se são auditadas as ocorrências de início ou fim de sessão por um utilizador ou de estabelecimento de uma ligação de rede a este computador. SISTEMAS DISTRIBUIDOS 91 Se registar Auditar eventos de início de sessão de conta com êxito num controlador de domínio, as tentativas de início de sessão na estação de trabalho não geram auditorias de início de sessão. Apenas as tentativas de início de sessão interactivas e de rede no próprio controlador de domínio geram eventos de início de sessão. Em resumo, os "eventos de início de sessão de conta" são gerados onde reside a conta e os "eventos de início de sessão" são gerados onde ocorre a tentativa de início de sessão. Se definir esta definição de política, pode especificar se pretende efectuar a auditoria de êxitos, falhas ou não efectuar de todo a auditoria do tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando uma tentativa de início de sessão tem êxito. As auditorias de falhas geram uma entrada de auditoria quando uma tentativa de início de sessão não falha. Para definir este valor como sem auditoria, na caixa de diálogo Propriedades desta definição de política, seleccione a caixa de verificação Definir estas definições de política e desmarque as caixas de verificação Com êxito e Sem êxito. Auditar a gestão de contas Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Política de auditoria Descrição Determina se os eventos de gestão de contas de um computador são auditados. Alguns exemplos de eventos de gestão de contas incluem: • Criação, alteração ou eliminação de um grupo ou conta de utilizador. SISTEMAS DISTRIBUIDOS 92 • Mudança de nome, desactivação ou activação de uma conta de utilizador. • Definição ou alteração de uma palavra-passe. Se definir esta definição de política, pode especificar se pretende efectuar a auditoria de êxitos, falhas ou não efectuar de todo a auditoria do tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando qualquer evento de gestão de contas tem êxito. As auditorias de falhas geram uma entrada de auditoria quando qualquer evento de gestão de contas não tem êxito. Para definir este valor como sem auditoria, na caixa de diálogo Propriedades desta definição de política, seleccione a caixa de verificação Definir estas definições de política e desmarque as caixas de verificação Com êxito e Sem êxito. Predefinição: Sem auditoria. Auditar eventos de início de sessão de conta Configuração do computador\Definições do Windows\Definições de segurança\Políticas locais\Política de auditoria Descrição Determina se devem ser auditadas todas as ocorrências de início ou fim de sessão de um utilizador de outro computador, em que este computador é utilizado para validar a conta. Se definir esta definição de política, pode especificar se pretende efectuar a auditoria de êxitos, falhas ou não efectuar de todo a auditoria do tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando uma tentativa de início de sessão na conta é efectuada com êxito. As auditorias de falhas geram uma entrada de auditoria quando uma tentativa de início de sessão não tem êxito. Para definir este valor como sem auditoria, na caixa de diálogo Propriedades desta SISTEMAS DISTRIBUIDOS 93 definição de política, seleccione a caixa de verificação Definir estas definições de política e desmarque
Compartilhar